圖片來源：網(wǎng)絡(luò)

　　來源：界面新聞　

　　30億條是什么概念？中國(guó)上網(wǎng)人口超過9億，每個(gè)人可能被竊取三四條。這背后涉及的產(chǎn)業(yè)鏈復(fù)雜，利益方之間相互勾結(jié)。近些年，互聯(lián)網(wǎng)黑產(chǎn)案件頻發(fā)，這起案件揭露了互聯(lián)網(wǎng)黑產(chǎn)的一角。

　　一、運(yùn)營(yíng)商之過

　　根據(jù)新浪科技的報(bào)道，瑞智華勝及其關(guān)聯(lián)公司整個(gè)操作的方法是，從2014年開始，他們用競(jìng)標(biāo)的方式，與覆蓋全國(guó)十余省市的電信、移動(dòng)、聯(lián)通、鐵通、光電等運(yùn)營(yíng)商簽訂營(yíng)銷廣告系統(tǒng)服務(wù)合同，為運(yùn)營(yíng)商提供精準(zhǔn)廣告投放系統(tǒng)的開發(fā)、維護(hù)，進(jìn)而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。

　　然后，他們將自主編寫的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過運(yùn)營(yíng)商的服務(wù)器時(shí)，該程序就自動(dòng)采集用戶cookie、訪問記錄等關(guān)鍵數(shù)據(jù)，再通過惡意程序?qū)⑺�有�?shù)據(jù)導(dǎo)出，存放在瑞智華勝境內(nèi)外的多個(gè)服務(wù)器上，從而實(shí)現(xiàn)了從運(yùn)營(yíng)商處竊取用戶隱私數(shù)據(jù)。

　　cookie是用戶在瀏覽網(wǎng)頁(yè)時(shí)的信息緩存。一般用于保存用戶的賬號(hào)、密碼等登陸信息，包括瀏覽網(wǎng)頁(yè)的記錄。

　　如果按照這個(gè)分析，除了瑞智華勝高管被批捕外，運(yùn)營(yíng)商對(duì)此次事件承擔(dān)不可推卸的責(zé)任。一家廣告營(yíng)銷公司為什么會(huì)獲得運(yùn)營(yíng)商的遠(yuǎn)程登錄權(quán)限？無論是WiFi還是4G，運(yùn)營(yíng)商是用戶上網(wǎng)的入口，所有的數(shù)據(jù)都從運(yùn)營(yíng)商手上經(jīng)過，它有哪些手段保障用戶數(shù)據(jù)安全？對(duì)此事如何處理？

　　至今為止，三大運(yùn)營(yíng)商均未出面對(duì)此事公開回應(yīng)。

　　一位地方移動(dòng)分公司的員工對(duì)界面新聞?dòng)浾弑硎�，“這個(gè)原則上應(yīng)該不可能，但存在被竊取風(fēng)險(xiǎn)……這個(gè)是業(yè)務(wù)公司的，集團(tuán)對(duì)用戶信息還是很敏感的。各分公司強(qiáng)制要集團(tuán)才會(huì)給�！�

　　中國(guó)移動(dòng)集團(tuán)和各地分公司是完全獨(dú)立的公司運(yùn)作。從該員工視角來看，中國(guó)移動(dòng)總公司對(duì)數(shù)據(jù)的流動(dòng)管理是有嚴(yán)格限制的，但他也承認(rèn)確實(shí)存在失竊的風(fēng)險(xiǎn)。

　　新浪微博是此次事件的重災(zāi)區(qū)。用戶突然關(guān)注一些自己不知道的賬號(hào)早就引起過微博注意，由于沒有證據(jù)，新浪微博無法公開發(fā)表回應(yīng)。但一位新浪微博內(nèi)部員工告訴界面新聞?dòng)浾�，違規(guī)漲粉的事件他們收到過舉報(bào)，內(nèi)部也查過。

　　“我們查完之后回應(yīng)是運(yùn)營(yíng)商劫持，這些盜用cookie的企業(yè)都是和運(yùn)營(yíng)商合作的，否則拿不到用戶的cookie�！痹搯T工說，運(yùn)營(yíng)商早就知道，微博也向運(yùn)營(yíng)商反饋過多次，其實(shí)這個(gè)道理就像垃圾短信、騷擾電話一樣，運(yùn)營(yíng)商管不管是態(tài)度問題，不是能力問題。中間可能涉及利益牽扯。

　　國(guó)內(nèi)某互聯(lián)網(wǎng)公司的安全部工作人員阿飛告訴界面新聞?dòng)浾�，事件發(fā)生后，安全圈子里的人都在討論這個(gè)案件。因?yàn)闊o論從作案手法、規(guī)模、波及范圍來看，這起案件都足以給互聯(lián)網(wǎng)安全整個(gè)圈子敲響警鐘。但由于該案件的技術(shù)細(xì)節(jié)還沒有披露，法院也沒有對(duì)此案做出判決，很多事情都還是黑盒。

　　一家第三方服務(wù)商，想通過惡意軟件盜取用戶信息，關(guān)注一些莫名的賬號(hào)，這件事情操作起來到底有多難？

　　在互聯(lián)網(wǎng)數(shù)據(jù)傳輸過程中，通常有http和https兩種傳輸方式。http是端到端的傳輸形式，不加密，容易被一些惡意軟件截取，比如早期的網(wǎng)站經(jīng)常會(huì)出現(xiàn)一些莫名其妙的廣告，就是那些營(yíng)銷公司在網(wǎng)站數(shù)據(jù)傳輸給用戶的時(shí)候，將流量劫持了下來，添加了自己廣告的數(shù)據(jù)內(nèi)容。這在早期互聯(lián)網(wǎng)發(fā)展過程中是非常常見的。

　　現(xiàn)在，越來越多的互聯(lián)網(wǎng)公司開始重視網(wǎng)絡(luò)安全。都開始使用https打頭的加密傳輸協(xié)議。但是加密解密這個(gè)動(dòng)作本身會(huì)增加終端或者服務(wù)器的負(fù)擔(dān)、讓手機(jī)更費(fèi)電、增加服務(wù)器消耗和運(yùn)營(yíng)成本。對(duì)于開發(fā)者來講，一般的用戶瀏覽的網(wǎng)頁(yè)信息、圖片加載這種都是通過明文傳輸?shù)�，只有登錄名、登錄密碼這種是通過加密傳輸。

　　以微信為例，據(jù)阿飛透露，微信私聊是https傳輸，但是朋友圈內(nèi)容看似私密，但其實(shí)是通過http明文傳輸?shù)�。如果你的流量被惡意劫持，黑客盜取你朋友圈照片、內(nèi)容，都是分分鐘的事情。

　　在這個(gè)基礎(chǔ)上，用戶信息出現(xiàn)泄露，一定是某些環(huán)節(jié)出現(xiàn)了問題。要么是技術(shù)上的漏洞、要么是管理上的漏洞。在互聯(lián)網(wǎng)信息傳輸?shù)倪^程中，還有一種情況最容易發(fā)生問題，即一些衍生服務(wù)和跳轉(zhuǎn)操作，最容易被不法分子利用。

　　舉個(gè)例子，支付寶給ofo開了一個(gè)接口，支付寶本身的操作沒有問題，ofo平臺(tái)自身的操作也沒有問題。但由于中間的接口和數(shù)據(jù)交互邏輯不同，在中間跳轉(zhuǎn)過程和授權(quán)登陸操作中，是最容易發(fā)生流量劫持和失誤的。

　　運(yùn)營(yíng)商的視角是，流量本身可以衍生出很多附加服務(wù)（精準(zhǔn)營(yíng)銷等），這些附加服務(wù)都意味著高額的商業(yè)價(jià)值。知道了用戶瀏覽哪些網(wǎng)頁(yè)，就可以利用他所看的內(nèi)容做商品推薦和精準(zhǔn)營(yíng)銷。這是我們?nèi)粘Ｉ�活中非常常見的�?chǎng)景。

　　目前為止，這種流量管理并沒有一個(gè)很好的手段，運(yùn)營(yíng)商也沒有辦法對(duì)出售流量后的數(shù)據(jù)做追蹤監(jiān)控，這些數(shù)據(jù)到底被怎么利用了？法律上也沒有明確的說法。是一片灰色地帶。

　　二、瑞智華勝的營(yíng)銷生意

　　瑞智華勝是一家定位于靠做微博微信內(nèi)容，幫助廣告主做精準(zhǔn)營(yíng)銷的公司。

　　翻開其一份掛牌申請(qǐng)的回函稱，公司報(bào)告期主要收入來源于自主運(yùn)營(yíng)20個(gè)微博賬號(hào)和55個(gè)微信公眾號(hào)；公司自媒體賬號(hào)粉絲數(shù)量微博賬號(hào)5000萬個(gè)、微信公眾號(hào)1100萬個(gè)、今日頭條等平臺(tái)賬號(hào)900萬個(gè)。

　　該公司運(yùn)營(yíng)的賬號(hào)包括“鮮衣美食君“、”全球娛樂趣事“、”instagram“等等，10萬+爆款文章是常事，幾大賬號(hào)粉絲數(shù)都在百萬級(jí)，粉絲留存率很多都在70%-80%。

　　三、多家互聯(lián)網(wǎng)公司躺槍，他們的安全部門去哪里了？

　　阿飛認(rèn)為，就這起案件來看，實(shí)際操作起來并沒有表面上看那么簡(jiǎn)單。

　　如果通過cookie盜取了用戶的登陸名和密碼這個(gè)還算可以理解。但實(shí)際操作時(shí)，還是會(huì)有很多問題的，如果你換一臺(tái)手機(jī)登陸微信，就會(huì)有異地、和非常用設(shè)備的登陸提醒。一臺(tái)手機(jī)有大量的異地登陸和非正常關(guān)注動(dòng)作，微信肯定是能夠監(jiān)測(cè)到的。

　　微博也是一樣，異地登陸一般需要有短信驗(yàn)證碼。短信數(shù)據(jù)是通訊數(shù)據(jù)，不是一個(gè)協(xié)議。這個(gè)成本太高了。運(yùn)營(yíng)商不太可能同時(shí)泄露了同一個(gè)賬號(hào)的網(wǎng)絡(luò)數(shù)據(jù)和通訊數(shù)據(jù)。通常來講，也不會(huì)同時(shí)、對(duì)應(yīng)地把這兩套數(shù)據(jù)泄露給第三方。

　　界面新聞?dòng)浾咴儐柫藥准疑婕霸撌录�的互�?lián)網(wǎng)公司。以微信為代表的回答是，這個(gè)事情平臺(tái)本身是無辜的，是屬于企業(yè)（瑞智華勝）惡意違規(guī)使用或者保護(hù)用戶數(shù)據(jù)不當(dāng)。

　　從事企業(yè)安全服務(wù)的志華認(rèn)為，在這件事情上，平臺(tái)不能將責(zé)任一推了之。用戶賬號(hào)在大量關(guān)注陌生的賬號(hào)，而且是同一批賬號(hào)被關(guān)注；而且有頻繁的異地登陸問題，互聯(lián)網(wǎng)公司沒有查出這個(gè)問題、也未能及時(shí)對(duì)用戶做出風(fēng)險(xiǎn)提示，或者修改密碼的提醒。平臺(tái)要完全擺脫責(zé)任，是不可能的。

　　現(xiàn)在巨頭之間的壟斷越來越嚴(yán)重，不同平臺(tái)跳轉(zhuǎn)之間的漏洞極易被不法分子利用。互聯(lián)網(wǎng)公司服務(wù)平臺(tái)和托管平臺(tái)之間的關(guān)系變得已經(jīng)密不可分。即使一個(gè)企業(yè)服務(wù)是安全的、另一個(gè)企業(yè)服務(wù)也是安全的，兩個(gè)服務(wù)并在一起很容易發(fā)生問題。要解決這個(gè)問題，幾大互聯(lián)網(wǎng)公司之間要互相合作。

　�。ò�飛、志華為化名）