绍兴破盗窃数据案 30亿条用户数据成“摇钱树”

时间:2018-08-20 22:49:26 来源:今日头条
  原标题:绍兴破盗窃数据案 30亿条用户数据成“摇钱树”
 
  近日,绍兴越城警方成功侦破有史以来最大规模的数据窃取案,成功阻止30亿条公民信息泄漏。
 
  在阿里安全专案团队和归零实验室的技术协助下,目前6名主要犯罪嫌疑人已被抓获,其中5人已逮捕,公司负责人邢某已潜逃。
 
  用户不知情,社交账户“自动”添加好友
 
  今年6月下旬,绍兴越城区公安分局网警大队多次接到市民报案,称在不知情的情况下发现,自己的微博、QQ等社交账户添加了陌生好友、关注,手机经常莫名其妙收到各种垃圾广告弹窗、短信,怀疑个人信息被泄露。
 
  同一时段,越城区公安分局网警大队也接到阿里安全专案团队提供的线索,称有用户反馈淘好友有异常添加陌生人的情况,疑似个人信息遭泄漏。
 
  多起报案的同质性引起警方高度关注。调查发现,报案人市民李某的账户数据于2018年4月17日被8个IP地址多次异常访问,这8个IP地址隶属的IP段还先后访问超过5000人的账户。
 
  警方锁定该IP段背后是北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)为核心的多家公司在操控,且多家公司实际控制人和作案团伙均系同一拨人,瑞智华胜为新三板上市公司。

    紧接着,警方针对这几家公司的关联、商业模式等展开调查,固定相关证据后,7月3日,绍兴越城警方20多名民警在属地警方配合下,在北京海淀区瑞智华胜公司对涉案人员实施抓捕,抓获6名犯罪嫌疑人,公司实际控制人、主要犯罪嫌疑人邢某未在公司,闻风而逃。

  随后,警方从盘根错节的关系网中反复探索、侦查,揭开了一个分工明确、获利颇丰的黑灰产犯罪团伙真面目,也发现了一种完全新型的数据盗窃作案手段。
 
  “打劫”运营商窃取数据
 
  警方侦查发现,涉案的瑞智华胜等三家公司主要成员均系同一伙人,办公地点也一样。同一个团伙为什么要开三家公司?
 
  原来是为了用不同的公司主体干不同的事情,掌控整个产业链:两家公司主要与运营商签订服务合同,获取权限,进而窃取数据,而瑞智华胜则主要将数据加工、处理,通过精准营销、恶意弹窗、加粉、刷量等方式获利变现。
  据警方介绍,在“大老板”邢某的安排下,从2014年开始,黑产(黑色产业链)公司通过竞标的方式,先后与全国多家运营商签订正式的服务合同,为其提供精准广告投放系统的开发、维护。
 
  简单来说,每家运营商都要针对不同用户做比较精准的信息推送,比如流量使用提醒等,主要靠这个系统。
 
  在提供软件服务的过程中,该犯罪团伙获得了运营商服务器的远程登录权限,并于2015年开始,在明知不合法的情况下,将自主编写的恶意程序放在运营商内部的服务器上,偷偷“劫取”流量。
 
  当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在瑞智华胜境内外的多个服务器上。
 
  cookie相当于用户账号的登录凭证,不需要获取帐号和密码,通过cookie就可以进入用户账号,直接操作账号做任何事情。
 
  利用cookie数据,该犯罪团伙登录大量用户的账号,从用户账号中获取用户的搜索记录、账户注册资料等数据。
 
  除了获取账号内的数据,该犯罪团伙还操纵账户加粉、刷量,并进行恶意弹窗推广等方式非法获利。
 
  “在链路末端,为实现加粉、提升百度搜词排名等变现效果,瑞智华胜针对不同的软件研发了不同的加粉程序,犯罪手法极其专业,技术水平较高。”办案民警单钟颖表示。
 
  为毁灭证据,2018年4月犯罪嫌疑人团队还连夜删除多台服务器上的大量数据,警方初步估算已被删除的数据量也超过亿条。

    黑产公司一年盈利上千万成功上市

    8月13日,瑞智华胜公司发布公告称,2018年7月,公司法定代表人、董事周嘉林及监事黄健、梁修军等人因涉嫌非法获取计算机信息系统数据罪被绍兴市公安局越城分局刑事拘留,黄健、梁修军于2018年8月9日已被越城区人民检察院批捕,周嘉林仍取保候审,案件尚待公安机关进一步调查。为配合公安机关调查,公司基本存款户已被冻结。

  公开资料显示,瑞智华胜成立于2013年,从2016年转型做互联网营销,2017年12月1日正式挂牌新三板。
 
  瑞智华胜公司2016年的“成功”转型,源于该案主犯邢某的加入。邢某原是一家从事缓存业务互联网公司的高管,2016年他带领前公司多名技术人员一起到了该公司,开展互联网营销业务。
 
  从瑞智华胜公司财务数据上看,转型做互联网营销确实令公司业绩飞涨。2015年,其营收仅187万元、净利润2万元;到2016年,公司实现营收3028万元,净利润1053万元。

 

  而实际上,邢某主导的犯罪团伙在窃取数据后,操纵窃取来的用户账号,强制让用户关注的刷粉、刷量等服务,优先为自家账号使用。据犯罪嫌疑人供述,因瑞智华胜是上市公司,所有提供加粉、刷量、恶意推广的费用都要通过旗下中科云智结算、走账。
 
  瑞智华胜2017年年报显示,最大供应商中科在线的采购比例近70%,主要通过中科在线进行账号推广,实际上就是加粉、刷量,而工商资料显示,中科在线也是涉案团伙旗下公司。
 
  警方侦查获得一份加粉效果结算单显示,瑞智华胜旗下多个自媒体大V号,仅2018年1月就共计加粉21。8万个,价格为0。5元/粉,结算金额为10。9万元。
 
  不过,社交媒体的营销收入并不稳定。瑞智华胜在财报中自述,2017 年底,抖音和快手抢夺了互联网用户的大部分上网时长,微博、微信的流量中心地位被影响,加之国家加强对新媒体的监管,公司营收出现明显下降。
 
  黑产手段的进化也是与时俱进的,警方在办案中发现,该公司详细调研了抖音上500多个大V号,进行粉丝量、影响力等分析。
 
  中科系一个合作商负责人张某表示,从2017年初到今年6月使用中科的推广服务,包括QQ加群、抖音加粉等,仅从2017年4月至9月,QQ累计添加超过14万人,8个抖音账号加粉1万至十几万不等。仅QQ加群,张某就累计为中科支付超过36万元,“不知道他们具体是怎么做的,但可以看到粉丝、QQ数量突然暴增。”
 
  通过对该公司签订的合同进行梳理,警方发现有超过50家公司与该公司进行推广、加粉等业务合作,涉及北京、杭州、福州、深圳、临汾、东莞、厦门、上海、广州、成都等10个地市区。
 
  数据窃取波及全国 部分存储海外
 
  “从运营商的层面进行流量劫持和清洗,也意味着所有使用运营商流量的用户都要被‘雁过拔毛’,互联网公司再多的防护能力都没有用,在源头上数据就丢了。”一位业内专家表示,应联合共同抵制和打击这类犯罪团伙,阿里此次为警方提供技术协助,从另一个方面来说,也为提高互联网公司的整体安全水位作出了贡献。
 
  警方通过数据反查发现,犯罪嫌疑人刑某所在公司,与覆盖十余省市的20多家运营商,签订营销广告合作协议,但运营商均未对具体项目进行约束、监督。因运营商监管不到位,邢某等人才能布置恶意采集程序的方式,非法获取用户流量信息。
 
  警方统计发现,刑某通过运营商监管不力而非法窃取的数据,涉及96家互联网公司的用户数据被窃取。也就是说,用户在网上搜索什么隐秘信息、去哪儿、何时何地开房、买了啥等这些信息,均被该犯罪团伙掌握。
 
  警方侦查发现,为逃避监管和追查,犯罪团伙还将部分信息存储在位于国外的服务器上。
 
  目前该案还在进一步侦查中。
投稿:chuanbeiol@163.com
点击展开全文

你遇到过鬼打墙吗,科学家给出了合理的解释!