我看斗鱼直播看了好几年,平时没事就爱盯着大主播看热闹。那天正看着一个游戏主播打副本,突然屏幕上刷刷刷飞过去一堆超火礼物,把我眼睛都快闪瞎了。一看名字,叫“无聊哥”,这哥们儿跟疯了一样刷,我查了查他账号,注册才几天,粉丝没几个,连个头像都没换。这不对劲,刷这么多礼物少说也得几万块钱,新用户哪来这么大方?我开始琢磨,这货是不是有啥猫腻。
怎么调查的
我先点开无聊哥的资料页面,仔细瞅了瞅。他刷的那些礼物记录挺整齐的,时间间隔都一样,不像真人操作。我又翻他的关注列表,里面啥都没有,就是个空壳。我觉得有点古怪,就试着用另一个小号加他好友,想私聊问问咋回事。结果等了半天,没回音。我就想着,这搞不好是系统自己出鬼了。
我打开斗鱼App,在搜索栏里输入他的名字,发现好多直播间都在聊他刷的礼物。有的主播还笑出声,说这是天上掉馅饼。可我不放心,跑去电脑上登录斗鱼网站,翻后台数据。我查了他的送礼日志,发现记录密密麻麻,都是自动生成的。这时候我心里一咯噔:完蛋,平台肯定有窟窿。
动手测试
我决定试着自己搞个模拟账号看看。注册新账号时,我发现注册流程挺松的,不用绑定手机也能过。注册完了,我进礼物充值页面,随便点了点。猜猜怎么着?居然跳出一个充值完成页面,但我连支付流程都没走!现金余额显示增加了几百块,天哪,这不明摆着系统漏风嘛
我马上找了几个懂技术的哥们聊这事。我们建了个小群,讨论起来。一个朋友说,他用脚本工具试了试,真能复制无聊哥的刷礼物动作。脚本里设置间隔时间,礼物就自个儿飞出去,不用付一分钱。我们还录了个视频,把整个过程拍下来:注册号、刷礼物、无支付记录。玩过火了,这下证据堆在那儿。
揭露漏洞
看清了真相后,我开始往深里挖。无聊哥这个事影响太坏了:主播们以为收到真钱,观众以为是大款,平台还傻呵呵地推送热榜。关键是,漏洞就在后台代码里,好像有个接口忘了锁权限。谁都能捅出这窟窿,搞坏整个直播生态。我自己算了一下,一天下来刷的假礼物能值好几百万,平台损失惨重不说,其他真实用户也被挤出了推荐位。
我把测试结果和视频整了个文档,发到我的博客上。开头就写:“嘿朋友们,今天摊上事儿了,斗鱼的巨大漏洞让无聊哥乱飞。” 平台管理员没几分钟就找上门,私信我说赶紧删帖别乱讲。可我偏不放,等着看他们后续操作。
搞定后的事儿
坚持发完后,没想到反响这么大。一堆网友留言说,他们也被坑过,无聊哥事件就是个警钟。平台那边动作倒挺快,连夜修了系统,加了双验证。可我后来逛斗鱼,还是发现新问题:漏洞暂时堵住了,但刷礼物的习惯已经乱了套。主播们嚷嚷虚假人气,普通用户觉得没意思就闪人了。
干完这票活儿,我感觉直播平台真该长点心了。漏洞好修,信任难捡回来。我也学着无聊哥的样,在生活里看事更细了:啥都别想动手试一试总没错。