315和解平台
微博莫名其妙地关注了乱七八糟的营销号,QQ号忽然加了一些不认识的好友及群聊,淘宝账号不知何时多了几个好友……如果你遇到过这些问题,说明你的账号密码不幸中招,已经被他人非法窃取了。近日,浙江绍兴警方破获了一起涉及30亿条用户数据窃取案件,涉案的北京瑞智华胜科技股份有限公司是一家新三板上市公司,其主营业务为“互联网新媒体营销”。
有媒体称之为 “史上最大规模的数据窃取案”,因为窃取的用户数据体量巨大,而且波及范围相当广,包括百度、阿里、腾讯在内的全国96家互联网公司无一幸免。更加讽刺的是,涉案的还是一家上市公司,每年都会进行相关的财务披露。
与以往曝光的信息泄露案例不同,这家公司并非通过程序漏洞,在各个互联网公司分别窃取用户数据,而是在更前端的环节,利用与网络运营商的合作关系,获取运营商服务器的远程登录权限,把上网用户的数据导出来。
用户使用运营商提供的网络上网,在登录微博等平台输入密码时,登录信息得经过网络传输到互联网公司的后台。理论上,用户的所有登录信息都要经过网络运营商这个环节,而涉案公司所做的,正是在传输过程中利用登录权限植入软件窃取用户信息。
说得通俗点儿,就相当于你在一个本子上记下所有平台的账号、密码,但本子却被该公司盗走了。这种方式更隐蔽,因为运营商提供的上网服务属于基础性服务,所以大规模作案成为可能。
从媒体揭露的信息看,涉案公司的黑色产业链已相当成熟。一方面,利用掌握的用户登录数据,可以在微博、抖音等各大平台上进行“涨粉”服务,而且,涨的“粉”还不是“僵尸粉”,都是真实用户;另一方面,给自己“涨粉”,提高广告报价。
这种上不了台面的业务,被包装成“互联网新媒体营销”。黑产利益之庞大,从该公司2016年的财报可见一斑:2016年营收3028万元,净利润1053万元,同期增长高达525.5%。利润率达到34.78%,这解释了为什么该公司敢于冒险,大量窃取用户数据。
该案件的危害绝不只是让用户有莫名其妙“被加粉”的困扰,它还让公众的隐私处在裸奔状态,因为不只是个人身份信息,连账号、密码也被盗取,这些涉及财物的登录数据是否被二次倒卖沦为不法分子的诈骗工具,现在还是未知数。
作为网络基础设施提供者的运营商,难辞其咎。运营商是一切上网服务的基础,扮演着连接者的角色,瑞智华胜能够窃取用户信息,前提是运营商开放了登录权限。从商务合作的角度看,这种开放无可厚非,但运营商作为个人隐私的第一道把关人,在权限开放后对合作的第三方应该保持高度的警惕,如果时刻查遗补漏,也不至于让一家上市公司窃取数据长达几年。
有知情人士指出,该案件存在运营商“内鬼”,给涉案公司大开方便之门,这个说法目前未经验证,但同样有必要列为要彻查的疑点。
另外,这次波及的互联网公司看上去是纯属躺枪,但也并非全然无辜。用户莫名其妙被关注的一些营销账号,在平台上被吐槽过多次,平台不可能觉察不到;再者,涉案公司进行“涨粉”操作,账号IP大规模登录异常很容易识别,互联网公司在技术上完全有监控大量用户数据泄露的能力。
在互联网时代,网民的个人信息被记录,互联网平台上的账号也成为重要的财产。要捍卫个人隐私的安全,不能只靠不停地更换密码这种最原始的手段,运营商和互联网公司必须负起责任来。 (熊志)
