12月22日晚，快手直播间短时间内涌入大量违规内容。快手回应称平台遭黑灰产攻击，正在紧急处理修复。隔日午间，快手再度公告，App直播功能逐步恢复正常，其他服务未受影响。公司强烈谴责黑灰产违法犯罪行为，已向公安机关报警并向相关部门报告。

有技术专家分析，黑产完成此次攻击需用已实名认证账户，可通过撞库、盗号等获取，也能利用虚拟小号批量注册账户后绕过平台“实名认证”获权限开启直播。如今黑客借助自动化工具实现违规内容秒级发布与扩散，超出人工审核应对极限，平台易陷入“封禁不及新增”被动局面。

基于此前黑灰产攻击行为，有安全专家推测此次攻击本质是流量暴力收割。黑灰产以露骨内容为诱饵快速聚拢人气，在账号被封禁前极短时间内，通过站内打赏套利或将用户引流至站外私域场景完成变现。

这场被业内称为P0级事故的事件究竟如何发生？为何影响范围如此广泛？又暴露出平台自身安全防护哪些短板？

封禁违规直播间，为何要花一个多小时？

梳理这起网络攻击事件主要时间线：12月22日晚22时左右，快手平台大量直播间突然出现违规内容。23时30分起，快手启动紧急处置，集中查删违规内容。23日零点以后，快手一度强制关闭直播功能，不少违规账号被封禁。直至凌晨2点，快手直播功能陆续恢复正常。

事情发酵后，网上传言这些直播藏病毒链接，用户点入后微信账号被盗取，不法分子向账号好友发借款请求实施诈骗，已造成用户财产损失。12月23日上午，腾讯公司公关总监张军转发声明“昨晚到现在，没有相关的微信账号被盗案例，大家理性吃瓜”，并呼吁网友“千万别信谣传谣”。

网络尖刀创始人曲子龙撰文指出，大概率是黑灰产攻击导致的群体事件。正常用户在快手直播要经历注册账户-实名认证-视频开播流程，黑产攻击需已实名认证账户。

据他介绍，黑产获取实名认证账户通常有两种方式，一是通过撞库、盗号等获取，另一种是通过第三方“接码”平台，利用虚拟小号、手机号批量注册账户后，通过漏洞或其它方式绕过平台“实名认证”获权限开播，这种情况须有对应漏洞配合。总之，无论哪种情况只要获平台已实名认证用户权限均可开启直播。

南都隐私护卫队了解到，“接码”指通过非法手段或平台代收他人手机短信验证码用于注册、绑定互联网账号等非法活动。“接码平台”是批量提供手机号码及验证码服务的资源平台，背后常伴随网络刷单、恶意“薅羊毛”、电信诈骗等违法犯罪活动。

多位网络安全专家向南都隐私护卫队表示，直播事故具体原因尚不明。有专家认为，此事暴露的核心问题是平台检测和封禁能力为何失效。按理说，违规号直播几分钟内就应被平台封禁，不至于如此严重。

奇安信安全专家从行业角度分析，当前黑灰产已全面迈入“自动化攻击”时代，黑客借助自动化工具批量注册、操控僵尸号，实现违规内容秒级发布与扩散，这种规模化攻击超出人工审核应对极限。面对每秒数十条违规内容洪流，往往陷入“封禁不及新增”被动局面，即便增派人手也难填补攻防效率差。

绿盟科技副总裁曹嘉进一步分析，根据黑灰产攻击行为推演分析，这次攻击核心逻辑是将“内容违规”升级为针对业务逻辑的分布式拒绝服务冲击（DDoS）。攻击者利用数万个储备账号配合自动化技术，短时间内发起高频开播请求，以海量并发对冲平台审核与响应资源。这本质不是简单内容突破，而是通过极速消耗业务系统处置上限，让后台防线过载，为违规内容扩散争取时间窗口。

在曹嘉看来，由于这种多点并发强度远超常规处理能力，导致处置链路在极端高压下达到负载极限，平台为避免事态失控，不得不采取切断直播入口等全局性应急手段止损。攻击者利用这种针对业务逻辑的饱和冲击，短时间内制造负面舆情并放大品牌信誉损失，极大提升平台应对难度和成本。

南都隐私护卫队注意到，快手最新公告未披露事故具体原因。快手隐私保护平台内容显示，公司建立了由安全委员会决策层、安全委员会办公室、关联部门三个层级组成的安全组织保障架构，夯实信息安全建设基础。技术方面，快手采取业界普遍认可的入侵监测和防御、访问控制、安全加固、数据加密等安全技术措施守护数亿快手用户信息安全。如支持TLS 、QUIC等强大加密协议；部署实施拉WAF、HIDS、APT、安全审计平台等防护和监测设备，防止数据遭受恶意攻击等。

“建立基于行为特征的批量对抗能力”

大量违规内容涌入直播间，给用户身心健康造成不良影响。面对这样的攻击，平台要承担怎样的职责？

北京乾成律师事务所律师王琮玮对南都隐私护卫队表示，根据法律规定，平台在违法有害信息管理方面有两个法定义务，一是发现，二是处置。

王琮玮认为，平台应具备发现违法有害信息内容的技术能力和管理能力，能及时发现并辨识违法内容，比如通过关键词过滤、图像识别、语义分析等实现对用户发布信息的自动化筛查，同时要不断迭代技术应对新型违法有害信息变种。此外，确认违法内容存在后，平台内部应具备健全处置机制，处置措施与违法内容适配。

这起事件给行业带来何种警示？在曹嘉看来，此次攻击本质是流量暴力收割，黑灰产以露骨内容为诱饵快速聚拢人气，在账号被封禁前极短时间内，通过站内打赏套利或将用户引流至站外私域场景完成变现。对黑灰产而言，违规内容只是获取流量手段，其真实意图是利用自动化手段抢夺平台推荐分发资源，在处置难度陡增的真空期内快速完成变现。

曹嘉建议，直播平台防御核心应从单纯的“违规内容识别”转向对“异常业务流量”的实时管控。一方面，权限准入要更精细化，实名账号不等同高信誉，针对新注册或设备异常的账号，应在开播权限和初始推荐流量上实施分级约束，防止黑产利用海量账号瞬间形成规模化扩散。

另一方面，面对高发的自动化攻击，单纯依赖人工举报和单点封禁难以应对,必须建立基于行为特征的批量对抗能力。“比如，通过分钟级识别‘同步开播’或‘内容高度同质’等聚集性异常信号，系统自动触发规模化限流或批量冻结，避免陷入被动防守。”曹嘉说。

（文章来源：南方都市报）

原标题：追问快手直播间事故：被黑灰产攻击的至暗1小时发生了什么？

郑重声明：信查查发布此内容旨在传播更多信息，与本站立场无关，不构成投资建议。据此操作，风险自担。