超30億條用戶數據被竊取 BAT無一倖免
2018年08月22日10:28

  超30億條用戶數據泄露 BAT無一倖免  

  來源 / 尋找中國創客 記者 / 薛星星 實習生 / 梁可庭 編輯 / 魏佳  

  微博莫名其妙關注了亂七八糟的營銷號,QQ號忽然加了一些不認識的好友及群聊,淘寶賬號不知何時多了幾個好友……如果你遇到過這些問題,說明你的賬號密碼不幸中招,已經被他人非法竊取。

  近日,紹興警方破獲了一起涉及30億條用戶數據竊取案件,媒體稱之為“史上最大規模的數據竊取案”,受害者包括百度、騰訊、阿里、今日頭條等全國96家互聯網公司。

  輕易“打敗”這些互聯網巨頭的,是一家名為睿智華勝的新三板上市公司。它通過劫持運營商流量,違規竊取用戶數據,為旗下在微博、微信、抖音等互聯網平台的賬號強行加粉,一年營收超3000萬元。

  目前,該公司的主要負責人已被刑拘,公司銀行賬戶被凍結,員工僅剩9人。

  服務器中植入病毒竊取cookie數據

  案件最先是被幾名懷疑自己數據泄露的用戶發現的。幾名紹興市民向浙江紹興警方報案稱,自己的微博、QQ等社交賬號常常關注或添加陌生賬號及好友,手機也經常收到廣告彈窗。此後,阿里安全同樣報警稱,紹興淘寶用戶反饋稱淘好友存在相同情況。

  紹興警方偵查後發現上述違法行為指向北京的一家名為睿智華勝的公司,睿智華勝夥同中科雲智、中科在線兩家公司在過去違規訪問了超過5000名用戶的賬號資料。

  睿智華勝此前發佈的公告顯示,中科雲智、中科在線兩家公司為其公司高管親屬控股企業,與睿智華勝有多項業務往來。警方偵查後發現,上述三家企業實際上均在同一地點辦公,主要成員一致。

  相關媒體報導稱,從2014年開始,涉案公司就通過競標方式,先後與覆蓋全國十餘個省市多家運營商簽訂正式的服務合同,為其提供精準廣告投放系統的開發和維護工作,從而獲取運營商服務器的遠程登錄權限。

  此後,涉案公司以此為基礎,違規竊取了用戶的cookie數據,再通過惡意程式進行導出,存放在睿智華勝境內外的多個服務器上。財新報導稱,運營商中有“內鬼”來幫助涉案公司進行操作。

  專注於互聯網業務安全的頂象技術風控產品負責人張曉科介紹,cookie中一般會存放用戶登錄的session、登錄用戶名、登錄憑證(token), 甚至低級一些的網站也會把密碼放裡面。所以cookie數據對於用戶安全來說十分重要。

  張曉科表示,涉案公司在運營商的服務器中植入惡意軟件後,理論上所有經過運營商服務器的流量都能被監控到。而一旦抓取到以http開頭的請求流量後,就能夠回溯登錄、瀏覽記錄,也就是訪問到用戶的瀏覽和儲存記錄。於是,惡意軟件就可以自動抓包且保存http、https的敏感信息。

  據警方介紹,涉案公司抓取的用戶數據多達30億條,百度、騰訊、阿里、今日頭條國內互聯網公司幾乎無一倖免,國內超過96家互聯網公司的數據均遭泄露。

圖為犯罪團夥作案工具
圖為犯罪團夥作案工具

  一家不足百人的中小企業,怎麼會有這麼大的能耐,讓國內的互聯網巨頭的安全防護如同虛設?

  某互聯網業內安全專家猜測,涉案公司可能是在解密數據後的節點設置的惡意軟件,因此即便是https協議也無法起到保護作用,“可以說影響很大”。

  該人士介紹稱,網絡傳輸數據流程一般為:用戶-網絡-服務器--解密傳輸數據,涉案公司直接在傳輸終端上植入惡意軟件,互聯網公司很難起到防護作用。

  即便沒有運營商“內鬼”,理論上涉案企業同樣可以實現數據竊取,“通過後門或漏洞入侵節點服務器,植入木馬程式。”張曉科說,但這樣做的風險更大。

  利用灰產,淨利潤同比增長500倍

  工商信息顯示,睿智華勝成立於2013年,法定代表人周嘉林,註冊資本500萬元。成立初期,該公司的主營業務為軟件開、技術轉讓等業務。2016年,該公司轉型至互聯網新媒體營銷業務,迎來飛速發展。2017年12月,睿智華勝掛牌新三板。

  簡單而言,睿智華勝主要通過旗下擁有的多個新媒體賬戶的廣告營銷盈利,與其相關聯的中科雲智、中科在線則為其提供媒體數據採集、過濾、導入等賬號推廣服務,說白了,就是幫助旗下賬號加粉。

  有媒體披露,由於睿智華勝是上市公司,所以提供加粉、刷量、惡意推廣的費用,都通過這兩家涉案公司結算、走賬。

  根據睿智華勝發佈的股權轉讓報告中披露的信息,截至2017年12月,該公司管理運營80餘個自媒體賬戶,包括20個微博賬號和55個微信公眾號,此外還有部分今日頭條、QQ 空間、一點資訊等賬號, 涵蓋旅遊、資訊、美食、健身等多個領域,“擁有粉絲數量超過7000萬個”。

  單純從數據上來看,睿智華勝運營能力十分出眾,旗下的多個賬號均為頭部大號,擁有的“踏馬行者”、“鮮衣美食君”、“娛姐來了”等賬號曾位列新榜前100強,號稱“新榜排名100強,每天都在創造10W+”。

  只是,這些賬號的粉絲來源並不正常。此外,睿智華勝的14個微信賬號曾因過度營銷、涉嫌造謠被封號,最長封號長達10天。公司運營賬號還存在因抄襲被舉報情況。

  依託擁有的頭部自媒體賬號,睿智華勝獲利頗豐。根據睿智華勝在公告中披露的信息,該公司層為聯想、酷派、雀巢、Canon、天貓、京東、攜程、美圖手機等眾多知名企業提供產品營銷服務。

  除了通過自媒體推送內容實現廣告營收外,睿智華勝另一業務則是提供“賬號推廣服務”。除了單純為旗下賬號進行惡意推廣之外,他們還為其他合作公司的營銷賬號進行推廣。

  睿智華勝官方稱,進行該項業務的原因是“公司的互聯網新媒體營銷業務快速擴張,為確保業務平穩運行,公司需迅速提升運營自媒體賬號的影響力和關注度”。

  在2015年未轉型之前,睿智華勝全年營收僅187萬元、淨利潤2萬元。轉型之後,睿智華勝2016年的營收就攀升至3028萬元,淨利潤1053萬元,同期增長高達525.5%。

  一邊是陽光公開的內容推送營銷服務,另一邊是遊走在黑灰地帶的“推廣服務”,憑藉這“一白一灰”,睿智華勝在一年內實現了營收數據上的逆風翻盤。

  2017年,睿智華勝業績有所回落,營業收入2002萬元,同比下降33.87%,淨利潤332.2萬元,同比下降68.46%。

  諷刺的是,睿智華勝在公告中解釋稱這是由於“公司為提升規範性,積極相應國家政策……主動捨棄部分非優質客戶所致”。

  建議個人用戶勤換密碼

  睿智華勝的案件再次暴露了加強互聯網數據安全的迫切性。難以想像,一家不足百人的中小企業,就竊取了超過30億條用戶數據,多家平台的用戶幾乎等同“裸奔”。

  有數據表明,2017年我國由互聯網衍生出的黑灰產業已達千億規模,且每年仍在以30%的增速增長。

  阿里安全歸零實驗室提供的數據顯示,因用戶信息泄露而產生的電信詐騙案件仍處於頻髮狀態,僅在2017年4月至12月的8個月中就觀測到電信詐騙超過43萬起,案發資損達1億9千萬元,受害人員超過5萬人。2017年,全國公安機關共破獲電信網絡詐騙案件13.1萬起,查處違法犯罪人員5.3萬名。

  中國互聯網協會在2016年發佈的《中國網民權益保護調查報告》顯示,2016年全年國內有6.88億網民曾遭受不同程度的個人信息泄露,造成的經濟損失估算達915億元。

  近年來各大互聯網公司的數據泄露事件同樣屢見不鮮。

  2016年底,媒體曝出京東疑似有12GB用戶數據外泄,京東之後回覆稱,該數據源於Struts 2的安全漏洞問題,“當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響”。

  2017年3月,Facebook數據泄露醜聞爆發,至少8700萬用戶的隱私數據疑似泄露。受此影響,Facebook股價在之後下跌超過20%。

  在互聯網幾乎已經成為現代人類生活的必需之後,關於個人信息的隱私保護變得愈發重要。但在大規模地數據泄露事件面前,個人用戶卻很難起到什麼作為。

  技術風控產品負責人張曉科稱,個人用戶只能最大限度降低隱私泄露所帶來的影響和損失,比如勤更換賬號密碼、不要在陌生的網站或服務商輸入個人敏感信息等。

  作為互聯網服務的提供商,互聯網企業在數據保護面前有著不可替代的責任。數以億計的用戶撐起了全球科逾9萬億美元的市值,當互聯網愈發呈現寡頭化趨勢之後,相關企業必須以更高的要求來保障個人用戶的隱私安全。

  畢竟,誰都不想在網絡上來一場“裸奔”的狂歡。

更多新聞