史上最大规模数据窃取案背后
网络黑灰产业猖獗 直怼个人信息保护立法执法及监管软肋
法治周末记者 罗聪冉
用户数据安全问题再次牵动大众神经。近日,浙江省绍兴市越城区警方破获一起上市公司盗取数据案,被称为史上最大规模的数据窃取案。
撑起该头衔的是一组令人触目惊心的数据:该犯罪团伙通过与全国十余省市多家运营商签订营销广告系统服务合同,从运营商流量池中非法窃取用户信息30亿条;通过操纵用户账户加粉、刷量、进行恶意弹窗推广等方式,该黑产公司一年就盈利上千万元。
目前,该团伙中6名犯罪嫌疑人被抓,案件正在进一步的侦查中。业内专家指出,黑灰产团伙、黑数据平台的存在,是当前数据泄露的主要原因。对于网络黑灰产的治理对策,建议政企研多方联合,共筑安全“防火墙”。
“打劫”运营商窃取数据
如果你的微博莫名关注了一堆陌生营销账号、抖音账号“自动”成为某网红的“粉丝”、QQ突然添加陌生好友……遇到这种社交账户“自动”添加好友的情况时,可能你的账号已被网络黑灰产团伙所操控。
这起史上最大规模数据窃取案的侦破,也是从发现上述异常现象开始的。今年6月下旬,绍兴越城区公安分局网警大队多次接到市民报案,称在不知情的情况下发现,自己的微博、QQ等社交账户添加了陌生好友,手机经常莫名其妙地收到各种垃圾广告弹窗、短信,怀疑个人信息被泄露。
在阿里巴巴安全部提供的技术协助下,警方调查发现,报案人李某的账户数据于2018年4月17日被8个IP地址多次异常访问,这8个IP地址隶属的IP段还先后访问超过5000人的账户。经过侦查,警方成功锁定该IP段背后是以北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)为首的3家公司在操控,且3家公司实际控制人和主要成员均系同一拨人。公开资料显示,瑞智华胜成立于2013年,从2016年转型做互联网营销,2017年12月1日正式挂牌新三板。
据了解,同一个团伙之所以开办3家公司,是为了用不同的公司主体干不同的事情,掌控整个产业链:其中,两家公司主要与运营商签订服务合同,获取权限,进而窃取数据;瑞智华胜则主要将数据加工、处理,通过精准营销等方式获利变现。
根据警方掌握的情况,该团伙负责人邢某先和运营商签订正规的营销广告系统服务合同,获取运营商服务器的远程登录权限后,从2015年开始,在明知不合法的情况下,将自主编写的恶意程序放在运营商内部的服务器上。当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在瑞智华胜境内外的多个服务器上。
据了解,所谓cookie,相当于用户账号的登录凭证,通过cookie不需要再次输入账号和密码,就可以进入用户账号,并且能从用户账号中获取用户的注册信息、搜索记录等数据。
“该犯罪团伙正是利用了cookie的这一特性,通过劫持的cookie数据登录了大量用户账号,从而操纵用户账户加粉、刷量,并进行恶意弹窗推广等方式非法获利。”办案民警介绍,为更好地实现效果,瑞智华胜针对加粉、刷量等不同场景的应用分别开发了软件,犯罪手法极其专业,技术水平较高。
根据警方查获的报价单,瑞智华胜掌握的微博大V号粉丝量在200万至600万不等,发布或转发一条微博的报价在2000元至4000元不等,微信大V号推送内容的价格在7000元至20000元/条不等。
而互联网营销这一模式也确实让瑞智华胜赚得盆满钵满。瑞智华胜提交的财务数据显示,2015年做软件开发服务时,其营收仅187万元、净利润两万元;转型做互联网营销之后的2016年,公司实现营收3028万元,净利润1053万元。2017年财报显示,瑞智华胜公司收入同比2016年虽有所减少,但全年营收也达到2002万元,净利润309万元。
需多节点多环节防范
警方通过数据反查发现,犯罪嫌疑人邢某所在公司,与覆盖十余省市的20多家运营商,签订营销广告合作协议,但运营商均未对具体项目进行约束、监督;因运营商监管不到位,邢某等人才能通过布置恶意采集程序的方式,非法获取用户流量信息。
警方统计发现,该团伙负责人通过运营商监管不力而非法窃取的数据,涉及百度、腾讯、阿里巴巴、今日头条等全国96家互联网公司的用户数据,几乎国内所有的核心互联网企业无一幸免。也就是说,用户在网上搜索什么信息、去哪儿、买了什么等这些信息,均被该犯罪团伙掌握。
那么,这些互联网巨头何以轻易被这家犯罪团伙“打败”呢?一位不愿具名的互联网安全专家表示,从运营商的层面进行流量劫持和清洗,相当于在源头上数据就丢失了,位于下游的互联网公司的安全防护能力再强,也无法防范。
专注互联网业务安全的顶象技术风控
产品负责人张晓科解释,因为黑客不是在这些公司的平台窃取数据,而是在这些平台都使用的运营商的网络上窃取。互联网数据传输流程是:用户—路由器—运营商网络—服务网站/云平台—运营商网络—路由器—用户。黑客在必经节点上窃取数据,则需要运营商做好防御。服务平台只有通过日常运维发现异常,在本平台做好加密,以防止数据被盗。
“运营商作为个人隐私的第一道把关人,运营商安全监管不到位,安全制度和安全措施未落实,未尽到对个人信息的安全保护义务,根据网安法,可对其进行政处罚。”北京邮电大学互联网治理与法律研究中心副主任谢永江谈道,此次事件的出现,也给运营商敲响了警钟:以后在与瑞智华胜类似的互联网营销公司合作时,要对可能出现的安全风险加强监测和排查。
业内人士指出,类似安全事件的发生,并不意味着下游的互联网平台将无所作为。其实,同一个账户短时间内被多个IP地址访问,或者同一IP短时间内访问上千人的账户,这些都属于异常登录行为,作为互联网公司应该对此进行防范,并对用户进行风险预警。
8月24日,微博工作人员告诉记者,今年4月,针对微博粉丝反映的异常点赞现象,微博一方面加强打击盗取用户信息的不法行为,另一方面也对微博客户端进行了安全更新。用户可通过升级最新版本、PC端微博仅限官方网址登录、清空第三方应用授权等措施避免异常点赞现象。另外微博也有登录保护功能,用户开通之后,如果有登录新设备的行为,就能收到平台的提示。
黑灰产业已达千亿规模
目前,该案还在进一步侦查中,但背后所反映的是,网络黑灰产带来的安全挑战愈加严峻,以及加强互联网数据保护愈加迫切。8月21日,阿里巴巴联合《南方都市报》发布《2018网络黑灰产治理研究报告》(以下简称《报告》)显示,全年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的
经济损失估算达915亿元。
《报告》显示,2017年我国网络安全产业规模为450多亿元,而黑灰产业已达1000亿元规模,黑灰产业比安全产业发展得更为迅速;网络黑灰产犯罪手法不断升级,攻防技术、手段迭代加速,对公民个人信息安全、财产安全、社会秩序和国家基础设施的安全稳定等造成恶劣影响。
“有利可图、窃取方便、惩罚力度轻、法律取证难,是侵犯个人信息事件屡屡发生的原因。”张晓科指出。
阿里巴巴安全部高级安全专家临阁分析,黑灰产从业者通过技术手段隐藏真实身份,并将多个复杂作案环节和场景一一拆分,随时切断上下游犯罪链条以自保,就连黑灰产链条最末端、实施电信诈骗者也极为狡猾。这种猖獗的“黑灰产暗战”降低了犯罪分子的作案风险,也增大了警方的侦查难度,浪费执法资源。
谢永江认为,近年来侵犯公民个人信息案件高发,一方面反映出数据具有的商业价值越来越被重视,所以会成为犯罪分子凯觎的目标;另外也反映出,我国在数据保护方面仍欠缺,虽然刑法上有“出售、非法提供公民个人信息罪”和“侵犯公民个人信息罪”的具体处罚标准,但毕竟刑事打击门槛较高,公安机关打击力量也有限,因此行政保护还有待进一步加强和完善。
除了加强行政执法力度之外,谢永江认为,在源头上,网络运营商一方面应提高技术水平,加强用户信息保护力度;另一方面也要完善管理制度,杜绝“内鬼”监守自盗。在救济方面,建议建立信息赔偿标准,如果个人信息被非法获取、利用,受害人可以通过诉讼获得赔偿;在监管方面,为了避免交叉监管或监管空白,建议设立专门的个人信息保护行政机构,对电信行业、互联网企业、个人信息使用集中的行业重点监管。
