灰熊报告详实,但逻辑简单,也很缜密。
许多人可能没耐心去看,错过了很多有趣的内容。没关系,我简书给你。
大家都知道,网站都有URL,比如跟谁学旗下的吸金神器“高途课堂”,他的URL就是网页链接,说白了就是网址,这是给人读的。
跟URL一样,一个网页也有API ( application programming interface ),这是给机器读的,比如以上的URL,就有这个API: 网页链接。
都是公共信息,谁都可以抓取。
于是灰熊就去疯狂抓奶了。结果真的抓到了奶。
在跟谁学API的公开数据里,有一条信息,叫enrolled_count:1168(这个数字根据每个课程不一样),是学生注册并付费的计数。
付一次费,加一次。
为了确定这个数字确实的有效性呢,灰熊就操作了,针对的是二季度的课程。他首先等了几天跟踪观察这个数字,发现这个数字没涨,enrolled_count:1168。
这非常合理,因为二季度已经进入尾声了,不会有人在这个时候来注册付费二季度的课程的。果然,随机抽取,这是一条死人的心电图线。
PC端手机APP端都试了,确保不是使用平台的问题。
果然,古老的数字挪动了,灰熊每注册一次,这个数字就跳了+1。
同一个实验,对多个课程,在一周内,随机采样,反复做了多次,确认了每次操作,都会+1.
卧槽,灰熊才是跟谁学的第一大用户好不好。
这就能实锤了,enrolled_count果然是一个累进值,并且1是代表一节课。
通过搜索 “一年级, 二年级, 三年级, 四 年级, 五年级, 六年级, 七年级, 八年级, 九年级, 高一, 高二, 高三, 高考以及 语文 , 数学, 英语, 物理, 化学, 生物, 政治, 历史, 地 理,以及春夏秋冬暑”,把所有的课程的API都爬出来。
就得到了所有的enrolled_count。
把所有enrollled_count加总,这个数字,乘以价格,就能推算出二季度销售收入1.69亿人民币(假设高途占70%,而且二季度课程没人报名了,这个数字不会涨了),而GSX管理层对二季度销售收入的预期是15.41亿。Boom !!!!
一个猛料。
但我个人觉得(也有可能是我看的不够仔细没看到),灰熊的整条逻辑里还是有漏洞的,跟谁学可以跳出来说:呀,我这个enrolled_count不是从二季度第一天起算的,我中间清零过,是从XXXX时间起算的。
我觉得这会是一个好的借口。
但很不幸,跟谁学没有如此反驳,instead,他将所有的API里的enrolled_count都调成了0。
所以你现在去看,得到的enrolled_count就是零。
你可以自己点一下看 : 网页链接
此地无银三百两啊。
紧接着,跟谁学就报警了。
你品,你仔细品
精彩评论
一个IT从业人员表示,这技术水平和安全意识配不上它的百亿市值,API不认证不加密的么速成班出来的开发吧?
被打到命门了就告状,这还不如咖啡