用户数据窃取案复盘: 瑞智华胜窃取30亿条用户信息

释放双眼,带上耳机,听听看~!

作为一家曾在新三板上市的企业,北京瑞智华胜科技股份有限公司(简称瑞智华胜)未走正道,他们利用非法手段,盗取了30亿条网络用户信息用来牟利。


近日,这起“全国首个流量劫持案”被浙江省绍兴市越城区人民检察院提起公诉,7名犯罪嫌疑人被推上被告席。

该案系“史上最大规模的数据窃取案”。腾讯、百度、京东、今日头条、新浪微博、携程、12306等96个互联网公司的产品数据均有涉及。

受影响的服务器来自北京、上海、福建、湖北等全国多省市运营商。由于其数据保护措施存在薄弱环节,在内鬼的配合下被“黑灰产”攻击、窃取。

警方调查被走漏风声

瑞智华胜案发,源于绍兴越城区多名市民举报。

2018年6月26日,家住越城区的市民李先生到越城公安分局报案称,从当年4月份开始,自己的社交软件莫名添加了一些陌生好友、粉丝,同时还经常收到各种垃圾推销短信。于是,他怀疑个人信息遭泄露,要求警方查处。

警方通过技术侦查,发现李先生的cookie信息的确多次遭异常访问,IP段属北京某网络公司。

越城警方初步判断,该案背后可能隐藏着一个非法获取公民个人信息的巨大“黑灰产”链条。于是,警方再次对案件进行深挖,最终发现该IP段先后访问超过5000人的cookie信息。

这一情况引起警方高度重视,办案人员通过从该网络公司的信息流、资金流等方面着手调查分析后,发现瑞智华胜和另外两家公司均参与其中,而这三家公司主要成员系同一伙人。

在阿里安全的技术协助下,警方发现前述两家公司为获取运营商流量的合作公司,而瑞智华胜则负责将数据处理、推广获利变现

可见,内鬼就是出在这些和运营商合作的公司了。

瑞智华胜成立于2013年,曾为新三板上市公司,事发后退市。此前主打社会化媒体营销。该公司通过和全国20多家运营商签订正规合同,提供内容审查服务,在服务过程中获取运营商流量服务器登录权限,在服务器部署SD程序,从而在流量中非法采集诸多互联网公司域名下的用户cookie、手机号等数据,再通过数据库存储方式将数据保存在服务器上,最后通过爬虫程序异地调用获取上述存储的数据。

时机成熟后,越城公安迅速抽调网警、刑侦部门等精干力量组成专案抓捕组。2018年7月3日,专案抓捕组前往北京海淀区实施抓捕,分别抓获了瑞智华胜的周某、黄某、梁某、石某、王某、王某等公司老板及相关骨干成员6人。

窃取“无底线”

作为一家科技公司,瑞智华胜到底是怎么窃取网络用户信息的?

权威信源称,从2017年上半年开始,公司的技术研发王某编写SD程序,石某再通过公司提供的运营商服务器登录权限,登录运营商流量清洗服务器。

然后,石某通过服务器部署SD程序在运营商流量中非法采集诸多互联网公司域名下的用户cookie、手机号等信息数据,最后再通过数据库存储的方式将数据保存在运营商服务器上。

而公司程序员王某编写的爬虫程序,可以通过异地调用的方式获取上述存储的数据,具体用途有:cookie数据加好友、加粉做营销、登录cookie爬取篡改用户数据等。

另外,该团伙还与运营商签订流量合同,获取流量镜像使用权,并研发、制作各类爬虫程序,再将使用权清洗流量、窃取用户cookie数据。

之后,他们利用cookie数据,非法访问用户自媒体账号实现加好友、加粉操作以及利用cookie数据爬取用户订单等信息,之后向第三方公司投放广告盈利。

盈利模式有四种。首先是,恶意弹窗广告业务,通过劫持用户流量,进行恶意弹窗收取佣金;其次是APP下载包替换,将用户点击想要下载的APP替换成他们要推广的APP。

再者,瑞智华胜还拥有自己的营销号,为自己涨粉、接广告、营销。据调查,该公司旗下运营20多个微信、微博账号,影响力最大的账号粉丝量在600万以上。

最后一个盈利点是,瑞智华胜为大V号在微博、抖音、微信、百家号等刷粉、刷量。微博刷一个粉0.01-0.02元,单天最多刷100多万粉,至少盈利1万元。

而警方从犯罪嫌疑人电脑上提取留存的cookie数据至少1150万条,其中抖音14016条、百度搜索144306条、百度百家45万条等。

据一名网络安全专家介绍,流量清洗案件一直难侦破,“因为无法监测到痕迹,且爬虫行为本身属于行业通用手段,由于数量很大,很难追溯到背后的使用者身份。

需要警惕的是,瑞智华胜盗取数据和使用数据并无底线。他们在非法获取数据后,并没保护数据的能力,而是把数以亿计的数据存储到海外,给整个国家信息安全带来危害。

该案涉及多个运营商,浙江、湖北等11个地区均有影响。

“黑客产业”多元化

记者注意到,该案尽管进入了公诉阶段,有些问题仍无法解决。

例如,与瑞智华胜合作的还有50家下游合作商,涉及北京、杭州、福州、深圳、临汾、东莞、厦门、上海、广州、成都等10个地市区。目前,仍在继续深挖。

不过,该案发生至今,仍有不少反思之处。

随着互联网的飞速发展与普及,人们迎来了大数据时代,而传统犯罪也不断向互联网延伸,网络犯罪与传统犯罪日益交织,保护公民个人信息安全、保护企业数据安全成为新的时代命题。虽然国家从多个层面打击这类犯罪,但还是频频出现用户信息泄露事件。

业内人士称,原因在于“黑灰产”通过上市公司的正规业务,堂而皇之地在互联网的源头——运营商层面就进行流量清洗,将大量的用户数据和隐私外泄,“这意味着很多互联网公司的数据安全保护措施做得再好也没有用,数据保护在源头上就出了问题。”

有个背景是,早期“黑灰产”主要是通过技术手段获取数据库并出售来牟利,变现方式比较单一。但随着业务场景的爆发,“黑灰产业”牟利方式呈现出多元化。

这些年,“黑灰产”“内鬼”,以及贩卖者、诈骗者共同合作,分工越来越清晰,“黑灰产业”链越来越成熟。“特别是一些大数据公司,表面上提供的是数据服务,实际做‘黑产’。”有专家指出。

业内专家还称:“这些‘黑产’人员深度挖掘电信、公安、银行、医院、工商、教育、税务、住建、社会保障等各个行业数据信息,经过组装、拼凑、二次加工最终形成一条非常丰富的公民信息最终流向‘黑灰产业’链条,经过多次倒卖,层层获利。”

所以,加大对“黑灰产”大数据公司的打击,成为不少网络平台的共识。

对此,国家先后出台、修订了一系列法律法规,来加强数据保护。但不少业内人士觉得,各项法规比较零乱分散,且量刑较低,缺乏法律合力,“并且面对当前复杂多样的泄露场景,如果没有比较精细化的法则,可能会让违法者继续钻法律的空子。”

据统计,截至今年5月,浙江省“净网”2019专项行动破获各类网络“黑产”刑事案件262起,抓获犯罪嫌疑人1047名。但有数据显示,侵犯公民个人信息类刑事案件的缓刑频次高,刑罚威慑低。其中,出售、非法提供公民个人信息罪、非法获取公民个人信息罪和侵犯公民个人信息罪的量刑较轻,被告人大多被判处3年以下有期徒刑或拘役。计算机类犯罪虽然平均刑期较高,最高可判刑7年,但司法实践中缓刑适用率同样较高。

专家建议,最要紧的应是继续加大对“黑灰产”的打击力度,并从立法层面提高其犯罪成本,“目前的惩罚力度还没有真正达到震慑的地步,要让侵犯数据隐私的人和公司意识到抓到就会重罚。”

另外,在业界人士看来,加强通讯运营商管理也迫在眉睫:“因为近年因‘内鬼’问题,通讯运营商内部的信息泄露问题层出不穷,对于此类掌握海量公民信息的各大基础设施必须加大内部的管控,将信息保护层层落实到人,从源头上杜绝信息泄露。”

提到内鬼,近期下面这篇文章也是近些年来内鬼界的典型案例

内鬼!美国电信员工受贿100多万美元装恶意软件,200多万台设备被解锁

转发这篇文章,祈祷自己信息没泄露

本文源自微信公众号:黑鸟

人已赞赏
安全工具

FaceBook正在以市场调查的名义购买并获取客户信息和数据

2019-10-16 10:36:59

安全工具

伊朗APT组织的网络间谍工具源代码和攻击者被泄露和曝光

2019-10-16 10:37:05

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索