如果你的微博關注列表突然出現一堆營銷賬號,QQ突然被加進陌生群組,抖音莫名關注某網紅,也許黑灰產團伙已經操控了你的賬戶。近日,浙江紹興越城區警方成功偵破史上最大規模的數據竊取案,阻止30億條公民信息洩漏。
警方查明,北京一個以新媒體營銷為主業的上市公司,與覆蓋十餘省市的運營商簽訂營銷廣告系統服務合同,鑽運營商監管不力的空子,在運營商服務器中佈置惡意採集信息程序,從運營商流量池中非法獲取用戶數據,為逃避監管追查,還將部分數據存儲於日本的服務器上。
警方進一步發現,此案波及電信、移動、聯通、鐵通、廣電等全國多個省市的多家運營商,繼而導致百度、騰訊、阿里、今日頭條等全國96家互聯網公司的用戶數據被獲取,幾乎國內所有的核心互聯網企業均被“雁過拔毛”、無一倖免。
也就是說,用戶在網上搜索什麼隱秘信息、去哪兒、何時何地開房、買了啥等這些信息,均被竊取用戶信息的犯罪團伙掌握。此案中,黑灰產團伙已經操控用戶賬號,進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加群、違規推廣,非法獲利,犯罪團伙旗下一家公司一年營收就超過3000萬元。
而掌握上述全面的用戶信息,黑灰產團伙還可通過對用戶進行“人物畫像”,實施精準的電信詐騙等多種犯罪行為。今年陝西警方抓獲的電信詐騙團伙,僅以更改考試成績為幌子騙錢,就設計了380個劇本,進行精準詐騙。
浙江紹興越城區公安分局網警大隊大隊長張野平稱,本案系史上最大規模的數據非法獲取案,作案手段新穎、竊取數據路徑不同尋常,偵辦難度極大,阿里安全為案件提供了重要的技術協助。目前6名主要犯罪嫌疑人已被抓獲,其中5人已逮捕,公司負責人邢某已潛逃。
警方稱,涉案的上市黑產公司所盜取的公民信息,波及幾乎所有互聯網公司,大量互聯網公司一直深受其害,但一直未能有實質的證據和技術能力溯源。此次,阿里巴巴安全部通過技術協助警方徹底端掉背後的黑灰產團伙。
線索:同時發生多起賬戶異常添加好友
今年6月下旬,越城區公安分局網警大隊多次接到市民報案,稱在不知情的情況下發現,自己的微博、QQ等社交賬戶添加了陌生好友、關注,手機經常莫名其妙收到各種垃圾廣告彈窗、短信,懷疑個人信息被洩露。
上市黑灰產公司竊取30億公民數據,讓你裸奔在網絡世界。
同一時段,越城區公安分局網警大隊也接到阿里安全提供的線索,稱有紹興用戶反饋淘好友有異常添加陌生人的情況,疑似個人信息遭洩漏。
多起報案的同質性引起警方高度關注。調查發現,報案人市民李某的賬戶數據於2018年4月17日被8個IP地址多次異常訪問,這8個IP地址隸屬的IP段還先後訪問超過5000人的賬戶。在阿里安全歸零實驗室提供的技術協助下,警方迅速展開了全力偵查。
警方鎖定該IP段背後,是北京瑞智華勝科技股份有限公司(下稱“瑞智華勝”)為核心的多家公司在操控,且多家公司實際控制人和作案團伙均系同一撥人,瑞智華勝(872382.OC)為新三板上市公司。
緊接著,警方針對這三家公司的關聯、商業模式等展開調查,固定相關證據後,7月3日,紹興越城警方20多名民警在屬地警方配合下,在北京海淀區瑞智華勝公司對涉案人員實施抓捕,抓獲6名犯罪嫌疑人,公司實際控制人、主要犯罪嫌疑人邢某未在公司,聞風而逃。
隨後,警方從盤根錯節的關係網中反覆探索、偵查,揭開了一個分工明確、獲利頗豐的黑灰產犯罪團伙真面目,也發現了一種完全新型的數據盜竊作案手段。
“打劫”運營商竊取數據
警方偵查發現,涉案的瑞智華勝等三家公司主要成員均系同一夥人,辦公地點也一樣。同一個團伙為什麼要開三家公司?原來是為了用不同的公司主體幹不同的事情,掌控整個產業鏈:兩家公司主要與運營商簽訂服務合同,獲取權限,進而竊取數據,而瑞智華勝則主要將數據加工、處理,通過精準營銷、惡意彈窗、加粉、刷量等方式獲利變現。
據警方介紹,在“大老闆”邢某的安排下,從2014年開始,黑產公司通過競標的方式,先後與全國多家運營商簽訂正式的服務合同,為其提供精準廣告投放系統的開發、維護。簡單來說,每家運營商都要針對不同用戶做比較精準的信息推送,比如流量使用提醒等,主要靠這個系統。
在提供軟件服務的過程中,該犯罪團伙獲得了運營商服務器的遠程登錄權限,並於2015年開始,在明知不合法的情況下,將自主編寫的惡意程序放在運營商內部的服務器上,偷偷“劫取”流量,意即當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、採集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在瑞智華勝境內外的多個服務器上。
黑灰產公司從運營商截流、竊取用戶數據進行加粉、精準營銷的鏈路圖。
辦案民警單鍾穎介紹,cookie相當於用戶賬號的登錄憑證,不需要獲取帳號和密碼,通過cookie就可以進入用戶賬號,直接操作賬號做任何事情。利用cookie數據,該犯罪團伙登錄大量用戶的賬號,從用戶賬號中獲取用戶的搜索記錄、賬戶註冊資料等數據。
除了獲取賬號內的數據,該犯罪團伙還操縱賬戶加粉、刷量,並進行惡意彈窗推廣等方式非法獲利。
“在鏈路末端,為實現加粉、提升百度搜詞排名等變現效果,瑞智華勝針對不同的軟件研發了不同的加粉程序,犯罪手法極其專業,技術水平較高,”單鍾穎表示。
為毀滅證據,2018年4月犯罪嫌疑人團隊還連夜刪除多臺服務器上的大量數據,警方初步估算已被刪除的數據量也超過億條。
黑產公司一年盈利上千萬成功上市
8月13日,瑞智華勝(872382.OC)發佈公告稱,2018年7月,公司法定代表人、董事周嘉林及監事黃健、梁修軍等人因涉嫌非法獲取計算機信息系統數據罪被紹興市公安局越城分局刑事拘留,其中黃健、梁修軍已於2018年8月9日已被越城區人民檢察院批捕,周嘉林仍取保候審。目前案件尚待公安機關進一步調查。
公開資料顯示,瑞智華勝成立於2013年,最初從事軟件開發服務,從2016年轉型做互聯網營銷,2017年12月1日正式掛牌新三板,其主要客戶包括IMS新商業集團、騰訊廣點通等。
瑞智華勝目前管理運營 80餘個自媒體賬號,主要運營的有20個微博賬號和55個微信公眾號,涉及旅遊、資訊、美食、健身等多個領域,擁有粉絲總量超過7000萬,其中多個微信賬號為新榜排名100強,每天都在創造10W+,但也曾因過度營銷和涉嫌造謠被封號。
警方獲取的資料顯示,其微博大V號粉絲量在200萬-600萬不等,發佈或轉發一條微博的報價在2000-4000元不等,微信大V號的價格貴一些,單條在7000-20000元不等。
從瑞智華勝公司財務數據上看,轉型做互聯網營銷確實令公司業績飛漲。2015年,其營收僅187萬元、淨利潤2萬元;到2016年,公司實現營收3028萬元,淨利潤1053萬元。
瑞智華勝公司的轉型如此成功源於此案主犯邢某。2016年之前,邢某曾是一家從事緩存業務的互聯網公司高管,2016年他帶領前公司多名技術人員一起到了本案的一家涉案公司後,瑞智華勝便開始開展互聯網營銷業務。
而實際上,邢某主導的犯罪團伙在竊取數據後,操縱竊取來的用戶賬號,強制讓用戶關注的刷粉、刷量等服務,優先為自家賬號使用。警方介紹,因瑞智華勝是上市公司,所有提供加粉、刷量、惡意推廣的費用都要通過其他兩家涉案公司結算、走賬。
瑞智華勝2017年年報顯示,最大供應商中科在線的採購比例近70%,主要通過中科在線進行賬號推廣,實際上就是加粉、刷量,而工商資料顯示,中科在線正是涉案團伙旗下公司。
警方偵查獲得一份加粉效果結算單顯示,瑞智華勝旗下自媒體號“娛姐來了”、“北京見聞”等大V號,僅2018年1月就共計加粉21.8萬個,價格為0.5元/粉,結算金額為10.9萬元。
不過,社交媒體的營銷收入並不穩定。2017年財報顯示,瑞智華勝全年營收2002萬元,同比減少33.8%;淨利潤309萬元,同比減少70%。瑞智華勝在財報中自述,2017 年底,抖音和快手搶奪了互聯網用戶的大部分上網時長,微博、微信的流量中心地位被影響,加之國家加強對新媒體的監管,公司營收出現明顯下降。
黑產手段的進化也是與時俱進的,警方在辦案中發現,該公司詳細調研了抖音上500多個大V號,進行粉絲量、影響力等分析。
中科系一個合作商負責人張某表示,從2017年初到今年6月使用中科的推廣服務,包括QQ加群、抖音加粉等,僅從2017年4月至9月,QQ累計添加超過14萬人,8個抖音賬號加粉1萬至十幾萬不等。僅QQ加群,張某就累計為中科支付超過36萬元,“不知道他們具體是怎麼做的,但可以看到粉絲、QQ數量突然暴增。”
通過對該公司簽訂的合同進行梳理,警方發現有超過50家公司與該公司進行推廣、加粉等業務合作,涉及北京、杭州、福州、深圳、臨汾、東莞、廈門、上海、廣州、成都等10個地市區。
數據竊取波及全國,部分存儲海外
“從運營商的層面進行流量劫持和清洗,也意味著所有使用運營商流量的用戶都要被‘雁過拔毛’,互聯網公司再多的防護能力都沒有用,在源頭上數據就丟了。”一位業內專家表示,應聯合共同抵制和打擊這類犯罪團伙,阿里此次為警方提供技術協助,從另一個方面來說,也為提高互聯網公司的整體安全水位作出了貢獻。
警方通過數據反查發現,犯罪嫌疑人刑某所在公司,與覆蓋十餘省市的電信、移動、聯通、鐵通、廣電等運營商,簽訂營銷廣告合作協議,但運營商均未對具體項目進行約束、監督。因運營商監管不到位,邢某等人才能佈置惡意採集程序的方式,非法獲取用戶流量信息。
警方統計發現,刑某通過運營商監管不力而非法竊取的數據,涉及百度、騰訊、阿里、今日頭條等全國96家互聯網公司的用戶數據。幾乎國內所有的核心互聯網企業無一倖免,也就是說,用戶在網上搜索什麼隱秘信息、去哪兒、何時何地開房、買了啥等這些信息,均被該犯罪團伙掌握。
而更可怕的是,警方偵查發現,為逃避監管和追查,犯罪團伙還將部分信息存儲在位於日本的服務器上,“把非法收集的大量公民個人信息存儲在境外的服務器上,有危害國家安全的風險。”
中國政法大學知識產權中心特約研究員、北京志霖律師事務所副主任趙佔領指出,犯罪嫌疑人非法獲取公民信息進行精準營銷的行為,不僅對用戶構成民事侵權,還涉嫌構成侵犯公民個人信息罪。同時,這些個人信息被非法收集後,也有可能被用於其他的非法活動,比如根據竊取的身份證號、手機號等個人信息去竊取用戶的網銀賬戶等,進而可能會給用戶帶來財產損失。
目前該案還在進一步偵查中,但背後反映出的社會現實卻是真實殘酷的。近幾年,公民個人信息被洩露、竊取的案件高發。去年3月,公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動,僅4個月時間就偵破相關案件1800餘起,抓獲犯罪嫌疑人4800餘名,查獲各類公民個人信息500餘億條。
阿里安全高級專家皓劍表示,當前用戶數據保護已成為國內各家互聯網公司的首要任務,對用戶數據安全開展多項防控措施,尤其頭部的互聯網公司在數據安全方面努力頗多,以阿里為代表的互聯網公司都有一套完整的數據安全系統,自身能夠做到有效保障,但是還是會遭遇零星的用戶信息洩露事件。
業內專家稱,本案表明,黑灰產團伙或黑數據平臺才是數據洩露的主要原因,它們竊取數據和使用數據都是無底線的,並且在非法獲取數據後,並沒有保護數據的能力,“打擊黑灰產需要社會共同治理,尤其要像治理霧霾一樣打擊黑灰產。”
據媒體報道,以阿里巴巴為代表的企業正在嘗試用技術協助社會各界解決這一社會問題。2017年至今,阿里巴巴安全部配合全國各地執法機關破獲各類涉黑灰產案件8022起,公安機關抓獲1000餘黑灰產犯罪團伙共6799名犯罪嫌疑人。
皓劍透露, 公安部、工信部、網信辦指導的2018網絡安全生態峰會8月21日在京開幕,屆時國內外安全領域頂級專家雲集、共議黑灰產治理等議題。阿里將聯合南都發布《2018網絡黑灰產治理研究報告》,深度剖析黑灰產的新形勢、治理新方法,阿里安全將用技術協助各界解決黑灰產這一社會問題。
閱讀更多 中易商學 的文章
