超30亿条用户数据被窃取 BAT无一幸免
微博莫名其妙关注了乱七八糟的营销号,QQ号忽然加了一些不认识的好友及群聊,淘宝账号不知何时多了几个好友……如果你遇到过这些问题,说明你的账号密码不幸中招,已经被他人非法窃取。
近日,绍兴警方破获了一起涉及30亿条用户数据窃取案件,媒体称之为“史上最大规模的数据窃取案”,受害者包括百度、腾讯、阿里、今日头条等全国96家互联网公司。
轻易“打败”这些互联网巨头的,是一家名为瑞智华胜的新三板上市公司。它通过劫持运营商流量,违规窃取用户数据,为旗下在微博、微信、抖音等互联网平台的账号强行加粉,一年营收超3000万元。
目前,该公司的主要负责人已被刑拘,公司银行账户被冻结,员工仅剩9人。
服务器中植入病毒窃取cookie数据
案件最先是被几名怀疑自己数据泄露的用户发现的。几名绍兴市民向浙江绍兴警方报案称,自己的微博、QQ等社交账号常常关注或添加陌生账号及好友,手机也经常收到广告弹窗。此后,阿里安全同样报警称,绍兴淘宝用户反馈称淘好友存在相同情况。
绍兴警方侦查后发现上述违法行为指向北京的一家名为瑞智华胜的公司,瑞智华胜伙同中科云智、中科在线两家公司在过去违规访问了超过5000名用户的账号资料。
瑞智华胜此前发布的公告显示,中科云智、中科在线两家公司为其公司高管亲属控股企业,与瑞智华胜有多项业务往来。警方侦查后发现,上述三家企业实际上均在同一地点办公,主要成员一致。
相关媒体报道称,从2014年开始,涉案公司就通过竞标方式,先后与覆盖全国十余个省市多家运营商签订正式的服务合同,为其提供精准广告投放系统的开发和维护工作,从而获取运营商服务器的远程登录权限。
此后,涉案公司以此为基础,违规窃取了用户的cookie数据,再通过恶意程序进行导出,存放在瑞智华胜境内外的多个服务器上。财新报道称,运营商中有“内鬼”来帮助涉案公司进行操作。
专注于互联网业务安全的顶象技术风控产品负责人张晓科介绍,cookie中一般会存放用户登录的session、登录用户名、登录凭证(token), 甚至低级一些的网站也会把密码放里面。所以cookie数据对于用户安全来说十分重要。
张晓科表示,涉案公司在运营商的服务器中植入恶意软件后,理论上所有经过运营商服务器的流量都能被监控到。而一旦抓取到以http开头的请求流量后,就能够回溯登录、浏览记录,也就是访问到用户的浏览和储存记录。于是,恶意软件就可以自动抓包且保存http、https的敏感信息。
据警方介绍,涉案公司抓取的用户数据多达30亿条,百度、腾讯、阿里、今日头条国内互联网公司几乎无一幸免,国内超过96家互联网公司的数据均遭泄露。
图为犯罪团伙作案工具
一家不足百人的中小企业,怎么会有这么大的能耐,让国内的互联网巨头的安全防护如同虚设?
某互联网业内安全专家猜测,涉案公司可能是在解密数据后的节点设置的恶意软件,因此即便是https协议也无法起到保护作用,“可以说影响很大”。
该人士介绍称,网络传输数据流程一般为:用户-网络-服务器--解密传输数据,涉案公司直接在传输终端上植入恶意软件,互联网公司很难起到防护作用。
即便没有运营商“内鬼”,理论上涉案企业同样可以实现数据窃取,“通过后门或漏洞入侵节点服务器,植入木马程序。”张晓科说,但这样做的风险更大。
利用灰产,净利润同比增长500倍
工商信息显示,瑞智华胜成立于2013年,法定代表人周嘉林,注册资本500万元。成立初期,该公司的主营业务为软件开、技术转让等业务。2016年,该公司转型至互联网新媒体营销业务,迎来飞速发展。2017年12月,瑞智华胜挂牌新三板。
简单而言,瑞智华胜主要通过旗下拥有的多个新媒体账户的广告营销盈利,与其相关联的中科云智、中科在线则为其提供媒体数据采集、过滤、导入等账号推广服务,说白了,就是帮助旗下账号加粉。
有媒体披露,由于瑞智华胜是上市公司,所以提供加粉、刷量、恶意推广的费用,都通过这两家涉案公司结算、走账。
根据瑞智华胜发布的股权转让报告中披露的信息,截至2017年12月,该公司管理运营80余个自媒体账户,包括20个微博账号和55个微信公众号,此外还有部分今日头条、QQ 空间、一点资讯等账号, 涵盖旅游、资讯、美食、健身等多个领域,“拥有粉丝数量超过7000万个”。
单纯从数据上来看,瑞智华胜运营能力十分出众,旗下的多个账号均为头部大号,拥有的“踏马行者”、“鲜衣美食君”、“娱姐来了”等账号曾位列新榜前100强,号称“新榜排名100强,每天都在创造10W+”。
只是,这些账号的粉丝来源并不正常。此外,瑞智华胜的14个微信账号曾因过度营销、涉嫌造谣被封号,最长封号长达10天。公司运营账号还存在因抄袭被举报情况。
依托拥有的头部自媒体账号,瑞智华胜获利颇丰。根据瑞智华胜在公告中披露的信息,该公司层为联想、酷派、雀巢、佳能、天猫、京东、携程、美图手机等众多知名企业提供产品营销服务。
除了通过自媒体推送内容实现广告营收外,瑞智华胜另一业务则是提供“账号推广服务”。除了单纯为旗下账号进行恶意推广之外,他们还为其他合作公司的营销账号进行推广。
瑞智华胜官方称,进行该项业务的原因是“公司的互联网新媒体营销业务快速扩张,为确保业务平稳运行,公司需迅速提升运营自媒体账号的影响力和关注度”。
在2015年未转型之前,瑞智华胜全年营收仅187万元、净利润2万元。转型之后,瑞智华胜2016年的营收就攀升至3028万元,净利润1053万元,同期增长高达525.5%。
一边是阳光公开的内容推送营销服务,另一边是游走在黑灰地带的“推广服务”,凭借这“一白一灰”,瑞智华胜在一年内实现了营收数据上的逆风翻盘。
2017年,瑞智华胜业绩有所回落,营业收入2002万元,同比下降33.87%,净利润332.2万元,同比下降68.46%。
讽刺的是,瑞智华胜在公告中解释称这是由于“公司为提升规范性,积极相应国家政策……主动舍弃部分非优质客户所致”。
建议个人用户勤换密码
瑞智华胜的案件再次暴露了加强互联网数据安全的迫切性。难以想象,一家不足百人的中小企业,就窃取了超过30亿条用户数据,多家平台的用户几乎等同“裸奔”。
有数据表明,2017年我国由互联网衍生出的黑灰产业已达千亿规模,且每年仍在以30%的增速增长。
阿里安全归零实验室提供的数据显示,因用户信息泄露而产生的电信诈骗案件仍处于频发状态,仅在2017年4月至12月的8个月中就观测到电信诈骗超过43万起,案发资损达1亿9千万元,受害人员超过5万人。2017年,全国公安机关共破获电信网络诈骗案件13.1万起,查处违法犯罪人员5.3万名。
中国互联网协会在2016年发布的《中国网民权益保护调查报告》显示,2016年全年国内有6.88亿网民曾遭受不同程度的个人信息泄露,造成的经济损失估算达915亿元。
近年来各大互联网公司的数据泄露事件同样屡见不鲜。
2016年底,媒体曝出京东疑似有12GB用户数据外泄,京东之后回复称,该数据源于Struts 2的安全漏洞问题,“当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响”。
2017年3月,Facebook数据泄露丑闻爆发,至少8700万用户的隐私数据疑似泄露。受此影响,Facebook股价在之后下跌超过20%。
在互联网几乎已经成为现代人类生活的必需之后,关于个人信息的隐私保护变得愈发重要。但在大规模地数据泄露事件面前,个人用户却很难起到什么作为。
技术风控产品负责人张晓科称,个人用户只能最大限度降低隐私泄露所带来的影响和损失,比如勤更换账号密码、不要在陌生的网站或服务商输入个人敏感信息等。
作为互联网服务的提供商,互联网企业在数据保护面前有着不可替代的责任。数以亿计的用户撑起了全球科逾9万亿美元的市值,当互联网愈发呈现寡头化趋势之后,相关企业必须以更高的要求来保障个人用户的隐私安全。
毕竟,谁都不想在网络上来一场“裸奔”的狂欢。