27人利用快手平台升级漏洞恶意盗刷金额达672万元

[复制链接]
查看157 | 回复0 | 2022-8-8 04:00:54 | 显示全部楼层 |阅读模式
        4629单,涉及827名用户,27人24天利用快手平台升级漏洞恶意盗取672万元。北京海淀法院近日宣布,法院以盗窃罪判处27人一年零一个月至十一年半有期徒刑。该案主审法官表示,利用网络平台漏洞从黑色产业链中牟取暴利是当前司法打击的重点。

        不到一个月27人恶意盗窃逾672万元

        快手APP是一个在中国拥有广泛受众的短视频平台。用户可以在平台上以“奖励”礼物的形式给予或给予他人。所有礼物都可以在平台上兑换成“黄钻”。代币通过Vx支付平台使用并最终提取。

        2022年7月,快手系统升级过程中,TX系统出现小bug。下单失败后,黄钻被TX退回快手用户账户,但支付网关并未停止转账请求,仍在尝试。在此期间,若对应Vx账号开通SM认证,资金将从快手企业账号转至个人Vx账号刷薅羊毛网站,用户可TX,不扣黄钻。利用这个漏洞,27人在24天内从快手827名用户的4629个订单中盗取了672万元。

        被告人谢某等人利用其控制的账户的直播功能,先通过账户相互打赏将相应的黄钻存入2000元,再通过关联未绑定账户的方式反复提交TX申请。已开通或已注销VxSM认证。VxSM认证在短时间内开通,资金到达Vx账号后,通过绑定的银行卡进行第二次快速转账和分发。

        


        就这样,一条租、小费、取款、转账、取款的黑链迅速形成并蔓延开来,直到快手公司汇总财务数据,发现用户取款金额与个人纳税数据不符,提款金额一目了然。出现异常后,该漏洞已得到修复。

        法院认定,自2022年7月21日1时起,至2022年8月2日22时止,12天内,仅谢某某通过上述方式获得了10组他人账户办法,累计资金1.25亿元。谢最终被罚款11万元,并责令退还经济损失125万元以上。同时,谢某等26人因盗窃罪被判处十一年半以上一年零一个月有期徒刑。

        网络漏洞形成的黑色产业链是司法打击的重点

        法官表示,快手**案并不复杂,但有两个重要的法律提示给公众,尤其是黑灰产品从业者:一是利用制度漏洞非法获取金钱构成犯罪,另一种是明知他人从事WF的行为,以收费出租账户也构成犯罪。

        “拉羊毛”是与电子商务相关的互联网现象。一般来说,“抓羊毛”的行为按照严重程度可以分为三类:一类是普通用户,偶尔利用平台漏洞,根据平台优惠规则获取自用折扣;倒卖,实现打折后二次打折的“羊毛党”;三是利用系统漏洞恶意牟利的黑灰色生产链。上述快手**案属于第三种。

        


        对于弟1类行为,用户是正常的消费行为,在法律、商业规则和市场规则的范围内无需担心。事实上,这一层级的消费者更应该重点维护自己的权益,尤其是当损失是由平台自身过错造成,消费者没有欺诈等心理时。对此,不同的平台有不同的反应。比如去哪儿网和东航最后因为系统错误宣布正常出票;补偿5000分。

        对于第二种职业“羊毛党”,对WF平台规则有明显恶意并利用制度漏洞的,属于民事法律关系中的不当得利,受损害的平台可以要求退货,但在**评价中比较模糊。无法一概而论,但主观恶性,WF收入或影响力数额较大,也构成刑事犯罪。

        第三类利用系统漏洞恶意牟利的黑灰色生产链是当前打击重点。在这种情况下,出现了黑产的新趋势:非法支付渠道向普通个人账户转移。

        一般来说,网黑生产的供应链可以分为三个要素:材料、流程和支付。恶意注册账号为主要支撑材料,以虚拟商品交Y为主要变现渠道;细化是发卡商负责注册平台账号——网络黑客负责买卖“秒杀软件”——“毛党”负责在平台上使用——收款端负责变现在二级市场。

        然而,随着各互联网平台,尤其是几家互联网巨头联合打击恶意注册,技术壁垒越来越高,“记账”的成本也与日俱增。因此,黑产将目标定位在普通的个人账号上,比如小旭、胡等人提供的账号。此类账户为普通账户,技术上无法识别。虽然这为打击犯罪提供了便利,但也有助于追溯。上游犯罪带来挑战。

        每日经济新闻

        文章来源互联网,侵权请联系276698048@qq.com,我们会立即删除处理。
回复

使用道具 举报