據新浪科技8月20日報道,新三板上市公司北京瑞智華勝科技股份有限公司涉嫌非法竊取用戶30億條信息引發(fā)公眾一片嘩然。這次案件不僅信息竊取規(guī)模龐大,同時還涉及互聯網科技巨頭,百度、騰訊、阿里、京東等全國96家互聯網公司產品都受牽涉。最為關鍵的是用戶信息泄露的源頭竟然出在運營商身上,這也更加讓大眾憂心忡忡。
國內運營商手上掌握了全中國數以億計用戶的重要信息,它們一旦沒有管好群眾上網“第一道”信息安全閘門,產生的后果不堪設想。國內用戶信息泄露時常發(fā)生,為何會屢禁不止?到底誰要為這次重大的信息竊取案背鍋?未來該從哪幾個方面做保護用戶信息隱私?
信息被竊的廣泛性和嚴重性日漸凸顯 平臺跟用戶站統(tǒng)一戰(zhàn)線仍然難遏制
現在用戶每天收到垃圾短信、詐騙電話幾乎已經算是家常便飯了,以信息詐騙為生的黑色產業(yè)鏈在背后發(fā)展的規(guī)模跟速度已經超乎想象。據《網絡安全產業(yè)白皮書(2017)》有關數據顯示,2017年我國網絡安全產業(yè)規(guī)模為450多億元,而黑灰產業(yè)比安全產業(yè)發(fā)展得更為野蠻。有業(yè)內人士認為,黑灰產業(yè)已達千億元規(guī)模。
除了這條黑色產業(yè)鏈已經越來越嚴重之外,用戶信息泄露遭受的損失同樣是不可估量。據中國互聯網協會《中國網民權益保護調查報告2016》顯示,全年國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。從上面兩個數據可以看出,國內用戶信息被竊的廣泛性和嚴重性已經日漸凸顯。
這次涉案公司從全國96家互聯網公司的產品中非法獲取了用戶信息,涉及了30億條。其中全國主流的互聯網公司無一幸免,這讓很多投入了巨資保護信息安全的互聯網公司都很無奈,畢竟它們都是有花巨資在維護平臺上用戶信息的安全。比如2017年下半年,阿里巴巴各大反釣魚團隊對已知風險進行及時防控阻斷,2018上半年各釣魚風險呈下降趨勢,電商類欺詐下降94%,公檢法欺詐下降48.9%。
互聯網平臺也深知保護用戶信息的重要性,在對抗網絡黑產上,平臺和用戶是統(tǒng)一戰(zhàn)線。幾乎所有的互聯網平臺都將帳號信息安全作為重中之重,都配備了強大的安全團隊。而且平臺越大,對信息安全的重視程度就越高。同時隨著各類詐騙案件的發(fā)生,已經讓越來越多的用戶意識到保護信息的重要性,他們的防患意識也較以往有了提高。
但這次案件信息泄露的源頭卻出在了運營商身上,就讓外界有點匪夷所思了?;ヂ摼W服務的提供商是網絡運營商,他們掌握并流通互聯網所有的數據。當有人從運營商那兒竊取時,互聯網服務商做的再安全也沒有用,因為用戶的數據對運營商是透明的。那為何涉案公司能輕易的在運營商身上竊取呢?
羊毛出在羊身上運營商有失責之嫌 監(jiān)管力度不夠讓非法企業(yè)有可乘之機
為何這次信息竊取案件涉及面這么廣?據《人民日報》報道在本案中,信息泄露的端口并非單一互聯網網站或APP,而是波及了電信、移動、聯通、鐵通、廣電等全國多個省份的多家運營商。這家涉案公司前身是一家自媒體營銷公司,它與全國多個省市的運營商簽訂營銷廣告協議,但運營商并未對具體項目作出必要的約束跟監(jiān)管,才能這家公司借合作的正當名義,在運營商服務器上安插惡意采集程序,非法獲取用戶流量。
這意味著,只要用戶使用電腦或登錄手機,個人信息就有可能在第一時間被不法分子非法截留。因此不難理解像百度、騰訊、阿里、今日頭條等這些互聯網巨頭為何會中招了,這是因為涉案公司從運營商從身上為黑產撕了道口子。而這樣的“源頭”一旦泄露,后果也顯而易見。既然運營商掌握著數以億計的用戶信息這道關口,它的重要性不言而喻,為何還會出現運營商監(jiān)管不到位呢?
其一黑產具有隱蔽性運營商難以察覺
這次的涉案公司名義上跟運營商簽約,背后卻利用接口來清洗數據的行為,除非用戶舉報,一般很難察覺,但是個別用戶的異常,又不能普遍反映問題。對于運營商來說,它們可能并不會主動去查看有什么異常。由于涉案公司跟運營商有正當合作,外部很難看出里面合作會有其他貓膩,畢竟這種信息獲取是涉案公司是在暗處。
其二難以杜絕運營商內部人員被企業(yè)收買
對于運營商來說內部能接觸到用戶信息的估計不少,但是愿意去做竊取用戶信息謀利益的可能還是在中層人員身上。作為高層他們不愿去冒風險,畢竟代價太大;底層人員他們可能還達不到級別能接觸到這么龐大的用戶信息資源,其中中層人員就存有可能為了利益為涉案公司行方便。一旦有利益作怪,運營商也很難保證內部所有的人員都能知法守法。
其三運營商自身對于用戶信息監(jiān)管還不夠重視
相對于互聯網平臺依賴用戶信息生存而言,運營商他們并不能直接從用戶身上獲益。運營商主營只是為用戶提供上網流量收取費用,他們對數據信息的保護,本質上就沒有動力。一旦他們對于用戶信息保護還不夠重視,就會有機會讓中間人有機可乘。運營商應該從上到下都要有這個強烈的意識,不管是哪個地區(qū)哪個階段的人員。
保護用戶信息仍然任重而道遠 國家平臺用戶環(huán)環(huán)相扣缺一不可
之前媒體報道用戶信息被泄,很大一部分原因是在于內鬼泄露或黑客盜取,而這一次,公民信息是不法分子通過與運營商簽訂合作協議,在正常渠道中采取非法手段獲取的。不法分子是能以正當名義走進倉庫,然后私下偷摸攜帶財物出來。如果竊賊能從正門進入,互聯網平臺再多的防火墻或殺毒軟件只是擺設,變得沒有什么意義。
因此,保護用戶信息并不僅僅是某一方平臺的職責,國家、互聯網平臺、運營商、用戶都是其中重要的一環(huán),環(huán)環(huán)相扣缺一不可。
一、在國家層面法律對于用戶信息保護的處罰要更加細分明確
目前關于網絡信息安全方面的法律條文還不夠明確,適用范圍尚且不夠精準,相關條文必須得到進一步細化、規(guī)范,以此更加公平公正地懲治網絡信息安全事故的造成者,保護公民切身利益。同時也應該加強對行業(yè)的監(jiān)管,對互聯網公司監(jiān)管,特別是對運營商的監(jiān)管,為用戶個人信息和隱私保駕護航。
二、互聯網平臺跟運營商都是靠用戶生存,保護用戶信息安全也要放在同一重要位置
網站平臺在收集和使用用戶信息應當遵循“合法、正當、必要”三原則。對收集到的用戶信息應當采取安全保護措施,一旦發(fā)生泄密,必須及時采取補救措施,降低最小損失。運營商作為互聯網的基礎設施,他們對數據其實有重要的監(jiān)管職責,特別是運營商強調對流量進行多元化經營的現在,這種監(jiān)管責任更不能缺失。個人信息涉及數億網民,一旦泄露會造成嚴重的社會后果。
三、信息安全無小事,用戶必須進一步增強信息保護意識
信息保護不能只靠技術保護與嚴厲打擊,從源頭來看,防范意識同樣重要,用戶自身對信息的保護同樣是重要的環(huán)節(jié)。平時用戶應警惕要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件,不要回復或者點擊郵件的鏈接,以免落入圈套。同時不要在多個網站使用相同的注冊賬戶名以及登錄密碼,防止網絡黑客有意盜取,造成多個網站個人信息的連環(huán)失竊。如果有互聯網平臺不再使用,用戶注銷登錄賬號其實也是有必要的。
自有互聯網起,信息泄露的話題就常談常新。雖說很難在短時間內從根源上徹底解決,但是只要國家、互聯網平臺、運營商、用戶都齊心協力,一起為保護用戶信息做好應盡的本分,未來還是能期待一個先內后外、由內到外的信息安全環(huán)境。
文 |小謙,葫蘆程序(http:www.huluchengxu.com)創(chuàng)始人,互聯網觀察員,數十家科技媒體專欄作者,轉載請注明版權
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!