當前位置: 華文縱覽 > 歷史

利用平台安全漏洞「薅羊毛」,「內鬼」盜取直播平台獎勵金

2022-11-24歷史
利用平台安全漏洞「薅羊毛」,「內鬼」盜取直播平台獎勵金
隨著行動網際網路技術的發展,網路直播成為高速發展的新興業態,巨大的使用者和流量帶來巨額商機和利益。為了吸引更多使用者、穩定擴大流量,不少直播平台尤其是新平台都會推出「邀請獎勵」機制,以此鼓勵使用者推薦新人加入。而不法分子就盯上了這個機制,利用平台網路安全漏洞薅起了「羊毛」。
日前,上海警方根據企業報案,經縝密偵查,成功偵破一起非法獲取直播平台超級管理許可權、盜取「邀請獎勵」機制返現獎勵金的案件,抓獲範某等3名犯罪嫌疑人。
利用平台安全漏洞「薅羊毛」,「內鬼」盜取直播平台獎勵金
返現獎勵金被盜取
今年7月,上海市公安局閔行分局接轄區一直播平台企業報案,稱企業為鼓勵使用者推薦新人而設定的返現獎勵金疑似被人冒領,直接經濟損失15萬元。
企業相關負責人表示,為了搶占市場、擴大使用者群體,企業在直播平台推出了獎勵使用者推薦新人的機制,即鼓勵平台現有使用者邀請好友安裝軟體並註冊,當被邀請人在平台進行充值後,其中的10%將返現獎勵給邀請人。然而,企業近期自查時發現,部份個人使用者在系統中被標定為被邀請人,由此產生的獎勵金被他人領走,而事實上,這些使用者均為自發註冊,並非被邀請。據初步梳理核查,此類被人為標定「受邀請狀態」的自發註冊使用者有近200名。
利用平台安全漏洞「薅羊毛」,「內鬼」盜取直播平台獎勵金
循線追蹤釘選犯罪團伙
接報後,閔行分局立即成立專案組開展案件偵查。經梳理,警方在該直播平台系統內發現了9個使用者,在並未發生邀請行為的情況下,成為了其他196位使用者的「邀請人」,累積領取獎勵金達800余次,其中最多的使用者在45天內領取235次,成了「專職」邀請人。民警聯系走訪了部份「被邀請人」,均表示沒有收到過任何人員的邀請,也不認識9個使用者的ID。
據此,警方循線持續深挖,發現犯罪嫌疑人是使用該直播平台後台管理系統的超級管理員許可權對系統內部的使用者資訊進行了更改,並很快釘選了一個由範某、劉某、詹某3人組成的犯罪團伙。
利用平台安全漏洞「薅羊毛」,「內鬼」盜取直播平台獎勵金
三名前員工落網
8月22日,閔行警方組織警力趕赴福建,在當地警方協助下,成功將3名犯罪嫌疑人抓獲歸案。
經查,3名犯罪嫌疑人均為該企業前員工,其中犯罪嫌疑人範某在就職期間負責直播營運崗位,獲得過後台管理系統的最高許可權,並利用企業管理漏洞,偷偷增設了數個同樣享有最高許可權的系統帳號。離職後,範某與同為該企業前員工的劉某、詹某相互勾結,利用這些帳號進入直播平台後台管理系統,透過篡改使用者資訊而從企業獲得獎勵金。
犯罪嫌疑人劉某負責在系統中尋找、梳理未使用邀請功能,即未「被邀請」的註冊使用者,並將名單提供給範某進行篡改。犯罪嫌疑人詹某則負責將獎勵金取現,為了逃避打擊,他還購買了多張他人銀行卡用於錢款轉賬和提現。
目前,犯罪嫌疑人範某某因涉嫌盜竊罪已被閔行警方依法逮捕,犯罪嫌疑人劉某和詹某被依法取保候審。相關企業已按照警方整改要求,對管理系統采取分級許可權管理,定期巡查網路漏洞。
作者:周辰
編輯:蘇展
責任編輯:何易
*文匯獨家稿件,轉載請註明出處。