利用平臺(tái)漏洞27人盜刷快手672萬(wàn) 司法重點(diǎn)打擊網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈
24天內(nèi),27人利用快手平臺(tái)的升級(jí)漏洞,組成一條黑色產(chǎn)業(yè)鏈,盜刷平臺(tái)672萬(wàn)元。北京市海淀法院昨天(4月14日)通報(bào)稱,法院以盜竊罪判處27人11年半至1年1個(gè)月不等的有期徒刑。案件主審法官表示,利用網(wǎng)絡(luò)平臺(tái)漏洞從事黑色產(chǎn)業(yè)鏈獲利,是當(dāng)前司法打擊的重點(diǎn)。
利用快手平臺(tái)漏洞,27人組成黑產(chǎn)業(yè)鏈
作為國(guó)內(nèi)受眾較廣的短視頻平臺(tái),快手APP的用戶可以在平臺(tái)以“打賞”禮物的方式對(duì)他人進(jìn)行贈(zèng)與或被贈(zèng)與,所有禮物可轉(zhuǎn)換為名為“黃鉆”的平臺(tái)內(nèi)代幣使用,并最終通過(guò)微信支付平臺(tái)提現(xiàn)。
案件資料顯示,2018年7月,“快手”系統(tǒng)升級(jí)中,“提現(xiàn)”系統(tǒng)出現(xiàn)了一個(gè)漏洞。利用這個(gè)漏洞,27人在24天內(nèi),從“快手”827名用戶的4629筆訂單中盜刷672萬(wàn)元。
案件主審法官姜楠介紹,快手平臺(tái)的虛擬禮物打賞功能,是由禮物系統(tǒng)對(duì)接微信的支付網(wǎng)關(guān)組成。按照微信支付相關(guān)實(shí)名認(rèn)證要求,如果微信沒(méi)有開通實(shí)名認(rèn)證則無(wú)法提現(xiàn),此時(shí)“快手”提現(xiàn)訂單失敗。
2018年7月常規(guī)升級(jí)后,“快手”系統(tǒng)在處理失敗訂單方面出現(xiàn)漏洞,訂單失敗后提現(xiàn)“黃鉆”返回“快手”用戶賬戶,但支付網(wǎng)關(guān)沒(méi)有停止轉(zhuǎn)賬請(qǐng)求,還在不斷嘗試。其間,如果對(duì)應(yīng)微信賬號(hào)開通實(shí)名認(rèn)證,則資金將從“快手”企業(yè)賬戶劃撥至個(gè)人微信賬戶,用戶可在未扣除“黃鉆”情況下提現(xiàn)。
被告人謝某等人利用所掌控“快手”賬戶的直播功能,首先通過(guò)“快手”賬戶互相打賞將對(duì)應(yīng)“黃鉆”攢至2000元,而后關(guān)聯(lián)未開通或已注銷微信實(shí)名認(rèn)證的賬戶,反復(fù)提交提現(xiàn)申請(qǐng),并在短時(shí)間內(nèi)開通微信實(shí)名認(rèn)證賬戶,資金到達(dá)微信賬戶后,迅速通過(guò)綁定的銀行卡第二次轉(zhuǎn)出、分配。
了解上述漏洞的部分被告人,在貴州老家招募老鄉(xiāng)一起加入:一條由27人組成的租號(hào)、打賞、提現(xiàn)、轉(zhuǎn)賬、取錢的黑色鏈條快速形成。
2018年8月,快手公司進(jìn)行財(cái)務(wù)數(shù)據(jù)匯總,發(fā)現(xiàn)用戶提現(xiàn)金額和個(gè)稅數(shù)據(jù)不匹配、提現(xiàn)金額明顯異常后,這一漏洞方被修正。
法院查明,從2018年7月21日1時(shí)開始,到2018年8月2日22時(shí), 12天的時(shí)間里,僅謝某一人就通過(guò)上述方式收購(gòu)10組他人賬號(hào),累計(jì)套取資金125萬(wàn)余元。最終,謝某與其他26人,因盜竊罪分獲11年半到1年1個(gè)月不等的有期徒刑。