文章总结： 本文分析快手直播劫持事件，指出被利用账号多为有历史直播记录的素人账号且直播时间集中在22点到24点。作者推测攻击非撞库或盗号，而是存在漏洞泄露了正在直播的推流地址，黑产通过扫描批量接管直播内容。建议排查直播流地址泄露风险及越权漏洞。 综合评分： 80 文章分类： 漏洞分析,安全大事件,威胁情报

关于快手事件的几个疑点

原创

小火炬

小火炬sec

2025年12月23日 12:38 福建

声明：作者通过少量样本推测，仅仅是个人的臆测，不代表事实结论，仅供理性探讨。

快手事件其他师傅总结的都差不多了，但是我前不久回去翻了一下直播记录发现几个疑点

1.大部分被利用于攻击的账号都存在较多的历史直播记录，属于直播活跃的人群

2.所有的直播间的封面都是正常的日常直播封面，并且大部分都是符合账号作品人设的

3.一大部分账号的历史直播时间段在22：00到00：00高度重合

先说我的结论：

这次事件中所使用的大部分是素人账号，猜测是漏洞泄露了直播推流地址从而直接接管直播内容，非撞库等盗号手段。受害者在22：00到00：00这个时间段开播，而黑产在某个时间段批量获取了一大批的这个时间段内直播的账号的推流地址，然后接管直播内容

理由：

从黑产需要危害最大化的视角来看

如果可以通过漏洞手段（如伪造票据登录，越权开播等），那么接管官号，百万千万粉丝大v直接开播利益可以最大化

如果是通过传统的撞库手法盗号，那么不止是直播内容，主页视频背景等能换的都可以换掉，这样还可以保证攻击的持久化

如果是批量注册的小号，难以解释一些账号可以追溯到九月份（直播记录最长能看三个月）的日常直播记录和粉丝团

所以综上我认为最有可能的是某个功能泄露了正在直播的推流地址，黑客通过扫描当前的直播然后利用漏洞接管了一批直播间的推流内容。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小火炬sec 小火炬《关于快手事件的几个疑点》