24天内，27人利用快手平台的升級漏洞，組成一條黑色産業鍊，盜刷平台672萬元。北京市海澱法院昨天（4月14日）通報稱，法院以盜竊罪判處27人11年半至1年1個月不等的有期徒刑。案件主審法官表示，利用網絡平台漏洞從事黑色産業鍊獲利，是當前司法打擊的重點。

作為國内受衆較廣的短視頻平台，快手APP的用戶可以在平台以“打賞”禮物的方式對他人進行贈與或被贈與，所有禮物可轉換為名為“黃鑽”的平台内代币使用，并最終通過微信支付平台提現。

案件資料顯示，2018年7月，“快手”系統升級中，“提現”系統出現了一個漏洞。利用這個漏洞，27人在24天内，從“快手”827名用戶的4629筆訂單中盜刷672萬元。

案件主審法官姜楠介紹，快手平台的虛拟禮物打賞功能，是由禮物系統對接微信的支付網關組成。按照微信支付相關實名認證要求，如果微信沒有開通實名認證則無法提現，此時“快手”提現訂單失敗。

2018年7月常規升級後，“快手”系統在處理失敗訂單方面出現漏洞，訂單失敗後提現“黃鑽”返回“快手”用戶賬戶，但支付網關沒有停止轉賬請求，還在不斷嘗試。其間，如果對應微信賬号開通實名認證，則資金将從“快手”企業賬戶劃撥至個人微信賬戶，用戶可在未扣除“黃鑽”情況下提現。

被告人謝某等人利用所掌控“快手”賬戶的直播功能，首先通過“快手”賬戶互相打賞将對應“黃鑽”攢至2000元，而後關聯未開通或已注銷微信實名認證的賬戶，反複提交提現申請，并在短時間内開通微信實名認證賬戶，資金到達微信賬戶後，迅速通過綁定的銀行卡第二次轉出、分配。

了解上述漏洞的部分被告人，在貴州老家招募老鄉一起加入：一條由27人組成的租号、打賞、提現、轉賬、取錢的黑色鍊條快速形成。

2018年8月，快手公司進行财務數據彙總，發現用戶提現金額和個稅數據不匹配、提現金額明顯異常後，這一漏洞方被修正。

法院查明，從2018年7月21日1時開始，到2018年8月2日22時， 12天的時間裡，僅謝某一人就通過上述方式收購10組他人賬号，累計套取資金125萬餘元。最終，謝某與其他26人，因盜竊罪分獲11年半到1年1個月不等的有期徒刑。

姜楠法官表示，“薅羊毛”是與電子商務伴生的互聯網現象。通常意義上，“薅羊毛”行為按照輕重程度可以分為三類：一是按照平台優惠規則，偶爾利用平台漏洞獲取優惠自用的普通用戶；二是利用平台優惠規則疏漏，借助信息及技術優勢攫取優惠後進行二次轉賣、變現的“羊毛黨”；三是利用系統漏洞惡意牟利的黑灰産鍊條。“快手”盜刷案，即屬于第三類。

對于第一類行為，使用者屬于正常消費行為，在法律、商業規則及市場規律範圍内無須擔心。

司法判例也在強化對這類消費者的保護。此前的“亞馬遜砍單案”中，購物網站亞馬遜在“雙十一”期間标明掃地機器人科沃斯價格為94元，後亞馬遜以系統操作錯誤、實際售價應為949元為由，單方取消訂單。後法院判決亞馬遜公司向290餘名被砍單消費者賠償訂單價格與市場價格之間差價855元，以防止虛假促銷、惡意單方砍單等行為泛濫。

對于第二類專業“羊毛黨”，明顯惡意違反平台規則及利用系統漏洞的，在民事法律關系上屬不當得利，受損害的平台可以請求返還，在刑事法律評價上則相對暧昧，無法一概而論，但其中具有主觀惡性，違法所得數額較大或影響較大的，同樣構成刑事犯罪。

對于第三類利用系統漏洞惡意牟利的黑灰産業鍊條，是目前司法打擊的重點，上訴案件中呈現出網絡黑灰産業鍊的新趨勢：非法支付渠道向普通個人賬号轉移。

一般來說網絡黑色産業鍊的供給可以劃分為物料、流量和支付三大要件，以惡意注冊賬戶為主供養物料，通過虛拟商品交易作為變現的主要渠道；而在“羊毛”灰産中則細化為，卡商負責注冊平台賬号—網絡黑客人員負責買賣“秒殺軟件”—“羊毛黨”負責在平台使用—收貨端負責在二級市場變現。

但随着各個互聯網平台尤其是幾家互聯網巨頭對于惡意注冊的聯合打擊，技術壁壘日益加高，“養号”成本日益增高。于是，黑灰産業鍊将目标鎖定為普通個人賬号，該種賬号屬于正常賬号，在技術上無法識别。這給溯源上遊犯罪等司法打擊帶來困難。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!