30亿条公民信息差点泄露

本文首先将新近事实告知使用社交平台的网民包括手机用户：浙江绍兴越城区警方查明，北京一个以新媒体营销为主业的上市公司，与覆盖十余省市的运营商签订营销广告系统服务合同，钻运营商监管不力的空子，在运营商服务器中布置恶意采集信息程序，从运营商流量池中非法获取用户数据，为逃避监管追查，还将部分数据存储在位于日本的服务器上。

如果你的微博关注列表突然出现一堆营销账号，QQ突然被加进陌生群组，抖音莫名关注某网红，也许黑灰产团伙已经操控了你的账户。近日，史上最大规模的数据窃取案已成功侦破，阻止遭窃取的30亿条公民信息泄露。

警方进一步发现，此案波及电信、移动、联通、铁通、广电等全国多个省市的多家运营商，继而导致百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据被获取，几乎国内所有的核心互联网企业均被“雁过拔毛”、无一幸免。

也就是说，用户在网上搜索任何隐秘信息、去过哪里、何时何地开房、买了什么东西等信息，均可能被窃取用户信息的犯罪团伙掌握。此案中，黑灰产团伙已可操控用户账号，进行微博、微信、Q Q、抖音等社交平台的加粉、刷量、加群、违规推广，非法获利，犯罪团伙旗下一家公司一年营收就超过3000万元。

而掌握上述全面的用户信息，黑灰产团伙还可通过对用户进行“人物画像”，实施精准的电信诈骗等多种犯罪行为。今年陕西警方抓获的电信诈骗团伙，仅以更改考试成绩为幌子骗钱，就设计了380个剧本，进行精准诈骗。

浙江绍兴越城区公安分局网警大队大队长张野平称，本案系史上最大规模的数据非法获取案，作案手段新颖、窃取数据路径不同寻常，侦办难度极大，阿里安全为案件提供了重要的技术协助。目前6名主要犯罪嫌疑人已被抓获，公司负责人邢某已潜逃。

警方称，涉案的北京上市黑产公司所盗取的公民信息，波及几乎所有互联网公司，大量互联网公司一直深受其害，但一直未能有实质的证据和技术能力溯源。

此次，阿里巴巴安全部通过技术协助警方彻底端掉背后的黑灰产团伙。

新型手段

以下我们按时间顺序简要介绍事发原委及此案告破过程——

今年6月下旬，绍兴市越城区公安分局网警大队多次接到市民报案，称其发现自己的微博、Q Q等社交账户在不知情的情况下添加了陌生好友、关注，手机经常莫名其妙收到各种垃圾广告弹窗、短信，怀疑个人信息被泄露。

同一时段，越城区公安分局网警大队也接到阿里安全提供的线索，称有绍兴用户反馈淘好友有异常添加陌生人的情况，疑似个人信息遭泄露。

多起报案的同质性引起警方高度关注。调查发现，报案人市民李某的账户数据于2018年4月17日被8个IP地址多次异常访问，这8个IP地址隶属的IP段还先后访问超过5000人的账户。在阿里安全归零实验室提供的技术协助下，警方迅速展开了全力侦查。

警方锁定该IP段，发现背后是北京瑞智华胜科技股份有限公司（下称“瑞智华胜”）为核心的三家公司在操控，且三家公司实际控制人和作案团伙均系同一拨人，瑞智华胜为新三板上市公司。

紧接着，警方针对这三家公司的关联、商业模式等展开调查，固定相关证据后，7月3日，绍兴越城警方20多名民警在属地警方配合下，在北京海淀区瑞智华胜公司对涉案人员实施抓捕，抓获6名犯罪嫌疑人，公司实际控制人、主要犯罪嫌疑人邢某未在公司，闻风而逃。

随后，警方从盘根错节的关系网中反复探索、侦查，揭开了一个分工明确、获利颇丰的黑灰产犯罪团伙真面目，也发现了一种完全新型的数据盗窃作案手段。

团伙“打劫”

警方侦查发现，涉案的瑞智华胜等三家公司主要成员均系同一伙人，办公地点也一样。同一个团伙为什么要开三家公司？原来是为了用不同的公司主体干不同的事情，掌控整个产业链：两家公司主要与运营商签订服务合同，获取权限，进而窃取数据；而瑞智华胜则主要将数据加工、处理，通过精准营销、恶意弹窗、加粉、刷量等方式获利变现。

在提供软件服务的过程中，该犯罪团伙获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，偷偷“劫取”流量，意即当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。

办案民警单钟颖介绍，cookie相当于用户账号的登录凭证，不需要获取账号和密码，通过cookie就可以进入用户账号，直接操作账号做任何事情。利用cookie数据，该犯罪团伙登录大量用户的账号，从用户账号中获取用户的搜索记录、账户注册资料等数据。

除了获取账号内的数据，该犯罪团伙还操纵账户加粉、刷量，并进行恶意弹窗推广等方式非法获利。

为毁灭证据，今年4月犯罪嫌疑人团队还连夜删除多台服务器上的大量数据，警方初步估算已被删除的数据量也超过亿条。

获利颇丰

8月13日，瑞智华胜发布公告称，2018年7月，公司法定代表人、董事周嘉林及监事黄健、梁修军等人因涉嫌非法获取计算机信息系统数据罪被绍兴市公安局越城分局刑事拘留，其中黄健、梁修军已于2018年8月9日已被越城区人民检察院批捕，周嘉林仍取保候审。目前案件尚待公安机关进一步调查。

公开资料显示，瑞智华胜成立于2013年，最初从事软件开发服务，从2016年转型做互联网营销，2017年12月1日正式挂牌新三板，其主要客户包括IM S新商业集团、腾讯广点通等。

瑞智华胜目前管理运营80余个自媒体账号，主要运营的有20个微博账号和55个微信公众号，涉及旅游、资讯、美食、健身等多个领域，拥有粉丝总量超过7000万，其中多个微信账号为新榜排名100强，每天都在创造10W+，但也曾因过度营销和涉嫌造谣被封号。

警方获取的资料显示，其微博大V号粉丝量在200万-600万不等，发布或转发一条微博的报价在2000- 4000元不等，微信大V号的价格贵一些，单条在7000-20000元不等。

从瑞智华胜公司财务数据上看，转型做互联网营销确实令公司业绩飞涨。仅2015年和2016年，其营收从187万元猛增至3028万元，净利润从2万元暴涨到1053万元。

波及全国

“从运营商的层面进行流量劫持和清洗，也意味着所有使用运营商流量的用户都要被‘雁过拔毛\’，互联网公司再多的防护能力都没有用，在源头上数据就丢了。”一位业内专家表示，应联合共同抵制和打击这类犯罪团伙，阿里此次为警方提供技术协助，从另一个方面来说，也为提高互联网公司的整体安全水位作出了贡献。

警方通过数据反查发现，犯罪嫌疑人邢某所在公司，与覆盖十余省市的电信、移动、联通、铁通、广电等运营商，签订营销广告合作协议，但运营商均未对具体项目进行约束、监督。因运营商监管不到位，邢某等人才能布置恶意采集程序的方式，非法获取用户流量信息。

警方统计发现，邢某通过运营商监管不力而非法窃取的数据，涉及百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据。几乎国内所有的核心互联网企业无一幸免，也就是说，用户在网上搜索索任何隐秘信息、去过哪里、何时何地开房、买了什么东西等信息，均可被该犯罪团伙掌握。

而更可怕的是，警方侦查发现，为逃避监管和追查，犯罪团伙还将部分信息存储在位于日本的服务器上，“把非法收集的大量公民个人信息存储在境外的服务器上，有危害国家安全的风险。”

中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领指出，犯罪嫌疑人非法获取公民信息进行精准营销的行为，不仅对用户构成民事侵权，还涉嫌构成侵犯公民个人信息罪。同时，这些个人信息被非法收集后，也有可能被用于其他的非法活动，比如根据窃取的身份证号、手机号等个人信息去窃取用户的网银账户等，进而可能会给用户带来财产损失。

南方都市报8月20日报道

新闻推荐

陕西省制定秦岭生态区农家乐整顿方案

新华社西安8月19日电(记者李浩)记者从陕西省卫计委了解到，为杜绝农家乐无序增长对秦岭生态环境的破坏，陕西省卫计委综合监...

陕西新闻，讲述家乡的故事。有观点、有态度，接地气的实时新闻，传播陕西正能量。看家乡事，品故乡情。家的声音，天涯咫尺。