欢迎关注“创事记”的微信订阅号:sinachuangshiji
文/闫跃龙
对很多自媒体来说,现在最苦恼的就是如何涨粉。
但是,有这样一家自媒体公司,却在很短的时间内就培育起很多大号,粉丝数在十几万到数百万,轻松登上新榜百强,10w+阅读量对他们来说也稀松平常。
不过,他们不是内容做得好,也不是运营做得好,而是用了歪门邪道。原来,他们是在用户不知情的情况下盗取账号,偷偷地进行关注、阅读、点赞……
这家公司名叫北京瑞智华胜科技股份有限公司,是一家新三板上市公司,最近被绍兴区越城区公安分局侦获,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。
攻陷最上游,网络黑产触目惊心
何以这么多互联网平台被波及?因为瑞智华胜攻陷了他们的最上游:运营商!
从 2014 年开始,瑞智华胜及其关联公司用竞标的方式,与覆盖全国十余省市的电信、移动、联通、铁通、光电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。
然后,他们将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动采集用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在瑞智华胜境内外的多个服务器上,从而实现了从运营商处窃取用户隐私数据。
什么是cookie?它是用户在运营商上留存的上网记录,相当于用户账号的登录凭证,瑞智华胜通过技术可从中提取用户的个人信息、相关账号密码、搜索的关键词等内容。
所以,会有用户发现自己会毫不知情地添加微博好友、关注各种微信公众号、给别人点赞、用淘宝账号添加陌生人等等,你的数据在运营商的最上游被泄露了!
在互联网之外,有一个暗网,上面暗流涌动,充斥着网络黑产。试想一下,你的数据被泄露后,会有多可怕?不法分子可以在不知情地情况下用你的账号关注陌生人、给别人点赞,也可以直接侵入你的网银账户盗取财产,还能用你的手机或者微信账号给亲朋好友发假信息索要钱财……简直是触目惊心!
莫名躺枪,互联网服务商成了背锅侠
从用户的角度,当发现自己的微博账号莫名其妙添加了好友,自己的微信关注了奇怪的公众号,一般会先入为主地认为是微博、微信等互联网平台的问题,是平台失职。
在瑞智华胜的案件中,涉及的互联网平台之广令人瞠目,高达96家,里面包括BATJ等大平台。是这些平台不重视信息安全?非也,所有的互联网公司都将信息安全视为生命,都在投入巨资保障互联网安全。实际上,在信息安全上,这些互联网平台和用户是在一条船上,是统一战线,一旦因为平台失职导致用户数据泄露,这个平台会失去用户信任,无法在市场中生存,互联网平台怎能拿信息安全当儿戏呢?
即使这样,网络黑产依然屡禁不止,到底是什么原因呢?瑞智华胜的案件透露了答案:是最上游的运营商这一底层通路出了问题。
网络运营商掌握并流通互联网所有的数据。当有人从运营商那儿窃取时,互联网服务商做的再安全也没有用,因为用户的数据对运营商是透明的。管理流通层面的数据,已经超出了互联网平台的权责范围,而是运营商的职责,互联网服务商是莫名躺枪,成了背锅侠。
于是,在这场堪称史上最大规模的用户数据泄露案中,非常有戏剧性:用户受损严重,平台莫名躺枪,运营商底层通路之脆弱令人吃惊。
醒醒吧运营商,别再不作为
回到瑞智华胜的案件,为什么运营商这一底层通路能够被攻陷呢?一方面,是不法分子特别狡诈,采取的行为很隐蔽。表面上,是通过正规竞标进入,而且是开展的正常业务,但是背地里却加入非法软件窃取用户数据,加上其犯罪手法专业,轻易不会被人发现。
但是,另一方面,运营商也难辞其咎,说直接点,是运营商的长期“不作为”才导致这样的事情出现。据了解,警方通过数据反查发现,这家做黑产的公司在与全国多个省市的运营商签订营销广告合作协议后,运营商均未对具体项目进行必要的约束、监督,才能让邢某等人利用研发、维护合作项目之名,在运营商服务器上安插恶意采集程序,非法获取用户流量。
本质上,运营商是做流量通路的建设和运营,就像高速路一样,负责修路和收费,这让其对通路上的细节和内容不甚关心,所以对于数据信息的保护长期没有太大动力。这种不作为,某种程度上来说,是给不法分子以可乘之机,给了他们以“保护伞”,而这种底层通路和流量最上游被攻陷,比某一个平台出问题,带来的后果要严重得多。
然而,瑞智华胜的案件彻底给运营商敲响了警钟。首先,作为互联网的基础设施,保证数据信息安全是运营商的基本责任,如果随意就能被劫持,互联网上的数据和信息没有起码的安全保障,即使网速再快、资费再低,又有什么意义?
其次,保障互联网的数据信息安全,也是运营商企业社会责任的体现。运营商作为国有企业,特别喜欢谈企业社会责任,与其捐钱做公益,不如先做好基础设施的信息安全建设。想象一下,30亿条用户信息泄露,如此严重、恶性的问题,会给用户带来多么严重的后果?会给社会带来多大的不安定因素?
2016年8月,山东临沂女生徐玉玉被电话骗走9900元,这是一个农村贫困家庭为她凑够的学费。因为过度伤心,徐在报警途中突然昏厥,后抢救无效死亡。“徐玉玉事件”固然是电话诈骗犯之错,但是运营商没有做好监管之责,同样难逃其咎。从“徐玉玉事件”到现在的30亿条用户信息泄露,这种运营商不作为的代价之大已经让社会难以承受之重。
最近几年,运营商不甘于做“管道工”,正在进行创新的流量经营模式探索,这个时候更需要改变过去对数据和内容漠不关心的态度。所谓创新的流量经营,就是改变原来单纯的流量销售模式,向挖掘流量价值转变,例如结合大数据及智能管道能力推出的定向精准投放,根据不同业务推出差异的流量资费套餐等等。由此,运营商必须更加关注流量的细节和内容,进一步行使起数据和信息安全的监管责任。
总体来说,“30亿用户信息遭窃”对运营商敲醒了警钟,如此多的用户遭受损失,如此多的互联网平台被波及,实在是触目惊心,这暴露出运营商对于数据信息安全的松懈,也暴露出用户数据安全之所以脆弱的真正原因。
醒醒吧,运营商,不要再在数据信息安全监管上不作为!