业务安全情报 | 数十万元的数据报告，竟被50元批量转售

news2025/1/20 13:34:11

近期监测到某咨询公司针数据报告大量泄漏事件，该机构历年的数据报告以及近期更新的针对VIP会员的付费报告均在电商等渠道可以低价获取。

BSL-2022-a3c28号情报文件显示黑灰产通过作弊方式获取查看、下载权限，绕过限制将报告数据大量下载，并通过某些渠道进行二次转卖获利。

分析报告数据本身就是咨询公司财产的一部分，当报告数据泄露，这部分数据资产相当于拱手让给别人，对公司的竞争力会产生威胁，且当该公司官方渠道并非获取数据报告的唯一途径时，会间接减少公司的收益，对公司的用户流失、经济利益都会产生直接影响。

因此，如何做好安全防控，保护好数据资产，对咨询公司而言是一件非常重要的事情。

咨询行业分析报告背后的黑灰产

哪里有利益，哪里就会有黑灰产。

当前，咨询机构众多，对此类数据报告有需求的群体有需求时，常规渠道只能通过付费下载高质量素材或者开通对应网站的付费会使用下载。但对于部分用户来说，数据报告并非日常所需，更多是在某些时期有需求，于是催生了低成本获取高质量数据报告以及数据报告代下服务。

常见的黑产攻击方式分为两种，一是批量注册、批量养号方式获取新用户数据报告下载权益，批量爬取网站的报告数据。二是通过注册少量高等级会员方式获取付费数据报告下载权限，并定期通过自定义下载工具大量爬取数据报告，最后通过电商等渠道进行转卖变现。

我们发现，多家咨询公司、证券公司行业客户，存在账号安全、数据报告被批量爬取的批量注册、批量养号以及爬虫风险。

据此，我们进一步挖掘出黑灰产通过垃圾注册、批量爬取数据以及文档去水印的实现方式。

黑灰产攻击方式

其批量获取数据报告有以下两种方式：

一是通过批量注册新账号，薅取咨询公司赋予新账号的会员权益-数据报告免费下载次数，实现通过多个账号搜索方式批量下载数据报告。通过此类方式批量爬取数据报告对咨询公司来说风险相对可控，因为大多数官网开放给新用户下载权限的报告都并非核心报告，和VIP权限的可读报告内容是不一样的。

主要有以下两种方式：

1）通过批量注册机注册大量账号。黑产事先从卡商、上游黑产等渠道手中获取大批量的黑卡手机号、代理IP资源、自动化操作工具等资源；然后通过注册机批量注册、自动化程序批量登录等方式获取用户权益。

2）使用多账号批量下载数据报告。借着网站开放给新会员的免费权益，实现免费下载批量报告。如某机构新会员可以免费下载10份数据报告，黑产通过批量注册获取大量账号，结合自动化批量下载脚本，实现通过关键词检索批量下载数据报告。

二是注册高级账号批量爬取数据报告，通过注册高级会员账号的方式，获取高等级下载权益，并通过自定义下载工具定期批量爬取最新的数据报告。

证券机构的会员一般是分等级的，不同等级的会员收费不一，等级越高价格越贵，享受权益也越多。用户权益中，主要对用户可检索报告数量、阅读报告数量、下载报告数量做了限制，等级越高，可查看报告数量、种类也越多。

黑灰产会通过注册高级会员账号的方式，获取高等级下载权益，并定期批量爬取数据报告获取大量数据报告。

通过证券官网下载的数据报告，一般都会有对应的logo水印，所以大多数黑产获取数据报告后，会对获取的数据报告进行批量去原水印，并加上自己的水印后，才会进行变现。

实现工具主要是批量去水印、加水印的工具，此类工具市面上有很多成熟的产品，可以根据不同的水印处理；然后加上自定义自动化操作脚本实现快速批量去、加水印。

黑灰产变现链路

黑灰产一般通过数据报告资源整合转卖、或者提供代下单服务，通过各大电商平台、小程序等渠道实现交易变现。

该类变现方式一般有两种，一是直接明码标价交易数据报告，下订单直接发送数据报告；

二是提供报告代下单服务，按单份数据报告收费的模式，可以根据买家需求提供代下服务，价格会根据数据库、权限有所区别，一般服务费在5元-100元之间。

防控建议

针对以上批量注册、批量养号、数据爬取等风险，防控建议如下：

H5混淆：

从客户端安全考虑，网页需要加H5混淆防护。使用H5代码混淆⼯具，通过加密混淆引擎，对H5代码进⾏加密、混淆、压缩，可以⼤⼤增加H5代码的安全性，有效防⽌产品被⿊灰产复制、破解。

通过行为验证码进行人机识别：

根据黑灰产作弊手段分析，黑灰产在积分任务环节主要是以自动化程序作弊方式进行恶意攻击，对于识别机器行为，轻部署且最简单的识别工具就是行为验证码。在数据报告查看、下载场景，可结合决策引擎产品组合使用，当引擎识别为无风险请求时，业务端正常返回请求结果；当识别为中风险请求时，可调行为验证码进一步校验人机；当识别为高风险请求时，可进行验证码校验循环或者直接拦截请求。