圖片來源:視覺中國
俗話說,常在河邊走哪有不濕鞋。
媒體在8月20日爆出一條令人震驚的消息:一家名為三板上市公司北京瑞智華勝科技股份有限公司涉嫌非法竊取用戶個人信息30億條,這些信息被用來在各大互聯(lián)網(wǎng)平臺惡意刷粉、刷贊等網(wǎng)絡(luò)營銷行為,謀取非法利益。
用戶信息淪為網(wǎng)絡(luò)黑產(chǎn)牟利工具,暴露安全保護(hù)的脆弱性
作為用戶往往不知情,所得利益也與用戶無關(guān),此事的驚心動魄之處在于這些被盜取的用戶信息具有真實(shí)性,是一個個真人,且規(guī)模如此之大。如果不只是被網(wǎng)絡(luò)黑產(chǎn)拿來謀取商業(yè)利益,還被拿來用來危害公共信息安全,操縱社會輿論,其后果可想而知。
那么,我們不禁要問,保護(hù)用戶隱私和信息安全,到底誰應(yīng)該擔(dān)負(fù)去責(zé)任來?
客觀的說,用戶信息即會經(jīng)過多個環(huán)節(jié)流轉(zhuǎn)和存留,比如從手機(jī)、APP、網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)平臺、互聯(lián)網(wǎng)服務(wù)商,每一個環(huán)節(jié)都有責(zé)任和義務(wù)保護(hù)好用戶的信息,避免用戶數(shù)據(jù)的濫用,但是顯然不同環(huán)節(jié)所處用戶信息流轉(zhuǎn)的位置和能力不同,責(zé)任和義務(wù)也應(yīng)該是不同的。
澎湃報道的這起涉及30億規(guī)模的個人信息網(wǎng)絡(luò)黑產(chǎn)案,有兩點(diǎn)值得我們關(guān)注:
一是竊取信息廣泛性前所未有。公開信息顯示,涉案公司從全國96家互聯(lián)網(wǎng)公司的產(chǎn)品中非法獲取了用戶信息,涉及了30億條。
二是全國主流的互聯(lián)網(wǎng)公司無一幸免。百度、騰訊、阿里、京東等都赫然在列。
這暴露出一個嚴(yán)峻的問題:用戶信息保護(hù)上存在系統(tǒng)性的脆弱性,偌大的互聯(lián)網(wǎng),包含巨頭在內(nèi),在網(wǎng)絡(luò)黑產(chǎn)面前如此不堪一擊,一定是整個系統(tǒng)存在漏洞。
對抗網(wǎng)絡(luò)黑產(chǎn),不只是需要互聯(lián)網(wǎng)平臺很努力
當(dāng)用戶的信息被盜,用戶直觀的反應(yīng)一般是找平臺,以至于很多互聯(lián)網(wǎng)平臺成為網(wǎng)絡(luò)黑產(chǎn)的背鍋。
比如微博、微信等常用的社交帳號被惡意關(guān)注點(diǎn)贊,給用戶的使用體驗(yàn)造成了非常惡劣的影響,用戶第一反應(yīng)就是平臺失職。畢竟在用戶看來自己的賬號是與平臺直接相關(guān)的,但是靜下心來略作思考,其實(shí)我們會發(fā)現(xiàn),在對抗網(wǎng)絡(luò)黑產(chǎn)上,互聯(lián)網(wǎng)平臺和用戶是統(tǒng)一戰(zhàn)線。
用戶對平臺的喜好和存留是平臺生存和發(fā)展的基礎(chǔ),所以保護(hù)用戶的帳號資產(chǎn),是平臺生死存亡的底線。
而在事實(shí)上,幾乎所有的互聯(lián)網(wǎng)平臺都將帳號信息安全作為重中之重,都配備了強(qiáng)大的安全團(tuán)隊(duì),平臺越大,對信息安全的重視就越高。而且互聯(lián)網(wǎng)的安全團(tuán)隊(duì)在打擊網(wǎng)絡(luò)黑產(chǎn)為何互聯(lián)網(wǎng)安全護(hù)城河上具有一致的訴求,比如2018年年初阿里團(tuán)隊(duì)發(fā)現(xiàn)了微信的漏洞,及時通知騰訊修補(bǔ),而此次發(fā)現(xiàn)涉案公司也是與阿里安全團(tuán)隊(duì)的幫助密不可分。
那么我們不禁要問:互聯(lián)網(wǎng)平臺很努力,為何網(wǎng)絡(luò)黑產(chǎn)依舊屢禁不止?
運(yùn)營商、互聯(lián)網(wǎng)、國家應(yīng)該建立協(xié)同的機(jī)制和能力,共同打擊網(wǎng)絡(luò)黑產(chǎn)
打擊網(wǎng)絡(luò)黑產(chǎn),需要運(yùn)營商、互聯(lián)網(wǎng)平臺、國家三位一體,從管道、平臺、監(jiān)管法律三個方面,協(xié)同合作,方能建立長效機(jī)制,尤其是電信運(yùn)營商作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,更應(yīng)該承擔(dān)更大的義務(wù)和責(zé)任——做好數(shù)據(jù)的監(jiān)管。
在澎湃報道的這個案例中,我們還可以發(fā)現(xiàn)一個問題,保護(hù)用戶信息的系統(tǒng)存在脆弱性——財新在一篇報道中把涉案公司能夠如此輕而易舉的獲取30億條用戶信息歸為運(yùn)營商內(nèi)鬼,雖然目前尚未有確鑿證據(jù)證明這一點(diǎn),我們也不能簡單的把讓運(yùn)營商為此事背鍋。
但是作為保護(hù)用戶信息更為基礎(chǔ)和底層的一環(huán),運(yùn)營商的確有責(zé)任和義務(wù)加強(qiáng)與上下游的安全協(xié)同,強(qiáng)化內(nèi)部業(yè)務(wù)的規(guī)范管理。
否則如果有人打著正規(guī)合作的幌子,從運(yùn)營商的網(wǎng)絡(luò)或許各種用戶行為數(shù)據(jù)和信息,運(yùn)營商就會成為最薄弱的一環(huán)。
4G時代來臨之后,流量經(jīng)營成為運(yùn)營商的戰(zhàn)略選擇,在此過程中前向流量、后向流量、流量銀行等各種創(chuàng)新業(yè)務(wù)不斷涌現(xiàn),與之相伴的還有大數(shù)據(jù)、精準(zhǔn)營銷。
在這個過程中,一些人看到了商機(jī)開始介入流量業(yè)務(wù),由于運(yùn)營商網(wǎng)絡(luò)數(shù)據(jù)的基礎(chǔ)性,一些“有想法、有路子、懂運(yùn)營商”的人就打起來用戶數(shù)據(jù)的主意:名義上跟運(yùn)營商簽約,背后卻利用對運(yùn)營商網(wǎng)絡(luò)和接口熟悉以及對運(yùn)營商管理和運(yùn)營的漏洞清洗用戶數(shù)據(jù),這種隱蔽性往往難以察覺:
由于網(wǎng)絡(luò)黑產(chǎn)在更加低層操作,普通用戶很難差距,即使個別用戶發(fā)現(xiàn)問題,由于不具有普遍性,用戶逇投訴也往往難以引起運(yùn)營商的重視,或者用戶會誤以為是互聯(lián)網(wǎng)平臺的責(zé)任。
所以我們看到,在保護(hù)用戶信息上,離不開互聯(lián)網(wǎng)平臺和運(yùn)營商的協(xié)同與合作。
坦率的說,此次澎湃曝光的案件告訴我們,在安全面前,沒有人能置身事外,也不應(yīng)該置身事外。作為互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施,運(yùn)營商對數(shù)據(jù)也有監(jiān)管職責(zé),特別是運(yùn)營商強(qiáng)調(diào)對流量進(jìn)行多元化經(jīng)營的現(xiàn)在,這種監(jiān)管責(zé)任更不能缺失,因?yàn)閭€人信息涉及數(shù)億網(wǎng)民,往大里說,如果被網(wǎng)絡(luò)黑產(chǎn)不當(dāng)濫用,會造成嚴(yán)重的社會后果。
當(dāng)然,在國家層面,強(qiáng)化對行業(yè)的監(jiān)管和指導(dǎo)也是必不可少的,一方面要加強(qiáng)對互聯(lián)網(wǎng)公司的監(jiān)管,另一方面,更要強(qiáng)化對運(yùn)營商的監(jiān)管,我相信,只有平臺安全和管道安全能夠協(xié)同好,網(wǎng)絡(luò)黑產(chǎn)將無處隱身。
【鈦媒體作者介紹:文/志剛水煮通信】