细思恐极:难以消除的个人信息安全隐患
8 月 20 日,澎湃新闻上一则消息引发了大家的关注:新三板挂牌公司瑞智华胜涉嫌非法窃取 30 亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,涉及包括百度,阿里,腾讯、今日头条在内的全国 96 家互联网公司,瑞智华胜旗下一家公司一年营收就超过 3000 万元。
盗用这么多用户数据,瑞智华胜是怎么做到的?
报道中称,瑞智华胜与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限,然后将非法程序置入用于自动采集用户 cookie、手机号等信息。他们劫持数据后会进行爬取、还原等,为了不被发现,他们专门购买了 3 万多个 IP 地址用于频繁爬取。
你是否也发现自己的微博、微信、抖音等社交账号会莫名其妙自动增粉或关注他人,并且经常收到垃圾广告短信?所以现在是不是都有了答案。
想象一下,我们在网上的搜索记录、出行记录、开房记录、交易记录等信息,均被窃取用户信息的犯罪团伙掌握;更危险的是,犯罪团伙为逃避监管追查,还将部分数据存储于国外的服务器上。
瑞智华胜成立于 2013 年,2017 年 12 月 1 日正式挂牌新三板,以新媒体营销为主业。公司资料显示,旗下管理运营 80 余个自媒体账号,主要运营 20 个微博账号和 55 个微信公众号。
事件被报道以后,@微博管理员也发布了公告,公告中告知瑞智华胜涉案账号 @踏马行者,@鲜衣美食君,@女神小课堂,@松子电影 现已被关闭,并表示一直以来微博和其他互联网企业一样饱受账号异常关注、异常点赞等问题的困扰。
同样在 8 月 20 日,来自 Business Insider 的一则报道显示,根据内容安全公司 Irdeto 的最新研究,信息窃取者在“暗网”市场上贩卖数百个窃取而来的流行 OTT 服务登录信息,这些账户信息包括 Netflix,HBO GO,DirecTV 和 Hulu 在内的各大流媒体。
(OTT 服务是指“over-the-top”服务,通常是指内容或服务建构在网络基础服务之上从而不需要电信运营商额外的支持。
暗网指只能用特殊软件、特殊授权、或对计算机做特殊设置才能连上的网络,使用一般的浏览器和搜索引擎找不到暗网的内容。暗网的服务器地址和数据传输通常是匿名、匿踪的。与此相对,一般常用的互联网由于可追踪其真实地理位置和通信进行人的身份被称为“明网”。)
Irdeto 发现,被盗账号信息的平均一次性价格为 8.81 美元,而一些暗网商家也以较高价格提供多种服务凭证。
Irdeto 在报告中引用了一个例子:一名英国男子的订阅号被朋友非法使用,在 Facebook Live 上观看拳击比赛的直播,然后他收到来自 Sky (英国最大收费电视台)的 85,000 英镑(约 75 万元人民币)的账单。
Irdeto 的网络完全服务副总裁说,内容盗窃现在“已经成为一个成熟的犯罪企业”。
根据一些报道,我们在互联网上的各种信息,例如网购的用户名、电话、地址、购买时间、网购的商品等信息数据,有按 200 元或 500 元 1 万条批发的,也有按单个 3 元或 5 元计价的。这些数据信息在第一次完成交易超过一定时限后变成“二手数据”,二手数据一般会倒卖好几次,基本已经算是“公开”信息,这样的数据在一些论坛网站上随处可见。论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据,有的数据(如个别企业内部通讯录)甚至可以免费下载。
而最近在微博上引发大家围观的高铁霸座男子被曝光以后,有网友迅速在8月21日通过“多库网”找到了这名男子身份证、电话号码等信息,经过瑞智华胜事件引发大家对个人信息的关注,也让更多的人知道了“多库网”的存在。
百度“多库网“,会看到多库网“提供精准的身份信息校验服务”。在多库网上可以核查的信息很多样,包括身份证实名验证返照片,手机号码月消费档次查询等服务,价格最低 1.5 元,最高 6 元。
很多网友质疑这个网站是否包含了涉及公民隐私的信息,也有网友表示,“多库是一个收费的信息比对平台,是合法的,主要的业务功能就是用户提供已有的信息,针对已有的信息做比对,给出结果。”
搜索多库找到的信息显示,多库信息通过 API 接口进行查询服务:
8 月 21 日晚,多库网在网站发布了免责声明,称所有数据均来源于正规渠道,不提供个人隐私信息查询:
虽然如此,想想自己的隐私数据都能通过各种方式被查到,还是有些细思恐极。
而在今天早上再次查看多库信息网时,其热门商品有关身份证信息和手机号查询的商品已不见,只剩下5条热门商品。
现在网络数据安全在全球范围内已经是国家层面重视的问题。我国的《网络安全法》于 2016 年 11 月 7 日发布,自 2017 年 6 月 1 日起施行,明确了网络产品和服务提供者的安全义务,进一步完善个人信息保护规则,建立了关键信息基础设施安全保护制度。
今年 5 月,欧盟已经开始强制实施《通用数据保护条例》(General Data Protection Regulation,缩写为 GDPR),规定了企业了在对用户的数据收集、存储、保护和使用时新的标准,对于自身的数据,也给予了用户更大处理权。GDPR 的处罚力度非常高,高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的 4%,或者 2000 万欧元,取决于哪个数值更大,Google 或 Facebook 或许能够承受起这种程度的罚款,但是对于规模小一些的公司,这种处罚是致命性的。
在互联网如此发达的今天,即便有这些法律保障,我们的隐私数据依然有被窃取的风险,个人信息何时才能安全,我们何时才能不受到各种推销甚至诈骗电话、短信的骚扰?
参考:
https://www.thepaper.cn/newsDetail_forward_2362227
https://www.businessinsider.com/netflix-hulu-hbo-passwords-on-sale-dark-web-2018-8
http://www.sohu.com/a/159714321_792435
https://t.cj.sina.com.cn/articles/view/1914010467/72157b63027007t41
活动推荐
业务爆发式增长,让运维大规模基础设施成为了新的痛点。也许你早就抛弃了 SSH 和 CLI 的方式去运维一套庞大的基础设施,开始尝试写一些自动化脚本和配置。或者已经搭建了一套自动化的监控平台,并在这条前行的路上不断的踩坑成长。
QCon 上海 2018 邀请到拥有丰富经验的技术专家,基于实际的项目和开发,分享在大规模基础设施 DevOps 领域的新思路,新架构,新技术。大会9 折报名中,立减 680 元。有任何问题欢迎咨询票务经理 Hanna,电话:010-84782011,微信:qcon-0410。
相关内容
微信扫码咨询专知VIP会员