成功阻止30億條公民信息泄露 紹興警方破獲盜取數據案

制圖/高岳

如果你的微博關注列表突然出現一堆營銷賬號,QQ突然被加進陌生群組,抖音莫名關注某網紅,也許黑灰產團伙已經操控了你的賬戶。近日,浙江省紹興市越城區警方成功偵破越城區史上最大規模的數據竊取案,阻止30億條公民信息泄露。

目前,在阿裡安全專案團隊和歸零實驗室的技術協助下,6名主要犯罪嫌疑人已被抓獲,其中5人已逮捕,公司負責人邢某已潛逃。

社交賬戶自動添加好友

今年6月下旬,紹興市公安局越城區分局網警大隊多次接到市民報案,稱在不知情的情況下,發現自己的微博、QQ等社交賬戶添加了陌生好友、關注,手機經常莫名其妙收到各種垃圾廣告彈窗、短信,懷疑個人信息被泄露。

同一時段,越城區分局網警大隊也接到阿裡安全專案團隊提供的線索,稱有用戶反饋淘好友有異常添加陌生人的情況,疑似個人信息遭泄露。

多起報案的同質性引起警方高度關注。調查發現,報案人市民李某的賬戶數據於4月17日被8個IP地址多次異常訪問,這8個IP地址隸屬的IP段還先后訪問超過5000人的賬戶。

警方查明,該IP段背后是北京瑞智華勝科技股份有限公司為核心的多家公司在操控,且多家公司實際控制人和作案團伙均系同一撥人,瑞智華勝為新三板上市公司。

緊接著,警方針對這幾家公司的關聯、商業模式等展開調查,固定相關証據后,越城警方20多名民警在屬地警方配合下,於7月3日在北京市海澱區瑞智華勝公司對涉案人員實施抓捕,抓獲6名犯罪嫌疑人,公司實際控制人、主要犯罪嫌疑人邢某聞風而逃。

隨后,警方從盤根錯節的關系網中反復探索、偵查,揭開了一個分工明確、獲利頗豐的黑灰產不法團伙真面目,也發現了一種完全新型的數據盜竊作案手段。

“打劫”運營商竊取數據

警方偵查發現,涉案的瑞智華勝等三家公司主要成員均系同一伙人,辦公地點也一樣。

同一個團伙為什麼要開三家公司?這是為了用不同的公司主體干不同的事情,掌控整個產業鏈:兩家公司主要與運營商簽訂服務合同,獲取權限,進而竊取數據,而瑞智華勝則主要將數據加工、處理,通過精准營銷、惡意彈窗、加粉、刷量等方式獲利變現。

據警方介紹,在大老板邢某的安排下,從2014年開始,黑產公司通過競標的方式,先后與全國多家運營商簽訂正式的服務合同,為其提供精准廣告投放系統的開發、維護。

簡單來說,每家運營商都要針對不同用戶做比較精准的信息推送,比如流量使用提醒等,主要依靠的就是這個系統。

在提供軟件服務的過程中,該不法團伙獲得了運營商服務器的遠程登錄權限,並於2015年開始,在明知不合法的情況下,將自主編寫的惡意程序放在運營商內部的服務器上,偷偷劫取流量。

當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、採集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在瑞智華勝境內外的多個服務器上。

cookie相當於用戶賬號的登錄憑証,不需要獲取賬號和密碼,通過cookie就可以進入用戶賬號,直接操作賬號做任何事情。

利用cookie數據,不法團伙登錄大量用戶賬號,從用戶賬號中獲取用戶的搜索記錄、賬戶注冊資料等數據。

除了獲取賬號內的數據,該團伙還操縱賬戶加粉、刷量,並進行惡意彈窗推廣等方式非法獲利。

“在鏈路末端,為實現加粉、提升百度搜詞排名等變現效果,瑞智華勝針對不同的軟件研發了不同的加粉程序,作案手法極其專業,技術水平較高。”單鐘穎說。

為毀滅証據,今年4月,犯罪嫌疑人團隊還連夜刪除多台服務器上的大量數據,警方初步估算已被刪除的數據量也超過億條。

盈利上千萬成功上市

8月13日,瑞智華勝公司發布公告稱,2018年7月,公司法定代表人、董事周嘉林及監事黃健、梁修軍等人因涉嫌非法獲取計算機信息系統數據罪,被紹興市公安局越城分局刑事拘留,黃健、梁修軍於2018年8月9日已被越城區人民檢察院批捕,周嘉林仍取保候審,案件尚待公安機關進一步調查。為配合公安機關調查,公司基本存款戶已被凍結。

公開資料顯示,瑞智華勝成立於2013年,從2016年轉型做互聯網營銷,2017年12月1日正式挂牌新三板。

瑞智華勝公司2016年的成功轉型,緣於此案主要犯罪嫌疑人邢某的加入。邢某原是一家從事緩存業務互聯網公司的高管。2016年,他帶領前公司多名技術人員一起到了該公司,開展互聯網營銷業務。

從瑞智華勝公司財務數據上看,轉型做互聯網營銷確實令公司業績飛漲。2015年,其營收僅187萬元、淨利潤2萬元﹔到2016年,公司實現營收3028萬元,淨利潤1053萬元。

而實際上,邢某主導的不法團伙在竊取數據后,操縱竊取來的用戶賬號,強制讓用戶關注的刷粉、刷量等服務,優先為自家賬號使用。據犯罪嫌疑人供述,因瑞智華勝是上市公司,所有提供加粉、刷量、惡意推廣的費用都要通過旗下中科雲智結算、走賬。

瑞智華勝2017年年報顯示,最大供應商中科在線的採購比例近70%,主要通過中科在線進行賬號推廣,實際上就是加粉、刷量,而工商資料顯示,中科在線也是涉案團伙旗下公司。

警方偵查獲得一份加粉效果結算單顯示,瑞智華勝旗下多個自媒體大V號,僅2018年1月就共計加粉21.8萬個,價格為0.5元/粉,結算金額為10.9萬元。

不過,社交媒體的營銷收入並不穩定。瑞智華勝在財報中自述,2017年年底,抖音和快手搶奪了互聯網用戶的大部分上網時長,微博、微信的流量中心地位被影響,加之國家加強對新媒體的監管,公司營收出現明顯下降。

此外,黑產手段的進化也是與時俱進的。警方在辦案中發現,該公司詳細調研了抖音上500多個大V號,進行粉絲量、影響力等分析。

中科系一個合作商負責人張某說,從2017年初到今年6月使用中科的推廣服務,包括QQ加群、抖音加粉等,僅從2017年4月至9月,QQ累計添加超過14萬人,8個抖音賬號加粉1萬至十幾萬不等。僅QQ加群,張某就累計為中科支付超過36萬元,“不知道他們具體是怎麼做的,但可以看到粉絲、QQ數量突然暴增。”

通過對該公司簽訂的合同進行梳理,警方發現,有超過50家公司與該公司進行推廣、加粉等業務合作,涉及北京、杭州、福州等10個地市區。

數據竊取波及全國

“從運營商的層面進行流量劫持和清洗,也意味著所有使用運營商流量的用戶都要被‘雁過拔毛’,互聯網公司再多的防護能力都沒有用,在源頭上數據就丟了。”一位業內專家說,應聯合共同抵制和打擊這類不法團伙,阿裡此次為警方提供技術協助,從另一個方面來說,也為提高互聯網公司的整體安全水位作出了貢獻。

警方通過數據反查發現,犯罪嫌疑人邢某所在公司,與覆蓋十余省市的20多家運營商簽訂營銷廣告合作協議,但運營商均未對具體項目進行約束、監督。因運營商監管不到位,邢某等人才能布置惡意採集程序的方式,非法獲取用戶流量信息。

警方統計發現,邢某通過運營商監管不力而非法竊取的數據,涉及96家互聯網公司的用戶數據。幾乎國內所有的核心互聯網企業無一幸免,也就是說,用戶在網上搜索什麼隱秘信息、去哪兒、何時何地開房、買了什麼等信息,均被該團伙掌握。

更可怕的是,警方偵查發現,為逃避監管和追查,不法團伙還將部分信息存儲在位於日本的服務器上。

目前,此案還在進一步偵查中。（記者 王春 通訊員 魯逸曄）