對很多自媒體來說,現在最苦惱的就是如何漲粉。
但是,有這樣一家自媒體公司,卻在很短的時間內就培育起很多大號,粉絲數在十幾萬到數百萬,輕鬆登上新榜百強,10w+閱讀量對他們來說也稀鬆平常。
不過,他們不是內容做得好,也不是運營做得好,而是用了歪門邪道。原來,他們是在用戶不知情的情況下盜取賬號,偷偷地進行關注、閱讀、點贊……
這家公司名叫北京瑞智華勝科技股份有限公司,是一家新三板上市公司,最近被紹興區越城區公安分局偵獲,涉嫌非法竊取用戶個人信息30億條,涉及百度、騰訊、阿里、京東等全國96家互聯網公司產品。
攻陷最上游,網絡黑產觸目驚心
何以這麼多互聯網平臺被波及?因為瑞智華勝攻陷了他們的最上游:運營商!
從 2014 年開始,瑞智華勝及其關聯公司用競標的方式,與覆蓋全國十餘省市的電信、移動、聯通、鐵通、光電等運營商簽訂營銷廣告系統服務合同,為運營商提供精準廣告投放系統的開發、維護,進而拿到了運營商服務器的遠程登錄權限。
然後,他們將自主編寫的惡意程序放在運營商內部的服務器上,當用戶的流量經過運營商的服務器時,該程序就自動採集用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在瑞智華勝境內外的多個服務器上,從而實現了從運營商處竊取用戶隱私數據。
什麼是cookie?它是用戶在運營商上留存的上網記錄,相當於用戶賬號的登錄憑證,瑞智華勝通過技術可從中提取用戶的個人信息、相關賬號密碼、搜索的關鍵詞等內容。
所以,會有用戶發現自己會毫不知情地添加微博好友、關注各種微信公眾號、給別人點贊、用淘寶賬號添加陌生人等等,你的數據在運營商的最上游被洩露了!
在互聯網之外,有一個暗網,上面暗流湧動,充斥著網絡黑產。試想一下,你的數據被洩露後,會有多可怕?不法分子可以在不知情地情況下用你的賬號關注陌生人、給別人點贊,也可以直接侵入你的網銀賬戶盜取財產,還能用你的手機或者微信賬號給親朋好友發假信息索要錢財……簡直是觸目驚心!
莫名躺槍,互聯網服務商成了背鍋俠
從用戶的角度,當發現自己的微博賬號莫名其妙添加了好友,自己的微信關注了奇怪的公眾號,一般會先入為主地認為是微博、微信等互聯網平臺的問題,是平臺失職。
在瑞智華勝的案件中,涉及的互聯網平臺之廣令人瞠目,高達96家,裡面包括BATJ等大平臺。是這些平臺不重視信息安全?非也,所有的互聯網公司都將信息安全視為生命,都在投入巨資保障互聯網安全。實際上,在信息安全上,這些互聯網平臺和用戶是在一條船上,是統一戰線,一旦因為平臺失職導致用戶數據洩露,這個平臺會失去用戶信任,無法在市場中生存,互聯網平臺怎能拿信息安全當兒戲呢?
即使這樣,網絡黑產依然屢禁不止,到底是什麼原因呢?瑞智華勝的案件透露了答案:是最上游的運營商這一底層通路出了問題。
網絡運營商掌握並流通互聯網所有的數據。當有人從運營商那兒竊取時,互聯網服務商做的再安全也沒有用,因為用戶的數據對運營商是透明的。管理流通層面的數據,已經超出了互聯網平臺的權責範圍,而是運營商的職責,互聯網服務商是莫名躺槍,成了背鍋俠。
於是,在這場堪稱史上最大規模的用戶數據洩露案中,非常有戲劇性:用戶受損嚴重,平臺莫名躺槍,運營商底層通路之脆弱令人吃驚。
醒醒吧運營商,別再不作為
回到瑞智華勝的案件,為什麼運營商這一底層通路能夠被攻陷呢?一方面,是不法分子特別狡詐,採取的行為很隱蔽。表面上,是通過正規競標進入,而且是開展的正常業務,但是背地裡卻加入非法軟件竊取用戶數據,加上其犯罪手法專業,輕易不會被人發現。
但是,另一方面,運營商也難辭其咎,說直接點,是運營商的長期“不作為”才導致這樣的事情出現。據瞭解,警方通過數據反查發現,這家做黑產的公司在與全國多個省市的運營商簽訂營銷廣告合作協議後,運營商均未對具體項目進行必要的約束、監督,才能讓邢某等人利用研發、維護合作項目之名,在運營商服務器上安插惡意採集程序,非法獲取用戶流量。
本質上,運營商是做流量通路的建設和運營,就像高速路一樣,負責修路和收費,這讓其對通路上的細節和內容不甚關心,所以對於數據信息的保護長期沒有太大動力。這種不作為,某種程度上來說,是給不法分子以可乘之機,給了他們以“保護傘”,而這種底層通路和流量最上游被攻陷,比某一個平臺出問題,帶來的後果要嚴重得多。
然而,瑞智華勝的案件徹底給運營商敲響了警鐘。首先,作為互聯網的基礎設施,保證數據信息安全是運營商的基本責任,如果隨意就能被劫持,互聯網上的數據和信息沒有起碼的安全保障,即使網速再快、資費再低,又有什麼意義?
其次,保障互聯網的數據信息安全,也是運營商企業社會責任的體現。運營商作為國有企業,特別喜歡談企業社會責任,與其捐錢做公益,不如先做好基礎設施的信息安全建設。想象一下,30億條用戶信息洩露,如此嚴重、惡性的問題,會給用戶帶來多麼嚴重的後果?會給社會帶來多大的不安定因素?
2016年8月,山東臨沂女生徐玉玉被電話騙走9900元,這是一個農村貧困家庭為她湊夠的學費。因為過度傷心,徐在報警途中突然昏厥,後搶救無效死亡。“徐玉玉事件”固然是電話詐騙犯之錯,但是運營商沒有做好監管之責,同樣難逃其咎。從“徐玉玉事件”到現在的30億條用戶信息洩露,這種運營商不作為的代價之大已經讓社會難以承受之重。
最近幾年,運營商不甘於做“管道工”,正在進行創新的流量經營模式探索,這個時候更需要改變過去對數據和內容漠不關心的態度。所謂創新的流量經營,就是改變原來單純的流量銷售模式,向挖掘流量價值轉變,例如結合大數據及智能管道能力推出的定向精準投放,根據不同業務推出差異的流量資費套餐等等。由此,運營商必須更加關注流量的細節和內容,進一步行使起數據和信息安全的監管責任。
總體來說,“30億用戶信息遭竊”對運營商敲醒了警鐘,如此多的用戶遭受損失,如此多的互聯網平臺被波及,實在是觸目驚心,這暴露出運營商對於數據信息安全的鬆懈,也暴露出用戶數據安全之所以脆弱的真正原因。
醒醒吧,運營商,不要再在數據信息安全監管上不作為!
閱讀更多 網優俱樂部 的文章
