（原標(biāo)題：紹興越城警方破獲史上最大盜竊數(shù)據(jù)案 30億條用戶數(shù)據(jù)成“搖錢樹”）

8月13日，瑞智華勝（872382.OC）發(fā)布公司法定代表人、董事、監(jiān)事被批捕、取保候?qū)彽墓?/p>

2017年，紹興越城警方破獲一起利用人工智能技術(shù)獲取公民個(gè)人信息的案件，圖為犯罪團(tuán)伙作案工具

2018年7月3日，浙江紹興越城警方在北京海淀區(qū)瑞智華勝公司抓捕犯罪嫌疑人，技術(shù)人員進(jìn)行現(xiàn)場(chǎng)取證

2017年，破獲利用人工智能技術(shù)獲取公民個(gè)人信息的案件，犯罪團(tuán)伙供述作案工具

微博莫名關(guān)注了一堆陌生營(yíng)銷賬號(hào)，QQ不知怎么就被加進(jìn)陌生群組，抖音也“自動(dòng)”成為某網(wǎng)紅的“粉絲”――如果你曾遇到過上述情況，可要當(dāng)心，根據(jù)警方最新破獲的案件線索，也許黑灰產(chǎn)團(tuán)伙已經(jīng)通過數(shù)據(jù)竊取操控了你的賬戶。

近日，堪稱“史上最大規(guī)模數(shù)據(jù)竊取案”被浙江紹興越城區(qū)警方偵破。警方查明，一伙犯罪分子利用非法竊取的30億條用戶數(shù)據(jù)，操控用戶賬號(hào)進(jìn)行微博、微信、QQ、抖音等社交平臺(tái)的加粉、刷量、加群、違規(guī)推廣，非法獲利，旗下一家公司一年?duì)I收就超過3000萬元。

而數(shù)據(jù)的來源，讓人瞠目結(jié)舌――據(jù)警方透露，該犯罪團(tuán)伙依托北京一家以新媒體營(yíng)銷為主業(yè)的上市公司，通過與全國(guó)十余省市多家運(yùn)營(yíng)商簽訂營(yíng)銷廣告系統(tǒng)服務(wù)合同，非法從運(yùn)營(yíng)商流量池中獲取用戶數(shù)據(jù)。最終，在阿里巴巴安全部舉報(bào)線索并全力協(xié)助下，警方一舉將此案破獲。

調(diào)查中，警方發(fā)現(xiàn)運(yùn)營(yíng)商流量遭劫持，接連導(dǎo)致百度、騰訊、阿里、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取，也就是說，幾乎國(guó)內(nèi)所有的大型互聯(lián)網(wǎng)企業(yè)均被“雁過拔毛”。

這意味著，用戶在網(wǎng)上的搜索記錄、出行記錄、開房記錄、交易記錄等信息，均被竊取用戶信息的犯罪團(tuán)伙掌握；更危險(xiǎn)的是，該犯罪團(tuán)伙為逃避監(jiān)管追查，還將部分?jǐn)?shù)據(jù)存儲(chǔ)于日本服務(wù)器上。

浙江紹興越城區(qū)警方及時(shí)出擊，打掉了這一嚴(yán)重危害網(wǎng)絡(luò)信息安全的犯罪團(tuán)伙，成功阻止了30億條用戶信息的泄露。警方介紹，這起案件中犯罪團(tuán)伙作案手段新穎、盜竊數(shù)據(jù)路徑不同尋常，偵辦難度極大，企業(yè)在案件中提供了重要的協(xié)助。

目前，該團(tuán)伙中6名犯罪嫌疑人被抓，案件正在進(jìn)一步的偵查中。

多起報(bào)案揭開黑灰產(chǎn)犯罪團(tuán)伙冰山一角

“警察同志，不知道怎么回事，最近兩個(gè)月我的微博經(jīng)常會(huì)關(guān)注陌生賬號(hào)、QQ會(huì)突然添加陌生好友和群，手機(jī)也會(huì)莫名其妙收到各種垃圾廣告彈窗、短信?！?/p>

今年6月下旬，浙江紹興越城區(qū)市民李某、張某、董某先后來到越城區(qū)公安分局網(wǎng)警大隊(duì)報(bào)案，稱自己的社交賬號(hào)異常，信息騷擾頻繁，懷疑個(gè)人信息被泄露。

無獨(dú)有偶，就在同一時(shí)段，越城區(qū)公安分局網(wǎng)警大隊(duì)也接到了阿里安全提供的線索，稱有紹興用戶反饋淘好友有異常添加陌生人的情況，疑似個(gè)人信息遭泄漏。

多起報(bào)案分別來自個(gè)人和企業(yè)，卻在案情上有著同質(zhì)性，這一細(xì)節(jié)引起了警方的高度關(guān)注。越城區(qū)公安分局網(wǎng)警大隊(duì)大隊(duì)長(zhǎng)張野平介紹，通過調(diào)查發(fā)現(xiàn)，8個(gè)IP地址于2018年4月17日多次異常訪問李某的賬號(hào)，而這8個(gè)IP地址隸屬的IP段，還先后訪問了超過5000人的賬戶。

在企業(yè)提供的技術(shù)協(xié)助下，警方迅速展開了全力偵查，并成功鎖定上述IP段，發(fā)現(xiàn)其背后是以瑞智華勝為首的三家公司在操控。

警方進(jìn)一步針對(duì)這三家公司的關(guān)聯(lián)、商業(yè)模式等展開調(diào)查，發(fā)現(xiàn)三家公司實(shí)際控制人同為邢某，主要成員均系同一伙人，辦公地點(diǎn)也一樣；其中，瑞智華勝（872382.OC）成立于2013年，2017年12月1日正式掛牌新三板。

固定相關(guān)證據(jù)后，7月3日在屬地警方配合下，越城警方在位于北京海淀區(qū)的瑞智華勝公司對(duì)涉案人員實(shí)施抓捕，當(dāng)場(chǎng)抓獲6名犯罪嫌疑人；公司實(shí)際控制人、主要犯罪嫌疑人邢某當(dāng)時(shí)未在公司，聞風(fēng)潛逃。

而隨著調(diào)查的不斷深入，一個(gè)分工明確、手段專業(yè)、獲利頗豐的數(shù)據(jù)黑灰產(chǎn)犯罪團(tuán)伙被連根拔起，一種完全新型的數(shù)據(jù)盜竊作案手段也在世人面前被揭開。

合法經(jīng)營(yíng)賺錢慢 萌生竊取數(shù)據(jù)歹意

一個(gè)犯罪團(tuán)伙作案，為何要成立三家公司？原來，這是整個(gè)團(tuán)伙的“大老板”刑某為了實(shí)現(xiàn)竊取流量盈利的目的而下的一盤大棋：兩家公司用來獲取運(yùn)營(yíng)商流量，而瑞智華勝則負(fù)責(zé)進(jìn)行數(shù)據(jù)加工、處理，通過精準(zhǔn)營(yíng)銷、惡意彈窗、加粉、刷量等方式將數(shù)據(jù)變現(xiàn)。

根據(jù)警方所掌握的情況，從2014年開始，兩家涉案公司以競(jìng)標(biāo)的方式，先后與覆蓋全國(guó)十余省市的電信、移動(dòng)、聯(lián)通、鐵通、廣電等運(yùn)營(yíng)商簽訂營(yíng)銷廣告系統(tǒng)服務(wù)合同，為運(yùn)營(yíng)商提供精準(zhǔn)廣告投放系統(tǒng)的開發(fā)、維護(hù)，進(jìn)而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。

在經(jīng)營(yíng)過程中，這項(xiàng)業(yè)務(wù)的效益并不好，而提供軟件服務(wù)過程中可以接觸到運(yùn)營(yíng)商流量的這一細(xì)節(jié)，讓刑某心生歹意，走上了犯罪道路。

警方透露，為了劫持運(yùn)營(yíng)商流量，在明知不合法的情況下，刑某及其犯罪團(tuán)伙將自主編寫的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過運(yùn)營(yíng)商的服務(wù)器時(shí)，該程序就自動(dòng)工作，從中清洗、采集出用戶cookie、訪問記錄等關(guān)鍵數(shù)據(jù)，再通過惡意程序?qū)⑺袛?shù)據(jù)導(dǎo)出，存放在了瑞智華勝境內(nèi)外的多個(gè)服務(wù)器上。

所謂cookie，相當(dāng)于用戶賬號(hào)的登錄憑證，通過cookie不需要再次輸入賬號(hào)和密碼，就可以進(jìn)入用戶賬號(hào)，并且能從用戶賬號(hào)中獲取用戶的注冊(cè)信息、搜索記錄、開房記錄等數(shù)據(jù)。

“該犯罪團(tuán)伙正是利用了cookie的這一特性，通過劫持的cookie數(shù)據(jù)登錄了大量用戶賬號(hào)，從而操縱用戶賬戶加粉、刷量，并進(jìn)行惡意彈窗推廣等方式非法獲利。”辦案民警單鐘穎介紹，為更好地變現(xiàn)效果，瑞智華勝針對(duì)加粉、刷量等不同場(chǎng)景的應(yīng)用分別開發(fā)了軟件，犯罪手法極其專業(yè)，技術(shù)水平較高。

根據(jù)警方統(tǒng)計(jì)的數(shù)據(jù)顯示，該犯罪團(tuán)伙竊取的公民數(shù)據(jù)已超過30億條；而這一數(shù)字，還沒算上今年4月這幫人為了毀滅證據(jù)而連夜刪除的多臺(tái)服務(wù)器上的大量數(shù)據(jù)。警方初步估算，已被刪除的被竊數(shù)據(jù)量也超過億條。

上市公司轉(zhuǎn)型做數(shù)據(jù) 黑產(chǎn)賺得盆滿缽滿

公開資料顯示，刑某所控制的瑞智華勝為新三板上市公司，其主營(yíng)業(yè)務(wù)為通過自己旗下的80多個(gè)微博、微信大號(hào)，開展新媒體營(yíng)銷及廣告投放、文案策劃服務(wù)，主要客戶包括IMS新商業(yè)集團(tuán)、騰訊廣點(diǎn)通等。

根據(jù)警方查獲的報(bào)價(jià)單，瑞智華勝掌握的微博大V號(hào)粉絲量在200萬-600萬不等，發(fā)布或轉(zhuǎn)發(fā)一條微博的報(bào)價(jià)在2000-4000元不等，微信大V號(hào)推送內(nèi)容的價(jià)格在7000-20000元/條不等。

為了實(shí)現(xiàn)自身業(yè)務(wù)增值，邢某主導(dǎo)的犯罪團(tuán)伙在操縱被竊用戶賬戶加粉、刷量時(shí)，都優(yōu)先為自己使用。由于瑞智華勝是上市公司，所有提供加粉、刷量、惡意推廣的費(fèi)用，都通過同樣控制的另外兩家涉案公司結(jié)算、走賬。

瑞智華勝2017年年報(bào)顯示，其最大供應(yīng)商中科在線的采購比例近70%，中科在線與兩家涉案公司的實(shí)際控制人為同一伙人，表明瑞智華勝旗下號(hào)稱擁有數(shù)百萬粉絲的大V賬號(hào)，水分極高。

警方在案件偵查中獲得的一份加粉效果結(jié)算單顯示，瑞智華勝旗下自媒體號(hào)“娛姐來了”“北京見聞”等大V號(hào)，僅2018年1月就共計(jì)加粉21.8萬個(gè)，價(jià)格為0.5元/粉，結(jié)算金額為10.9萬元。

“跟他們合作，確實(shí)能讓一些社交賬號(hào)的粉絲數(shù)、好友數(shù)暴增，不知道他們是怎么做到的。”張某是某網(wǎng)站負(fù)責(zé)人，他告訴記者，2017年4月至9月，他向涉案公司支付超過36萬元，為手上的QQ累計(jì)添加超過14萬人；另外，8個(gè)抖音賬號(hào)也花錢加粉1萬至十幾萬不等。

而互聯(lián)網(wǎng)營(yíng)銷這一模式也確實(shí)讓瑞智華勝賺得盆滿缽滿。根據(jù)瑞智華勝提交的財(cái)務(wù)數(shù)據(jù)顯示，2015年做軟件開發(fā)服務(wù)時(shí)，其營(yíng)收僅187萬元、凈利潤(rùn)2萬元；轉(zhuǎn)型做互聯(lián)網(wǎng)營(yíng)銷之后的2016年，公司實(shí)現(xiàn)營(yíng)收3028萬元，凈利潤(rùn)1053萬元。

不過，社交媒體的紅利期時(shí)有變化。根據(jù)瑞智華勝2017年財(cái)報(bào)，公司全年?duì)I收2002萬元，同比減少33.8%；凈利潤(rùn)309萬元，同比減少70%；基本每股收益0.66元，同比減少87%。

瑞智華勝在財(cái)報(bào)中解釋：“2017年底，抖音和快手搶奪了互聯(lián)網(wǎng)用戶的大部分上網(wǎng)時(shí)長(zhǎng)，微博、 微信的流量中心地位被影響，因此，公司營(yíng)收出現(xiàn)明顯下降?！本讲楂@的資料中，也發(fā)現(xiàn)該公司已經(jīng)梳理了抖音上500多個(gè)大V號(hào)，進(jìn)行粉絲量、影響力等的分析。

互聯(lián)網(wǎng)企業(yè)

需合力鏟除黑灰產(chǎn)毒瘤

警方通過數(shù)據(jù)反查發(fā)現(xiàn)，刑某的公司在與全國(guó)多個(gè)省市的運(yùn)營(yíng)商簽訂營(yíng)銷廣告合作協(xié)議后，運(yùn)營(yíng)商均未對(duì)具體項(xiàng)目進(jìn)行必要的約束、監(jiān)督，才能讓邢某等人利用研發(fā)、維護(hù)合作項(xiàng)目之名，在運(yùn)營(yíng)商服務(wù)器上安插惡意采集程序，非法獲取用戶流量。

黑產(chǎn)公司利用從運(yùn)營(yíng)商數(shù)據(jù)中清洗出的用戶cookie、訪問記錄等關(guān)鍵數(shù)據(jù)，便能非法進(jìn)入用戶賬戶，進(jìn)而獲取百度、騰訊、阿里、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)，國(guó)內(nèi)大型互聯(lián)網(wǎng)企業(yè)無一幸免。

一位互聯(lián)網(wǎng)安全專家告訴記者，從運(yùn)營(yíng)商的層面進(jìn)行流量劫持和清洗，相當(dāng)于從源頭上數(shù)據(jù)就丟失了，位于下游的互聯(lián)網(wǎng)公司的安全防護(hù)能力再強(qiáng)，也無法防范，“阿里發(fā)現(xiàn)該犯罪團(tuán)伙危害數(shù)據(jù)安全，涉及多家互聯(lián)網(wǎng)公司信息，不遺余力向警方提供技術(shù)協(xié)助，也對(duì)提高整個(gè)互聯(lián)網(wǎng)公司安全水位有所助益，體現(xiàn)了企業(yè)的社會(huì)責(zé)任感?！?/p>

更危險(xiǎn)的是，警方在偵查中發(fā)現(xiàn)，該犯罪團(tuán)伙為逃避監(jiān)管追查，還非法將海量信息存儲(chǔ)于日本服務(wù)器上，而大量的公民個(gè)人數(shù)據(jù)放在境外也存在危害國(guó)家安全的巨大風(fēng)險(xiǎn)。

中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心特約研究員、北京志霖律師事務(wù)所副主任趙占領(lǐng)指出，犯罪嫌疑人非法獲取公民信息進(jìn)行精準(zhǔn)營(yíng)銷的行為，不僅對(duì)用戶構(gòu)成民事侵權(quán)，還涉嫌構(gòu)成侵犯公民個(gè)人信息罪。

目前該案還在進(jìn)一步偵查中，但背后所反映的，是近年來侵犯公民個(gè)人信息案件的高發(fā)。去年3月，公安部開展打擊整治黑客攻擊破壞和網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)，僅4個(gè)月時(shí)間就偵破相關(guān)案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個(gè)人信息500余億條。

不少業(yè)內(nèi)人士指出，黑灰產(chǎn)團(tuán)伙或黑數(shù)據(jù)平臺(tái)是當(dāng)前用戶數(shù)據(jù)泄露的主要原因，他們盜取數(shù)據(jù)和使用數(shù)據(jù)都是無底線的，并且在非法獲取數(shù)據(jù)后，并沒有保護(hù)數(shù)據(jù)的能力。

文/本報(bào)記者 丁國(guó)輝 供圖/越城警方