12月22日晚，快手直播间内短时间涌入大量违规内容，快手随即回应称平台遭到黑灰产攻击，正在紧急处理修复中。隔日午间，快手再度发布公告称，App直播功能已逐步恢复正常，其他服务未受影响。公司强烈谴责黑灰产的违法犯罪行为，已向公安机关报警并向相关部门报告。

　　快手回应。

　　有技术专家分析称，黑产要完成此次攻击，需使用已实名认证的账户。这类账户是可以通过撞库、盗号等方式获取，也可以利用虚拟小号批量注册账户后，绕过平台“实名认证”获得权限开启直播。如今，黑客借助自动化工具能实现违规内容的秒级发布与扩散，超出人工审核的应对极限，平台容易陷入“封禁不及新增”的被动局面。

　　基于此前黑灰产的攻击行为看，有安全专家推测分析，此次攻击的本质是流量暴力收割，黑灰产通过露骨内容为诱饵快速聚拢人气，并在账号被封禁前的极短时间内，通过站内打赏套利或将用户引流至站外私域场景完成变现。

　　这场被业内称为P0级事故（即最高级别事故）究竟是如何发生的？为何影响范围如此之广泛？又暴露出平台自身安全防护的哪些短板？

封禁违规直播间，为何要花一个多小时？

　　梳理这起网络攻击事件发生的主要时间线：12月22日晚22时左右，快手平台上大量直播间突然出现违规内容。23时30分起，快手启动紧急处置，对违规内容集中查删；23日零点以后，快手一度强制关闭直播功能，不少违规账号被封禁。直至凌晨2点，快手直播功能陆续恢复正常。

　　事情发酵后，网上有传言称，这些直播中隐藏着病毒链接。许多用户点入后，微信账号即被盗取，不法分子随即向账号好友发送借款请求，实施诈骗，目前已造成用户财产损失。12月23日上午，腾讯公司公关总监张军转发声明“昨晚到现在，没有相关的微信账号被盗案例，大家理性吃瓜”，并呼吁网友“千万别信谣传谣”。

　　网络尖刀创始人曲子龙撰文指出，从目前接收到的信息来看，这大概率是一场黑灰产攻击导致的群体事件。一个正常的用户想要在快手直播，要经历注册账户-实名认证-视频开播流程。如果黑产想要攻击，首先就需要已经实名认证账户。

　　据他介绍，黑产想要获取实名认证账户通常有两种方式，一是可以通过撞库、盗号等各种方式获取。另一种是通过第三方“接码”平台，利用虚拟小号、手机号批量注册账户后，通过漏洞或者其它方式绕过平台“实名认证”获得权限开播，这种情况必须有相对应的漏洞配合。总而言之，无论快手遭遇的是哪种情况，只要获得该平台已实名认证的用户权限，均可开启直播。

　　南都隐私护卫队了解到，所谓“接码”，是指通过非法手段或平台，代收他人手机短信验证码，用于注册、绑定互联网账号等非法活动。“接码平台”则是批量提供手机号码以及验证码服务的资源平台，它的背后往往伴随着网络刷单、恶意“薅羊毛”、电信诈骗等一系列违法犯罪活动。

　　多位网络安全专家向南都隐私护卫队表示，为何出现直播事故，具体原因尚不得而知。有专家认为，从公开信息看，此事暴露的一个核心问题是，为何平台检测和封禁能力失效？按理说，这种违规号一旦开始直播，几分钟内应该会被平台封禁，不至于发酵到如此严重的地步。

　　奇安信安全专家从行业的角度分析，当前黑灰产已全面迈入“自动化攻击”时代，黑客借助自动化工具批量注册、操控僵尸号，实现违规内容的秒级发布与扩散，这种规模化攻击完全超出人工审核的应对极限。面对每秒数十条的违规内容洪流，往往陷入“封禁不及新增”的被动局面，即便增派人手也难以填补攻防效率差。

　　绿盟科技副总裁曹嘉进一步分析，根据黑灰产攻击行为推演分析，这次攻击的核心逻辑在于将“内容违规”升级为一种针对业务逻辑的分布式拒绝服务冲击（DDoS）。攻击者利用数万个储备账号配合自动化技术，在短时间内发起高频开播请求，以海量并发对冲平台的审核与响应资源。这本质上并非简单的内容突破，而是通过极速消耗业务系统的处置上限，让后台防线陷入过载状态，从而为违规内容的扩散争取时间窗口。

　　在曹嘉看来，由于这种多点并发的强度远超常规处理能力，导致处置链路在极端高压下达到负载极限，平台为避免事态进一步失控，不得不采取切断直播入口等全局性的应急手段来止损。攻击者正是利用这种针对业务逻辑的饱和冲击，在短时间内制造负面舆情并放大品牌信誉损失，极大地提升了平台的应对难度和成本。

　　南都隐私护卫队注意到，在最新的公告中，快手尚未披露事故具体原因。快手隐私保护平台内容显示，该公司建立了由安全委员会决策层、安全委员会办公室、关联部门三个层级组成的安全组织保障架构，夯实信息安全建设基础。技术方面，快手采取业界普遍认可的入侵监测和防御、访问控制、安全加固、数据加密等安全技术措施守护数亿快手用户信息安全。如支持TLS 、QUIC等强大加密协议；部署实施拉WAF、HIDS、APT、安全审计平台等防护和监测设备，以防止数据遭受恶意攻击等。

“建立基于行为特征的批量对抗能力”

　　大量违规内容涌入直播间，给用户身心健康造成不良影响。面对这样的攻击，平台要承担怎样的职责？

　　北京乾成律师事务所律师王琮玮对南都隐私护卫队表示，根据法律规定，平台在违法有害信息的管理方面有两个法定义务，一是发现，二是处置。

　　王琮玮认为，平台应当具备发现违法有害信息内容的技术能力和管理能力，能够做到及时发现并辨识违法内容，比如通过关键词过滤、图像识别、语义分析等，实现对用户发布信息的自动化筛查，同时要不断迭代技术以应对新型违法有害信息的变种。此外，确认违法内容存在后，平台内部应具备健全的处置机制，处置措施与违法内容适配。

　　这起事件给行业带来何种警示？在曹嘉看来，此次攻击的本质是流量暴力收割，黑灰产通过露骨内容为诱饵快速聚拢人气，并在账号被封禁前的极短时间内，通过站内打赏套利或将用户引流至站外私域场景完成变现。对黑灰产而言，违规内容只是获取流量的手段，其真实意图是利用自动化手段抢夺平台的推荐分发资源，在处置难度陡增的真空期内快速完成变现。

　　曹嘉建议，直播平台的防御核心应从单纯的“违规内容识别”转向对“异常业务流量”的实时管控。一方面，权限准入需更加精细化，实名账号并不等同于高信誉，针对新注册或设备异常的账号，应在开播权限和初始推荐流量上实施分级约束，防止黑产利用海量账号瞬间形成规模化扩散。

　　另一方面，面对高发的自动化攻击，单纯依赖人工举报和单点封禁已难以应对，必须建立基于行为特征的批量对抗能力。“比如，通过分钟级识别‘同步开播’或‘内容高度同质’等聚集性异常信号，系统自动触发规模化限流或批量冻结，避免陷入被动防守。”曹嘉说。

（文章来源：南方都市报）