12月17日,星巴克上线“星巴克App注册新人礼”营销活动。然而,该活动疑似因遭遇黑灰产攻击,在上线的第二天就停止了。
据隐私护卫队了解,星巴克App注册新人礼活动称,12月17—23日,凡通过星巴克App成功注册星享用户俱乐部账户的新会员均可获得一份饮品券,饮品券在成功注册24小时内配置到账户内,用户可凭券免费兑换任意一杯中杯圣诞当季特饮。
18日下午,以情报能力为核心的业务安全解决方案服务商威胁猎人的公众号推出文章——《星巴克新活动仅一天就被疯狂薅羊毛,企业业务安全告急!》。文章表示,星巴克推出的营销活动遭受黑灰产大规模攻击,并紧急下线该营销活动。
“我们监测到黑灰产虚假注册量已达到40万。”威胁猎人相关负责人对隐私护卫队表示,此次星巴克推出的活动门槛较低,黑灰产只需要一个新的手机号并提交一些基本资料即可领券,而且星巴克推出的这个活动还存在没有识别黑卡、猫池号码等漏洞,其本身也没有做好设备指纹上的对抗,这导致用户可以在一个手机上用多个手机号进行注册。
所谓猫池号码,威胁猎人解释说,黑灰产通过各种方法批量地开手机卡,有一些人手握几千、上万甚至数十万的手机卡,专门用来收发验证码、注册账号等,比如黑灰产利用猫池号码注册星巴克账号获取优惠券,成本仅为0.1元(接收短信的成本),然后再将优惠券卖出去。
威胁猎人还表示,黑灰产注册新账号的成本为0.1元,而单张券的售价为0.45—10元,购买方会得到一个账户名和密码,登录星巴克App即可使用优惠券。
12月18日下午6时许,隐私护卫队下载星巴克App,尝试注册账号时发现,手机号注册可以收到验证码,但是在创建账户的过程中,页面提示“出错了,请稍后再试”,再尝试则显示“网络连接异常,请稍后再试”。
创建账户失败。
隐私护卫队致电星巴克的门店客服,一名工作人员表示,新用户注册免费领咖啡的营销活动已经停止,至于原因,该工作人员表示不知情。
“企业现在做业务,搞活动,一定要了解黑灰产。”威胁猎人表示,此次星巴克低估了黑灰产的能力。威胁猎人建议,企业在做营销活动时,活动上线前,预估内部风控规则的有效性并且提前补充外部风险数据,设定好风险阈值。活动上线中,企业应做好业务流量监控,可以借助外部情报能力,及时调整与更新失效的风控策略,及时发现和控制风险。
文/南都个人信息保护研究中心研究员 尤一炜
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
