1.1　互联网业务安全现状

纵观全球，互联网业务安全事故频发，随之而来的一系列欺诈和诈骗等事件也逐渐走进公众的视野。从结果看来，不仅中小互联网公司深受其害，大型互联网厂商也难以幸免。下面简要介绍一些互联网行业内影响较大的业务安全事件。

2015年10月19日，乌云网宣布发现新漏洞，该漏洞导致网易163和126邮箱上亿条的用户数据被泄露，其中包括用户名、密码等敏感信息[1]，造成了非常恶劣的社会影响。用户受到的威胁主要有关联的iCloud账号被盗、手机被锁、其他使用网易邮箱注册的服务被篡改等。

2016年11月16日，在美股上市的公司宜人贷发布的第三季度财报披露，2016年7月发生一项针对该公司某极速借款产品的有组织的欺诈事件，让其认列了一项约8126万元（人民币）的特殊风险准备金[2,3]。无独有偶，红岭创投也多次被曝出因内外勾结而被骗贷的新闻[4,5]。

2016年12月10日，有消息称京东用户信息遭泄露[6,7]，一个大小为12 GB的数据包在互联网上流传，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等敏感数据，多达数千万条。京东于当年12月11日凌晨2点迅速做出反应，表示该信息泄露源于2013年Struts 2的安全漏洞，在问题被发现后迅速进行了修复，但是因部分账户未及时升级账户安全策略，所以有一些信息被泄露。

2017年11月21日，美国打车软件公司优步（Uber）被彭博新闻社曝出用户信息被泄露的丑闻[8,9,10]。该公司在2016年10月曾发生一起极其严重的信息泄露事件，全球5700多万用户和700万名司机的个人信息被泄露，优步公司更是为此支付了10万美元的“封口费”。该事件的影响深远，欧洲多个国家的数据保护机构纷纷跟进调查，美国和英国的政府也表示严重关切。

2018年4月11日，浙江余姚人民检察院发布消息[11,12]，“90后”小伙陈某于2017年12月8日上午发现支付宝的某漏洞：在支付宝某页面中输入任意手机号码，支付宝后台服务器便认定该手机号码绑定的支付宝账户扫了陈某的支付宝二维码，该手机号码对应的用户便会获得支付宝的营销红包，而在该红包被抵用之后，陈某就能在支付宝内获得同等额度的赏金。两天时间内，陈某便获得了90多万元的赏金，而且陈某还将该方法授予其兄弟李某，李某利用该方法也获利20余万元。支付宝方面在发现异常后，向公安机关报警。2018年1月2日，陈某被余姚市公安局抓获，并以破坏计算信息系统罪被批准逮捕。

上述热点事件仅仅是互联网业务安全事故的冰山一角。可以说从互联网（万维网）诞生开始，业务安全就是绕不开的话题。而目前全世界的网民数量已经超过40亿，伴随着移动互联网的兴起、“互联网+”应用的日益深入，互联网早已经成为人们日常生活的一部分，借由互联网开展的业务已经渗透到衣食住行等各个方面。根据相关统计数据，2016年中国数字经济总量达到22.6万亿元，在GDP中的占比超过30%[13]。这样庞大的利益蛋糕必然会吸引网络黑灰产和“羊毛党”的关注，他们会利用各种技术和非技术（社会工程学）手段来攫取利益。有关统计数据显示，全球范围内各种欺诈、钓鱼、拖库、撞库等案件以每年30%的速度递增，其中仅国内的黑灰产人员就超过了150万，每年造成的资金损失规模高达千亿元。

对于那些黑灰产“专业户”而言，他们很清楚不同规模企业的风控程度及风险应对能力。许多大型企业由于有充足的资金和人力，甚至会在各种黑灰产链条中埋下眼线。可以说黑灰产与企业间的斗争像警匪片，而在巨大利益的诱惑下，真实情况还要复杂得多。

例如，对于电商平台上的商家而言，流量就是红利，多一些好评，多一些展示机会，可能就意味着多几百万元的收益。一般而言，平台对商家的管控能力是有限的，同时，新商品销售的冷启动、爆款商品销量的维持一直是商家要解决的难题，这就导致了商家会通过广告以外的非正常手段来提升流量。对于平台来说，商家这样做也增加了平台的流量与收入，所以大部分互联网企业为了追求收益都会放任商家的行为。这样做从短期来看似乎有利可图，但是从长期来看，不仅会降低用户对平台的信任度，更会造成劣币驱逐良币的现象。

许多灰产（比如“羊毛党”）会直接侵犯平台的权益，不论是流量推广、红包激励还是大促活动，他们都能从平台原本要让给用户和商家的利益中“薅羊毛”。举一个简单的例子，比如做流量推广，每个App的推广都需要投入极大的资金，当前很多企业选择将其外包给第三方来做，最后进行结算。这时总会有一些黑灰产或者“羊毛党”利用“僵尸用户”或者模拟真实用户消耗企业的推广资金（当然，大多企业还是会自己统计流量推广所带来的用户量与留存用户量之间的差距的）。

小企业可以幸免吗？答案当然是否定的，小企业遭受的损失甚至有过之而无不及。小企业由于其体量小，往往认识不到其中的风险，或者即使认识到了也没有精力做好风控。在互联网平台的运营过程中，对运营方案考虑不周会使黑灰产有机可乘，轻则“吃掉”大部分活动的预算，重则拖垮整个公司。

随着电商的兴起及移动支付的繁荣，资金的流转越来越便利和频繁，这也给不法分子很多可乘之机。而互联网金融的兴起，让黑灰产趋之若鹜，为了高额的非法收益不惜铤而走险。纵观近年来的业务安全事件，可以总结出如下特点：

●　频率高，范围广。互联网业务安全事件的数量呈逐年上升态势，波及范围甚广，例如波及全球的比特币勒索病毒WanaCrypt0r 2.0（永恒之蓝）事件。

●　高度产业链化。黑灰产已经逐步形成一条完整的产业链，内部分工明确、技术专业，而且十分隐蔽。

●　危害严重，社会影响较大。一些互联网业务安全事件的社会危害程度很大，甚至会伤及受害人的性命，例如电信诈骗。

互联网技术极大地推动了社会发展，为企业创造了可观的财富，也被很多不法分子当作吸金的工具。他们就像苍蝇一样一路追寻着利益，利用各种互联网技术进行偷盗、诈骗、敲诈等不法行为。可以说围绕互联网的黑灰产正以极快的速度蔓延，给互联网业务安全带来极大影响。互联网业务安全正面临着严峻的形势与挑战，现状不容乐观。