一家之言
以往多是通過各個互聯網平台來竊取數據,但該公司直接和網絡運營商“合作”來偷數據,“只要一聯網,資訊就裸奔”,用戶甚至無處可躲。
微博莫名其妙關注了亂七八糟的行銷號,QQ號忽然加了一些不認識的好友及群聊,淘寶账號不知何時多了幾個好友?如果你遇到過這些問題,說明你的账號密碼不幸中招,已經被他人非法竊取。近日,紹興警方破獲了一起涉及30億條用戶數據竊取案件,涉案的北京瑞智華勝科技股份有限公司是一家新三板上市公司,其主營業務為“互聯網新媒體行銷”。
有媒體稱之為“史上最大規模的數據竊取案”,因為竊取的用戶數據體量巨大,而且波及的範圍相當廣,包括BAT在內的全國96家互聯網公司,無一幸免。更加諷刺的是,涉案的還是一家上市公司,每年都會進行相關的財務披露。
與以往曝光的資訊泄露案例不同的是,這家公司並非是通過程式漏洞,在各個互聯網公司分別竊取用戶數據;而是在更前端的環節,利用與網絡運營商的合作關係,獲取運營商伺服器的遠程登錄權限,把上網用戶的數據導出來。
用戶使用運營商提供的網絡上網,在登錄微博等平台輸入密碼時,登錄資訊得經過網絡傳輸到互聯網公司的後台。理論上,用戶的所有登錄資訊,都要經過網絡運營商這個環節,而涉案公司所做的,正是在傳輸過程中,利用登錄權限植入軟體竊取用戶資訊。
說得通俗點,就相當於你在一個本子上記下所有平台的账號、密碼,但本子卻被該公司盜走了。這種方式更隱蔽,因為運營商提供的上網服務,屬於基礎性功能,所以大規模作案成為可能。
從媒體揭露的資訊看,涉案公司的黑色產業鏈已相當成熟。一方面,利用掌握的用戶登錄數據,可以在微博、抖音等各大平台上,進行“漲粉”服務。而且,漲的粉還不是僵屍粉,都是真實用戶。另一方面,給自己“漲粉”,提高廣告報價。
這種上不了台面的業務,被包裝成“互聯網新媒體行銷”。黑產利益之龐大,從該公司2016年的財報可見一斑:2016年營收3028萬元,淨利潤1053萬元,同期增長高達525.5%。利潤率達到34.78%,這解釋了為什麽公司敢於冒險,大量竊取用戶數據。
該案件的危害,絕不只是讓用戶有莫名其妙“被加粉”的困擾。它讓公眾的隱私處在裸奔的狀態,因為不只是個人身份資訊,連账號、密碼也被盜取,這些涉及財物的登錄數據,是否有被二次倒賣,淪為不法分子的詐騙工具,現在還是未知數。
作為網絡基礎設施提供者的運營商,難辭其咎。運營商是一切上網服務的基礎,扮演著連接者的角色,瑞智華勝能夠竊取用戶資訊,前提是運營商開放了登錄權限。從商務合作的角度看,這種開放無可厚非,但運營商作為個人隱私的第一道把關人,在權限開放後對合作的第三方應該保持高度的警惕,如果時刻查遺補漏,也不至於讓一家上市公司竊取數據長達幾年。
有知情人士對媒體提到,該案件同樣存在運營商“內鬼”,給涉案公司大開方便之門,這個說法目前未經驗證,同樣有必要列為要徹查的疑點。
另外,這次波及的互聯網公司,看上去是純屬躺槍,但也並非全然無辜。用戶莫名其妙被關注的一些行銷账號,在平台上被吐槽過多次,平台不可能覺察不到;再者,涉案公司進行“漲粉”操作,账號IP大規模登錄異常很容易識別,互聯網公司在技術上完全有監控大量用戶數據泄露的能力。
在互聯網時代,網民的個人資訊被記錄,互聯網平台上的账號,也成為重要的財產。要捍衛個人隱私的安全,不能只靠不停地更換密碼這種最原始的手段,運營商和互聯網公司,必須負起責任來。
□熊志(媒體人)
香港九龍灣馬來街興發大廈15樓D室