Como o Anti-Bot Funciona no Aplicativo Móvel Wildberries
Um mergulho técnico na estratégia anti-bot da Wildberries, revelando como eles combatem tráfego malicioso e protegem seus usuários. O artigo detalha as camadas de defesa, desde SDKs até aprendizado de máquina, e como a empresa se adapta às ameaças em constante evolução.
MundiX News·14 de maio de 2026·7 min de leitura·👁 11 views
No mundo digital em constante evolução, a segurança de aplicativos móveis se tornou uma prioridade fundamental. A Wildberries, um dos maiores marketplaces online da Rússia, enfrenta diariamente a ameaça de bots e outras atividades maliciosas que podem prejudicar a experiência do usuário e a integridade da plataforma. Neste artigo, Denis Ulyanov, chefe da equipe Anti-Bot da Wildberries, compartilha insights sobre como eles combatem essas ameaças.
A Wildberries investe em soluções anti-bot para mitigar perdas financeiras e de reputação causadas por bots e parsers. Esses programas automatizados podem gerar até 60% do tráfego da plataforma, sobrecarregando a infraestrutura e permitindo que concorrentes obtenham vantagens desleais. Os bots se manifestam de diversas formas, desde parsers de mercado que coletam dados de preços e produtos até ataques DDoS e explorações da lógica de negócios, como tentativas de preencher slots de entrega de forma desonesta.
A arquitetura anti-bot da Wildberries é composta por dois componentes principais: um SDK (Software Development Kit) do cliente, que obtém e renova tokens anti-bot, e um servidor que valida esses tokens e avalia o risco da sessão. Para avaliar os riscos, a empresa coleta uma vasta gama de dados, incluindo resultados de desafios, a rede do usuário, comportamento e indicadores de Machine Learning (ML). O servidor toma decisões de acesso com base nessas informações, permitindo o acesso, exigindo verificações adicionais, bloqueando ou revogando tokens. O aplicativo móvel Wildberries solicita um recurso protegido e recebe uma resposta de negação devido à ausência de um token anti-bot. O aplicativo, então, inicia o fluxo de obtenção do token anti-bot por meio do SDK, que retorna o token, permitindo que a solicitação seja repetida com sucesso.
Para a implementação do SDK, a equipe utilizou um Web SDK existente, que foi integrado em um WebView (componente para visualização de páginas da web dentro do aplicativo). Essa abordagem permitiu um lançamento rápido e a coleta de dados para iterações futuras. O principal desafio foi lidar com as limitações do WebView em produção. A equipe implementou um desafio JavaScript para identificar dispositivos emulados ou comprometidos, coletando parâmetros de ambiente e formando um perfil do dispositivo. Além disso, eles usam Proof of Work (PoW), que exige que o cliente resolva um problema computacional para obter um token, retardando bots e parsers. No entanto, o PoW pode causar atrasos e consumo de bateria em dispositivos mais fracos, levando a empresa a segmentar os usuários e usar o PoW de forma seletiva.
A Wildberries também implementou políticas adaptativas, construindo modelos de decisão com base no nível de confiança da sessão. Usuários legítimos passam por menos verificações, enquanto sessões suspeitas enfrentam desafios adicionais. A empresa também utiliza as ferramentas de segurança fornecidas pelas plataformas nativas, como a Play Integrity API, para aumentar a confiança no dispositivo e na sessão. Para melhorar a experiência do usuário, a Wildberries implementou a renovação de tokens para sessões legítimas, reduzindo o número de verificações repetidas. O Machine Learning desempenha um papel crucial no anti-bot, sendo usado para avaliar desafios e avaliar o comportamento após a obtenção do token. A equipe usa dois métodos para rotular o conjunto de dados: rotulagem manual e integração com equipes de produto, usando dados retrospectivos para melhorar os modelos de ML.
A Wildberries adota uma abordagem RedTeam, onde engenheiros simulam ataques para testar a resiliência da infraestrutura. A empresa planeja implementar medidas adicionais, como SSL Pinning para dificultar a interceptação de tráfego, integrações com produtos para fornecer mais contexto para proteção precisa e um tempo de execução do cliente protegido para dificultar a modificação do aplicativo. Em resumo, o anti-bot da Wildberries é um sistema de várias camadas, com o servidor tomando a decisão final. A atestação da plataforma aumenta a confiança no dispositivo e na sessão, enquanto os modelos de ML e a revogação de tokens ajudam a detectar a automação em tempo real. A Wildberries continua a evoluir suas defesas para combater as ameaças em constante mudança no cenário digital.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
No mundo digital em constante evolução, a segurança de aplicativos móveis se tornou uma prioridade fundamental. A Wildberries, um dos maiores marketplaces online da Rússia, enfrenta diariamente a ameaça de bots e outras atividades maliciosas que podem prejudicar a experiência do usuário e a integridade da plataforma. Neste artigo, Denis Ulyanov, chefe da equipe Anti-Bot da Wildberries, compartilha insights sobre como eles combatem essas ameaças.
A Wildberries investe em soluções anti-bot para mitigar perdas financeiras e de reputação causadas por bots e parsers. Esses programas automatizados podem gerar até 60% do tráfego da plataforma, sobrecarregando a infraestrutura e permitindo que concorrentes obtenham vantagens desleais. Os bots se manifestam de diversas formas, desde parsers de mercado que coletam dados de preços e produtos até ataques DDoS e explorações da lógica de negócios, como tentativas de preencher slots de entrega de forma desonesta.
A arquitetura anti-bot da Wildberries é composta por dois componentes principais: um SDK (Software Development Kit) do cliente, que obtém e renova tokens anti-bot, e um servidor que valida esses tokens e avalia o risco da sessão. Para avaliar os riscos, a empresa coleta uma vasta gama de dados, incluindo resultados de desafios, a rede do usuário, comportamento e indicadores de Machine Learning (ML). O servidor toma decisões de acesso com base nessas informações, permitindo o acesso, exigindo verificações adicionais, bloqueando ou revogando tokens. O aplicativo móvel Wildberries solicita um recurso protegido e recebe uma resposta de negação devido à ausência de um token anti-bot. O aplicativo, então, inicia o fluxo de obtenção do token anti-bot por meio do SDK, que retorna o token, permitindo que a solicitação seja repetida com sucesso.
Para a implementação do SDK, a equipe utilizou um Web SDK existente, que foi integrado em um WebView (componente para visualização de páginas da web dentro do aplicativo). Essa abordagem permitiu um lançamento rápido e a coleta de dados para iterações futuras. O principal desafio foi lidar com as limitações do WebView em produção. A equipe implementou um desafio JavaScript para identificar dispositivos emulados ou comprometidos, coletando parâmetros de ambiente e formando um perfil do dispositivo. Além disso, eles usam Proof of Work (PoW), que exige que o cliente resolva um problema computacional para obter um token, retardando bots e parsers. No entanto, o PoW pode causar atrasos e consumo de bateria em dispositivos mais fracos, levando a empresa a segmentar os usuários e usar o PoW de forma seletiva.
A Wildberries também implementou políticas adaptativas, construindo modelos de decisão com base no nível de confiança da sessão. Usuários legítimos passam por menos verificações, enquanto sessões suspeitas enfrentam desafios adicionais. A empresa também utiliza as ferramentas de segurança fornecidas pelas plataformas nativas, como a Play Integrity API, para aumentar a confiança no dispositivo e na sessão. Para melhorar a experiência do usuário, a Wildberries implementou a renovação de tokens para sessões legítimas, reduzindo o número de verificações repetidas. O Machine Learning desempenha um papel crucial no anti-bot, sendo usado para avaliar desafios e avaliar o comportamento após a obtenção do token. A equipe usa dois métodos para rotular o conjunto de dados: rotulagem manual e integração com equipes de produto, usando dados retrospectivos para melhorar os modelos de ML.
A Wildberries adota uma abordagem RedTeam, onde engenheiros simulam ataques para testar a resiliência da infraestrutura. A empresa planeja implementar medidas adicionais, como SSL Pinning para dificultar a interceptação de tráfego, integrações com produtos para fornecer mais contexto para proteção precisa e um tempo de execução do cliente protegido para dificultar a modificação do aplicativo. Em resumo, o anti-bot da Wildberries é um sistema de várias camadas, com o servidor tomando a decisão final. A atestação da plataforma aumenta a confiança no dispositivo e na sessão, enquanto os modelos de ML e a revogação de tokens ajudam a detectar a automação em tempo real. A Wildberries continua a evoluir suas defesas para combater as ameaças em constante mudança no cenário digital.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
