互联网大厂内部惊现“黑客帝国”!
百度一名92年的程序员,为了“挣外快”,越权干起了业务审核部门的活。通过编写脚本、篡改数据等方式,连续穿过公司内部两道“防线”,在半年左右违规通过了735个媒体网站账号加入“百度联盟”的申请,使得公司374万元广告分成被蚕食。
这其中,部分走“绿灯”通过的网站内容,甚至涉及到赌博、彩票等业务。
92年程序员被“拉下水”
300块一个接“私活”
1992年出生的陈某睿,大学文化,2015年到百度时代网络技术(北京)有限公司工作,从事研发类的工作。
裁判文书显示,陈某睿所在部门为展示广告平台部的union团队,这个部门的工作内容和范围为负责百度联盟流量端的系统开发和维护,权限范围是百度联盟流量端系统的功能开发以及日常上线与维护。
陈某睿是负责系统的开发与维护工作。
2017年8月,微信上一名自称刘某的男子联系到了陈某睿,介绍了一门“生意”。
这门“生意”,是让陈某睿快速审核网站是否能有资质承接百度联盟广告,但被后者拒绝了。
刘某等人的“围猎”并未结束,没过多久,刘某从哈尔滨到了北京,在对外经贸大学附近一个饭馆约陈某睿吃饭,说还是想做审核网站的事情,需要使用百度在职员工的权限,帮助快速通过审核网站。
这一次,陈某睿动摇了。他跟刘某说先试试,审核每个网站300元,共审核30个,要了刘某9000元。
公开资料显示,百度联盟隶属于百度,包括百青藤、搜索推广合作、Hao123推广合作、聚屏推广合作等业务,日均有上百亿次的广告展现,合作伙伴数量近百万,服务的广告主数量逾80万家。目前已与终端厂商、运营商、移动APP、小程序、网站、软件等多类伙伴达成紧密合作,涉及移动、PC全域流量。合作伙伴年分成超200亿。
程序员改当“审核员”
编写脚本违规“开绿灯”
实际上,陈某睿并不具备审核权限。
一般来说,百度公司进行网站审核的正常方式是,由业务审核管理部依据联盟业务审核标准,对百度联盟风险防控平台待审核联盟潜在客户进行审核。
联盟的网站需要通过两道审核,方可上线。
正常流程下,客户提交网站先过机器审核策略,机器审核策略过滤掉问题网站(如包含无ICP备案,网址打不开等情况的),将没有触犯机器审核策略的网站推送至人工待审列表中,最终上线需要经过人工审核。
理论上,只有通过前期审核后,这些合作媒体后续才能通过百度系统投放线上百度接入的广告,从而获得百度公司的广告分成。
但陈某睿属于程序开发员,负责写程序以及网站,并不属于公司的审核部门,没有权限审核网站是否有资质承接百度联盟广告。
于是,陈某睿动起了歪心思。
裁判文书显示,陈某睿在公司电脑上使用CURL命令发送给公司的服务器,调用一个接口,这个接口可以自动审核网站,发送的CURL命令包括需要快速通过审核的网站,然后发送的网站就通过了承接百度联盟广告资质的审核。
之后,他的胆子越来越大,又在公司电脑内写了一个脚本,可以通过将网站的用户名和密码输入在里面,使其想要通过审核的网站使用这个脚本快速地写入其调用的自动审核的网站接口内,然后进行批量地使用CURL命令,向服务器发出指令,从而将其发送的网站通过百度广告联盟的资质审核。
从2017年9月至2018年3月期间,陈某睿通过越权审核,将他人提供的数百个申请加入“百度联盟”的媒体网站账号的审核状态修改为“审核通过”,并据此收受23.59万元。
次日即可回复审核结果
据刘某的同伙孙某的证词显示,“陈某睿的审核通过率高,十个里面有七、八个能通过。”
孙某表示,其大概制作了八九十个网站,注册了百度广告联盟的账号,其让这些账号申请接百度广告联盟的资质审核,并把这些正在申请审核的网站账号发给陈某睿,由后者操作将这些账号审核通过。
一般第二天,就能确定是否通过审核;如果一次没有通过,会继续提交,最后按照付的钱和谈好的价格把申请的账户数量补齐。
申请成功后,就会有广告放在网站账号上,自己点击网站,上面会有广告费,这些打广告的商家会按照点击量付给其广告费。
刘某表示,自己负责联系陈某睿,因为陈某睿提出,只与自己联系,不和孙某联系,怕不安全。
700多个平台违规过审
374万广告分成被蚕食
陈某睿的小动作,终于在几个月后被发现。
2018年2月27日,百度公司相关部门发现在风控平台审核媒体时,部分媒体无法进行正常审核操作。
经排查发现,这些媒体在UNION平台中是审核通过状态,但这些媒体在风控平台和UNION平台的审核状态不一致,可能存在人工调用审核接口使这些媒体绕过业审,有异常审核通过的情况存在。
进一步排查分析,发现疑似存在陈某睿在相关机器上进行了工作职责不相符合的操作,对部分没有经过业审审核的媒体,进行了“媒体审核通过”的操作,异常审核通过的媒体有735个,分成金额374.51万元。
正是由于陈某睿开的“绿灯”,百度的蛋糕被这些不符合规定的平台蚕食。
2018年3月2日,百度公司相关部门将上述情况以电子邮件形式发送给百度时代网络技术(北京)有限公司职业道德委员会。
公司得知此事后,于2018年3月5日指派相关工作人员找到陈某睿商谈此事,后者当场就承认了通过CURL命令调用流量端系统的媒体审核接口,以及通过编写脚本批量操作的方式调用了流量端系统的媒体审核接口,从而篡改数据,使得部分媒体获利的情况。
2018年3月13日,百度时代网络技术(北京)有限公司聘请第三方的北京神州绿盟科技有限公司,就百度公司媒体网站资质审核服务器出现异常情况进行应急处理,对相关服务器进行了检查和恢复数据,分析结论为用户名为chenborui的攻击者利用已有服务器做跳板,对媒体审核接口进行越权操作,在较长时间段里向媒体审核服务器中批量审批媒体域名上千条,导致媒体域名违规过审。
2018年3月11日,警方接到百度公司报案,后于同年4月20日将前往公司接受约谈的陈某睿传唤到案。
包含赌博、彩票信息的网站都过审
陈某睿审核通过的网站中,甚至还包括赌博等违规内容。
据百度公司职业道德建设部的员工证实,经从陈某睿篡改的网站中抽取4个网站,因网站内容涉及到赌博、彩票等业务,均不符合审核标准,正常审核时会在人工审核中拒绝通过。
值得一提的是,百度公司职业道德建设部成立于2011年,接受百度职业道德委员会领导,核心成员均为从事过企业内审、检察官、警察等职业的专业人士。
法院这么判
北京市海淀区人民法院一审认为,陈某睿违反国家规定,对计算机信息系统中存储、处理的数据进行修改,后果特别严重,其行为已构成破坏计算机信息系统罪,应予惩处。
法院指出,陈某睿利用其工作便利,在没有得到单位授权,也不是基于对单位计算机信息系统进行研发、维护、调试等工作需要的情况下,而是为了谋取其个人私利,超越其工作权限,采用技术手段擅自调用媒体接口,违规使大量网站通过媒体资质审核,将待审核的数据变更为审核通过的数据,系违规修改百度时代网络技术(北京)有限公司计算机信息系统内所存储、处理的相应分类数据的范围,因此该行为符合破坏计算机信息系统罪中对破坏行为的定义。
鉴于被告人陈某睿犯罪以后主动投案,到案后能如实供述其所犯罪行,系自首,且积极退缴全部违法所得,并赔偿了所在单位因本案而支出的信息技术服务费,亦取得了所在单位的谅解,有较好的悔罪表现,故本院对其依法减轻处罚。
最终,陈某睿获刑一年九个月。
本文源自中国基金报