24天內,27人利用快手平臺的升級漏洞,組成一條黑色產業鏈,盜刷平臺672萬元。北京市海淀法院昨天(4月14日)通報稱,法院以盜竊罪判處27人11年半至1年1個月不等的有期徒刑。案件主審法官表示,利用網絡平臺漏洞從事黑色產業鏈獲利,是當前司法打擊的重點。
利用快手平臺漏洞,27人組成黑產業鏈
作為國內受眾較廣的短視頻平臺,快手APP的用戶可以在平臺以“打賞”禮物的方式對他人進行贈與或被贈與,所有禮物可轉換為名為“黃鑽”的平臺內代幣使用,並最終通過微信支付平臺提現。
案件資料顯示,2018年7月,“快手”系統升級中,“提現”系統出現了一個漏洞。利用這個漏洞,27人在24天內,從“快手”827名用戶的4629筆訂單中盜刷672萬元。
案件主審法官姜楠介紹,快手平臺的虛擬禮物打賞功能,是由禮物系統對接微信的支付網關組成。按照微信支付相關實名認證要求,如果微信沒有開通實名認證則無法提現,此時“快手”提現訂單失敗。
2018年7月常規升級後,“快手”系統在處理失敗訂單方面出現漏洞,訂單失敗後提現“黃鑽”返回“快手”用戶賬戶,但支付網關沒有停止轉賬請求,還在不斷嘗試。其間,如果對應微信賬號開通實名認證,則資金將從“快手”企業賬戶劃撥至個人微信賬戶,用戶可在未扣除“黃鑽”情況下提現。
被告人謝某等人利用所掌控“快手”賬戶的直播功能,首先通過“快手”賬戶互相打賞將對應“黃鑽”攢至2000元,而後關聯未開通或已註銷微信實名認證的賬戶,反覆提交提現申請,並在短時間內開通微信實名認證賬戶,資金到達微信賬戶後,迅速通過綁定的銀行卡第二次轉出、分配。
瞭解上述漏洞的部分被告人,在貴州老家招募老鄉一起加入:一條由27人組成的租號、打賞、提現、轉賬、取錢的黑色鏈條快速形成。
2018年8月,快手公司進行財務數據彙總,發現用戶提現金額和個稅數據不匹配、提現金額明顯異常後,這一漏洞方被修正。
法院查明,從2018年7月21日1時開始,到2018年8月2日22時, 12天的時間裡,僅謝某一人就通過上述方式收購10組他人賬號,累計套取資金125萬餘元。最終,謝某與其他26人,因盜竊罪分獲11年半到1年1個月不等的有期徒刑。
解讀:網絡漏洞形成的黑產業鏈是司法打擊重點
姜楠法官表示,“薅羊毛”是與電子商務伴生的互聯網現象。通常意義上,“薅羊毛”行為按照輕重程度可以分為三類:一是按照平臺優惠規則,偶爾利用平臺漏洞獲取優惠自用的普通用戶;二是利用平臺優惠規則疏漏,藉助信息及技術優勢攫取優惠後進行二次轉賣、變現的“羊毛黨”;三是利用系統漏洞惡意牟利的黑灰產鏈條。“快手”盜刷案,即屬於第三類。
對於第一類行為,使用者屬於正常消費行為,在法律、商業規則及市場規律範圍內無須擔心。
司法判例也在強化對這類消費者的保護。此前的“亞馬遜砍單案”中,購物網站亞馬遜在“雙十一”期間標明掃地機器人科沃斯價格為94元,後亞馬遜以系統操作錯誤、實際售價應為949元為由,單方取消訂單。後法院判決亞馬遜公司向290餘名被砍單消費者賠償訂單價格與市場價格之間差價855元,以防止虛假促銷、惡意單方砍單等行為氾濫。
對於第二類專業“羊毛黨”,明顯惡意違反平臺規則及利用系統漏洞的,在民事法律關係上屬不當得利,受損害的平臺可以請求返還,在刑事法律評價上則相對曖昧,無法一概而論,但其中具有主觀惡性,違法所得數額較大或影響較大的,同樣構成刑事犯罪。
對於第三類利用系統漏洞惡意牟利的黑灰產業鏈條,是目前司法打擊的重點,上訴案件中呈現出網絡黑灰產業鏈的新趨勢:非法支付渠道向普通個人賬號轉移。
一般來說網絡黑色產業鏈的供給可以劃分為物料、流量和支付三大要件,以惡意註冊賬戶為主供養物料,通過虛擬商品交易作為變現的主要渠道;而在“羊毛”灰產中則細化為,卡商負責註冊平臺賬號—網絡黑客人員負責買賣“秒殺軟件”—“羊毛黨”負責在平臺使用—收貨端負責在二級市場變現。
但隨著各個互聯網平臺尤其是幾家互聯網巨頭對於惡意註冊的聯合打擊,技術壁壘日益加高,“養號”成本日益增高。於是,黑灰產業鏈將目標鎖定為普通個人賬號,該種賬號屬於正常賬號,在技術上無法識別。這給溯源上游犯罪等司法打擊帶來困難。
