投稿

30亿条用户信息被盗,运营商该为此负责吗?

来源/ 39度 作者/ 小石头 时间/2018-08-27 11:25:44
智域网按 30亿条是什么概念?中国上网人口超过9亿,每个人可能被窃取三四条。这背后涉及的产业链复杂,利益方之间相互勾结。近些年,互联网黑产案件频发,这起案件揭露了互联网黑产的一角。

8月20日,一则涉及用户个人信息泄露的新闻被刷屏:一家新三板上市公司瑞智华胜涉嫌从运营商处窃取30亿条个人信息,非法牟利超千万元。BATJ等全国96家互联网公司无一例外全部躺枪。我们平时遇到的微博、微信无缘无故添加粉丝、关注公号等行为终于有了解释:原来背后有一家新三板公司在运作。

30亿条是什么概念?中国上网人口超过9亿,每个人可能被窃取三四条。这背后涉及的产业链复杂,利益方之间相互勾结。近些年,互联网黑产案件频发,这起案件揭露了互联网黑产的一角。

一、运营商之过

根据新浪科技的报道,瑞智华胜及其关联公司整个操作的方法是,从2014年开始,他们用竞标的方式,与覆盖全国十余省市的电信、移动、联通、铁通、光电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。

然后,他们将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动采集用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在瑞智华胜境内外的多个服务器上,从而实现了从运营商处窃取用户隐私数据。

cookie是用户在浏览网页时的信息缓存。一般用于保存用户的账号、密码等登陆信息,包括浏览网页的记录。

如果按照这个分析,除了瑞智华胜高管被批捕外,运营商对此次事件承担不可推卸的责任。一家广告营销公司为什么会获得运营商的远程登录权限?无论是WiFi还是4G,运营商是用户上网的入口,所有的数据都从运营商手上经过,它有哪些手段保障用户数据安全?对此事如何处理?

至今为止,三大运营商均未出面对此事公开回应。

一位地方移动分公司的员工对界面新闻记者表示,“这个原则上应该不可能,但存在被窃取风险……这个是业务公司的,集团对用户信息还是很敏感的。各分公司强制要集团才会给。”

中国移动集团和各地分公司是完全独立的公司运作。从该员工视角来看,中国移动总公司对数据的流动管理是有严格限制的,但他也承认确实存在失窃的风险。

新浪微博是此次事件的重灾区。用户突然关注一些自己不知道的账号早就引起过微博注意,由于没有证据,新浪微博无法公开发表回应。但一位新浪微博内部员工告诉界面新闻记者,违规涨粉的事件他们收到过举报,内部也查过。

"我们查完之后回应是运营商劫持,这些盗用cookie的企业都是和运营商合作的,否则拿不到用户的cookie。"该员工说,运营商早就知道,微博也向运营商反馈过多次,其实这个道理就像垃圾短信、骚扰电话一样,运营商管不管是态度问题,不是能力问题。中间可能涉及利益牵扯。

国内某互联网公司的安全部工作人员阿飞告诉界面新闻记者,事件发生后,安全圈子里的人都在讨论这个案件。因为无论从作案手法、规模、波及范围来看,这起案件都足以给互联网安全整个圈子敲响警钟。但由于该案件的技术细节还没有披露,法院也没有对此案做出判决,很多事情都还是黑盒。

一家第三方服务商,想通过恶意软件盗取用户信息,关注一些莫名的账号,这件事情操作起来到底有多难?

在互联网数据传输过程中,通常有http和https两种传输方式。http是端到端的传输形式,不加密,容易被一些恶意软件截取,比如早期的网站经常会出现一些莫名其妙的广告,就是那些营销公司在网站数据传输给用户的时候,将流量劫持了下来,添加了自己广告的数据内容。这在早期互联网发展过程中是非常常见的。

现在,越来越多的互联网公司开始重视网络安全。都开始使用https打头的加密传输协议。但是加密解密这个动作本身会增加终端或者服务器的负担、让手机更费电、增加服务器消耗和运营成本。对于开发者来讲,一般的用户浏览的网页信息、图片加载这种都是通过明文传输的,只有登录名、登录密码这种是通过加密传输。

以微信为例,据阿飞透露,微信私聊是https传输,但是朋友圈内容看似私密,但其实是通过http明文传输的。如果你的流量被恶意劫持,黑客盗取你朋友圈照片、内容,都是分分钟的事情。

在这个基础上,用户信息出现泄露,一定是某些环节出现了问题。要么是技术上的漏洞、要么是管理上的漏洞。在互联网信息传输的过程中,还有一种情况最容易发生问题,即一些衍生服务和跳转操作,最容易被不法分子利用。

举个例子,支付宝给ofo开了一个接口,支付宝本身的操作没有问题,ofo平台自身的操作也没有问题。但由于中间的接口和数据交互逻辑不同,在中间跳转过程和授权登陆操作中,是最容易发生流量劫持和失误的。

运营商的视角是,流量本身可以衍生出很多附加服务(精准营销等),这些附加服务都意味着高额的商业价值。知道了用户浏览哪些网页,就可以利用他所看的内容做商品推荐和精准营销。这是我们日常生活中非常常见的场景。

目前为止,39度发现这种流量管理并没有一个很好的手段,运营商也没有办法对出售流量后的数据做追踪监控,这些数据到底被怎么利用了?法律上也没有明确的说法。是一片灰色地带。

二、瑞智华胜的营销生意

瑞智华胜是一家定位于靠做微博微信内容,帮助广告主做精准营销的公司。

翻开其一份挂牌申请的回函称,公司报告期主要收入来源于自主运营20个微博账号和55个微信公众号;公司自媒体账号粉丝数量微博账号5000万个、微信公众号1100万个、今日头条等平台账号900万个。

该公司运营的账号包括"鲜衣美食君“、”全球娱乐趣事“、”instagram“等等,10万+爆款文章是常事,几大账号粉丝数都在百万级,粉丝留存率很多都在70%-80%。

从现有资料来看,瑞智华胜虽然挂牌新三板,但还未有融资记录。公司近些年财务数据也是起伏较大,2015年公司营收仅187万元、净利润2万元。转型做互联网营销后,2016年公司实现营收3028万元,净利润1053万元。但好景不长,2017年财报显示,瑞智华胜全年净利润309万元,同比减少70%。

备受质疑的是,在此前针对股转中心反馈意见的回复中,主办券商安信证券表示,经核查,认为公司粉丝全部为真实用户,不存在虚增粉丝数量的行为;公司也不存在因非法收集使用用户信息、侵害用户利益的情形。由于微信公众号对企业注册有名额限制,为了避免名额浪费,公司采取了先授权员工以个人信息进行批量注册,后视账号运营情况筛选部分优质账号进行重点管理的方式开展自媒体营销业务。

刘京成律师认为,从他们非法获取信息的方式来看,很有可能涉嫌到了非法获取计算机信息系统数据罪,根据《刑法》第285条规定:

“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 ”

而一些用户在微博上留言称,幸好瑞智华胜只是用这些被盗信息关注一些账号。如果将个人身份信息用来贷款等,后果将更加不堪设想。

三、多家互联网公司躺枪,他们的安全部门去哪里了?

阿飞认为,就这起案件来看,实际操作起来并没有表面上看那么简单。

如果通过cookie盗取了用户的登陆名和密码这个还算可以理解。但实际操作时,还是会有很多问题的,如果你换一台手机登陆微信,就会有异地、和非常用设备的登陆提醒。一台手机有大量的异地登陆和非正常关注动作,微信肯定是能够监测到的。

微博也是一样,异地登陆一般需要有短信验证码。短信数据是通讯数据,不是一个协议。这个成本太高了。运营商不太可能同时泄露了同一个账号的网络数据和通讯数据。通常来讲,也不会同时、对应地把这两套数据泄露给第三方。

界面新闻记者询问了几家涉及该事件的互联网公司。以微信为代表的回答是,这个事情平台本身是无辜的,是属于企业(瑞智华胜)恶意违规使用或者保护用户数据不当。

从事企业安全服务的志华认为,在这件事情上,平台不能将责任一推了之。用户账号在大量关注陌生的账号,而且是同一批账号被关注;而且有频繁的异地登陆问题,互联网公司没有查出这个问题、也未能及时对用户做出风险提示,或者修改密码的提醒。平台要完全摆脱责任,是不可能的。

现在巨头之间的垄断越来越严重,不同平台跳转之间的漏洞极易被不法分子利用。互联网公司服务平台和托管平台之间的关系变得已经密不可分。即使一个企业服务是安全的、另一个企业服务也是安全的,两个服务并在一起很容易发生问题。要解决这个问题,几大互联网公司之间要互相合作。

本文仅代表作者观点,不代表智域网立场!智域网尊重行业规范,每篇文章都注明有明确的作者和来源;智域网的原创文章,请转载时务必注明文章作者和"来源:智域网",不尊重原创的行为将受到智域网的追责。

热门话题