史上最大数据窃取案告破 揭开微博“被加粉”的秘密|恶意程序|微博|数据

　　新京报记者 罗亦丹 刘名洋 实习生 赵昕 杨璐萍 游佳颖

　　编辑 张太凌    校对 陆爱英

　　“微博莫名其妙帮我关注了‘全球娱乐趣事’，这已经不是第一次给我乱关注了!”在新浪微博，类似的用户“被加粉”事件层出不穷，浙江绍兴警方8月20日公布的一起“史上最大数据窃取案”，在阻止30亿条公民信息泄露的同时，也揭开了“被加粉”的秘密。

　　绍兴市公安局通报，该案件是北京瑞智华胜科技股份有限公司为核心的多家公司在操控。该公司通过与网络运营商签订营销广告系统服务合同，非法从运营商流量池中获取用户数据，进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。

　　重案组37号调查发现，涉案公司是一家新三板上市公司，其主营业务为“互联网新媒体营销”，该公司旗下包括微博、微信公众号、今日头条等在内的其他账号，不低于132个。全文3268字，阅读约需6分钟

　　上市公司涉信息泄露案

　　据绍兴市公安局越城区分局通报，今年6月下旬，越城区公安分局网警大队多次接到市民报案，称在不知情的情况下发现，自己的微博、QQ等社交账户添加了陌生好友、关注，手机经常莫名其妙收到各种垃圾广告弹窗、短信，怀疑个人信息被泄露。

　　警方调查发现，一名报案人的账户数据于今年4月17日被8个IP地址多次异常访问，这8个IP地址隶属的IP段还先后访问超过5000人的账户。

　　经过进一步调查，该IP段背后系北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)为核心的多家公司在操控，且多家公司实际控制人和作案团伙均系同一拨人。

　　随后，警方在北京海淀区瑞智华胜公司控制6名犯罪嫌疑人，主要犯罪嫌疑人邢某在逃。

　　8月13日，瑞智华胜公司发布公告称，公司法定代表人、董事周嘉林及监事黄健、梁修军等人因涉嫌非法获取计算机信息系统数据罪被绍兴市公安局越城分局刑事拘留，黄健、梁修军已被越城区人民检察院批捕，周嘉林仍取保候审，案件尚待公安机关进一步调查。为配合公安机关调查，公司基本存款户已被冻结。

　　工商信息显示，瑞智华胜2013年5月7日成立，注册资本500万人民币，2017年1月19日，该公司登陆新三板，实际控制人为邢松健，持股26.56%。公司登记地址为北京市海淀区西三环北路一栋写字楼。

　　8月21日下午，该写字楼四层一家未挂牌公司前台工作人员告诉重案组37号，其公司办公场所此前为瑞智华胜的办公室，但已搬走，重案组37号探员想要进入公司询问被阻止。楼内一名保安介绍，瑞智华胜是去年下半年搬到该写字楼的，“上个月瑞智华胜出事了，他们老板被抓了。”[page]分页标题[/page]

　　不过重案组37号探员在天眼查发现，瑞智华胜董事会今年8月20日发出《关于召开2018年第三次临时股东大会通知公告》，显示9月5日开会，地点就在前述未挂牌公司。

　　“被加粉”的幕后黑手

　　瑞智华胜被查，使一个使用完全新型作案手段数据盗窃的犯罪团伙被揭开。

　　瑞智华胜招股书显示，该公司主营业务为“通过运营优质自媒体账号，在移动互联网渠道获得大批粉丝关注，通过对特定粉丝群体推送精准、有效的内容分享和广告投放，为客户提供新媒体营销服务。”

　　截至去年3月，该公司披露其自主运营20个微博账号和55个微信公众号，此外还有部分今日头条、QQ空间、一点资讯等账号，重案组37号统计发现，其各类平台账号数量总计有132个。重案组37号探员注意到，瑞智华胜旗下的大部分微博、微信公众号账号都在2016年1月以后注册。

　　与之相对应的是，瑞智华胜财务数据显示，2015年其营收仅187万元、净利润2万元;到2016年，公司实现营收3028万元，净利润1053万元。

　　根据警方披露的信息，该犯罪团伙与覆盖十余省市的20多家运营商，签订营销广告合作协议，恶意采集程序的方式，非法获取用户流量信息，操纵窃取来的用户账号，强制让用户关注的刷粉、刷量等服务。换言之，通过非正当手段短时间内聚集大量粉丝，再以粉丝量为筹码进行广告营销，成为瑞智华胜的盈利方式。

　　警方提供的资料显示，瑞智华胜旗下各平台账号的粉丝数在十几万至几百万不等，单个账号粉丝最多的有600多万，根据粉丝数不同，承接的单条广告费用在数千元至上万元不等。如“娱姐来了”微信公号，头条广告发布费用为2.18万元，次条为1.8万元。

　　警方统计发现，该犯罪团伙涉及96家互联网公司的用户数据。几乎国内所有的核心互联网企业无一幸免，也就是说，用户在网上搜索什么隐秘信息、去哪儿、何时何地开房、买了啥等这些信息，均被该犯罪团伙掌握。

　　此外警方侦查发现，为逃避监管和追查，犯罪团伙还将部分信息存储在位于日本的服务器上。

　　旗下账号运营陷于停滞

　　重案组37号发现，瑞智华胜旗下账号的非正常增粉行为经常会被网友吐槽。如去年5月，一男性网友发微博吐槽，为什么自己会关注母婴微博号“辣妈养娃妙计”;同年8月，另一名男性网友称被“强行关注女神小课堂，天天推送对象为男性的相亲广告。”

　　重案组37号探员注意到，上述账号的运营主体均为瑞智华胜，且均通过两家关联公司中科云智和中科在线进行过“粉丝推广”。

　　瑞智华胜招股书显示，2016年和2017年，公司向中科云智、中科在线采购账号推广服务的价格为1元/ 净增粉丝数。

　　例如，2016年，瑞智华胜通过中科云智以17.97万元为旗下微博账号“全球娱乐趣事”推广了17.97万个粉丝;以11.77万元为旗下微博账号“辣妈养娃妙计”推广了11.77万个粉丝;以14.27万元为旗下账号“你将相思赋予谁”推广了14.27万个粉丝。[page]分页标题[/page]

　　2017年1到3月，瑞智华胜通过中科在线分别为“全球娱乐趣事”、“辣妈养娃妙计”和“你将相思赋予谁”推广了9.95万个、2.5万个、7万个粉丝。

　　2016年，瑞智华胜总共通过中科云智为旗下账号增粉229.58万个，通过中科在线为旗下账号增粉251.14万个。

　　中科云智、中科在线承担着如此重要的增粉途径，其成员也与瑞智华胜有着密切的关系。根据瑞智华胜招股书，中科云智两位大股东邢晋、孙惠锦分别是瑞智华胜实际控制人邢松建的儿子和儿媳。中科在线则被披露属于“实际控制人及其近亲属能够实施重大影响的企业”。

　　事实上，瑞智华胜出事早有端倪，如“全球娱乐趣事”在5月还保持着一天或两天一更新的频率，但7月7日后，其微博再也没有更新。老板出事，其旗下账号的运营也陷于停滞。

　　追访  

　　专家：监管缺失用户密码遭“破解”

　　在技术上，瑞智华胜是如何实现盗取用户信息的呢?

　　绍兴市公安局官网显示，2014年开始，该公司通过竞标的方式，先后与全国多家运营商签订正式的服务合同，为其提供精准广告投放系统的开发、维护。

　　在提供软件服务的过程中，该犯罪团伙获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，偷偷“劫取”流量。

　　当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。

　　“有时我们从网页登录微博账号时，会点击自动储存密码的选项，而这时你的账号密码就会被储存在cookie里。”8月21日，网络安全专家张百川告诉重案组37号。

　　张百川表示，cookie会显示用户的访问记录等，为了便于针对用户习惯营销，许多互联网营销公司会通过分析用户的cookie进行精准营销。但进行这类精准营销必须要走网络运营商的流量，这就是为什么瑞智华胜需要与网络运营商进行签约。

　　“这就类似于某公司在公共场合设立一个WiFi，用户在登录这个WiFi时，走的就是该公司的流量，那么浏览记录、输入的账号密码也就会被其所知晓。”张百川称。

　　值得注意的是，根据瑞智华胜招股书，中科在线的主营业务是“自媒体账号推广，智能WiFi营销”，因此确实有通过设立WiFi读取用户数据的客观条件。

　　“而瑞智华胜与运营商签约后，就相当于接入进了可以连接大量用户WiFi的系统里。”张百川表示，“这样效率无疑高了很多。”

　　西安邮电大学副教授任方告诉重案组37号，运营商远程登录权限的开放“相当于很多数据、秘密都直接开放了，这是很可怕的。在这个案子里，cookie是直接储存在运营商服务器上的，瑞智华胜既然能够远程登录，自然也就能拿到用户名和密码，它拿到的数据过多，越权了。”

　　但对于如何解决针对性营销中用户账号密码泄露问题，多名专家均表示无能为力，“只要营销公司拿到cookie，就能拿到账号密码，目前还没有相对的监管手段。