俗话说,常在河边走哪有不湿鞋。
媒体在8月20日爆出一条令人震惊的消息:一家名为三板上市公司北京瑞智华胜科技股份有限公司涉嫌非法窃取用户个人信息30亿条,这些信息被用来在各大互联网平台恶意刷粉、刷赞等网络营销行为,谋取非法利益。
用户信息沦为网络黑产牟利工具,暴露安全保护的脆弱性
作为用户往往不知情,所得利益也与用户无关,此事的惊心动魄之处在于这些被盗取的用户信息具有真实性,是一个个真人,且规模如此之大。如果不只是被网络黑产拿来谋取商业利益,还被拿来用来危害公共信息安全,操纵社会舆论,其后果可想而知。
那么,我们不禁要问,保护用户隐私和信息安全,到底谁应该担负去责任来?
客观的说,用户信息即会经过多个环节流转和存留,比如从手机、APP、网络运营商、互联网平台、互联网服务商,每一个环节都有责任和义务保护好用户的信息,避免用户数据的滥用,但是显然不同环节所处用户信息流转的位置和能力不同,责任和义务也应该是不同的。
澎湃报道的这起涉及30亿规模的个人信息网络黑产案,有两点值得我们关注:
一是窃取信息广泛性前所未有。公开信息显示,涉案公司从全国96家互联网公司的产品中非法获取了用户信息,涉及了30亿条。
二是全国主流的互联网公司无一幸免。百度、腾讯、阿里、京东等都赫然在列。
这暴露出一个严峻的问题:用户信息保护上存在系统性的脆弱性,偌大的互联网,包含巨头在内,在网络黑产面前如此不堪一击,一定是整个系统存在漏洞。
对抗网络黑产,不只是需要互联网平台很努力
当用户的信息被盗,用户直观的反应一般是找平台,以至于很多互联网平台成为网络黑产的背锅。
比如微博、微信等常用的社交帐号被恶意关注点赞,给用户的使用体验造成了非常恶劣的影响,用户第一反应就是平台失职。毕竟在用户看来自己的账号是与平台直接相关的,但是静下心来略作思考,其实我们会发现,在对抗网络黑产上,互联网平台和用户是统一战线。
用户对平台的喜好和存留是平台生存和发展的基础,所以保护用户的帐号资产,是平台生死存亡的底线。
而在事实上,几乎所有的互联网平台都将帐号信息安全作为重中之重,都配备了强大的安全团队,平台越大,对信息安全的重视就越高。而且互联网的安全团队在打击网络黑产为何互联网安全护城河上具有一致的诉求,比如2018年年初阿里团队发现了微信的漏洞,及时通知腾讯修补,而此次发现涉案公司也是与阿里安全团队的帮助密不可分。
那么我们不禁要问:互联网平台很努力,为何网络黑产依旧屡禁不止?
运营商、互联网、国家应该建立协同的机制和能力,共同打击网络黑产
打击网络黑产,需要运营商、互联网平台、国家三位一体,从管道、平台、监管法律三个方面,协同合作,方能建立长效机制,尤其是电信运营商作为互联网基础设施,更应该承担更大的义务和责任——做好数据的监管。
在澎湃报道的这个案例中,我们还可以发现一个问题,保护用户信息的系统存在脆弱性——财新在一篇报道中把涉案公司能够如此轻而易举的获取30亿条用户信息归为运营商内鬼,虽然目前尚未有确凿证据证明这一点,我们也不能简单的把让运营商为此事背锅。
但是作为保护用户信息更为基础和底层的一环,运营商的确有责任和义务加强与上下游的安全协同,强化内部业务的规范管理。
否则如果有人打着正规合作的幌子,从运营商的网络或许各种用户行为数据和信息,运营商就会成为最薄弱的一环。
4G时代来临之后,流量经营成为运营商的战略选择,在此过程中前向流量、后向流量、流量银行等各种创新业务不断涌现,与之相伴的还有大数据、精准营销。
在这个过程中,一些人看到了商机开始介入流量业务,由于运营商网络数据的基础性,一些“有想法、有路子、懂运营商”的人就打起来用户数据的主意:名义上跟运营商签约,背后却利用对运营商网络和接口熟悉以及对运营商管理和运营的漏洞清洗用户数据,这种隐蔽性往往难以察觉:
- 一是目前运营商普遍采用的代维机制,很多关键设备和系统的操作维护都是第三方厂家负责;
- 二是流量的创新和竞争的关注超过了对安全的关注,给披着合法外衣的网络黑产留下了可乘之机。
由于网络黑产在更加低层操作,普通用户很难察觉,即使个别用户发现问题,由于不具有普遍性,用户逇投诉也往往难以引起运营商的重视,或者用户会误以为是互联网平台的责任。
所以我们看到,在保护用户信息上,离不开互联网平台和运营商的协同与合作。
- 一是电信运营商需要在关涉用户信息的开放和访问上,建立更加严格的安全管理制度,并在技术上与大互联网平台合作,强化安全审计和监控,形成联动和协作机制。
- 二是建立更加严格的业务边界审核和管控机制,对挂着羊头卖狗肉的合作方,严格控制业务边界,做好日常业务监管。
- 三是优化关键设备、关键接口、关键业务的维护管理机制,更多的使用自己人或许是一个必要的选择
- 四是电信运营商应该建立独立的网络安全团队,从全程全网和全产业链的角度,构建保护用户信息安全、对抗网络黑产的能力。
坦率的说,此次澎湃曝光的案件告诉我们,在安全面前,没有人能置身事外,也不应该置身事外。作为互联网的基础设施,运营商对数据也有监管职责,特别是运营商强调对流量进行多元化经营的现在,这种监管责任更不能缺失,因为个人信息涉及数亿网民,往大里说,如果被网络黑产不当滥用,会造成严重的社会后果。
当然,在国家层面,强化对行业的监管和指导也是必不可少的,一方面要加强对互联网公司的监管,另一方面,更要强化对运营商的监管,我相信,只有平台安全和管道安全能够协同好,网络黑产将无处隐身。
【钛媒体作者介绍:文/志刚水煮通信】
根据《网络安全法》实名制要求,请绑定手机号后发表评论