27人盗刷快手672万是怎么回事?他们是怎么利用快手提现漏洞的?
编辑:黎明   2020-04-16 09:08:26 社会 5327人盗刷快手672万是怎么回事?他们是怎么利用快手提现漏洞的?24天内,27人利用快手平台的升级漏洞,组成一条黑色产业链,盗刷平台672万元。北京市海淀法院昨天(4月14日)通报称,法院以盗窃罪判处27人11年半至1年1个月不等的有期徒刑。案件主审法官表示,利用网络平台漏洞从事黑色产业链获利,是当前司法打击的重点。
27人盗刷快手672万
作为国内受众较广的短视频平台,快手APP的用户可以在平台以“打赏”礼物的方式对他人进行赠与或被赠与,所有礼物可转换为名为“黄钻”的平台内代币使用,并最终通过微信支付平台提现。
案件资料显示,2018年7月,“快手”系统升级中,“提现”系统出现了一个漏洞。利用这个漏洞,27人在24天内,从“快手”827名用户的4629笔订单中盗刷672万元。
案件主审法官姜楠介绍,快手平台的虚拟礼物打赏功能,是由礼物系统对接微信的支付网关组成。按照微信支付相关实名认证要求,如果微信没有开通实名认证则无法提现,此时“快手”提现订单失败。
2018年7月常规升级后,“快手”系统在处理失败订单方面出现漏洞,订单失败后提现“黄钻”返回“快手”用户账户,但支付网关没有停止转账请求,还在不断尝试。其间,如果对应微信账号开通实名认证,则资金将从“快手”企业账户划拨至个人微信账户,用户可在未扣除“黄钻”情况下提现。
被告人谢某等人利用所掌控“快手”账户的直播功能,首先通过“快手”账户互相打赏将对应“黄钻”攒至2000元,而后关联未开通或已注销微信实名认证的账户,反复提交提现申请,并在短时间内开通微信实名认证账户,资金到达微信账户后,迅速通过绑定的银行卡第二次转出、分配。
了解上述漏洞的部分被告人,在贵州老家招募老乡一起加入:一条由27人组成的租号、打赏、提现、转账、取钱的黑色链条快速形成。
2018年8月,快手公司进行财务数据汇总,发现用户提现金额和个税数据不匹配、提现金额明显异常后,这一漏洞方被修正。
法院查明,从2018年7月21日1时开始,到2018年8月2日22时, 12天的时间里,仅谢某一人就通过上述方式收购10组他人账号,累计套取资金125万余元。最终,谢某与其他26人,因盗窃罪分获11年半到1年1个月不等的有期徒刑。
解读:网络漏洞形成的黑产业链是司法打击重点
姜楠法官表示,“薅羊毛”是与电子商务伴生的互联网现象。通常意义上,“薅羊毛”行为按照轻重程度可以分为三类:一是按照平台优惠规则,偶尔利用平台漏洞获取优惠自用的普通用户;二是利用平台优惠规则疏漏,借助信息及技术优势攫取优惠后进行二次转卖、变现的“羊毛党”;三是利用系统漏洞恶意牟利的黑灰产链条。“快手”盗刷案,即属于第三类。
对于第一类行为,使用者属于正常消费行为,在法律、商业规则及市场规律范围内无须担心。
司法判例也在强化对这类消费者的保护。此前的“亚马逊砍单案”中,购物网站亚马逊在“双十一”期间标明扫地机器人科沃斯价格为94元,后亚马逊以系统操作错误、实际售价应为949元为由,单方取消订单。后法院判决亚马逊公司向290余名被砍单消费者赔偿订单价格与市场价格之间差价855元,以防止虚假促销、恶意单方砍单等行为泛滥。
对于第二类专业“羊毛党”,明显恶意违反平台规则及利用系统漏洞的,在民事法律关系上属不当得利,受损害的平台可以请求返还,在刑事法律评价上则相对暧昧,无法一概而论,但其中具有主观恶性,违法所得数额较大或影响较大的,同样构成刑事犯罪。
对于第三类利用系统漏洞恶意牟利的黑灰产业链条,是目前司法打击的重点,上诉案件中呈现出网络黑灰产业链的新趋势:非法支付渠道向普通个人账号转移。
一般来说网络黑色产业链的供给可以划分为物料、流量和支付三大要件,以恶意注册账户为主供养物料,通过虚拟商品交易作为变现的主要渠道;而在“羊毛”灰产中则细化为,卡商负责注册平台账号—网络黑客人员负责买卖“秒杀软件”—“羊毛党”负责在平台使用—收货端负责在二级市场变现。
但随着各个互联网平台尤其是几家互联网巨头对于恶意注册的联合打击,技术壁垒日益加高,“养号”成本日益增高。于是,黑灰产业链将目标锁定为普通个人账号,该种账号属于正常账号,在技术上无法识别。这给溯源上游犯罪等司法打击带来困难。