微博莫名關注了一堆陌生營銷賬號, QQ不知怎么就被加進陌生群組, 抖音也“自動”成為某網紅的“粉絲”——如果你曾遇到過上述情況, 可要當心, 根據警方最新破獲的案件線索, 也許黑灰產團伙已經通過數據竊取操控了你的賬戶。
近日, 堪稱“史上最大規模數據竊取案”被浙江紹興越城區警方偵破。 警方查明, 一伙犯罪分子利用非法竊取的30億條用戶數據, 操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加群、違規推廣, 非法獲利, 旗下一家公司一年營收就超過3000萬元。
而數據的來源, 讓人瞠目結舌——據警方透露,
調查中, 警方發現運營商流量遭劫持, 接連導致百度、騰訊、阿里、今日頭條等全國96家互聯網公司用戶數據被竊取, 也就是說, 幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
這意味著, 用戶在網上的搜索記錄、出行記錄、開房記錄、交易記錄等信息, 均被竊取用戶信息的犯罪團伙掌握;更危險的是, 該犯罪團伙為逃避監管追查, 還將部分數據存儲于日本服務器上。
浙江紹興越城區警方及時出擊,
目前, 該團伙中6名犯罪嫌疑人被抓, 案件正在進一步的偵查中。
多起報案揭開黑灰產犯罪團伙冰山一角
“警察同志, 不知道怎么回事, 最近兩個月我的微博經常會關注陌生賬號、QQ會突然添加陌生好友和群, 手機也會莫名其妙收到各種垃圾廣告彈窗、短信。 ”
今年6月下旬, 浙江紹興越城區市民李某、張某、董某先后來到越城區公安分局網警大隊報案, 稱自己的社交賬號異常, 信息騷擾頻繁,
無獨有偶, 就在同一時段, 越城區公安分局網警大隊也接到了阿里安全提供的線索, 稱有紹興用戶反饋淘好友有異常添加陌生人的情況, 疑似個人信息遭泄漏。
多起報案分別來自個人和企業, 卻在案情上有著同質性, 這一細節引起了警方的高度關注。 越城區公安分局網警大隊大隊長張野平介紹, 通過調查發現, 8個IP地址于2018年4月17日多次異常訪問李某的賬號, 而這8個IP地址隸屬的IP段, 還先后訪問了超過5000人的賬戶。
在阿里安全歸零實驗室提供的技術協助下, 警方迅速展開了全力偵查, 并成功鎖定上述IP段, 發現其背后是以瑞智華勝為首的三家公司在操控。
警方進一步針對這三家公司的關聯、商業模式等展開調查,
固定相關證據后, 7月3日在屬地警方配合下, 越城警方在位于北京海淀區的瑞智華勝公司對涉案人員實施抓捕, 當場抓獲6名犯罪嫌疑人;公司實際控制人、主要犯罪嫌疑人邢某當時未在公司, 聞風潛逃。
而隨著調查的不斷深入, 一個分工明確、手段專業、獲利頗豐的數據黑灰產犯罪團伙被連根拔起, 一種完全新型的數據盜竊作案手段也在世人面前被揭開。
合法經營賺錢慢萌生竊取數據歹意
一個犯罪團伙作案, 為何要成立三家公司?原來, 這是整個團伙的“大老板”刑某為了實現竊取流量盈利的目的而下的一盤大棋:兩家公司用來獲取運營商流量,
根據警方所掌握的情況, 從2014年開始, 兩家涉案公司以競標的方式, 先后與覆蓋全國十余省市的電信、移動、聯通、鐵通、廣電等運營商簽訂營銷廣告系統服務合同, 為運營商提供精準廣告投放系統的開發、維護, 進而拿到了運營商服務器的遠程登錄權限。
在經營過程中, 這項業務的效益并不好, 而提供軟件服務過程中可以接觸到運營商流量的這一細節, 讓刑某心生歹意, 走上了犯罪道路。
警方透露, 為了劫持運營商流量, 在明知不合法的情況下, 刑某及其犯罪團伙將自主編寫的惡意程序放在運營商內部的服務器上, 當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、采集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在了瑞智華勝境內外的多個服務器上。
所謂cookie,相當于用戶賬號的登錄憑證,通過cookie不需要再次輸入賬號和密碼,就可以進入用戶賬號,并且能從用戶賬號中獲取用戶的注冊信息、搜索記錄、開房記錄等數據。
“該犯罪團伙正是利用了cookie的這一特性,通過劫持的cookie數據登錄了大量用戶賬號,從而操縱用戶賬戶加粉、刷量,并進行惡意彈窗推廣等方式非法獲利。”辦案民警單鐘穎介紹,為更好地變現效果,瑞智華勝針對加粉、刷量等不同場景的應用分別開發了軟件,犯罪手法極其專業,技術水平較高。
根據警方統計的數據顯示,該犯罪團伙竊取的公民數據已超過30億條;而這一數字,還沒算上今年4月這幫人為了毀滅證據而連夜刪除的多臺服務器上的大量數據。警方初步估算,已被刪除的被竊數據量也超過億條。
上市公司轉型做數據黑產賺得盆滿缽滿
公開資料顯示,刑某所控制的瑞智華勝為新三板上市公司,其主營業務為通過自己旗下的80多個微博、微信大號,開展新媒體營銷及廣告投放、文案策劃服務,主要客戶包括IMS新商業集團、騰訊廣點通等。
為了實現自身業務增值,邢某主導的犯罪團伙在操縱被竊用戶賬戶加粉、刷量時,都優先為自己使用。由于瑞智華勝是上市公司,所有提供加粉、刷量、惡意推廣的費用,都通過同樣控制的另外兩家涉案公司結算、走賬。
瑞智華勝2017年年報顯示,其最大供應商中科在線的采購比例近70%,中科在線與兩家涉案公司的實際控制人為同一伙人,表明瑞智華勝旗下號稱擁有數百萬粉絲的大V賬號,水分極高。
警方在案件偵查中獲得的一份加粉效果結算單顯示,瑞智華勝旗下自媒體號“娛姐來了”“北京見聞”等大V號,僅2018年1月就共計加粉21.8萬個,價格為0.5元/粉,結算金額為10.9萬元。
“跟他們合作,確實能讓一些社交賬號的粉絲數、好友數暴增,不知道他們是怎么做到的。”張某是某網站負責人,他告訴記者,2017年4月至9月,他向涉案公司支付超過36萬元,為手上的QQ累計添加超過14萬人;另外,8個抖音賬號也花錢加粉1萬至十幾萬不等。
而互聯網營銷這一模式也確實讓瑞智華勝賺得盆滿缽滿。根據瑞智華勝提交的財務數據顯示,2015年做軟件開發服務時,其營收僅187萬元、凈利潤2萬元;轉型做互聯網營銷之后的2016年,公司實現營收3028萬元,凈利潤1053萬元。
不過,社交媒體的紅利期時有變化。根據瑞智華勝2017年財報,公司全年營收2002萬元,同比減少33.8%;凈利潤309萬元,同比減少70%;基本每股收益0.66元,同比減少87%。
瑞智華勝在財報中解釋:“2017年底,抖音和快手搶奪了互聯網用戶的大部分上網時長,微博、微信的流量中心地位被影響,因此,公司營收出現明顯下降。”警方查獲的資料中,也發現該公司已經梳理了抖音上500多個大V號,進行粉絲量、影響力等的分析。
互聯網企業需合力鏟除黑灰產毒瘤
警方通過數據反查發現,刑某的公司在與全國多個省市的運營商簽訂營銷廣告合作協議后,運營商均未對具體項目進行必要的約束、監督,才能讓邢某等人利用研發、維護合作項目之名,在運營商服務器上安插惡意采集程序,非法獲取用戶流量。
黑產公司利用從運營商數據中清洗出的用戶cookie、訪問記錄等關鍵數據,便能非法進入用戶賬戶,進而獲取百度、騰訊、阿里、今日頭條等全國96家互聯網公司的用戶數據,國內大型互聯網企業無一幸免。
一位互聯網安全專家告訴記者,從運營商的層面進行流量劫持和清洗,相當于從源頭上數據就丟失了,位于下游的互聯網公司的安全防護能力再強,也無法防范,“阿里發現該犯罪團伙危害數據安全,涉及多家互聯網公司信息,不遺余力向警方提供技術協助,也對提高整個互聯網公司安全水位有所助益,體現了企業的社會責任感。”
更危險的是,警方在偵查中發現,該犯罪團伙為逃避監管追查,還非法將海量信息存儲于日本服務器上,而大量的公民個人數據放在境外也存在危害國家安全的巨大風險。
中國政法大學知識產權中心特約研究員、北京志霖律師事務所副主任趙占領指出,犯罪嫌疑人非法獲取公民信息進行精準營銷的行為,不僅對用戶構成民事侵權,還涉嫌構成侵犯公民個人信息罪。
目前該案還在進一步偵查中,但背后所反映的,是近年來侵犯公民個人信息案件的高發。去年3月,公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動,僅4個月時間就偵破相關案件1800余起,抓獲犯罪嫌疑人4800余名,查獲各類公民個人信息500余億條。
不少業內人士指出,黑灰產團伙或黑數據平臺是當前用戶數據泄露的主要原因,他們盜取數據和使用數據都是無底線的,并且在非法獲取數據后,并沒有保護數據的能力。
據記者了解,8月21日公安部、工信部、網信辦指導的2018網絡安全生態峰會將在京開幕,屆時國內外安全領域頂級專家云集、共議黑灰產治理等議題。阿里將聯合南都在此次峰會上發布《2018網絡黑灰產治理研究報告》,深度剖析黑灰產的新形勢、治理新方法。
“用戶數據保護已成為國內各家互聯網公司的首要任務,尤其頭部的互聯網公司在數據安全方面努力頗多。以阿里為代表的互聯網公司都有一套完整的數據安全系統,對用戶數據安全開展多項防控措施,自身能夠做到有效保障,但是還是會遭遇零星的用戶信息泄露事件。”阿里安全高級運營專家皓劍表示,阿里安全將用技術協助各界解決黑灰產這一社會問題。
據媒體報道,2017年至今,阿里巴巴安全部配合全國各地執法機關破獲各類涉黑灰產案件8022起,公安機關抓獲1000余黑灰產犯罪團伙共6799名犯罪嫌疑人。
當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、采集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在了瑞智華勝境內外的多個服務器上。所謂cookie,相當于用戶賬號的登錄憑證,通過cookie不需要再次輸入賬號和密碼,就可以進入用戶賬號,并且能從用戶賬號中獲取用戶的注冊信息、搜索記錄、開房記錄等數據。
“該犯罪團伙正是利用了cookie的這一特性,通過劫持的cookie數據登錄了大量用戶賬號,從而操縱用戶賬戶加粉、刷量,并進行惡意彈窗推廣等方式非法獲利。”辦案民警單鐘穎介紹,為更好地變現效果,瑞智華勝針對加粉、刷量等不同場景的應用分別開發了軟件,犯罪手法極其專業,技術水平較高。
根據警方統計的數據顯示,該犯罪團伙竊取的公民數據已超過30億條;而這一數字,還沒算上今年4月這幫人為了毀滅證據而連夜刪除的多臺服務器上的大量數據。警方初步估算,已被刪除的被竊數據量也超過億條。
上市公司轉型做數據黑產賺得盆滿缽滿
公開資料顯示,刑某所控制的瑞智華勝為新三板上市公司,其主營業務為通過自己旗下的80多個微博、微信大號,開展新媒體營銷及廣告投放、文案策劃服務,主要客戶包括IMS新商業集團、騰訊廣點通等。
為了實現自身業務增值,邢某主導的犯罪團伙在操縱被竊用戶賬戶加粉、刷量時,都優先為自己使用。由于瑞智華勝是上市公司,所有提供加粉、刷量、惡意推廣的費用,都通過同樣控制的另外兩家涉案公司結算、走賬。
瑞智華勝2017年年報顯示,其最大供應商中科在線的采購比例近70%,中科在線與兩家涉案公司的實際控制人為同一伙人,表明瑞智華勝旗下號稱擁有數百萬粉絲的大V賬號,水分極高。
警方在案件偵查中獲得的一份加粉效果結算單顯示,瑞智華勝旗下自媒體號“娛姐來了”“北京見聞”等大V號,僅2018年1月就共計加粉21.8萬個,價格為0.5元/粉,結算金額為10.9萬元。
“跟他們合作,確實能讓一些社交賬號的粉絲數、好友數暴增,不知道他們是怎么做到的。”張某是某網站負責人,他告訴記者,2017年4月至9月,他向涉案公司支付超過36萬元,為手上的QQ累計添加超過14萬人;另外,8個抖音賬號也花錢加粉1萬至十幾萬不等。
而互聯網營銷這一模式也確實讓瑞智華勝賺得盆滿缽滿。根據瑞智華勝提交的財務數據顯示,2015年做軟件開發服務時,其營收僅187萬元、凈利潤2萬元;轉型做互聯網營銷之后的2016年,公司實現營收3028萬元,凈利潤1053萬元。
不過,社交媒體的紅利期時有變化。根據瑞智華勝2017年財報,公司全年營收2002萬元,同比減少33.8%;凈利潤309萬元,同比減少70%;基本每股收益0.66元,同比減少87%。
瑞智華勝在財報中解釋:“2017年底,抖音和快手搶奪了互聯網用戶的大部分上網時長,微博、微信的流量中心地位被影響,因此,公司營收出現明顯下降。”警方查獲的資料中,也發現該公司已經梳理了抖音上500多個大V號,進行粉絲量、影響力等的分析。
互聯網企業需合力鏟除黑灰產毒瘤
警方通過數據反查發現,刑某的公司在與全國多個省市的運營商簽訂營銷廣告合作協議后,運營商均未對具體項目進行必要的約束、監督,才能讓邢某等人利用研發、維護合作項目之名,在運營商服務器上安插惡意采集程序,非法獲取用戶流量。
黑產公司利用從運營商數據中清洗出的用戶cookie、訪問記錄等關鍵數據,便能非法進入用戶賬戶,進而獲取百度、騰訊、阿里、今日頭條等全國96家互聯網公司的用戶數據,國內大型互聯網企業無一幸免。
一位互聯網安全專家告訴記者,從運營商的層面進行流量劫持和清洗,相當于從源頭上數據就丟失了,位于下游的互聯網公司的安全防護能力再強,也無法防范,“阿里發現該犯罪團伙危害數據安全,涉及多家互聯網公司信息,不遺余力向警方提供技術協助,也對提高整個互聯網公司安全水位有所助益,體現了企業的社會責任感。”
更危險的是,警方在偵查中發現,該犯罪團伙為逃避監管追查,還非法將海量信息存儲于日本服務器上,而大量的公民個人數據放在境外也存在危害國家安全的巨大風險。
中國政法大學知識產權中心特約研究員、北京志霖律師事務所副主任趙占領指出,犯罪嫌疑人非法獲取公民信息進行精準營銷的行為,不僅對用戶構成民事侵權,還涉嫌構成侵犯公民個人信息罪。
目前該案還在進一步偵查中,但背后所反映的,是近年來侵犯公民個人信息案件的高發。去年3月,公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動,僅4個月時間就偵破相關案件1800余起,抓獲犯罪嫌疑人4800余名,查獲各類公民個人信息500余億條。
不少業內人士指出,黑灰產團伙或黑數據平臺是當前用戶數據泄露的主要原因,他們盜取數據和使用數據都是無底線的,并且在非法獲取數據后,并沒有保護數據的能力。
據記者了解,8月21日公安部、工信部、網信辦指導的2018網絡安全生態峰會將在京開幕,屆時國內外安全領域頂級專家云集、共議黑灰產治理等議題。阿里將聯合南都在此次峰會上發布《2018網絡黑灰產治理研究報告》,深度剖析黑灰產的新形勢、治理新方法。
“用戶數據保護已成為國內各家互聯網公司的首要任務,尤其頭部的互聯網公司在數據安全方面努力頗多。以阿里為代表的互聯網公司都有一套完整的數據安全系統,對用戶數據安全開展多項防控措施,自身能夠做到有效保障,但是還是會遭遇零星的用戶信息泄露事件。”阿里安全高級運營專家皓劍表示,阿里安全將用技術協助各界解決黑灰產這一社會問題。
據媒體報道,2017年至今,阿里巴巴安全部配合全國各地執法機關破獲各類涉黑灰產案件8022起,公安機關抓獲1000余黑灰產犯罪團伙共6799名犯罪嫌疑人。