2018-08-21 15:10:45    創(chuàng)事記 微博 作者： 閆躍龍    我有話說(shuō)(273人參與)

　　歡迎關(guān)注“創(chuàng)事記”的微信訂閱號(hào)：sinachuangshiji

　　文/閆躍龍

　　對(duì)很多自媒體來(lái)說(shuō)，現(xiàn)在最苦惱的就是如何漲粉。

　　但是，有這樣一家自媒體公司，卻在很短的時(shí)間內(nèi)就培育起很多大號(hào)，粉絲數(shù)在十幾萬(wàn)到數(shù)百萬(wàn)，輕松登上新榜百?gòu)?qiáng)，10w+閱讀量對(duì)他們來(lái)說(shuō)也稀松平常。

　　不過(guò)，他們不是內(nèi)容做得好，也不是運(yùn)營(yíng)做得好，而是用了歪門邪道。原來(lái)，他們是在用戶不知情的情況下盜取賬號(hào)，偷偷地進(jìn)行關(guān)注、閱讀、點(diǎn)贊……

　　這家公司名叫北京瑞智華勝科技股份有限公司，是一家新三板上市公司，最近被紹興區(qū)越城區(qū)公安分局偵獲，涉嫌非法竊取用戶個(gè)人信息30億條，涉及百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司產(chǎn)品。

　　攻陷最上游，網(wǎng)絡(luò)黑產(chǎn)觸目驚心

　　何以這么多互聯(lián)網(wǎng)平臺(tái)被波及？因?yàn)槿鹬侨A勝攻陷了他們的最上游：運(yùn)營(yíng)商！

　　從 2014 年開(kāi)始，瑞智華勝及其關(guān)聯(lián)公司用競(jìng)標(biāo)的方式，與覆蓋全國(guó)十余省市的電信、移動(dòng)、聯(lián)通、鐵通、光電等運(yùn)營(yíng)商簽訂營(yíng)銷廣告系統(tǒng)服務(wù)合同，為運(yùn)營(yíng)商提供精準(zhǔn)廣告投放系統(tǒng)的開(kāi)發(fā)、維護(hù)，進(jìn)而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。

　　然后，他們將自主編寫(xiě)的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過(guò)運(yùn)營(yíng)商的服務(wù)器時(shí)，該程序就自動(dòng)采集用戶cookie、訪問(wèn)記錄等關(guān)鍵數(shù)據(jù)，再通過(guò)惡意程序?qū)⑺�有�?shù)據(jù)導(dǎo)出，存放在瑞智華勝境內(nèi)外的多個(gè)服務(wù)器上，從而實(shí)現(xiàn)了從運(yùn)營(yíng)商處竊取用戶隱私數(shù)據(jù)。

　　什么是cookie？它是用戶在運(yùn)營(yíng)商上留存的上網(wǎng)記錄，相當(dāng)于用戶賬號(hào)的登錄憑證，瑞智華勝通過(guò)技術(shù)可從中提取用戶的個(gè)人信息、相關(guān)賬號(hào)密碼、搜索的關(guān)鍵詞等內(nèi)容。

　　所以，會(huì)有用戶發(fā)現(xiàn)自己會(huì)毫不知情地添加微博好友、關(guān)注各種微信公眾號(hào)、給別人點(diǎn)贊、用淘寶賬號(hào)添加陌生人等等，你的數(shù)據(jù)在運(yùn)營(yíng)商的最上游被泄露了！

　　在互聯(lián)網(wǎng)之外，有一個(gè)暗網(wǎng)，上面暗流涌動(dòng)，充斥著網(wǎng)絡(luò)黑產(chǎn)。試想一下，你的數(shù)據(jù)被泄露后，會(huì)有多可怕？不法分子可以在不知情地情況下用你的賬號(hào)關(guān)注陌生人、給別人點(diǎn)贊，也可以直接侵入你的網(wǎng)銀賬戶盜取財(cái)產(chǎn)，還能用你的手機(jī)或者微信賬號(hào)給親朋好友發(fā)假信息索要錢財(cái)……簡(jiǎn)直是觸目驚心！

　　莫名躺槍，互聯(lián)網(wǎng)服務(wù)商成了背鍋俠

　　從用戶的角度，當(dāng)發(fā)現(xiàn)自己的微博賬號(hào)莫名其妙添加了好友，自己的微信關(guān)注了奇怪的公眾號(hào)，一般會(huì)先入為主地認(rèn)為是微博、微信等互聯(lián)網(wǎng)平臺(tái)的問(wèn)題，是平臺(tái)失職。

　　在瑞智華勝的案件中，涉及的互聯(lián)網(wǎng)平臺(tái)之廣令人瞠目，高達(dá)96家，里面包括BATJ等大平臺(tái)。是這些平臺(tái)不重視信息安全？非也，所有的互聯(lián)網(wǎng)公司都將信息安全視為生命，都在投入巨資保障互聯(lián)網(wǎng)安全。實(shí)際上，在信息安全上，這些互聯(lián)網(wǎng)平臺(tái)和用戶是在一條船上，是統(tǒng)一戰(zhàn)線，一旦因?yàn)槠脚_(tái)失職導(dǎo)致用戶數(shù)據(jù)泄露，這個(gè)平臺(tái)會(huì)失去用戶信任，無(wú)法在市場(chǎng)中生存，互聯(lián)網(wǎng)平臺(tái)怎能拿信息安全當(dāng)兒戲呢？

　　即使這樣，網(wǎng)絡(luò)黑產(chǎn)依然屢禁不止，到底是什么原因呢？瑞智華勝的案件透露了答案：是最上游的運(yùn)營(yíng)商這一底層通路出了問(wèn)題。

　　網(wǎng)絡(luò)運(yùn)營(yíng)商掌握并流通互聯(lián)網(wǎng)所有的數(shù)據(jù)。當(dāng)有人從運(yùn)營(yíng)商那兒竊取時(shí)，互聯(lián)網(wǎng)服務(wù)商做的再安全也沒(méi)有用，因?yàn)橛脩舻臄?shù)據(jù)對(duì)運(yùn)營(yíng)商是透明的。管理流通層面的數(shù)據(jù)，已經(jīng)超出了互聯(lián)網(wǎng)平臺(tái)的權(quán)責(zé)范圍，而是運(yùn)營(yíng)商的職責(zé)，互聯(lián)網(wǎng)服務(wù)商是莫名躺槍，成了背鍋俠。

　　于是，在這場(chǎng)堪稱史上最大規(guī)模的用戶數(shù)據(jù)泄露案中，非常有戲劇性：用戶受損嚴(yán)重，平臺(tái)莫名躺槍，運(yùn)營(yíng)商底層通路之脆弱令人吃驚。

　　醒醒吧運(yùn)營(yíng)商，別再不作為

　　回到瑞智華勝的案件，為什么運(yùn)營(yíng)商這一底層通路能夠被攻陷呢？一方面，是不法分子特別狡詐，采取的行為很隱蔽。表面上，是通過(guò)正規(guī)競(jìng)標(biāo)進(jìn)入，而且是開(kāi)展的正常業(yè)務(wù)，但是背地里卻加入非法軟件竊取用戶數(shù)據(jù)，加上其犯罪手法專業(yè)，輕易不會(huì)被人發(fā)現(xiàn)。

　　但是，另一方面，運(yùn)營(yíng)商也難辭其咎，說(shuō)直接點(diǎn)，是運(yùn)營(yíng)商的長(zhǎng)期“不作為”才導(dǎo)致這樣的事情出現(xiàn)。據(jù)了解，警方通過(guò)數(shù)據(jù)反查發(fā)現(xiàn)，這家做黑產(chǎn)的公司在與全國(guó)多個(gè)省市的運(yùn)營(yíng)商簽訂營(yíng)銷廣告合作協(xié)議后，運(yùn)營(yíng)商均未對(duì)具體項(xiàng)目進(jìn)行必要的約束、監(jiān)督，才能讓邢某等人利用研發(fā)、維護(hù)合作項(xiàng)目之名，在運(yùn)營(yíng)商服務(wù)器上安插惡意采集程序，非法獲取用戶流量。

　　本質(zhì)上，運(yùn)營(yíng)商是做流量通路的建設(shè)和運(yùn)營(yíng)，就像高速路一樣，負(fù)責(zé)修路和收費(fèi)，這讓其對(duì)通路上的細(xì)節(jié)和內(nèi)容不甚關(guān)心，所以對(duì)于數(shù)據(jù)信息的保護(hù)長(zhǎng)期沒(méi)有太大動(dòng)力。這種不作為，某種程度上來(lái)說(shuō)，是給不法分子以可乘之機(jī)，給了他們以“保護(hù)傘”，而這種底層通路和流量最上游被攻陷，比某一個(gè)平臺(tái)出問(wèn)題，帶來(lái)的后果要嚴(yán)重得多。

　　然而，瑞智華勝的案件徹底給運(yùn)營(yíng)商敲響了警鐘。首先，作為互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，保證數(shù)據(jù)信息安全是運(yùn)營(yíng)商的基本責(zé)任，如果隨意就能被劫持，互聯(lián)網(wǎng)上的數(shù)據(jù)和信息沒(méi)有起碼的安全保障，即使網(wǎng)速再快、資費(fèi)再低，又有什么意義？

　　其次，保障互聯(lián)網(wǎng)的數(shù)據(jù)信息安全，也是運(yùn)營(yíng)商企業(yè)社會(huì)責(zé)任的體現(xiàn)。運(yùn)營(yíng)商作為國(guó)有企業(yè)，特別喜歡談企業(yè)社會(huì)責(zé)任，與其捐錢做公益，不如先做好基礎(chǔ)設(shè)施的信息安全建設(shè)。想象一下，30億條用戶信息泄露，如此嚴(yán)重、惡性的問(wèn)題，會(huì)給用戶帶來(lái)多么嚴(yán)重的后果？會(huì)給社會(huì)帶來(lái)多大的不安定因素？

　　2016年8月，山東臨沂女生徐玉玉被電話騙走9900元，這是一個(gè)農(nóng)村貧困家庭為她湊夠的學(xué)費(fèi)。因?yàn)檫^(guò)度傷心，徐在報(bào)警途中突然昏厥，后搶救無(wú)效死亡�！靶煊裼袷录�”固然是電話詐騙犯之錯(cuò)，但是運(yùn)營(yíng)商沒(méi)有做好監(jiān)管之責(zé)，同樣難逃其咎。從“徐玉玉事件”到現(xiàn)在的30億條用戶信息泄露，這種運(yùn)營(yíng)商不作為的代價(jià)之大已經(jīng)讓社會(huì)難以承受之重。

　　最近幾年，運(yùn)營(yíng)商不甘于做“管道工”，正在進(jìn)行創(chuàng)新的流量經(jīng)營(yíng)模式探索，這個(gè)時(shí)候更需要改變過(guò)去對(duì)數(shù)據(jù)和內(nèi)容漠不關(guān)心的態(tài)度。所謂創(chuàng)新的流量經(jīng)營(yíng)，就是改變?cè)瓉?lái)單純的流量銷售模式，向挖掘流量?jī)r(jià)值轉(zhuǎn)變，例如結(jié)合大數(shù)據(jù)及智能管道能力推出的定向精準(zhǔn)投放，根據(jù)不同業(yè)務(wù)推出差異的流量資費(fèi)套餐等等。由此，運(yùn)營(yíng)商必須更加關(guān)注流量的細(xì)節(jié)和內(nèi)容，進(jìn)一步行使起數(shù)據(jù)和信息安全的監(jiān)管責(zé)任。

　　總體來(lái)說(shuō)，“30億用戶信息遭竊”對(duì)運(yùn)營(yíng)商敲醒了警鐘，如此多的用戶遭受損失，如此多的互聯(lián)網(wǎng)平臺(tái)被波及，實(shí)在是觸目驚心，這暴露出運(yùn)營(yíng)商對(duì)于數(shù)據(jù)信息安全的松懈，也暴露出用戶數(shù)據(jù)安全之所以脆弱的真正原因。

　　醒醒吧，運(yùn)營(yíng)商，不要再在數(shù)據(jù)信息安全監(jiān)管上不作為！