“史上最大规模的数据窃取案”调查：新三板挂牌公司窃取30亿条网络用户信息

黑灰产公司从运营商截流、窃取用户数据进行加粉、精准营销的链路图。受访者/供图

作为一家曾在新三板上市的企业，北京瑞智华胜科技股份有限公司（简称瑞智华胜）未走正道，他们利用非法手段，盗取了30亿条网络用户信息用来牟利。

近日，这起“全国首个流量劫持案”被浙江省绍兴市越城区人民检察院提起公诉，7名犯罪嫌疑人被推上被告席。

该案系“史上最大规模的数据窃取案”。腾讯、百度、京东、今日头条、新浪微博、携程、12306等96个互联网公司的产品数据均有涉及。

受影响的服务器来自北京、上海、福建、湖北等全国多省市运营商。由于其数据保护措施存在薄弱环节，在内鬼的配合下被“黑灰产”攻击、窃取。

警方调查被走漏风声

瑞智华胜案发，源于绍兴越城区多名市民举报。

2018年6月26日，家住越城区的市民李先生到越城公安分局报案称，从当年4月份开始，自己的社交软件莫名添加了一些陌生好友、粉丝，同时还经常收到各种垃圾推销短信。于是，他怀疑个人信息遭泄露，要求警方查处。

警方通过技术侦查，发现李先生的cookie信息的确多次遭异常访问，IP段属北京某网络公司。

越城警方初步判断，该案背后可能隐藏着一个非法获取公民个人信息的巨大“黑灰产”链条。于是，警方再次对案件进行深挖，最终发现该IP段先后访问超过5000人的cookie信息。

这一情况引起警方高度重视，办案人员通过从该网络公司的信息流、资金流等方面着手调查分析后，发现瑞智华胜和另外两家公司均参与其中，而这三家公司主要成员系同一伙人。

在阿里安全的技术协助下，警方发现前述两家公司为获取运营商流量的合作公司，而瑞智华胜则负责将数据处理、推广获利变现。

瑞智华胜成立于2013年，曾为新三板上市公司，事发后退市。此前主打社会化媒体营销。该公司通过和全国20多家运营商签订正规合同，提供内容审查服务，在服务过程中获取运营商流量服务器登录权限，在服务器部署SD程序，从而在流量中非法采集诸多互联网公司域名下的用户cookie、手机号等数据，再通过数据库存储方式将数据保存在服务器上，最后通过爬虫程序异地调用获取上述存储的数据。

时机成熟后，越城公安迅速抽调网警、刑侦部门等精干力量组成专案抓捕组。2018年7月3日，专案抓捕组前往北京海淀区实施抓捕，分别抓获了瑞智华胜的周某、黄某、梁某、石某、王某、王某等公司老板及相关骨干成员6人。

窃取“无底线”

作为一家科技公司，瑞智华胜到底是怎么窃取网络用户信息的？

权威信源称，从2017年上半年开始，公司的技术研发王某编写SD程序，石某再通过公司提供的运营商服务器登录权限，登录运营商流量清洗服务器。

然后，石某通过服务器部署SD程序在运营商流量中非法采集诸多互联网公司域名下的用户cookie、手机号等信息数据，最后再通过数据库存储的方式将数据保存在运营商服务器上。

而公司程序员王某编写的爬虫程序，可以通过异地调用的方式获取上述存储的数据，具体用途有：cookie数据加好友、加粉做营销、登录cookie爬取篡改用户数据等。

另外，该团伙还与运营商签订流量合同，获取流量镜像使用权，并研发、制作各类爬虫程序，再将使用权清洗流量、窃取用户cookie数据。

之后，他们利用cookie数据，非法访问用户自媒体账号实现加好友、加粉操作以及利用cookie数据爬取用户订单等信息，之后向第三方公司投放广告盈利。

盈利模式有四种。首先是，恶意弹窗广告业务，通过劫持用户流量，进行恶意弹窗收取佣金；其次是APP下载包替换，将用户点击想要下载的APP替换成他们要推广的APP。

再者，瑞智华胜还拥有自己的营销号，为自己涨粉、接广告、营销。据调查，该公司旗下运营20多个微信、微博账号，影响力最大的账号粉丝量在600万以上。

而警方从犯罪嫌疑人电脑上提取留存的cookie数据至少1150万条，其中抖音14016条、百度搜索144306条、百度百家45万条等。

据一名网络安全专家介绍，流量清洗案件一直难侦破，“因为无法监测到痕迹，且爬虫行为本身属于行业通用手段，由于数量很大，很难追溯到背后的使用者身份。”

需要警惕的是，瑞智华胜盗取数据和使用数据并无底线。他们在非法获取数据后，并没保护数据的能力，而是把数以亿计的数据存储到海外，给整个国家信息安全带来危害。

该案涉及多个运营商，浙江、湖北等11个地区均有影响。

“黑客产业”多元化

记者注意到，该案尽管进入了公诉阶段，有些问题仍无法解决。

例如，与瑞智华胜合作的还有50家下游合作商，涉及北京、杭州、福州、深圳、临汾、东莞、厦门、上海、广州、成都等10个地市区。目前，仍在继续深挖。

不过，该案发生至今，仍有不少反思之处。

随着互联网的飞速发展与普及，人们迎来了大数据时代，而传统犯罪也不断向互联网延伸，网络犯罪与传统犯罪日益交织，保护公民个人信息安全、保护企业数据安全成为新的时代命题。虽然国家从多个层面打击这类犯罪，但还是频频出现用户信息泄露事件。

业内人士称，原因在于“黑灰产”通过上市公司的正规业务，堂而皇之地在互联网的源头——运营商层面就进行流量清洗，将大量的用户数据和隐私外泄，“这意味着很多互联网公司的数据安全保护措施做得再好也没有用，数据保护在源头上就出了问题。”

有个背景是，早期“黑灰产”主要是通过技术手段获取数据库并出售来牟利，变现方式比较单一。但随着业务场景的爆发，“黑灰产业”牟利方式呈现出多元化。

这些年，“黑灰产”“内鬼”，以及贩卖者、诈骗者共同合作，分工越来越清晰，“黑灰产业”链越来越成熟。“特别是一些大数据公司，表面上提供的是数据服务，实际做‘黑产’。”有专家指出。

业内专家还称：“这些‘黑产’人员深度挖掘电信、公安、银行、医院、工商、教育、税务、住建、社会保障等各个行业数据信息，经过组装、拼凑、二次加工最终形成一条非常丰富的公民信息最终流向‘黑灰产业’链条，经过多次倒卖，层层获利。”

所以，加大对“黑灰产”大数据公司的打击，成为不少网络平台的共识。

对此，国家先后出台、修订了一系列法律法规，来加强数据保护。但不少业内人士觉得，各项法规比较零乱分散，且量刑较低，缺乏法律合力，“并且面对当前复杂多样的泄露场景，如果没有比较精细化的法则，可能会让违法者继续钻法律的空子。”

据统计，截至今年5月，浙江省“净网”2019专项行动破获各类网络“黑产”刑事案件262起，抓获犯罪嫌疑人1047名。但有数据显示，侵犯公民个人信息类刑事案件的缓刑频次高，刑罚威慑低。其中，出售、非法提供公民个人信息罪、非法获取公民个人信息罪和侵犯公民个人信息罪的量刑较轻，被告人大多被判处3年以下有期徒刑或拘役。计算机类犯罪虽然平均刑期较高，最高可判刑7年，但司法实践中缓刑适用率同样较高。

专家建议，最要紧的应是继续加大对“黑灰产”的打击力度，并从立法层面提高其犯罪成本，“目前的惩罚力度还没有真正达到震慑的地步，要让侵犯数据隐私的人和公司意识到抓到就会重罚。”

另外，在业界人士看来，加强通讯运营商管理也迫在眉睫：“因为近年因‘内鬼’问题，通讯运营商内部的信息泄露问题层出不穷，对于此类掌握海量公民信息的各大基础设施必须加大内部的管控，将信息保护层层落实到人，从源头上杜绝信息泄露。”