在網(wǎng)絡(luò)上，個(gè)人資料泄露事件正變得越來(lái)越常見。紹興警方最近破獲一起史上最大個(gè)人信息盜竊案，涉及到的個(gè)人信息多達(dá)30億條。不過，更可怕的是，這起盜竊案和常見的身份盜竊案不同，是從更上游的地方獲取了我們的個(gè)人信息——網(wǎng)絡(luò)運(yùn)營(yíng)商那里。

史上最大規(guī)模數(shù)據(jù)竊取案

今年6月下旬，紹興越城區(qū)公安分局網(wǎng)警大隊(duì)多次接到市民報(bào)案，稱在不知情的情況下發(fā)現(xiàn)，自己的微博、QQ等社交賬戶添加了陌生好友、關(guān)注，手機(jī)經(jīng)常莫名其妙收到各種垃圾廣告彈窗、短信，懷疑個(gè)人信息被泄露。

多起報(bào)案的同質(zhì)性引起警方高度關(guān)注。調(diào)查發(fā)現(xiàn)，報(bào)案市民李某的賬戶數(shù)據(jù)于2018年4月17日被8個(gè)IP地址多次異常訪問，這8個(gè)IP地址隸屬的IP段還先后訪問超過5000人的賬戶。

警方迅速展開了全力偵查，并成功鎖定上述IP段，發(fā)現(xiàn)其背后是以北京瑞智華勝科技股份有限公司（下稱“瑞智華勝”）為核心的三家公司在操控。

緊接著，警方針對(duì)這三家公司的關(guān)聯(lián)、商業(yè)模式等展開調(diào)查。7月3日，警方抓獲6名犯罪嫌疑人，公司實(shí)際控制人、主要犯罪嫌疑人邢某當(dāng)時(shí)未在公司，聞風(fēng)而逃。

警方查明，該案犯罪分子利用非法竊取的30億條用戶數(shù)據(jù)，操控用戶賬號(hào)進(jìn)行微博、微信、QQ、抖音等社交平臺(tái)的加粉、刷量、加群、違規(guī)推廣，非法獲利，旗下一家公司一年?duì)I收就超過3000萬(wàn)元?？胺Q“史上最大規(guī)模數(shù)據(jù)竊取案”。

“打劫”運(yùn)營(yíng)商竊取數(shù)據(jù)

警方偵查發(fā)現(xiàn)，涉案的瑞智華勝等三家公司主要成員均系同一伙人，辦公地點(diǎn)也一樣。其中兩家公司主要與運(yùn)營(yíng)商簽訂服務(wù)合同，獲取權(quán)限，進(jìn)而竊取數(shù)據(jù)，而瑞智華勝則主要將數(shù)據(jù)加工、處理，通過精準(zhǔn)營(yíng)銷、惡意彈窗、加粉、刷量等方式獲利變現(xiàn)。

據(jù)警方介紹，在“大老板”邢某的安排下，從2014年開始，黑產(chǎn)公司通過競(jìng)標(biāo)的方式，先后與全國(guó)多家運(yùn)營(yíng)商簽訂正式的服務(wù)合同，為其提供精準(zhǔn)廣告投放系統(tǒng)的開發(fā)、維護(hù)。簡(jiǎn)單來(lái)說(shuō)，每家運(yùn)營(yíng)商都要針對(duì)不同用戶做比較精準(zhǔn)的信息推送，比如流量使用提醒等，主要靠這個(gè)系統(tǒng)。

在提供軟件服務(wù)的過程中，該犯罪團(tuán)伙獲得了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限，并于2015年開始，在明知不合法的情況下，將自主編寫的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，偷偷“劫取”其流量信息。該犯罪團(tuán)伙可以在不需要獲取賬號(hào)和密碼的情況下登錄大量用戶的賬號(hào)，從用戶賬號(hào)中獲取用戶的搜索記錄、賬戶注冊(cè)資料等數(shù)據(jù)，其犯罪手法極其專業(yè)。

幾乎國(guó)內(nèi)所有的核心互聯(lián)網(wǎng)企業(yè)無(wú)一幸免

公開資料顯示，瑞智華勝成立于2013年，最初從事軟件開發(fā)服務(wù)，從2016年轉(zhuǎn)型做互聯(lián)網(wǎng)營(yíng)銷，2017年12月1日正式掛牌新三板。

黑產(chǎn)公司手段的進(jìn)化也是與時(shí)俱進(jìn)的，警方在辦案中發(fā)現(xiàn)，犯罪嫌疑人刑某所在公司，與覆蓋十余省市的電信、移動(dòng)、聯(lián)通、鐵通、廣電等運(yùn)營(yíng)商，簽訂營(yíng)銷廣告合作協(xié)議，但運(yùn)營(yíng)商均未對(duì)具體項(xiàng)目進(jìn)行約束、監(jiān)督。因運(yùn)營(yíng)商監(jiān)管不到位，邢某等人才能布置惡意采集程序的方式，非法獲取用戶流量信息。

警方統(tǒng)計(jì)發(fā)現(xiàn)，刑某通過運(yùn)營(yíng)商監(jiān)管不力而非法竊取的數(shù)據(jù)，涉及百度、騰訊、阿里巴巴、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)。幾乎國(guó)內(nèi)所有的核心互聯(lián)網(wǎng)企業(yè)無(wú)一幸免。也就是說(shuō)，用戶在網(wǎng)上搜索什么隱秘信息、去哪兒、何時(shí)何地開房、買了啥等這些信息，均被該犯罪團(tuán)伙掌握。

而更可怕的是，警方偵查發(fā)現(xiàn)，為逃避監(jiān)管和追查，犯罪團(tuán)伙還將部分信息存儲(chǔ)在位于日本的服務(wù)器上，“把非法收集的大量公民個(gè)人信息存儲(chǔ)在境外的服務(wù)器上，有危害國(guó)家安全的風(fēng)險(xiǎn)”。

目前該案還在進(jìn)一步偵查中，但背后反映出的社會(huì)現(xiàn)實(shí)卻是真實(shí)殘酷的。近幾年，公民個(gè)人信息被泄露、竊取的案件高發(fā)。業(yè)內(nèi)專家稱，本案表明，黑灰產(chǎn)團(tuán)伙或黑數(shù)據(jù)平臺(tái)才是數(shù)據(jù)泄露的主要原因，它們竊取數(shù)據(jù)和使用數(shù)據(jù)都是無(wú)底線的，并且在非法獲取數(shù)據(jù)后，并沒有保護(hù)數(shù)據(jù)的能力。

據(jù)媒體報(bào)道，以阿里巴巴為代表的企業(yè)正在嘗試用技術(shù)協(xié)助社會(huì)各界解決這一社會(huì)問題。

互聯(lián)網(wǎng)安全并不只能依賴于網(wǎng)絡(luò)運(yùn)營(yíng)商和互聯(lián)網(wǎng)企業(yè)，我們自己也應(yīng)該充分注意才行。

作為互聯(lián)網(wǎng)用戶的我們，只要付出一些額外的努力，就能大幅度降低個(gè)人信息泄露的風(fēng)險(xiǎn)。只要設(shè)置盡可能安全的密碼策略，就能防范大多數(shù)個(gè)人信息危機(jī)。

密碼策略其實(shí)并不復(fù)雜，只有6個(gè)字：分級(jí)、復(fù)雜、更換。

無(wú)論是何種安全等級(jí)，復(fù)雜密碼都是必須的。當(dāng)然，即使是有了復(fù)雜密碼，也不能掉以輕心。畢竟，如果盜竊者是從互聯(lián)網(wǎng)企業(yè)或者網(wǎng)絡(luò)運(yùn)營(yíng)商那里獲取了個(gè)人信息，那么再?gòu)?fù)雜的密碼也不會(huì)起到保護(hù)作用。為了安全，還應(yīng)該經(jīng)常更換密碼。

以后，個(gè)人信息安全會(huì)變得越來(lái)越重要，而目前維系我們安全的，只有密碼這一道鎖?；ヂ?lián)網(wǎng)上依然暗流洶涌，小心謹(jǐn)慎做好準(zhǔn)備，才是安全之道。

（《南方周末》2018.8.23等）