警方控制多名“史上最大数据窃取案”嫌疑人。图片来源:越城公安微信公众号。
一家之言
以往多是通过各个互联网平台来窃取数据,但该公司直接和网络运营商“合作”来偷数据,“只要一联网,信息就裸奔”,用户甚至无处可躲。
微博莫名其妙关注了乱七八糟的营销号,QQ号忽然加了一些不认识的好友及群聊,淘宝账号不知何时多了几个好友?如果你遇到过这些问题,说明你的账号密码不幸中招,已经被他人非法窃取。近日,绍兴警方破获了一起涉及30亿条用户数据窃取案件,涉案的北京瑞智华胜科技股份有限公司是一家新三板上市公司,其主营业务为“互联网新媒体营销”。
有媒体称之为“史上最大规模的数据窃取案”,因为窃取的用户数据体量巨大,而且波及的范围相当广,包括BAT在内的全国96家互联网公司,无一幸免。更加讽刺的是,涉案的还是一家上市公司,每年都会进行相关的财务披露。
与以往曝光的信息泄露案例不同的是,这家公司并非是通过程序漏洞,在各个互联网公司分别窃取用户数据;而是在更前端的环节,利用与网络运营商的合作关系,获取运营商服务器的远程登录权限,把上网用户的数据导出来。
用户使用运营商提供的网络上网,在登录微博等平台输入密码时,登录信息得经过网络传输到互联网公司的后台。理论上,用户的所有登录信息,都要经过网络运营商这个环节,而涉案公司所做的,正是在传输过程中,利用登录权限植入软件窃取用户信息。
说得通俗点,就相当于你在一个本子上记下所有平台的账号、密码,但本子却被该公司盗走了。这种方式更隐蔽,因为运营商提供的上网服务,属于基础性功能,所以大规模作案成为可能。
从媒体揭露的信息看,涉案公司的黑色产业链已相当成熟。一方面,利用掌握的用户登录数据,可以在微博、抖音等各大平台上,进行“涨粉”服务。而且,涨的粉还不是僵尸粉,都是真实用户。另一方面,给自己“涨粉”,提高广告报价。
这种上不了台面的业务,被包装成“互联网新媒体营销”。黑产利益之庞大,从该公司2016年的财报可见一斑:2016年营收3028万元,净利润1053万元,同期增长高达525.5%。利润率达到34.78%,这解释了为什么公司敢于冒险,大量窃取用户数据。
该案件的危害,绝不只是让用户有莫名其妙“被加粉”的困扰。它让公众的隐私处在裸奔的状态,因为不只是个人身份信息,连账号、密码也被盗取,这些涉及财物的登录数据,是否有被二次倒卖,沦为不法分子的诈骗工具,现在还是未知数。
作为网络基础设施提供者的运营商,难辞其咎。运营商是一切上网服务的基础,扮演着连接者的角色,瑞智华胜能够窃取用户信息,前提是运营商开放了登录权限。从商务合作的角度看,这种开放无可厚非,但运营商作为个人隐私的第一道把关人,在权限开放后对合作的第三方应该保持高度的警惕,如果时刻查遗补漏,也不至于让一家上市公司窃取数据长达几年。
有知情人士对媒体提到,该案件同样存在运营商“内鬼”,给涉案公司大开方便之门,这个说法目前未经验证,同样有必要列为要彻查的疑点。
另外,这次波及的互联网公司,看上去是纯属躺枪,但也并非全然无辜。用户莫名其妙被关注的一些营销账号,在平台上被吐槽过多次,平台不可能觉察不到;再者,涉案公司进行“涨粉”操作,账号IP大规模登录异常很容易识别,互联网公司在技术上完全有监控大量用户数据泄露的能力。
在互联网时代,网民的个人信息被记录,互联网平台上的账号,也成为重要的财产。要捍卫个人隐私的安全,不能只靠不停地更换密码这种最原始的手段,运营商和互联网公司,必须负起责任来。
□熊志(媒体人)
声明:本文来自新京报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。