俗話說,常在河邊走哪有不濕鞋。
媒體在8月20日爆出一條令人震驚的消息:一家名為三板上市公司北京瑞智華勝科技股份有限公司涉嫌非法竊取用戶個人信息30億條,這些信息被用來在各大互聯網平臺惡意刷粉、刷贊等網絡營銷行為,謀取非法利益。
用戶信息淪為網絡黑產牟利工具,暴露安全保護的脆弱性
作為用戶往往不知情,所得利益也與用戶無關,此事的驚心動魄之處在于這些被盜取的用戶信息具有真實性,是一個個真人,且規模如此之大。如果不只是被網絡黑產拿來謀取商業利益,還被拿來用來危害公共信息安全,操縱社會輿論,其后果可想而知。
那么,我們不禁要問,保護用戶隱私和信息安全,到底誰應該擔負去責任來?
客觀的說,用戶信息即會經過多個環節流轉和存留,比如從手機、APP、網絡運營商、互聯網平臺、互聯網服務商,每一個環節都有責任和義務保護好用戶的信息,避免用戶數據的濫用,但是顯然不同環節所處用戶信息流轉的位置和能力不同,責任和義務也應該是不同的。
這起涉及30億規模的個人信息網絡黑產案,有兩點值得我們關注:
一是竊取信息廣泛性前所未有。公開信息顯示,涉案公司從全國96家互聯網公司的產品中非法獲取了用戶信息,涉及了30億條。
二是全國主流的互聯網公司無一幸免。百度、騰訊、阿里、京東等都赫然在列。
這暴露出一個嚴峻的問題:用戶信息保護上存在系統性的脆弱性,directadmin漢化 虛擬主機,偌大的互聯網,包含巨頭在內,在網絡黑產面前如此不堪一擊,一定是整個系統存在漏洞。
當用戶的信息被盜,用戶直觀的反應一般是找平臺,以至于很多互聯網平臺成為網絡黑產的背鍋。
比如微博、微信等常用的社交帳號被惡意關注點贊,給用戶的使用體驗造成了非常惡劣的影響,用戶第一反應就是平臺失職。畢竟在用戶看來自己的賬號是與平臺直接相關的,但是靜下心來略作思考,其實我們會發現,在對抗網絡黑產上,互聯網平臺和用戶是統一戰線。
用戶對平臺的喜好和存留是平臺生存和發展的基礎,所以保護用戶的帳號資產,是平臺生死存亡的底線。
而在事實上,幾乎所有的互聯網平臺都將帳號信息安全作為重中之重,都配備了強大的安全團隊,平臺越大,對信息安全的重視就越高。而且互聯網的安全團隊在打擊網絡黑產為何互聯網安全護城河上具有一致的訴求,比如2018年年初阿里團隊發現了微信的漏洞,及時通知騰訊修補,而此次發現涉案公司也是與阿里安全團隊的幫助密不可分。
那么我們不禁要問:互聯網平臺很努力,為何網絡黑產依舊屢禁不止?
運營商、互聯網、國家應該建立協同的機制和能力,共同打擊網絡黑產
打擊網絡黑產,需要運營商、互聯網平臺、國家三位一體,從管道、平臺、監管法律三個方面,協同合作,方能建立長效機制,尤其是電信運營商作為互聯網基礎設施,更應該承擔更大的義務和責任——做好數據的監管。
在這個案例中,我們還可以發現一個問題,保護用戶信息的系統存在脆弱性——財新在一篇報道中把涉案公司能夠如此輕而易舉的獲取30億條用戶信息歸為運營商內鬼,雖然目前尚未有確鑿證據證明這一點,我們也不能簡單的把讓運營商為此事背鍋。
但是作為保護用戶信息更為基礎和底層的一環,運營商的確有責任和義務加強與上下游的安全協同,強化內部業務的規范管理。
否則如果有人打著正規合作的幌子,從運營商的網絡或許各種用戶行為數據和信息,運營商就會成為最薄弱的一環。
4G時代來臨之后,流量經營成為運營商的戰略選擇,在此過程中前向流量、后向流量、流量銀行等各種創新業務不斷涌現,與之相伴的還有大數據、精準營銷。
在這個過程中,一些人看到了商機開始介入流量業務,由于運營商網絡數據的基礎性,一些“有想法、有路子、懂運營商”的人就打起來用戶數據的主意:名義上跟運營商簽約,背后卻利用對運營商網絡和接口熟悉以及對運營商管理和運營的漏洞清洗用戶數據,這種隱蔽性往往難以察覺:
一是目前運營商普遍采用的代維機制,很多關鍵設備和系統的操作維護都是第三方廠家負責;
二是流量的創新和競爭的關注超過了對安全的關注,給披著合法外衣的網絡黑產留下了可乘之機。
