被攻擊后 快手直播緊急拉閘前的兩小時

黑灰產(chǎn)攻擊讓快手猝不及防。

“快手直播間出事了。”12月22日，接近午夜時分，類似的消息在網(wǎng)上流竄，大量網(wǎng)友在并不知曉詳情的情況下涌入快手直播間“吃瓜”。有網(wǎng)友告訴貝殼財經(jīng)記者，自己只看到了不到一分鐘的“傳說中的內(nèi)容”，直播間快速關閉。

幾乎在同一時間，正在直播的電商商家也被迫中斷，全平臺直播陷入宕機狀態(tài)，直播間一片寂靜。

23日凌晨，貝殼財經(jīng)記者自快手獲悉，平臺于22日22時左右遭到黑灰產(chǎn)攻擊，已緊急處理修復中。“平臺堅決抵制違規(guī)內(nèi)容，相應情況已上報給相關部門，并向公安機關報警。”

從攻擊發(fā)生到平臺做出“拉閘”的決斷，據(jù)記者采訪獲取的信息計算，大約經(jīng)歷了漫長的兩個小時。

阻斷黑灰產(chǎn)攻擊為什么需要長達兩個小時？有網(wǎng)絡安全專家向貝殼財經(jīng)記者表示，正常情況下平臺通常會有針對低俗、色情、暴力等內(nèi)容的視頻審核服務。而一旦違規(guī)內(nèi)容集中爆發(fā)，原本準備的視頻智能審核的云投入的并發(fā)不夠大，可能審核能力無法實時完成，也就造成了失控。而企業(yè)做出關停直播的決策也需要時間。

雖然快手按下了緊急制動“按鍵”，但互聯(lián)網(wǎng)的熱度卻不斷飆升。蘋果應用商店截圖顯示，截至12月23日午間，快手升至免費App（應用程序）排行榜第二名，快手極速版排名第15。

12月23日午間，快手再度發(fā)布公告稱，App直播功能已逐步恢復正常，其他服務未受影響。但資本市場仍舊用腳投票，截至記者發(fā)稿時，快手-W報每股64.35港元，下跌3.52%。

都有誰經(jīng)歷了這“失控的兩小時”？黑灰產(chǎn)攻擊是如何找到漏洞的？平臺應如何從源頭加固防線？

有用戶目睹不到一分鐘的色情內(nèi)容直播，在線人數(shù)達26萬

“快手直播間出事了。”

12月22日23時54分左右，一條來自朋友的消息，讓一位平時并不怎么看快手的網(wǎng)友點開了快手App。直播界面推薦的第一個直播間，讓他目睹了不到一分鐘的色情內(nèi)容直播，隨后，畫面戛然而止。

該網(wǎng)友提供的截圖顯示，截至23時56分，直播間在線人數(shù)達26萬。隨后直播間關閉，他在23日0時6分左右再度點開快手直播頁面，頁面顯示“沒有內(nèi)容”。

受訪者提供截圖顯示，當時直播間有26萬人。

風暴同樣掠過正在直播的主播。

一名快手電商商家向記者講述經(jīng)歷時表示自己當時并不知道平臺遭遇了攻擊，“12時左右我們的直播被中斷后就直接下播了。因為全平臺都刷不出來直播內(nèi)容，所以我們覺得這種情況一般都是平臺的問題，就沒有向運營反饋。”

另外，一位快手電商商家直播動態(tài)頁面顯示，其在22日20時29分至23時22分進行了直播，22日23時34分至23日0時9分再次進行直播，兩次直播短暫進行后均被中斷。

平臺知曉遭到黑灰產(chǎn)攻擊后，已緊急處理修復。但口子已被撕開，社交媒體網(wǎng)友熱議，甚至有傳言稱，違規(guī)直播間中隱藏著病毒鏈接，許多用戶點入后，微信賬號即被盜取，不法分子隨即向賬號好友發(fā)送借款請求，實施詐騙。

對此，微信在23日上午11時08分回應稱，經(jīng)核實，上述信息不屬實。微信賬號有嚴格的安全保護機制，截至目前沒有發(fā)現(xiàn)相關問題和收到類似反饋。

23日，平臺直播間逐漸恢復正常，快手發(fā)布聲明稱，快手應用的直播功能已逐步恢復正常服務，其他服務未受影響。

輿論持續(xù)發(fā)酵，到23日中午時分，快手一度升至蘋果應用商店免費App排行榜第二名，而它前后分別都是老對手字節(jié)系產(chǎn)品，第一名是豆包，第三名是紅果短劇。

截至23日午間，記者查詢蘋果商店頁面發(fā)現(xiàn)，快手居免費App排行榜第二名，快手極速版居第15名。

當防線被沖垮：算力擠兌與兩小時的決策困境

社交媒體上真假難辨的消息折射出快手此次遭遇黑灰產(chǎn)攻擊帶來給公眾的網(wǎng)絡安全憂慮。

根據(jù)今年9月國家互聯(lián)網(wǎng)信息辦公室公布的《國家網(wǎng)絡安全事件報告管理辦法》，地市級以上黨政機關、企事業(yè)單位門戶網(wǎng)站，省級以上重點新聞網(wǎng)站，大型以上網(wǎng)絡平臺等被攻擊篡改，導致違法有害信息大范圍傳播。以下情況之一，可認定為“大范圍”：（1）在主頁上出現(xiàn)并持續(xù)2小時以上，或在其他頁面出現(xiàn)并持續(xù)12小時以上；（2）通過社交平臺轉發(fā)1萬次以上；（3）瀏覽或點擊次數(shù)10萬以上；（4）省級以上網(wǎng)信部門、公安機關認定為是“大范圍傳播”的。

“從目前接收到的信息來看，（快手）大概率是被黑灰產(chǎn)集中利用開播導致的。幾萬個賬戶同時違規(guī)直播，占滿‘視頻AI審核’的算力，讓直播內(nèi)容審核系統(tǒng)產(chǎn)生大量隊列甚至癱瘓，一定是這次攻擊實施的必經(jīng)之路。”網(wǎng)絡安全專家曲子龍向貝殼財經(jīng)記者解釋道。“快手這次的問題，很多人反饋出現(xiàn)了大量的新號開播，但是不是通過手機號注冊就能開播、沒做實名身份認證，還是實名認證被技術繞過導致這些群控用戶直接開播還未能確定。”

一位網(wǎng)絡安全行業(yè)從業(yè)者揭示了攻擊可能的起點：海量賬號注冊。黑灰產(chǎn)可能在一個存在大量手機SIM卡的“貓池”里以秒級為單位海量注冊以萬計的僵尸號。這些僵尸號注冊為平臺賬戶，再通過自動化腳本模擬真實用戶行為，例如在網(wǎng)頁上翻頁、點贊等，繞開平臺的風控模型，讓平臺誤以為它是真實用戶。而用戶IP地址敏感，或出現(xiàn)發(fā)表不良言論等異常行為才可能會引起平臺注意。

從快手宣稱遭遇攻擊到全平臺直播內(nèi)容“拉閘”大約經(jīng)歷了2個小時，背后可能是算力無法支撐大量違規(guī)內(nèi)容并發(fā)審核，并且內(nèi)部做出決策需要時間。顯然，這套日常運轉的防御機制，在當晚遭遇了極限壓力測試。

“這背后，是算力無法支撐大量違規(guī)內(nèi)容的并發(fā)審核，以及內(nèi)部做出重大決策所需的時間。”曲子龍解釋道。

他詳細拆解了平臺日常的審核邏輯：正常情況下，平臺通常會有視頻內(nèi)容的低俗、色情、暴力等針對性的視頻審核服務，一般先由智能AI審核，把鑒定準確且認可的直接封禁，疑似或者有問題的再推給人工客服來審核。平臺的AI審核與實時的視頻流相比是“異步”的，平臺更多是把某個時間段的視頻流切割成視頻，推給AI審核，再反饋結果，這里存在時間阻隔。

他進一步解釋稱，在平臺正常運行、低俗、色情內(nèi)容不多的情況下，上述工作流可以正常運行。一旦違規(guī)內(nèi)容集中式爆發(fā)，原本準備的視頻智能審核的云投入的并發(fā)不夠大，一堆需要審核的內(nèi)容同一時間瘋狂涌入智能AI審核任務里，造成審核能力無法實時完成，出現(xiàn)隊列和擁堵，審核無法第一時間直接快速給予業(yè)務反饋這個直播是否有問題，業(yè)務自然也不知道問題到底出在哪個直播間，要關閉哪個。

“即便是業(yè)務發(fā)現(xiàn)了集中式的情況，從發(fā)現(xiàn)問題，擴寬業(yè)務審核的‘通路’到發(fā)現(xiàn)涉及直播間數(shù)量太多完全失控，再換方案上報高層決策直接關閉整個直播間，對一家大公司來說一定時間是很正常的。停了直播間是重大事故，每分鐘都在創(chuàng)造經(jīng)濟價值，這個決策不是安全團隊可以直接決策的。”他說。

企業(yè)網(wǎng)絡安全事故發(fā)生后擋不住的謠言更值得深思。平臺應如何從源頭加固防線？

前述網(wǎng)絡安全從業(yè)者認為，針對大量新賬號同步開播等異常場景，平臺需要提高風險評估機制敏感度，并具備時效性更高的中斷推流機制。另外短時間注冊大量新賬號的場景也需要一定的風控。

曲子龍則提出了更根本的身份驗證思路，拋開劫持問題，如果針對平臺的賬戶認證問題，最好的方案就是不信任用戶“過去的認證狀態(tài)”，在直播前再次檢驗一次人臉識別，核對實名信息與直播本人是否吻合。“這樣相當于簽發(fā)了一張‘電子合同’，直播間再出現(xiàn)違法亂紀問題，如果并非因為平臺技術漏洞導致的話，那應該是用戶自己的違法問題。”

對于批量攻擊占滿審核資源的問題，他表示，一是加強算力，二是開設直播門檻，每個賬戶開播前都需要對比實名認證的身份與人臉核驗，顯然對黑灰產(chǎn)造成約束。

當下一次洪水來襲，堤壩是否已筑得更高、更智能？

新京報貝殼財經(jīng)記者 韋英姿 羅亦丹 編輯 陳莉 校對 柳寶慶