27人盜刷快手672萬(wàn) 利用快手平臺(tái)漏洞27人組成黑產(chǎn)業(yè)鏈

　　24天內(nèi)，27人利用快手平臺(tái)的升級(jí)漏洞，組成一條黑色產(chǎn)業(yè)鏈，盜刷平臺(tái)672萬(wàn)元。北京市海淀法院昨天(4月14日)通報(bào)稱，法院以盜竊罪判處27人11年半至1年1個(gè)月不等的有期徒刑。案件主審法官表示，利用網(wǎng)絡(luò)平臺(tái)漏洞從事黑色產(chǎn)業(yè)鏈獲利，是當(dāng)前司法打擊的重點(diǎn)。

　　利用快手平臺(tái)漏洞，27人組成黑產(chǎn)業(yè)鏈

　　作為國(guó)內(nèi)受眾較廣的短視頻平臺(tái)，快手APP的用戶可以在平臺(tái)以“打賞”禮物的方式對(duì)他人進(jìn)行贈(zèng)與或被贈(zèng)與，所有禮物可轉(zhuǎn)換為名為“黃鉆”的平臺(tái)內(nèi)代幣使用，并最終通過(guò)微信支付平臺(tái)提現(xiàn)。

　　案件資料顯示，2018年7月，“快手”系統(tǒng)升級(jí)中，“提現(xiàn)”系統(tǒng)出現(xiàn)了一個(gè)漏洞。利用這個(gè)漏洞，27人在24天內(nèi)，從“快手”827名用戶的4629筆訂單中盜刷672萬(wàn)元。

　　案件主審法官姜楠介紹，快手平臺(tái)的虛擬禮物打賞功能，是由禮物系統(tǒng)對(duì)接微信的支付網(wǎng)關(guān)組成。按照微信支付相關(guān)實(shí)名認(rèn)證要求，如果微信沒(méi)有開(kāi)通實(shí)名認(rèn)證則無(wú)法提現(xiàn)，此時(shí)“快手”提現(xiàn)訂單失敗。

　　2018年7月常規(guī)升級(jí)后，“快手”系統(tǒng)在處理失敗訂單方面出現(xiàn)漏洞，訂單失敗后提現(xiàn)“黃鉆”返回“快手”用戶賬戶，但支付網(wǎng)關(guān)沒(méi)有停止轉(zhuǎn)賬請(qǐng)求，還在不斷嘗試。其間，如果對(duì)應(yīng)微信賬號(hào)開(kāi)通實(shí)名認(rèn)證，則資金將從“快手”企業(yè)賬戶劃撥至個(gè)人微信賬戶，用戶可在未扣除“黃鉆”情況下提現(xiàn)。

　　被告人謝某等人利用所掌控“快手”賬戶的直播功能，首先通過(guò)“快手”賬戶互相打賞將對(duì)應(yīng)“黃鉆”攢至2000元，而后關(guān)聯(lián)未開(kāi)通或已注銷微信實(shí)名認(rèn)證的賬戶，反復(fù)提交提現(xiàn)申請(qǐng)，并在短時(shí)間內(nèi)開(kāi)通微信實(shí)名認(rèn)證賬戶，資金到達(dá)微信賬戶后，迅速通過(guò)綁定的銀行卡第二次轉(zhuǎn)出、分配。

　　了解上述漏洞的部分被告人，在貴州老家招募老鄉(xiāng)一起加入：一條由27人組成的租號(hào)、打賞、提現(xiàn)、轉(zhuǎn)賬、取錢(qián)的黑色鏈條快速形成。

　　2018年8月，快手公司進(jìn)行財(cái)務(wù)數(shù)據(jù)匯總，發(fā)現(xiàn)用戶提現(xiàn)金額和個(gè)稅數(shù)據(jù)不匹配、提現(xiàn)金額明顯異常后，這一漏洞方被修正。

　　法院查明，從2018年7月21日1時(shí)開(kāi)始，到2018年8月2日22時(shí)， 12天的時(shí)間里，僅謝某一人就通過(guò)上述方式收購(gòu)10組他人賬號(hào)，累計(jì)套取資金125萬(wàn)余元。最終，謝某與其他26人，因盜竊罪分獲11年半到1年1個(gè)月不等的有期徒刑。

　　解讀：網(wǎng)絡(luò)漏洞形成的黑產(chǎn)業(yè)鏈?zhǔn)撬痉ù驌糁攸c(diǎn)

　　姜楠法官表示，“薅羊毛”是與電子商務(wù)伴生的互聯(lián)網(wǎng)現(xiàn)象。通常意義上，“薅羊毛”行為按照輕重程度可以分為三類：一是按照平臺(tái)優(yōu)惠規(guī)則，偶爾利用平臺(tái)漏洞獲取優(yōu)惠自用的普通用戶;二是利用平臺(tái)優(yōu)惠規(guī)則疏漏，借助信息及技術(shù)優(yōu)勢(shì)攫取優(yōu)惠后進(jìn)行二次轉(zhuǎn)賣、變現(xiàn)的“羊毛黨”;三是利用系統(tǒng)漏洞惡意牟利的黑灰產(chǎn)鏈條。“快手”盜刷案，即屬于第三類。

　　對(duì)于第一類行為，使用者屬于正常消費(fèi)行為，在法律、商業(yè)規(guī)則及市場(chǎng)規(guī)律范圍內(nèi)無(wú)須擔(dān)心。

　　司法判例也在強(qiáng)化對(duì)這類消費(fèi)者的保護(hù)。此前的“亞馬遜砍單案”中，購(gòu)物網(wǎng)站亞馬遜在“雙十一”期間標(biāo)明掃地機(jī)器人科沃斯價(jià)格為94元，后亞馬遜以系統(tǒng)操作錯(cuò)誤、實(shí)際售價(jià)應(yīng)為949元為由，單方取消訂單。后法院判決亞馬遜公司向290余名被砍單消費(fèi)者賠償訂單價(jià)格與市場(chǎng)價(jià)格之間差價(jià)855元，以防止虛假促銷、惡意單方砍單等行為泛濫。

　　對(duì)于第二類專業(yè)“羊毛黨”，明顯惡意違反平臺(tái)規(guī)則及利用系統(tǒng)漏洞的，在民事法律關(guān)系上屬不當(dāng)?shù)美�，受損害的平臺(tái)可以請(qǐng)求返還，在刑事法律評(píng)價(jià)上則相對(duì)曖昧，無(wú)法一概而論，但其中具有主觀惡性，違法所得數(shù)額較大或影響較大的，同樣構(gòu)成刑事犯罪。

　　對(duì)于第三類利用系統(tǒng)漏洞惡意牟利的黑灰產(chǎn)業(yè)鏈條，是目前司法打擊的重點(diǎn)，上訴案件中呈現(xiàn)出網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈的新趨勢(shì)：非法支付渠道向普通個(gè)人賬號(hào)轉(zhuǎn)移。

　　一般來(lái)說(shuō)網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的供給可以劃分為物料、流量和支付三大要件，以惡意注冊(cè)賬戶為主供養(yǎng)物料，通過(guò)虛擬商品交易作為變現(xiàn)的主要渠道;而在“羊毛”灰產(chǎn)中則細(xì)化為，卡商負(fù)責(zé)注冊(cè)平臺(tái)賬號(hào)—網(wǎng)絡(luò)黑客人員負(fù)責(zé)買(mǎi)賣“秒殺軟件”—“羊毛黨”負(fù)責(zé)在平臺(tái)使用—收貨端負(fù)責(zé)在二級(jí)市場(chǎng)變現(xiàn)。

　　但隨著各個(gè)互聯(lián)網(wǎng)平臺(tái)尤其是幾家互聯(lián)網(wǎng)巨頭對(duì)于惡意注冊(cè)的聯(lián)合打擊，技術(shù)壁壘日益加高，“養(yǎng)號(hào)”成本日益增高。于是，黑灰產(chǎn)業(yè)鏈將目標(biāo)鎖定為普通個(gè)人賬號(hào)，該種賬號(hào)屬于正常賬號(hào)，在技術(shù)上無(wú)法識(shí)別。這給溯源上游犯罪等司法打擊帶來(lái)困難。 來(lái)源：新京報(bào)