30億條用戶資訊被盜，運營商該為此負責嗎？

8月20日，一則涉及用戶個人資訊泄露的新聞被刷屏：一家新三板上市公司瑞智華勝涉嫌從運營商處竊取30億條個人資訊，非法牟利超千萬元。BATJ等全國96家互聯網公司無一例外全部躺槍。我們平時遇到的微博、微信無緣無故添加粉絲、關注公號等行為終於有了解釋：原來背後有一家新三板公司在運作。

30億條是什麽概念？中國上網人口超過9億，每個人可能被竊取三四條。這背後涉及的產業鏈複雜，利益方之間相互勾結。近些年，互聯網黑產案件頻發，這起案件揭露了互聯網黑產的一角。

一、運營商之過

根據新浪科技的報導，瑞智華勝及其關聯公司整個操作的方法是，從2014年開始，他們用競標的方式，與覆蓋全國十餘省市的電信、移動、聯通、鐵通、光電等運營商簽訂行銷廣告系統服務合約，為運營商提供精準廣告投放系統的開發、維護，進而拿到了運營商伺服器的遠程登錄權限。

然後，他們將自主編寫的惡意程式放在運營商內部的伺服器上，當用戶的流量經過運營商的伺服器時，該程式就自動采集用戶cookie、訪問記錄等關鍵數據，再通過惡意程式將所有數據導出，存放在瑞智華勝境內外的多個伺服器上，從而實現了從運營商處竊取用戶隱私數據。

cookie是用戶在瀏覽網頁時的資訊緩存。一般用於保存用戶的账號、密碼等登陸資訊，包括瀏覽網頁的記錄。

如果按照這個分析，除了瑞智華勝高管被批捕外，運營商對此次事件承擔不可推卸的責任。一家廣告行銷公司為什麽會獲得運營商的遠程登錄權限？無論是WiFi還是4G，運營商是用戶上網的入口，所有的數據都從運營商手上經過，它有哪些手段保障用戶數據安全？對此事如何處理？

至今為止，三大運營商均未出面對此事公開回應。

一位地方移動分公司的員工對界面新聞記者表示，“這個原則上應該不可能，但存在被竊取風險……這個是業務公司的，集團對用戶資訊還是很敏感的。各分公司強製要集團才會給。”

中國移動集團和各地分公司是完全獨立的公司運作。從該員工視角來看，中國移動總公司對數據的流動管理是有嚴格限制的，但他也承認確實存在失竊的風險。

新浪微博是此次事件的重災區。用戶突然關注一些自己不知道的账號早就引起過微博注意，由於沒有證據，新浪微博無法公開發表回應。但一位新浪微博內部員工告訴界面新聞記者，違規漲粉的事件他們收到過舉報，內部也查過。

"我們查完之後回應是運營商劫持，這些盜用cookie的企業都是和運營商合作的，否則拿不到用戶的cookie。"該員工說，運營商早就知道，微博也向運營商反饋過多次，其實這個道理就像垃圾簡訊、騷擾電話一樣，運營商管不管是態度問題，不是能力問題。中間可能涉及利益牽扯。

國內某互聯網公司的安全部工作人員阿飛告訴界面新聞記者，事件發生後，安全圈子裡的人都在討論這個案件。因為無論從作案手法、規模、波及範圍來看，這起案件都足以給互聯網安全整個圈子敲響警鍾。但由於該案件的技術細節還沒有披露，法院也沒有對此案做出判決，很多事情都還是黑盒。

一家第三方服務商，想通過惡意軟體盜取用戶資訊，關注一些莫名的账號，這件事情操作起來到底有多難？

在互聯網數據傳輸過程中，通常有http和https兩種傳輸方式。http是端到端的傳輸形式，不加密，容易被一些惡意軟體截取，比如早期的網站經常會出現一些莫名其妙的廣告，就是那些行銷公司在網站數據傳輸給用戶的時候，將流量劫持了下來，添加了自己廣告的數據內容。這在早期互聯網發展過程中是非常常見的。

現在，越來越多的互聯網公司開始重視網絡安全。都開始使用https打頭的加密傳輸協定。但是加密解密這個動作本身會增加終端或者伺服器的負擔、讓手機更費電、增加伺服器消耗和運營成本。對於開發者來講，一般的用戶瀏覽的網頁資訊、圖片加載這種都是通過明文傳輸的，只有登錄名、登錄密碼這種是通過加密傳輸。

以微信為例，據阿飛透露，微信私聊是https傳輸，但是朋友圈內容看似私密，但其實是通過http明文傳輸的。如果你的流量被惡意劫持，黑客盜取你朋友圈照片、內容，都是分分鐘的事情。

在這個基礎上，用戶資訊出現泄露，一定是某些環節出現了問題。要麽是技術上的漏洞、要麽是管理上的漏洞。在互聯網資訊傳輸的過程中，還有一種情況最容易發生問題，即一些衍生服務和跳轉操作，最容易被不法分子利用。

舉個例子，支付寶給ofo開了一個接口，支付寶本身的操作沒有問題，ofo平台自身的操作也沒有問題。但由於中間的接口和數據互動邏輯不同，在中間跳轉過程和授權登陸操作中，是最容易發生流量劫持和失誤的。

運營商的視角是，流量本身可以衍生出很多附加服務（精準行銷等），這些附加服務都意味著高額的商業價值。知道了用戶瀏覽哪些網頁，就可以利用他所看的內容做商品推薦和精準行銷。這是我們日常生活中非常常見的場景。

目前為止，這種流量管理並沒有一個很好的手段，運營商也沒有辦法對出售流量後的數據做追蹤監控，這些數據到底被怎麽利用了？法律上也沒有明確的說法。是一片灰色地帶。

二、瑞智華勝的行銷生意

瑞智華勝是一家定位於靠做微博微信內容，幫助廣告主做精準行銷的公司。

翻開其一份掛牌申請的回函稱，公司報告期主要收入來源於自主運營20個微博账號和55個微信公眾號；公司自媒體账號粉絲數量微博账號5000萬個、微信公眾號1100萬個、今日頭條等平台账號900萬個。

該公司運營的账號包括"鮮衣美食君“、”全球娛樂趣事“、”instagram“等等，10萬+爆款文章是常事，幾大账號粉絲數都在百萬級，粉絲留存率很多都在70%-80%。

圖片來源：http://pdf.chinaipo.com/2018-2/2018-02-08/4061566.pdf

從現有資料來看，瑞智華勝雖然掛牌新三板，但還未有融資記錄。公司近些年財務數據也是起伏較大，2015年公司營收僅187萬元、淨利潤2萬元。轉型做互聯網行銷後，2016年公司實現營收3028萬元，淨利潤1053萬元。但好景不長，2017年財報顯示，瑞智華勝全年淨利潤309萬元，同比減少70%。

備受質疑的是，在此前針對股轉中心反饋意見的回復中，主辦券商安信證券表示，經核查，認為公司粉絲全部為真實用戶，不存在虛增粉絲數量的行為；公司也不存在因非法收集使用用戶資訊、侵害用戶利益的情形。由於微信公眾號對企業注冊有名額限制，為了避免名額浪費，公司采取了先授權員工以個人資訊進行批量注冊，後視账號運營情況篩選部分優質账號進行重點管理的方式開展自媒體行銷業務。

劉京成律師認為，從他們非法獲取資訊的方式來看，很有可能涉嫌到了非法獲取電腦資訊系統數據罪，根據《刑法》第285條規定：

“違反國家規定，侵入前款規定以外的電腦資訊系統或者採用其他技術手段，獲取該電腦資訊系統中存儲、處理或者傳輸的數據，或者對該電腦資訊系統實施非法控制，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。 ”

而一些用戶在微博上留言稱，幸好瑞智華勝只是用這些被盜資訊關注一些账號。如果將個人身份資訊用來貸款等，後果將更加不堪設想。

三、多家互聯網公司躺槍，他們的安全部門去哪裡了？

阿飛認為，就這起案件來看，實際操作起來並沒有表面上看那麽簡單。

如果通過cookie盜取了用戶的登陸名和密碼這個還算可以理解。但實際操作時，還是會有很多問題的，如果你換一台手機登陸微信，就會有異地、和非常用設備的登陸提醒。一台手機有大量的異地登陸和非正常關注動作，微信肯定是能夠監測到的。

微博也是一樣，異地登陸一般需要有簡訊驗證碼。簡訊數據是通訊數據，不是一個協定。這個成本太高了。運營商不太可能同時泄露了同一個账號的網絡數據和通訊數據。通常來講，也不會同時、對應地把這兩套數據泄露給第三方。

界面新聞記者詢問了幾家涉及該事件的互聯網公司。以微信為代表的回答是，這個事情平台本身是無辜的，是屬於企業（瑞智華勝）惡意違規使用或者保護用戶數據不當。

從事企業安全服務的志華認為，在這件事情上，平台不能將責任一推了之。用戶账號在大量關注陌生的账號，而且是同一批账號被關注；而且有頻繁的異地登陸問題，互聯網公司沒有查出這個問題、也未能及時對用戶做出風險提示，或者修改密碼的提醒。平台要完全擺脫責任，是不可能的。

現在巨頭之間的壟斷越來越嚴重，不同平台跳轉之間的漏洞極易被不法分子利用。互聯網公司服務平台和託管平台之間的關係變得已經密不可分。即使一個企業服務是安全的、另一個企業服務也是安全的，兩個服務並在一起很容易發生問題。要解決這個問題，幾大互聯網公司之間要互相合作。

（阿飛、志華為化名）