史上最大数据窃取案告破 揭微博“被加粉”的秘密

上市公司盗窃用户数据作案流程。    图片来源/越城公安微信公众号

旗下账号运营陷于停滞

重案组37号（微信ID：zhonganzu37）发现，瑞智华胜旗下账号的非正常增粉行为经常会被网友吐槽。如去年5月，一男性网友发微博吐槽，为什么自己会关注母婴微博号“辣妈养娃妙计”；同年8月，另一名男性网友称被“强行关注女神小课堂，天天推送对象为男性的相亲广告。”

重案组37号探员注意到，上述账号的运营主体均为瑞智华胜，且均通过两家关联公司中科云智和中科在线进行过“粉丝推广”。

瑞智华胜招股书显示，2016年和2017年，公司向中科云智、中科在线采购账号推广服务的价格为1元/ 净增粉丝数。

例如，2016年，瑞智华胜通过中科云智以17.97万元为旗下微博账号“全球娱乐趣事”推广了17.97万个粉丝；以11.77万元为旗下微博账号“辣妈养娃妙计”推广了11.77万个粉丝；以14.27万元为旗下账号“你将相思赋予谁”推广了14.27万个粉丝。

2017年1到3月，瑞智华胜通过中科在线分别为“全球娱乐趣事”、“辣妈养娃妙计”和“你将相思赋予谁”推广了9.95万个、2.5万个、7万个粉丝。

2016年，瑞智华胜总共通过中科云智为旗下账号增粉229.58万个，通过中科在线为旗下账号增粉251.14万个。

中科云智、中科在线承担着如此重要的增粉途径，其成员也与瑞智华胜有着密切的关系。根据瑞智华胜招股书，中科云智两位大股东邢晋、孙惠锦分别是瑞智华胜实际控制人邢松建的儿子和儿媳。中科在线则被披露属于“实际控制人及其近亲属能够实施重大影响的企业”。

事实上，瑞智华胜出事早有端倪，如“全球娱乐趣事”在5月还保持着一天或两天一更新的频率，但7月7日后，其微博再也没有更新。老板出事，其旗下账号的运营也陷于停滞。

一位微博网友展示其被强行关注的账号。    微博截图

追访  

专家：监管缺失用户密码遭“破解”

在技术上，瑞智华胜是如何实现盗取用户信息的呢？

绍兴市公安局官网显示，2014年开始，该公司通过竞标的方式，先后与全国多家运营商签订正式的服务合同，为其提供精准广告投放系统的开发、维护。

在提供软件服务的过程中，该犯罪团伙获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，偷偷“劫取”流量。

当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。

“有时我们从网页登录微博账号时，会点击自动储存密码的选项，而这时你的账号密码就会被储存在cookie里。”8月21日，网络安全专家张百川告诉重案组37号（微信ID：zhonganzu37）。

张百川表示，cookie会显示用户的访问记录等，为了便于针对用户习惯营销，许多互联网营销公司会通过分析用户的cookie进行精准营销。但进行这类精准营销必须要走网络运营商的流量，这就是为什么瑞智华胜需要与网络运营商进行签约。

“这就类似于某公司在公共场合设立一个WiFi，用户在登录这个WiFi时，走的就是该公司的流量，那么浏览记录、输入的账号密码也就会被其所知晓。”张百川称。

值得注意的是，根据瑞智华胜招股书，中科在线的主营业务是“自媒体账号推广，智能WiFi营销”，因此确实有通过设立WiFi读取用户数据的客观条件。

“而瑞智华胜与运营商签约后，就相当于接入进了可以连接大量用户WiFi的系统里。”张百川表示，“这样效率无疑高了很多。”

西安邮电大学副教授任方告诉重案组37号，运营商远程登录权限的开放“相当于很多数据、秘密都直接开放了，这是很可怕的。在这个案子里，cookie是直接储存在运营商服务器上的，瑞智华胜既然能够远程登录，自然也就能拿到用户名和密码，它拿到的数据过多，越权了。”

但对于如何解决针对性营销中用户账号密码泄露问题，多名专家均表示无能为力，“只要营销公司拿到cookie，就能拿到账号密码，目前还没有相对的监管手段。

新京报记者 罗亦丹 刘名洋 实习生 赵昕 杨璐萍 游佳颖