最近,有一則澎湃新聞引發了廣泛關注,新聞內容是這樣的:浙江紹興市的多位市民發現自己的微博、微信等社交賬號幾乎每天都會“自動”加粉或關注他人,且不時收到各種垃圾廣告短信。這種情況持續數月後,他們懷疑個人信息被洩漏,陸續選擇報警。紹興市越城區公安分局日前偵破一起特大流量劫持案,涉案的居然是新三板上市公司北京瑞智華勝科技股份有限公司,涉嫌非法竊取用戶個人信息30億條,涉及百度、騰訊、阿里、京東等全國96家互聯網公司產品,目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。已查實北京瑞智華勝公司非法獲取的數據涉及騰訊、百度、阿里、新浪和今日頭條等全國96家互聯網公司產品,幾乎涵蓋了國內核心的互聯網企業。其非法獲取的數據來源包括電信、移動、聯通、鐵通、廣電等11個省市的運營商。北京瑞智華勝先和運營商簽訂正規合同、拿到登錄憑證,然後將非法程序置入用於自動採集用戶cookie、手機號等信息。他們劫持數據後會進行爬取、還原等,為了不被運營商監控發現,他們專門購買了3萬多個IP地址用於頻繁爬取。
看到上面的新聞,作為一個通信行業從業者和新媒體運營者來說,我感到有些吃驚。本來覺得是網絡平臺的鍋,這次曝出的真相卻出乎了我的意料。其實,對於刷單、刷轉評、刷點贊這樣的網絡黑產多年前就已經存在,賣粉絲、賣閱讀量、加粉的生意在網上層出不窮,我也經常收到這樣的推廣私信,據說隨著騰訊加大了管控後,微信刷閱讀量的生意難度大了,價格隨之水漲船高,以前靠刷量來忽悠廣告客戶的公眾號有的已經入不敷出。我原以為這些假粉絲都是網絡黑產自己通過機器來註冊,例如買來一大堆手機號和手機,通過一些控制軟件模擬用戶來完成註冊,手裡積攢成千上萬個虛擬用戶後,就可以開展各種平臺服務了。現在才知道,為了讓粉絲更真實,為了刷出的量能夠逃過互聯網平臺的監控,原來很多的粉絲是這些黑產從真正的用戶那裡偷來的,也就是在用戶不知情的情況下盜用了別人的帳號來進行相應操作,賺取非法利益。更沒想到的是,一家新三板上市的公司居然通過和多家電信運營商簽署協議,以欺騙的方式獲取用戶信息接口,通過技術手段不斷地盜取用戶手機等數據,從而達到盜取用戶帳號的目的,實在是有些膽大包天!
互聯網上網服務的提供商是電信運營商,他們掌握並傳輸著互聯網所有的數據。當有人從運營商那兒竊取時,互聯網服務商一側(例如BAT等)做的再安全也沒有用,因為用戶的基礎數據對運營商是相對透明的,例如用戶什麼時候訪問過什麼網站,什麼時候訪問過微博、微信,使用的什麼手機號訪問的,這些都記錄在運營商的服務器上,當然了,記錄的目的是為了進行流量計費,方便用戶查詢自己的流量是怎麼消耗的。運營商本身並不會直接拿用戶的隱私數據去做非法的事情,但如果這些數據被他人利用,就像上面那家北京公司通過接口獲取了用戶的號碼信息,由於現在很多互聯網應用的帳號都是用手機號來註冊的,然後他們通過手機號碼當成微博、微信的帳號,並且通過破解軟件不斷地試探這些帳號的密碼,一旦得到這些帳號信息,就可以拿用戶的社交資產牟利了。就像銀行再安全,進出銀行的路,如果被黑幫掌握了,用戶去銀行取錢也是不可能真正安全的。管好這條通路,已經超出了互聯網平臺的權責範圍,而是電信運營商的事情,那麼為何的有地方運營商不管?
之所以出現這樣的情況,個人覺得有三方面原因:一是網絡黑產的技術手段比較高明,可以騙過互聯網平臺和運營商,實現其非法目的;二是相關的法律法規不夠健全,懲處力度太弱,以至於獲得的利益遠大於可能因此受到的懲罰;三是由於非法企業為獲取數據接口而需要支付給運營商相應的服務費用,個別地方運營商為了增加營收而進行了相應的合作,以至於疏忽了相應的管理(以我的從業經驗判斷,運營商很可能無法掌握合作方所獲取的數據的使用範圍和使用目的,雖然合同上約定了合法使用,但真正實施起來並沒有有效的監控)。
由於個人帳號等信息關乎隱私,涉及工作生活的安全問題,絕不能任由這些網絡黑產肆意妄為,無論各家互聯網平臺,還是電信運營商,都要承擔起保障用戶信息安全的主體責任,尤其是對運營商來說,對於無法確保100%信息保密的第三方合作,堅決不能開展,只有堵住這條路,才能給用戶更好的上網安全保障,這關乎企業信譽和社會責任。也希望國家主管部門能進一步完善相關法規,加大查處力度,通過多方共同努力,讓違法者再無生存空間。
閱讀更多 網優俱樂部 的文章
