时隔一个月再登录微博,“你的列表”是否莫名关注了一堆营销号或转发了数条微博?如往常一般打开QQ,你的“好友列表”是否突然出现陌生群组,对话框闪烁不止?常刷的抖音是否神不知鬼不觉地关注了你丝毫不感冒的某网红……

究竟是谁“打劫”了你的信息?近日,浙江省绍兴市越城区检察院以涉嫌非法获取计算机信息系统数据罪将黄某等5人批准逮捕,这起被称为“史上最大数据窃取案”终于揭开了神秘的面纱。

社交账号频出异常

今年4月,绍兴市民李某发现自己的微博账号出现异常,莫名关注了20多个陌生好友并转发了多条微博。他怀疑账号被盗,于是取消陌生好友关注并不断修改登录密码。就在同一时间,李某的同事张某发现自己的微博也出现同样问题,莫名其妙关注了“全球娱乐趣事”“松子电影”等营销号。奇怪的是,即便张某反复修改密码,取消营销号关注,它们仍在列表中。李某和张某怀疑自己的个人信息已被泄露,便相约前往绍兴市越城区公安分局网警大队报案。

与此同时,越城区公安分局网警大队接到了阿里巴巴安全技术人员提供的线索,称有绍兴用户反映淘宝好友有异常添加陌生人的情况,疑似个人信息遭泄露。

警方调查发现,4月17日有8个IP地址多次异常访问李某的账号,而这8个IP地址隶属的IP段,还先后访问了超过5000人的账户。操控该IP段的竟是以北京瑞智华胜科技股份有限公司(下称瑞智华胜公司)为核心的三家网络公司。

三家公司一同打好窃取信息的“组合拳”

瑞智华胜公司成立于2013年,2016年转型做互联网销售,2017年12月1日正式挂牌新三板。谁曾想,这样一家“转型成功”的励志公司背后竟藏着一部黑灰产“奋斗史”,邢某(在逃)则是这部“奋斗史”的开启者。

邢某原是一家从事缓存业务互联网公司的高管,2016年他带领前公司多名技术骨干来到瑞智华胜公司,拓展该公司的互联网营销业务。

另两家涉案公司——北京中科云智信息技术有限公司和北京点智互动信息技术有限公司的身世又是如何?事实上,这两家公司和瑞智华胜公司是一套班子、一条资金链、三块招牌。“瑞智华胜”对外洽谈广告业务;“中科云智”与运营商对接,获取登录凭证;而“点智互动”负责精准广告投放和RTB即时广告交易系统的软件维护。三家涉案公司分工明确,手段专业,一同打好用户信息窃取的“组合拳”。

根据警方掌握的情况,从2014年起,三家涉案公司以竞标的方式,与覆盖全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。但正规的经营模式未带来可观的业务收益,邢某的出现为公司“转型”带来了契机。

经查明,邢某发现公司在提供软件服务的过程中可以接触到运营流量这一核心环节,便心生歹意,“打劫”运营商窃取用户信息,控制用户账号,通过加粉、刷量、精准营销、恶意弹窗等方式非法获利。

于是,瑞智华胜公司运营负责人黄某等人负责与运营商签订合同,获取流量镜像权限;王某等人负责研发恶意程序和各类爬虫程序,获取运营商流量中的cookie及用户淘宝订单等数据;接着,由梁某等人负责部署SD程序和爬虫程序,获取用户数据;最后,周某利用窃取的数据进行营销牟利。

“光明正大”打劫运营商

三家涉案公司为何如此大胆,分工明确、职责细化,光明正大地窃取用户信息呢?原来,三家涉案公司假借正规营销广告系统服务合同之名,获取运营商服务器的远程登录权限,在明知不合法的情况下,将自主编写的恶意程序放在运营商内部的服务器上。当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在了瑞智华胜公司在境内外的多个服务器上。打着正规服务合同的旗号瞒天过海,利用窃取到的用户信息非法牟利。

据介绍,cookie就是某些网站为了辨别用户身份、进行一段时间跟踪而储存在用户本地终端上的数据。它相当于用户账号的登录凭证,清洗出cookie相当于掌握了用户的账户,可以从中窃取到用户的多种信息,比如上网浏览记录、搜索词、账户注册资料。有了用户的cookie,你去过什么地方、想买什么东西、未来的出行计划都将收入他们的“信息库”里。三家涉案公司正是利用cookie的特性,登录并操纵用户账号,通过加粉、刷量、恶意弹窗推广等方式将流量变现。

“强行吸粉”非法获利

经公安机关查明,涉案公司仅今年4月17日、18日两天窃取的数据就涉及用户信息20多万条,非法获取用户淘宝订单数据至少220552条、非法加淘宝好友40887条。而全部的涉案数据目前尚未完全查清。

根据警方提供的证据显示,运营商流量在源头遭劫持,接连导致百度、腾讯、阿里巴巴、今日头条等全国96家互联网公司用户数据被窃取,也就是说,几乎国内所有的大型互联网企业均被“雁过拔毛”。该犯罪团伙利用非法窃取的30亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。

据办案人员介绍,“瑞智华胜”除自己的大V号外,还在运行其他的大V账号,这些账号大多在用户未知的情况下被“强行吸粉”。所以,号称拥有数百万粉丝的大V号水分极大,实际上是公司非法获利的工具。如“瑞智华胜”旗下的“娱姐来了”“北京见闻”等自媒体大V号,仅2018年1月就加粉21.8万个,价格为0.5元/粉,结算金额为10.9万元。

根据警方查获的报价单显示,“瑞智华胜”掌握的微博大V号粉丝量在200万至600万不等,发布或转发一条微博的报价在2000元至4000元不等,微信大V号推送内容的价格在7000元至20000元/条不等。

转型后的“瑞智华胜”赚得盆满钵满,根据该公司提供的财务数据显示,2015年做软件开发服务时,营业收入仅187万元、净利润2万元;转型做互联网营销之后的2016年,公司实现营收3028万元,净利润1053万元,绝对称得上是“成功转型”。

目前,该案还在进一步侦查中。

警钟长鸣保护信息安全

办案检察官认为,该案的犯罪手段新颖、社会危害性极大,为互联网行业的运营敲响了警钟。正是运营商未对具体项目进行必要的约束、监督,才让他们有机可乘,窃取的用户数据国内大型互联网企业无一幸免。从运营商的层面劫持和清洗流量,相当于从源头上数据就丢失了,位于下游的互联网公司的安全防护能力再强,也无法防范。然而,部分运营商对合作伙伴盗取信息行为一无所知,对内部信息的保护监管不力,其中暴露出的问题,值得深刻反思。

信息安全该如何保护?检察官在此提醒广大网友,记住“四个不”可降低个人信息被盗的风险:不上不明网站;不轻信不明链接;不下载不明软件;不随意将身份证号码、银行卡号、密码及其他个人隐私信息通过邮件、短信或电话的方式告诉他人或提供给网站。此外,定期更换账号密码,不同的账户尽量设置不同的密码,防止在信息被盗取之后因撞库丢失掉更多的信息。无论个人或企事业单位,都应学习一定的信息安全知识,对信息泄露问题应提高关注、保持敏锐度。