微博“被加粉”案告破一上市公司竊取信息
紹興警方破獲“史上最大數據竊取案”,阻止30億條公民信息泄露;多名嫌疑人被刑拘、批捕
昨日,記者探訪北京瑞智華勝科技股份有限公司工商登記的辦公地點。 新京報記者 王飛 攝
“微博莫名其妙幫我關注了‘全球娛樂趣事’,這已經不是第一次給我亂關注了!”在新浪微博,類似的用戶“被加粉”事件層出不窮,浙江紹興警方8月20日公布的一起“史上最大數據竊取案”,在阻止30億條公民信息泄露的同時,也揭開了“被加粉”的秘密。
紹興市公安局通報,該案件是北京瑞智華勝科技股份有限公司為核心的多家公司在操控。該公司通過與網絡運營商簽訂營銷廣告系統服務合同,非法從運營商流量池中獲取用戶數據,進而操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、加群、非法獲利。
新京報記者昨日調查發現,涉案公司是一家新三板上市公司,其主營業務為“互聯網新媒體營銷”,該公司旗下包括微博、微信公眾號、今日頭條等在內的其他賬號,不低于132個。
上市公司涉信息泄露案
據紹興市公安局越城區分局通報,今年6月下旬,越城區公安分局網警大隊多次接到市民報案,稱在不知情的情況下發現,自己的微博、QQ等社交賬戶添加了陌生好友、關注,手機經常莫名其妙收到各種垃圾廣告彈窗、短信,懷疑個人信息被泄露。
警方調查發現,一名報案人的賬戶數據于今年4月17日被8個IP地址多次異常訪問,這8個IP地址隸屬的IP段還先后訪問超過5000人的賬戶。
經過進一步調查,這些IP背后系北京瑞智華勝科技股份有限公司(簡稱“瑞智華勝”)為核心的多家公司在操控,且多家公司實際控制人和作案團伙均系同一撥人。
隨后,警方在北京海淀區瑞智華勝公司控制6名犯罪嫌疑人,主要犯罪嫌疑人邢某在逃。
8月13日,瑞智華勝公司發布公告稱,公司法定代表人、董事周嘉林及監事黃健、梁修軍等人因涉嫌非法獲取計算機信息系統數據罪被紹興市公安局越城分局刑事拘留,黃健、梁修軍已被越城區人民檢察院批捕,周嘉林仍取保候審,案件尚待公安機關進一步調查。為配合公安機關調查,公司基本存款戶已被凍結。
工商信息顯示,瑞智華勝2013年5月7日成立,注冊資本500萬人民幣,2017年1月19日,該公司登陸新三板,公司登記地址為北京市海淀區西三環北路一棟寫字樓。
昨日下午,該寫字樓四層一家未掛牌公司前臺工作人員告訴新京報記者,其公司辦公場所此前為瑞智華勝的辦公室,但已搬走,記者想要進入公司詢問被阻止。樓內一名保安介紹,瑞智華勝是去年下半年搬到該寫字樓的,“上個月瑞智華勝出事了,他們老板被抓了。”
“被加粉”的幕后黑手
瑞智華勝被查,使一個使用完全新型作案手段數據盜竊的犯罪團伙被揭開。
根據瑞智華勝披露的信息,截至去年3月,該公司披露其自主運營20個微博賬號和55個微信公眾號,此外還有部分今日頭條、QQ空間、一點資訊等賬號,新京報記者統計發現,其各類平臺賬號數量總計有132個,大部分微博、微信公眾號賬號都在2016年1月以后注冊。
與之相對應的是,瑞智華勝財務數據顯示,2015年其營收僅187萬元、凈利潤2萬元;到2016年,公司實現營收3028萬元,凈利潤1053萬元。
根據警方披露的信息,該犯罪團伙與覆蓋十余省市的20多家運營商,簽訂營銷廣告合作協議,用惡意采集程序的方式,非法獲取用戶流量信息,操縱竊取來的用戶賬號,強制讓用戶關注的刷粉、刷量等服務。瑞智華勝旗下各平臺賬號的粉絲數在十幾萬至幾百萬不等,根據粉絲數不同,承接的單條廣告費用在數千元至上萬元不等。
換言之,通過非正當手段短時間內聚集大量粉絲,再以粉絲量為籌碼進行廣告營銷,成為瑞智華勝的盈利方式。
警方統計發現,該犯罪團伙涉及96家互聯網公司的用戶數據。幾乎國內所有的核心互聯網企業無一幸免,也就是說,用戶在網上搜索什么隱秘信息、去哪兒、何時何地開房、買了啥等這些信息,均被該犯罪團伙掌握。
此外警方偵查發現,為逃避監管和追查,犯罪團伙還將部分信息存儲在位于日本的服務器上。
旗下賬號運營陷于停滯
新京報記者注意到,瑞智華勝旗下賬號的非正常增粉行為經常會被網友吐槽。如去年5月,一男性網友發微博吐槽,為什么自己會關注母嬰微博號“辣媽養娃妙計”;同年8月,另一名男性網友稱被“強行關注女神小課堂,天天推送對象為男性的相親廣告。”
記者發現,上述賬號的運營主體均為瑞智華勝,且均通過兩家關聯公司中科云智和中科在線進行過“粉絲推廣”。瑞智華勝招股書顯示,2016年和2017年,公司向中科云智、中科在線采購賬號推廣服務的價格為1元/凈增粉絲數。
例如,2016年,瑞智華勝通過中科云智以17.97萬元為旗下微博賬號“全球娛樂趣事”推廣了17.97萬個粉絲;以11.77萬元為旗下微博賬號“辣媽養娃妙計”推廣了11.77萬個粉絲;以14.27萬元為旗下賬號“你將相思賦予誰”推廣了14.27萬個粉絲。當年,瑞智華勝總共通過中科云智為旗下賬號增粉229.58萬個,通過中科在線為旗下賬號增粉251.14萬個。
事實上,瑞智華勝出事早有端倪,如“全球娛樂趣事”在5月還保持著一天或兩天一更新的頻率,但7月7日后,其微博再也沒有更新。老板出事,其旗下賬號的運營也陷于停滯。
■ 追訪
專家:監管缺失用戶密碼遭“破解”
在技術上,瑞智華勝是如何實現盜取用戶信息的呢?
紹興市公安局官網顯示,2014年開始,該公司通過競標的方式,先后與全國多家運營商簽訂正式的服務合同,為其提供精準廣告投放系統的開發、維護。
在提供軟件服務的過程中,該犯罪團伙獲得了運營商服務器的遠程登錄權限,并于2015年開始,在明知不合法的情況下,將自主編寫的惡意程序放在運營商內部的服務器上,偷偷“劫取”流量。
當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、采集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在瑞智華勝境內外的多個服務器上。
“有時我們從網頁登錄微博賬號時,會點擊自動儲存密碼的選項,而這時你的賬號密碼就會被儲存在cookie里。”昨日,網絡安全專家張百川告訴新京報記者,cookie會顯示用戶的訪問記錄等,為了便于針對用戶習慣營銷,許多互聯網營銷公司會通過分析用戶的cookie進行精準營銷。但進行這類精準營銷必須要走網絡運營商的流量,這就是為什么瑞智華勝需要與網絡運營商進行簽約。
“這就類似于某公司在公共場合設立一個WiFi,用戶在登錄這個WiFi時,走的就是該公司的流量,那么瀏覽記錄、輸入的賬號密碼也就會被其所知曉。”張百川稱。
值得注意的是,根據瑞智華勝招股書,中科在線的主營業務是“自媒體賬號推廣,智能WiFi營銷”,因此確實有通過設立WiFi讀取用戶數據的客觀條件。
“而瑞智華勝與運營商簽約后,就相當于接入進了可以連接大量用戶WiFi的系統里。”張百川表示,“這樣效率無疑高了很多。”
西安郵電大學副教授任方介紹說,運營商遠程登錄權限的開放“相當于很多數據、秘密都直接開放了,這是很可怕的。在這個案子里,cookie是直接儲存在運營商服務器上的,瑞智華勝既然能夠遠程登錄,自然也就能拿到用戶名和密碼,它拿到的數據過多,越權了。”
但對于如何解決針對性營銷中用戶賬號密碼泄露問題,多名專家均表示無能為力,“只要營銷公司拿到cookie,就能拿到賬號密碼,目前還沒有相對的監管手段。”
