利用系统漏洞薅羊毛 27人盗刷快手627万余元获刑

4629笔订单、涉及827名用户，24天间，27人利用快手平台的升级漏洞恶意盗刷金额达672万元。北京市海淀法院日前通报称，法院以盗窃罪判处27人一年一个月至十一年半不等有期徒刑。案件主审法官表示，利用网络平台漏洞从事黑色产业链获利，是当前司法打击的重点。

27人不到一月恶意盗刷平台672万余元

快手APP是国内受众较广的短视频平台，用户可以在该平台以“打赏”礼物的方式对他人进行赠与或被赠与，所有礼物可转换为名为“黄钻”的平台内代币使用，并最终通过微信支付平台提现。

2018年7月，快手系统升级中，提现系统出现了一个小小的bug。订单失败后提现黄钻返回快手用户账户，但支付网关没有停止转账请求，还在不断尝试。在此期间，如果对应微信账号开通实名认证，则资金将从快手企业账户划拨至个人微信账户，用户将在未扣除黄钻情况下获得提现。利用这个漏洞，27人在24天内，从“快手”827名用户的4629笔订单中盗刷672万元。

被告人谢某等人利用所掌控账户的直播功能，首先通过账户互相打赏将对应黄钻攒至2000元，而后关联未开通或已经注销微信实名认证的账户反复提交提现申请，并在短时间内开通微信实名认证，资金到达微信账户后，迅速通过所绑定的银行卡第二次转出、分配。

以此方式，一条租号、打赏、提现、转账、取钱的黑色链条快速形成、蔓延，直到快手公司进行财务数据汇总，发现用户提现金额和个税数据不匹配、提现金额明显异常后，这一漏洞方被修正。

法院查明，2018年7月21日1时开始，到2018年8月2日22时，12天里，仅谢某一人就通过上述方式收购10组他人账号，累计套取资金125万余元。谢某最终被处罚金十一万元人民币，责令退赔经济损失一百二十五万余元人民币。同时，谢某与其他26人，因盗窃罪分获11年半到1年1个月不等的有期徒刑。

网络漏洞形成的黑产业链是司法打击重点

法官表示，快手盗刷案并不复杂，但是给民众尤其是黑灰产的从业人员两个重要的法律提示：其一是利用系统漏洞非法取财构成犯罪，其二是明知他人从事违法行为而有偿出租账户亦构成犯罪。

“薅羊毛”是与电子商务伴生的互联网现象。通常意义上，“薅羊毛”行为按照轻重程度可以分为三类：一是按照平台优惠规则、偶尔利用平台漏洞获取优惠自用的普通用户；二是利用平台优惠规则疏漏、借助信息及技术优势攫取优惠后进行二次转卖、变现的“羊毛党”；三是利用系统漏洞恶意牟利的黑灰产链条。上文的快手盗刷案，即属于第三种。

对于第一类行为，使用者属于正常消费行为，在法律、商业规则及市场规律范围内无须担心。事实上，这个层面的消费者的注意力应该集中在自身权利维护，尤其是在损失是由平台自身过错造成，消费者并无任何欺诈等心态的情况下。对此，不同平台反映不一，如去哪儿网、东航因系统失误而出现的超低价机票订单，最终宣布正常出票；但万豪酒店出现酒店订单错误，酒店最终取消已订房用户订单，平台赔偿 5000积分。

对于第二类专业“羊毛党”，明显恶意违法平台规则及利用系统漏洞的，在民事法律关系上属不当得利，受损害平台可以请求返还，在刑事法律评价上则相对暧昧，无法一概而论，但其中具有主观恶性，违法所得数额较大或影响较大的，同样构成刑事犯罪。

对于第三类利用系统漏洞恶意牟利的黑灰产链条，是目前的打击重点，本案中呈现出一个黑产新趋势：非法支付渠道向普通个人账号转移。

一般来说网络黑产的供给链可以划分为物料、流量和支付三大要件，以恶意注册账户为主供养物料，通过虚拟商品交易作为变现的主要渠道；而在羊毛灰产中则细化为卡商负责注册平台账号-网络黑客人员负责买卖“秒杀软件”-“羊毛党”负责在平台使用-收货端负责在二级市场变现。

但随着各个互联网平台尤其是几家互联网巨头对于恶意注册的联合打击，技术壁垒日益垒高，“养号”成本日益增高。于是黑产将目标锚定普通个人账号，如小许及胡某等人提供的账号，该种账号属正常账号，在技术上无法识别；这虽然在打击犯罪上提供了便利，但也对溯源上游犯罪带来挑战。

责任编辑：张文

原文转载于新浪财经新闻