黑灰產(chǎn)攻擊讓快手猝不及防。


“快手直播間出事了。”12月22日,接近午夜時(shí)分,類似的消息在網(wǎng)上流竄,大量網(wǎng)友在并不知曉詳情的情況下涌入快手直播間“吃瓜”。有網(wǎng)友告訴貝殼財(cái)經(jīng)記者,自己只看到了不到一分鐘的“傳說(shuō)中的內(nèi)容”,直播間快速關(guān)閉。


幾乎在同一時(shí)間,正在直播的電商商家也被迫中斷,全平臺(tái)直播陷入宕機(jī)狀態(tài),直播間一片寂靜。


23日凌晨,貝殼財(cái)經(jīng)記者自快手獲悉,平臺(tái)于22日22時(shí)左右遭到黑灰產(chǎn)攻擊,已緊急處理修復(fù)中?!捌脚_(tái)堅(jiān)決抵制違規(guī)內(nèi)容,相應(yīng)情況已上報(bào)給相關(guān)部門,并向公安機(jī)關(guān)報(bào)警?!?/p>


從攻擊發(fā)生到平臺(tái)做出“拉閘”的決斷,據(jù)記者采訪獲取的信息計(jì)算,大約經(jīng)歷了漫長(zhǎng)的兩個(gè)小時(shí)。


阻斷黑灰產(chǎn)攻擊為什么需要長(zhǎng)達(dá)兩個(gè)小時(shí)?有網(wǎng)絡(luò)安全專家向貝殼財(cái)經(jīng)記者表示,正常情況下平臺(tái)通常會(huì)有針對(duì)低俗、色情、暴力等內(nèi)容的視頻審核服務(wù)。而一旦違規(guī)內(nèi)容集中爆發(fā),原本準(zhǔn)備的視頻智能審核的云投入的并發(fā)不夠大,可能審核能力無(wú)法實(shí)時(shí)完成,也就造成了失控。而企業(yè)做出關(guān)停直播的決策也需要時(shí)間。


雖然快手按下了緊急制動(dòng)“按鍵”,但互聯(lián)網(wǎng)的熱度卻不斷飆升。蘋果應(yīng)用商店截圖顯示,截至12月23日午間,快手升至免費(fèi)App(應(yīng)用程序)排行榜第二名,快手極速版排名第15。


12月23日午間,快手再度發(fā)布公告稱,App直播功能已逐步恢復(fù)正常,其他服務(wù)未受影響。但資本市場(chǎng)仍舊用腳投票,截至記者發(fā)稿時(shí),快手-W報(bào)每股64.35港元,下跌3.52%。


都有誰(shuí)經(jīng)歷了這“失控的兩小時(shí)”?黑灰產(chǎn)攻擊是如何找到漏洞的?平臺(tái)應(yīng)如何從源頭加固防線?


有用戶目睹不到一分鐘的色情內(nèi)容直播,在線人數(shù)達(dá)26萬(wàn)


“快手直播間出事了。”


12月22日23時(shí)54分左右,一條來(lái)自朋友的消息,讓一位平時(shí)并不怎么看快手的網(wǎng)友點(diǎn)開了快手App。直播界面推薦的第一個(gè)直播間,讓他目睹了不到一分鐘的色情內(nèi)容直播,隨后,畫面戛然而止。


該網(wǎng)友提供的截圖顯示,截至23時(shí)56分,直播間在線人數(shù)達(dá)26萬(wàn)。隨后直播間關(guān)閉,他在23日0時(shí)6分左右再度點(diǎn)開快手直播頁(yè)面,頁(yè)面顯示“沒(méi)有內(nèi)容”。


受訪者提供截圖顯示,當(dāng)時(shí)直播間有26萬(wàn)人。


風(fēng)暴同樣掠過(guò)正在直播的主播。


一名快手電商商家向記者講述經(jīng)歷時(shí)表示自己當(dāng)時(shí)并不知道平臺(tái)遭遇了攻擊,“12時(shí)左右我們的直播被中斷后就直接下播了。因?yàn)槿脚_(tái)都刷不出來(lái)直播內(nèi)容,所以我們覺(jué)得這種情況一般都是平臺(tái)的問(wèn)題,就沒(méi)有向運(yùn)營(yíng)反饋?!?/p>


另外,一位快手電商商家直播動(dòng)態(tài)頁(yè)面顯示,其在22日20時(shí)29分至23時(shí)22分進(jìn)行了直播,22日23時(shí)34分至23日0時(shí)9分再次進(jìn)行直播,兩次直播短暫進(jìn)行后均被中斷。


平臺(tái)知曉遭到黑灰產(chǎn)攻擊后,已緊急處理修復(fù)。但口子已被撕開,社交媒體網(wǎng)友熱議,甚至有傳言稱,違規(guī)直播間中隱藏著病毒鏈接,許多用戶點(diǎn)入后,微信賬號(hào)即被盜取,不法分子隨即向賬號(hào)好友發(fā)送借款請(qǐng)求,實(shí)施詐騙。


對(duì)此,微信在23日上午11時(shí)08分回應(yīng)稱,經(jīng)核實(shí),上述信息不屬實(shí)。微信賬號(hào)有嚴(yán)格的安全保護(hù)機(jī)制,截至目前沒(méi)有發(fā)現(xiàn)相關(guān)問(wèn)題和收到類似反饋。


23日,平臺(tái)直播間逐漸恢復(fù)正常,快手發(fā)布聲明稱,快手應(yīng)用的直播功能已逐步恢復(fù)正常服務(wù),其他服務(wù)未受影響。


輿論持續(xù)發(fā)酵,到23日中午時(shí)分,快手一度升至蘋果應(yīng)用商店免費(fèi)App排行榜第二名,而它前后分別都是老對(duì)手字節(jié)系產(chǎn)品,第一名是豆包,第三名是紅果短劇。


截至23日午間,記者查詢蘋果商店頁(yè)面發(fā)現(xiàn),快手居免費(fèi)App排行榜第二名,快手極速版居第15名。


當(dāng)防線被沖垮:算力擠兌與兩小時(shí)的決策困境


社交媒體上真假難辨的消息折射出快手此次遭遇黑灰產(chǎn)攻擊帶來(lái)給公眾的網(wǎng)絡(luò)安全憂慮。


根據(jù)今年9月國(guó)家互聯(lián)網(wǎng)信息辦公室公布的《國(guó)家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》,地市級(jí)以上黨政機(jī)關(guān)、企事業(yè)單位門戶網(wǎng)站,省級(jí)以上重點(diǎn)新聞網(wǎng)站,大型以上網(wǎng)絡(luò)平臺(tái)等被攻擊篡改,導(dǎo)致違法有害信息大范圍傳播。以下情況之一,可認(rèn)定為“大范圍”:(1)在主頁(yè)上出現(xiàn)并持續(xù)2小時(shí)以上,或在其他頁(yè)面出現(xiàn)并持續(xù)12小時(shí)以上;(2)通過(guò)社交平臺(tái)轉(zhuǎn)發(fā)1萬(wàn)次以上;(3)瀏覽或點(diǎn)擊次數(shù)10萬(wàn)以上;(4)省級(jí)以上網(wǎng)信部門、公安機(jī)關(guān)認(rèn)定為是“大范圍傳播”的。


“從目前接收到的信息來(lái)看,(快手)大概率是被黑灰產(chǎn)集中利用開播導(dǎo)致的。幾萬(wàn)個(gè)賬戶同時(shí)違規(guī)直播,占滿‘視頻AI審核’的算力,讓直播內(nèi)容審核系統(tǒng)產(chǎn)生大量隊(duì)列甚至癱瘓,一定是這次攻擊實(shí)施的必經(jīng)之路?!本W(wǎng)絡(luò)安全專家曲子龍向貝殼財(cái)經(jīng)記者解釋道?!翱焓诌@次的問(wèn)題,很多人反饋出現(xiàn)了大量的新號(hào)開播,但是不是通過(guò)手機(jī)號(hào)注冊(cè)就能開播、沒(méi)做實(shí)名身份認(rèn)證,還是實(shí)名認(rèn)證被技術(shù)繞過(guò)導(dǎo)致這些群控用戶直接開播還未能確定?!?/p>


一位網(wǎng)絡(luò)安全行業(yè)從業(yè)者揭示了攻擊可能的起點(diǎn):海量賬號(hào)注冊(cè)。黑灰產(chǎn)可能在一個(gè)存在大量手機(jī)SIM卡的“貓池”里以秒級(jí)為單位海量注冊(cè)以萬(wàn)計(jì)的僵尸號(hào)。這些僵尸號(hào)注冊(cè)為平臺(tái)賬戶,再通過(guò)自動(dòng)化腳本模擬真實(shí)用戶行為,例如在網(wǎng)頁(yè)上翻頁(yè)、點(diǎn)贊等,繞開平臺(tái)的風(fēng)控模型,讓平臺(tái)誤以為它是真實(shí)用戶。而用戶IP地址敏感,或出現(xiàn)發(fā)表不良言論等異常行為才可能會(huì)引起平臺(tái)注意。


從快手宣稱遭遇攻擊到全平臺(tái)直播內(nèi)容“拉閘”大約經(jīng)歷了2個(gè)小時(shí),背后可能是算力無(wú)法支撐大量違規(guī)內(nèi)容并發(fā)審核,并且內(nèi)部做出決策需要時(shí)間。顯然,這套日常運(yùn)轉(zhuǎn)的防御機(jī)制,在當(dāng)晚遭遇了極限壓力測(cè)試。


“這背后,是算力無(wú)法支撐大量違規(guī)內(nèi)容的并發(fā)審核,以及內(nèi)部做出重大決策所需的時(shí)間?!鼻育埥忉尩?。


他詳細(xì)拆解了平臺(tái)日常的審核邏輯:正常情況下,平臺(tái)通常會(huì)有視頻內(nèi)容的低俗、色情、暴力等針對(duì)性的視頻審核服務(wù),一般先由智能AI審核,把鑒定準(zhǔn)確且認(rèn)可的直接封禁,疑似或者有問(wèn)題的再推給人工客服來(lái)審核。平臺(tái)的AI審核與實(shí)時(shí)的視頻流相比是“異步”的,平臺(tái)更多是把某個(gè)時(shí)間段的視頻流切割成視頻,推給AI審核,再反饋結(jié)果,這里存在時(shí)間阻隔。


他進(jìn)一步解釋稱,在平臺(tái)正常運(yùn)行、低俗、色情內(nèi)容不多的情況下,上述工作流可以正常運(yùn)行。一旦違規(guī)內(nèi)容集中式爆發(fā),原本準(zhǔn)備的視頻智能審核的云投入的并發(fā)不夠大,一堆需要審核的內(nèi)容同一時(shí)間瘋狂涌入智能AI審核任務(wù)里,造成審核能力無(wú)法實(shí)時(shí)完成,出現(xiàn)隊(duì)列和擁堵,審核無(wú)法第一時(shí)間直接快速給予業(yè)務(wù)反饋這個(gè)直播是否有問(wèn)題,業(yè)務(wù)自然也不知道問(wèn)題到底出在哪個(gè)直播間,要關(guān)閉哪個(gè)。


“即便是業(yè)務(wù)發(fā)現(xiàn)了集中式的情況,從發(fā)現(xiàn)問(wèn)題,擴(kuò)寬業(yè)務(wù)審核的‘通路’到發(fā)現(xiàn)涉及直播間數(shù)量太多完全失控,再換方案上報(bào)高層決策直接關(guān)閉整個(gè)直播間,對(duì)一家大公司來(lái)說(shuō)一定時(shí)間是很正常的。停了直播間是重大事故,每分鐘都在創(chuàng)造經(jīng)濟(jì)價(jià)值,這個(gè)決策不是安全團(tuán)隊(duì)可以直接決策的。”他說(shuō)。


企業(yè)網(wǎng)絡(luò)安全事故發(fā)生后擋不住的謠言更值得深思。平臺(tái)應(yīng)如何從源頭加固防線?


前述網(wǎng)絡(luò)安全從業(yè)者認(rèn)為,針對(duì)大量新賬號(hào)同步開播等異常場(chǎng)景,平臺(tái)需要提高風(fēng)險(xiǎn)評(píng)估機(jī)制敏感度,并具備時(shí)效性更高的中斷推流機(jī)制。另外短時(shí)間注冊(cè)大量新賬號(hào)的場(chǎng)景也需要一定的風(fēng)控。


曲子龍則提出了更根本的身份驗(yàn)證思路,拋開劫持問(wèn)題,如果針對(duì)平臺(tái)的賬戶認(rèn)證問(wèn)題,最好的方案就是不信任用戶“過(guò)去的認(rèn)證狀態(tài)”,在直播前再次檢驗(yàn)一次人臉識(shí)別,核對(duì)實(shí)名信息與直播本人是否吻合?!斑@樣相當(dāng)于簽發(fā)了一張‘電子合同’,直播間再出現(xiàn)違法亂紀(jì)問(wèn)題,如果并非因?yàn)槠脚_(tái)技術(shù)漏洞導(dǎo)致的話,那應(yīng)該是用戶自己的違法問(wèn)題?!?/p>


對(duì)于批量攻擊占滿審核資源的問(wèn)題,他表示,一是加強(qiáng)算力,二是開設(shè)直播門檻,每個(gè)賬戶開播前都需要對(duì)比實(shí)名認(rèn)證的身份與人臉核驗(yàn),顯然對(duì)黑灰產(chǎn)造成約束。


當(dāng)下一次洪水來(lái)襲,堤壩是否已筑得更高、更智能?


新京報(bào)貝殼財(cái)經(jīng)記者 韋英姿 羅亦丹 編輯 陳莉 校對(duì) 柳寶慶