据他介绍,黑产想要获取实名认证账户通常有两种方式,一是可以通过撞库、盗号等各种方式获取。另一种是通过第三方“接码”平台,利用虚拟小号、手机号批量注册账户后,通过漏洞或者其它方式绕过平台“实名认证”获得权限开播,这种情况必须有相对应的漏洞配合。总而言之,无论快手遭遇的是哪种情况,只要获得该平台已实名认证的用户权限,均可开启直播。
南都隐私护卫队了解到,所谓“接码”,是指通过非法手段或平台,代收他人手机短信验证码,用于注册、绑定互联网账号等非法活动。“接码平台”则是批量提供手机号码以及验证码服务的资源平台,它的背后往往伴随着网络刷单、恶意“薅羊毛”、电信诈骗等一系列违法犯罪活动。
多位网络安全专家向南都隐私护卫队表示,为何出现直播事故,具体原因尚不得而知。有专家认为,从公开信息看,此事暴露的一个核心问题是,为何平台检测和封禁能力失效?按理说,这种违规号一旦开始直播,几分钟内应该会被平台封禁,不至于发酵到如此严重的地步。
奇安信安全专家从行业的角度分析,当前黑灰产已全面迈入“自动化攻击”时代,黑客借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散,这种规模化攻击完全超出人工审核的应对极限。面对每秒数十条的违规内容洪流,往往陷入“封禁不及新增”的被动局面,即便增派人手也难以填补攻防效率差。
绿盟科技副总裁曹嘉进一步分析,根据黑灰产攻击行为推演分析,这次攻击的核心逻辑在于将“内容违规”升级为一种针对业务逻辑的分布式拒绝服务冲击(DDoS)。攻击者利用数万个储备账号配合自动化技术,在短时间内发起高频开播请求,以海量并发对冲平台的审核与响应资源。这本质上并非简单的内容突破,而是通过极速消耗业务系统的处置上限,让后台防线陷入过载状态,从而为违规内容的扩散争取时间窗口。
在曹嘉看来,由于这种多点并发的强度远超常规处理能力,导致处置链路在极端高压下达到负载极限,平台为避免事态进一步失控,不得不采取切断直播入口等全局性的应急手段来止损。攻击者正是利用这种针对业务逻辑的饱和冲击,在短时间内制造负面舆情并放大品牌信誉损失,极大地提升了平台的应对难度和成本。
南都隐私护卫队注意到,在最新的公告中,快手尚未披露事故具体原因。快手隐私保护平台内容显示,该公司建立了由安全委员会决策层、安全委员会办公室、关联部门三个层级组成的安全组织保障架构,夯实信息安全建设基础。技术方面,快手采取业界普遍认可的入侵监测和防御、访问控制、安全加固、数据加密等安全技术措施守护数亿快手用户信息安全。如支持TLS 、QUIC等强大加密协议;部署实施拉WAF、HIDS、APT、安全审计平台等防护和监测设备,以防止数据遭受恶意攻击等。
“建立基于行为特征的批量对抗能力”
大量违规内容涌入直播间,给用户身心健康造成不良影响。面对这样的攻击,平台要承担何种职责?
北京乾成律师事务所律师王琮玮对南都隐私护卫队表示,根据法律规定,平台在违法有害信息的管理方面有两个法定义务,一是发现,二是处置。
这起事件给行业带来何种警示?在曹嘉看来,此次攻击的本质是流量暴力收割,黑灰产通过露骨内容为诱饵快速聚拢人气,并在账号被封禁前的极短时间内,通过站内打赏套利或将用户引流至站外私域场景完成变现。对黑灰产而言,违规内容只是获取流量的手段,其真实意图是利用自动化手段抢夺平台的推荐分发资源,在处置难度陡增的真空期内快速完成变现。返回搜狐,查看更多