京东白条惊现漏洞 闪付搭配特定POS可重复薅羊毛

　　京东白条闪付是京东金融推出的类信用卡服务，和信用卡一样，使用白条额度可以在线上线下进行消费。线下只要POS机支持银联云闪付、Apple Pay、HUAWEI Pay、Mi Pay中的任意一个，都可以使用白条闪付支付消费。

　　京东白条闪付的优惠活动，满减要求很低

　　类信用卡产品讲究运营，会时常举办线下优惠活动去激励用户使用，京东白条亦是如此。这次问题正是出在白条闪付线下优惠活动的规则设置上，网上爆料京东未指定POS商户编号获取优惠，只需要商户名中带有其活动商户名称关键字即可享受优惠。

　　什么意思呢?我们拿白条闪付和屈臣氏做活动来举例：

　　正确姿势下，京东获得屈臣氏各门店的POS商户编号，这个编号是唯一的，用户只有在相应门店消费才可享受优惠;

　　问题姿势里，京东没有用商户编号，而是把订单里的商户名称作为验证条件，只要名称带屈臣氏就能享受优惠。

　　考虑到现下POS机市场的混乱情况，去申请个符合条件的并不难，只需要会PS各种证件图就能做到。接下来就可以使劲“刷刷刷”了。

　　据嘶吼了解，目前只需网上交付图中资料，即可成功申请一台POS机

　　疑似薅羊毛图，可以看到优惠力度非常大

　　BUG被发现后，有网友通过投诉通道向官方反应，京东内部应已知晓情况。

　　嘶吼编辑从爆料读者手中获得一张疑似京东内部处理进展的消息截图。图中称已报警处理，联合公安、银联成立专案组坚决打击，并警告内部人士如若参与务必主动交代。

　　考虑到这次活动优惠力度比较大，疑似内部处理进展语气显露出的大动刀戈，想来京东损失应很惨重。支付/金融行业本身招惹灰产关注，作为新兵的京东白条已经多次曝光过安全隐患，还需加倍小心谨慎防范才是。

　　同时，嘶吼也向一位业内资深风控专家请教对白条闪付事件的看法。对方表示，如网上爆料属实，京东白条犯下的错确实有些低级。一般来说，营销活动都会遵循“模型->规则->监控->再模型”的方法。

　　首先需要预计发放的量、发放的目标人群、发放的速率和时间曲线等，确定了这些后才能确定后续的规则和监控的范围;对于规则，这类规则需要对两类进行监控。对用户，黑名单、反复薅多次的人群、设备等需要有一定的监控。对收单商户，单量、时间曲线流量也需要有一定的管控;对于监控，一般确定好预警阀值就好，预警是个大问题，这里不做展开;最后是再次的模型建立，是基于对抗后的展开。

　　显而易见，在设立规则、风险监控等几个方面，事主需要好好学习。