以往多是通過各個互聯網平臺來竊取數據,但該公司直接和網絡運營商“合作”來偷數據,“只要一聯網,信息就裸奔”,用戶甚至無處可躲。
▲ 上市公司通過惡意程序盜竊用戶數據牟利。圖片來源:越城公安微信公眾號。
微博莫名其妙關注了亂七八糟的營銷號,QQ號忽然加了一些不認識的好友及群聊,淘寶賬號不知何時多了幾個好友⋯⋯如果你遇到過這些問題,說明你的賬號密碼不幸中招,已經被他人非法竊取。近日,紹興警方破獲了一起涉及30億條用戶數據竊取案件,涉案的北京瑞智華勝科技股份有限公司是一家新三板上市公司,其主營業務為“互聯網新媒體營銷”。
有媒體稱之為“史上最大規模的數據竊取案”,因為竊取的用戶數據體量巨大,而且波及的範圍相當廣,包括BAT在內的全國96家互聯網公司,無一倖免。更加諷刺的是,涉案的還是一家上市公司,每年都會進行相關的財務披露。
與以往曝光的信息洩露案例不同的是,這家公司並非是通過程序漏洞,在各個互聯網公司分別竊取用戶數據;而是在更前端的環節,利用與網絡運營商的合作關係,獲取運營商服務器的遠程登錄權限,把上網用戶的數據導出來。
用戶使用運營商提供的網絡上網,在登錄微博等平臺輸入密碼時,登錄信息得經過網絡傳輸到互聯網公司的後臺。理論上,用戶的所有登錄信息,都要經過網絡運營商這個環節,而涉案公司所做的,正是在傳輸過程中,利用登錄權限植入軟件竊取用戶信息。
▲警方控制多名“史上最大數據竊取案”嫌疑人。圖片來源:越城公安微信公眾號。
說得通俗點,就相當於你在一個本子上記下所有平臺的賬號、密碼,但本子卻被該公司盜走了。這種方式更隱蔽,因為運營商提供的上網服務,屬於基礎性功能,所以大規模作案成為可能。
從媒體揭露的信息看,涉案公司的黑色產業鏈已相當成熟。一方面,利用掌握的用戶登錄數據,可以在微博、抖音等各大平臺上,進行“漲粉”服務。而且,漲的粉還不是殭屍粉,都是真實用戶。另一方面,給自己“漲粉”,提高廣告報價。
這種上不了檯面的業務,被包裝成“互聯網新媒體營銷”。黑產利益之龐大,從該公司2016年的財報可見一斑:2016年營收3028萬元,淨利潤1053萬元,同期增長高達525.5%。利潤率達到34.78%的,這解釋了為什麼公司敢於冒險,大量竊取用戶數據。
▲ 新京報製圖/許驍
該案件的危害,絕不只是讓用戶有莫名其妙“被加粉”的困擾。它讓公眾的隱私處在裸奔的狀態,因為不只是個人身份信息,連賬號、密碼也被盜取,這些涉及財物的登錄數據,是否有被二次倒賣,淪為不法分子的詐騙工具,現在還是未知數。
作為網絡基礎設施提供者的運營商,難辭其咎。運營商是一切上網服務的基礎,扮演者連接者的角色,瑞智華勝能夠竊取用戶信息,前提是運營商開放了登錄權限。從商務合作的角度看,這種開放無可厚非,但運營商作為個人隱私的第一道把關人,在權限開放後對合作的第三方應該保持高度的警惕,如果時刻查遺補漏,也不至於讓一家上市公司竊取數據長達幾年。
有知情人士對媒體提到,該案件同樣存在運營商“內鬼”,給涉案公司大開方便之門,這個說法目前未經驗證,同樣有必要列為要徹查的疑點。
另外,這次波及的互聯網公司,看上去是純屬躺槍,但也並非全然無辜。用戶莫名其妙被關注的一些營銷賬號,在平臺上被吐槽過多次,平臺不可能覺察不到;再者,涉案公司進行“漲粉”操作,賬號IP大規模登錄異常很容易識別,互聯網公司在技術上完全有監控大量用戶數據洩露的能力。
在互聯網時代,網民的個人信息被記錄,互聯網平臺上的賬號,也成為重要的財產。要捍衛個人隱私的安全,不能只靠不停地更換密碼這種最原始的手段,運營商和互聯網公司,必須負起責任來。
閱讀更多 冷晨商會 的文章
