• 设为首页
  • 加入收藏

安全学习

首页 > 安全学习 > 安全头条 > 正文

安全头条

网友套取蚂蚁森林“绿色能量”被封号,法院判了;大规模 HTTP DDoS 攻击创下每秒 7100 万次请求的历史新高

来源:“黑白之道”微信公众号        发布时间:2023-02-16        点击量:

“每天叫醒我的,不仅是闹钟或梦想,还有蚂蚁森林的绿色能量”……这不只是网络段子,更是每一个“种树人”的生活写照。但是为了“种树”快人一步,有些用户会通过第三方交易、多开账号操作等方式反复获取“绿色能量”。

用户赵某(化名)即是如此,他还通过反复缴纳水电费并退费的方式套取“绿色能量”,最终被平台封号。赵某随即起诉平台要求解封账号。近期,杭州互联网法院判决了该起涉及“蚂蚁森林”的案件。


“蚂蚁森林”是一项激励公众参与低碳行为,由企业向公益机构出资,完成种树等生态修复及保护的公益项目。通过步行、公交地铁出行、在线办事、减纸减塑等低碳行为,用户可以获得虚拟的“绿色能量球”,当这些能量积累到一定程度,就可以申请“种树”。

案例详情

在蚂蚁森林中,用户可以通过互相浇水等方式进行好友间互动,将储存的“绿色能量”转移至其他账号。作为蚂蚁森林用户,赵某就注册有5个账号,其中4个账号专门用于给主账号“浇水”,让其获取更多“绿色能量”。

在使用蚂蚁森林过程中,赵某多次从他人处收购“绿色能量”,且多个账号在同一时间出行步数相同,分别获取几乎相同数量的“绿色能量”。同时,赵某通过反复缴纳水电费并退费的方式,获取了多份“绿色能量”。而后,赵某的多个账号被暂时限制使用蚂蚁森林。

赵某认为蚂蚁集团对其账号采取的限权措施不当,遂诉至法院,要求解封其名下的受限账户。蚂蚁集团则认为,赵某获取“绿色能量”的行为违反《蚂蚁森林用户使用须知》的约定,也与公益属性相悖,其要求解封账号并无依据。

裁判要点

法院经审理认定,本案系网络服务合同纠纷。赵某自愿开通使用蚂蚁森林服务,并接受《蚂蚁森林用户使用须知》系其真实意思表示,该协议内容不违反国家法律、行政法规的强制性规定,属合法有效,具有法律约束力,双方当事人应当按照协议约定全面履行各自权利义务。

根据《蚂蚁森林用户使用须知》约定,若赵某存在购买或出售绿色能量或浇水服务,通过虚假合种、虚假绿色出行、虚假交易等违反诚信的方式获取绿色能量,或存在将蚂蚁森林产品或服务用于其他商业用途的不当行为,蚂蚁集团可对其蚂蚁森林账号采取限制或禁止使用蚂蚁森林全部或部分服务等处理措施。

本案争议焦点在于,蚂蚁集团对涉案账号的处罚措施是否正当,赵某主张解封的诉讼请求是否存在事实和法律依据。

01《用户须知》对好友间互动浇水行为表示认可,可见《用户须知》并非一概禁止所有绿色能量转让行为。《用户须知》并未明确约定赵某只能注册一个账号使用蚂蚁森林或在原告注册其他账号时限制注册,亦未明确约定同一实名用户不能以名下账号互相浇水,故蚂蚁集团将其认定为虚假获取能量的行为缺乏合同依据。因此,赵某多个账号间相互浇水的行为不能被认定为违约行为。

02根据《用户须知》约定,若赵某存在购买或出售绿色能量或浇水服务,通过虚假合种、虚假绿色出行、虚假交易等方式获取绿色能量等行为,蚂蚁集团可对其蚂蚁森林账户采取限制或禁止使用蚂蚁森林全部或部分服务等处理措施。赵某多次通过其他平台下单购买、获取蚂蚁森林绿色能量,并通过反复缴纳水费并退费的方式获取多份绿色能量的行为违反合同约定。

03民事主体在从事民事活动中应遵循诚信原则,秉持诚实,恪守承诺。原被告间的《用户须知》中亦约定了“应遵循诚信原则”。赵某持有的账号在多个日期的出行步数、获取能量数基本相同,赵某对此解释为通过在一台设备上切换账号,并达到能量获取上限,方才出现此情形。但在客观现实中,赵某作为个人在同一天仅能产生一份实际出行步数。在并未有多次出行相同步数情况下,赵某利用反复切换不同账号的行为获取实际上并不存在的额外能量值,有违诚信原则,故蚂蚁集团以此为由临时限制赵某登录并无不当,且该措施的轻重程度与赵某行为相适应。法院最终驳回了赵某诉讼请求。

一审宣判后,双方当事人均未上诉,目前判决已生效。

特别提醒

结案后,蚂蚁集团据此案例对《蚂蚁森林用户使用须知》中约定的使用规则进行了完善,以进一步保护绝大多数蚂蚁森林用户参与该项目的公益初心和公平性。


大规模 HTTP DDoS 攻击创下每秒 7100 万次请求的历史新高


网络基础设施公司 Cloudflare 周一披露,该公司挫败了一次创纪录的分布式拒绝服务 (DDoS) 攻击,该攻击的峰值超过每秒 7100 万个请求 (RPS)。

“大多数攻击在每秒 50-70 百万个请求 (RPS) 的范围内达到峰值,最大的超过 7100 万,”该公司称其为“超容量”DDoS 攻击。这也是迄今为止报告的最大的 HTTP DDoS 攻击,比谷歌云在 2022年6月缓解的4600万次 RPS DDoS 攻击高出 35% 以上。

Cloudflare 表示,这些攻击针对的是受其平台保护的网站,它们来自一个僵尸网络,该僵尸网络包含属于“众多”云提供商的 30,000 多个 IP 地址。

目标网站包括流行的游戏提供商、加密货币公司、托管提供商和云计算平台。

此类 HTTP 攻击旨在向目标网站发送大量 HTTP 请求,通常数量级高于网站可以处理的数量,目的是使其无法访问。

“如果请求数量足够多,网站的服务器将无法处理所有攻击请求以及合法用户请求,”Cloudflare 说。

“用户会遇到这种情况,因为网站加载延迟、超时,最终根本无法连接到他们想要的网站。”

随着 DDoS 攻击的规模、复杂性和频率不断上升,公司取得了进展,该公司记录到2022年最后一个季度的 HTTP DDoS 攻击同比激增 79%。

更重要的是,与前三个月相比,持续超过三个小时的容量攻击数量激增了 87%。

在此期间,一些主要受到攻击的垂直行业包括航空、教育、游戏、酒店和电信。格鲁吉亚、伯利兹和圣马力诺成为 2022 年第四季度 HTTP DDoS 攻击的主要目标国家之一。

另一方面,网络层 DDoS 攻击针对中国、立陶宛、芬兰、新加坡、中国台湾、比利时、哥斯达黎加、阿联酋、韩国和土耳其。


关闭

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049