圖：上市黑灰產(chǎn)公司竊取30億公民數(shù)據(jù)，讓你裸奔在網(wǎng)絡(luò)世界

　　QQ突然被加進陌生群組，抖音莫名關(guān)注某網(wǎng)紅，微博關(guān)注列表突然出現(xiàn)一堆營銷賬號——你的賬戶可能已被黑產(chǎn)操控。近日，浙江紹興越城警方偵破史上最大規(guī)模30億條用戶數(shù)據(jù)竊取案，該犯罪團伙通過與全國十余省市多家運營商簽訂營銷廣告系統(tǒng)服務(wù)合同，非法從運營商流量池中獲取用戶數(shù)據(jù)，進而操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、加群、違規(guī)推廣，非法獲利。

　　一位互聯(lián)網(wǎng)安全專家告訴記者，從運營商層面進行流量劫持和清洗，相當于從源頭上數(shù)據(jù)就丟失了，位于下游的互聯(lián)網(wǎng)公司的安全防護能力再強，也無法防范。

　　警方偵查中發(fā)現(xiàn)，此案中運營商流量遭劫持，已經(jīng)導(dǎo)致百度、騰訊、阿里、今日頭條等全國96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取，幾乎波及了國內(nèi)所有互聯(lián)網(wǎng)平臺，大量互聯(lián)網(wǎng)公司一直深受其害，但一直未能有實質(zhì)的證據(jù)和技術(shù)能力溯源。浙江紹興越城區(qū)公安分局網(wǎng)警大隊大隊長張野平表示，這起案件中犯罪團伙作案手段新穎、盜竊數(shù)據(jù)路徑不同尋常，偵辦難度極大，阿里巴巴安全部通過技術(shù)協(xié)助警方徹底端掉背后的黑灰產(chǎn)團伙。

　　目前，該團伙中6名犯罪嫌疑人被抓獲，案件主犯邢某聞風(fēng)潛逃，案件正在進一步的偵查中。

　　案件緣起：多起報案稱賬戶異常添加好友

　　今年6月下旬，越城區(qū)公安分局網(wǎng)警大隊先后接到市民李某、董某、張某等人報案，稱在不知情的情況下，自己的微博、QQ等社交賬戶添加了陌生好友、關(guān)注，手機經(jīng)常莫名其妙收到各種垃圾廣告彈窗、短信，懷疑個人信息被泄露。

　　與此同時，越城區(qū)公安分局網(wǎng)警大隊也接到阿里安全提供的線索，稱有紹興用戶反饋淘好友有異常添加陌生人的情況，疑似個人信息遭泄漏。

　　張野平介紹，通過調(diào)查發(fā)現(xiàn)，8個IP地址于2018年4月17日多次異常訪問報案人李某的賬號，而這8個IP地址隸屬的IP段，還先后訪問了超過5000人的賬戶。

　　在阿里安全歸零實驗室提供的技術(shù)協(xié)助下，警方鎖定該IP段背后，是北京瑞智華勝科技股份有限公司(下稱“瑞智華勝”)為核心的多家公司在操控，且多家公司實際控制人和作案團伙均系同一撥人。

　　固定相關(guān)證據(jù)后，7月3日在屬地警方配合下，越城警方在位于北京海淀區(qū)的瑞智華勝對涉案人員實施抓捕，當場抓獲6名犯罪嫌疑人;公司實際控制人、主要犯罪嫌疑人邢某當時未在公司，聞風(fēng)潛逃。

　　劫持運營商流量盜取用戶數(shù)據(jù)

　　根據(jù)警方所掌握的情況，從2014年開始，此案中兩家涉案公司以競標的方式，先后與覆蓋全國十余省市的電信、移動、聯(lián)通、鐵通、廣電等多家運營商簽訂營銷廣告系統(tǒng)服務(wù)合同，為其提供精準廣告投放系統(tǒng)的開發(fā)、維護，進而拿到了運營商服務(wù)器的遠程登錄權(quán)限。

　　在與運營商合作的過程中，軟件開發(fā)業(yè)務(wù)的收入并不多，但可以接觸到運營商流量讓犯罪團伙萌生了更賺錢的方式——清洗cookie，操縱用戶賬戶。

圖：黑灰產(chǎn)公司從運營商截流、竊取用戶數(shù)據(jù)進行加粉、精準營銷的鏈路圖

　　所謂cookie，相當于用戶賬號的登錄憑證，通過cookie不需要再次輸入賬號和密碼，就可以進入用戶賬號，并且能從用戶賬號中獲取用戶的注冊信息、搜索記錄、開房記錄等數(shù)據(jù)，也可以用用戶的賬戶執(zhí)行加關(guān)注、刷量等操作。

　　為了劫持運營商流量，在明知不合法的情況下，該案犯罪團伙將自主編寫的惡意程序放在運營商內(nèi)部的服務(wù)器上，當用戶的流量經(jīng)過運營商的服務(wù)器時，該程序就自動工作，從中清洗、采集出用戶cookie、訪問記錄等關(guān)鍵數(shù)據(jù)，再通過惡意程序?qū)⑺袛?shù)據(jù)導(dǎo)出，存放在了瑞智華勝境內(nèi)外的多個服務(wù)器上。

　　辦案民警單鐘穎介紹，為更好的變現(xiàn)效果，犯罪團伙還針對加粉、刷量等不同場景的應(yīng)用分別開發(fā)了軟件，犯罪手法極其專業(yè)，技術(shù)水平較高。

　　洗出cookie、拿到用戶數(shù)據(jù)后，新三板上市公司瑞智華勝(872382.OC)就開始通過加粉、刷量等所謂的“互聯(lián)網(wǎng)營銷和推廣”進行盈利。瑞智華勝提交的財務(wù)數(shù)據(jù)顯示，2015年做軟件開發(fā)服務(wù)時，其營收僅187萬元、凈利潤2萬元;轉(zhuǎn)型做互聯(lián)網(wǎng)營銷之后的2016年，公司實現(xiàn)營收3028萬元，凈利潤1053萬元。

　　打擊黑灰產(chǎn)需多方聯(lián)合共治

　　警方通過數(shù)據(jù)反查發(fā)現(xiàn)，運營商均未對具體項目進行必要的約束、監(jiān)督，才讓犯罪團伙有機可乘。為逃避監(jiān)管追查，該團伙還非法將海量公民個人數(shù)據(jù)存儲于日本服務(wù)器上，存在危害國家安全的巨大風(fēng)險。

　　一位互聯(lián)網(wǎng)安全專家告訴記者，阿里發(fā)現(xiàn)該犯罪團伙危害數(shù)據(jù)安全，涉及多家互聯(lián)網(wǎng)公司信息，不遺余力向警方提供技術(shù)協(xié)助，也對提高整個互聯(lián)網(wǎng)公司安全水位有所助益，體現(xiàn)了企業(yè)的社會責任感。

　　近年來侵犯公民個人信息案件高發(fā)。去年3月，公安部開展打擊整治黑客攻擊破壞和網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動，僅4個月時間就偵破相關(guān)案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個人信息500余億條。

　　不少業(yè)內(nèi)人士指出，黑灰產(chǎn)團伙或黑數(shù)據(jù)平臺是當前用戶數(shù)據(jù)泄露的主要原因，它們盜取數(shù)據(jù)和使用數(shù)據(jù)都是無底線的，并且在非法獲取數(shù)據(jù)后，并沒有保護數(shù)據(jù)的能力。

　　“用戶數(shù)據(jù)保護已成為國內(nèi)各家互聯(lián)網(wǎng)公司的首要任務(wù)，以阿里為代表的互聯(lián)網(wǎng)公司都有一套完整的數(shù)據(jù)安全系統(tǒng)，對用戶數(shù)據(jù)安全開展多項防控措施，”阿里安全高級運營專家皓劍表示，阿里安全將用技術(shù)協(xié)助各界解決黑灰產(chǎn)這一社會問題。

　　據(jù)媒體報道，2017年至今，阿里巴巴安全部配合全國各地執(zhí)法機關(guān)破獲各類涉黑灰產(chǎn)案件8022起，公安機關(guān)抓獲1000余黑灰產(chǎn)犯罪團伙共6799名犯罪嫌疑人。

　　據(jù)記者了解，8月21日公安部、工信部、網(wǎng)信辦指導(dǎo)的2018網(wǎng)絡(luò)安全生態(tài)峰會將在京開幕，屆時國內(nèi)外安全領(lǐng)域頂級專家云集、共議黑灰產(chǎn)治理等議題。阿里將聯(lián)合南都在此次峰會上發(fā)布《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》，深度剖析黑灰產(chǎn)的新形勢、治理新方法。