196个名额领取奖励金800余次,直播平台前员工盗用后台权限薅羊毛15万

本报记者 封莉 北京报道

盗用管理权限篡改用户信息,上海警方侦破一起盗取直播平台奖励金案。上海警方供图

11月24日,《中国经营报》记者从上海市公安局获悉,近日上海警方侦破一起盗取直播平台奖励金案。

随着移动互联网技术的发展,网络直播成为高速发展的新兴业态,巨大的用户和流量带来巨额商机和利益。为了吸引更多用户、稳定扩大流量,不少直播平台尤其是新平台都会推出“邀请奖励”机制,以此鼓励用户推荐新人加入。不法分子正是盯上了这个机制,利用平台网络安全漏洞薅起了“羊毛”。

上海市公安局新闻发言人办公室庄莉强介绍,日前,上海警方根据企业报案,经缜密侦查,成功侦破一起非法获取直播平台超级管理权限、盗取“邀请奖励”机制返现奖励金的案件,抓获范某等3名犯罪嫌疑人。

“警方在该直播平台的后台管理系统中发现了9名用户,在并未发生邀请行为的情况下,成为了其他196位用户的‘邀请人’。”上海市公安局闵行分局网安支队支队长忻卫介绍案情时表示。

返现奖励金被盗取

据上海警方介绍,今年7月,上海市公安局闵行分局接到辖区一直播平台企业报案,称企业为鼓励用户推荐新人而设置的返现奖励金疑似被人冒领,直接经济损失15万元。

企业相关负责人表示,为了抢占市场、扩大用户群体,企业在直播平台推出了奖励用户推荐新人的机制,即鼓励平台现有用户邀请好友安装软件并注册,当被邀请人在平台进行充值后,其中的10%将返现奖励给邀请人。

然而,企业近期自查时发现,部分个人用户在系统中被标定为被邀请人,由此产生的奖励金被他人领走,而事实上,这些用户均为自发注册,并非被邀请。据初步梳理核查,此类被人为标定“受邀请状态”的自发注册用户有近200名。

循线追踪锁定犯罪团伙

接报后,闵行分局立即成立专案组开展案件侦查。经梳理,警方在该直播平台系统内发现了9名用户,在并未发生邀请行为的情况下,成为了其他196位用户的“邀请人”,累积领取奖励金达800余次,其中最多的用户在45天内领取235次,成了“专职”邀请人。民警联系走访了部分“被邀请人”,均表示没有收到过任何人员的邀请,也不认识9个用户的ID。

据此,警方循线持续深挖,发现犯罪嫌疑人使用了该直播平台后台管理系统的超级管理员权限对系统内部的用户信息进行了更改,并很快锁定了一个由范某、刘某、詹某3人组成的犯罪团伙。

三名前员工落网

8月22日,闵行警方组织警力赶赴福建,在当地警方协助下,成功将3名犯罪嫌疑人抓获归案。

经查,3名犯罪嫌疑人均为该企业前员工,其中犯罪嫌疑人范某在就职期间负责直播运营岗位,获得过后台管理系统的最高权限,并利用企业管理漏洞,偷偷增设了数个同样享有最高权限的系统账号。离职后,范某与同为该企业前员工的刘某、詹某相互勾结,利用这些账号进入直播平台后台管理系统,通过篡改用户信息而从企业获得奖励金。

犯罪嫌疑人刘某负责在系统中寻找、梳理未使用邀请功能,即未“被邀请”的注册用户,并将名单提供给范某进行篡改。犯罪嫌疑人詹某则负责将奖励金取现,为了逃避打击,他还购买了多张他人银行卡用于钱款转账和提现。

上海市公安局闵行分局网安支队案侦队队长张弘介绍,目前,犯罪嫌疑人范某某因涉嫌盗窃罪已被闵行警方依法逮捕,犯罪嫌疑人刘某和詹某被依法取保候审。相关企业已按照警方整改要求,对管理系统采取分级权限管理,定期巡查网络漏洞。

相关资讯