陌陌使用者資訊洩露門
[摘要] 讓大眾譁然的是,關係使用者財產隱私人身安全的、至關重要的資訊竟被廉價售賣,而互聯萬平臺在使用者資訊保護方面究竟該承擔怎麼樣的責任?
時代週報記者 王州婷 發自北京
收編探探、轉型直播,以陌生人社交起家的陌陌在2018年的直播寒冬中交出亮眼成績,全年淨營收、淨利潤同比大幅提高的同時,截至2018年12月的月活使用者也達到1.13億,創下歷史新高。但是,作為一個億級使用者平臺,在大資料安全保障上,陌陌依然難以避免“資料黑產交易”的緋聞。
在不久前的2018年12月,一則關於陌陌3000萬條使用者資訊在暗網僅售50美金的訊息引發關注,雖然陌陌方面隨後迴應表示該份資料與陌陌使用者匹配度極低,但讓大眾譁然的是,關係使用者財產隱私人身安全的、至關重要的資訊竟被廉價售賣,而互聯萬平臺在使用者資訊保護方面究竟該承擔怎麼樣的責任?
網路安全研究者司馬子羽對時代週報記者表示,當下大多數網際網路平臺的使用者資訊保安保障機制是歷經多年驗證了的成本效益最優選擇,雖然技術理論上可加強防控,但在洩露門檻低、漏洞多等多種因素下,要完全保證使用者資訊隱私安全,這涉及到社會方方面面的管控。
3000萬條資料賣50美元
2018年12月3日,有微博網友爆料稱,超過3000萬條陌陌使用者資料在暗網上以50美元價格出售。訊息爆出,陌陌方面表示,這個所謂的三年多前通過撞庫得來的資料,跟陌陌使用者的匹配度極低,而多家媒體測試驗證的情況顯示,反饋的也都是錯誤資訊。
此外,陌陌方面強調,平臺採用的是高強度單向雜湊演算法(使用者密碼被單向加密成密文,但不能通過密文還原為明文)加密儲存使用者密碼,因此任何人無法直接從陌陌資料庫中直接獲取使用者明文密碼。與此同時,平臺採用了包括密碼驗證、裝置驗證等多重校驗機制,以保護使用者資訊保安。
“請陌陌使用者放心,任何人在其他裝置上僅用手機號和密碼試圖登入陌陌賬號,都會觸發簡訊驗證碼等多種資訊驗證措施,他人根本無法僅憑手機號和密碼就登入使用者陌陌賬號。”
事實上,彼時經各大網友及媒體的實測驗證,上述被售賣的陌陌使用者資料大部分賬號已不存在,多數賬號密碼錯誤,不過這並不意味著使用者資訊未曾被洩露。
微博使用者“淺黑科技”曾猜測,不排除這個資料庫是真的,在訊息被爆出後,陌陌或通過安全監控提前進行了處理,把相應的賬號刪除或者加一道驗證。另外一種可能則是資料是假的或存在“洗庫”行為。
在網路資料交易黑產中,“撞庫”、“拖庫”和“洗庫”是專業用語。所謂“撞庫”是指是黑客通過收集網際網路已洩露的使用者和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登入的使用者。“拖庫”則是黑客入侵有價值的網站,把相關資料資料庫全部盜走的行為。“洗庫”則是獲得大量使用者資料之後,通過一系列的技術手段對使用者資料進行再加工,以獲得更高獲利變現的手法。
在司馬子羽看來,“撞庫”造成的使用者資訊洩露,使用者要承擔大部分的責任,“任何一個使用了同樣賬號密碼的平臺垮臺都會造成資訊的洩露。”但他同樣認為,“撞庫”帶來的資訊洩露並非就無法避免,“保障技術的實現難度並沒有很大,但對企業而言,這是沒有效益的事情”。
資料安全意識待提升
大資料時代,資料安全保障涉及各方面深層次利益。上海眾人網路安全技術有限公司董事長談劍鋒在今年全國兩會時就表示,目前我國地下網路犯罪活動的金額已經超過了151億美元,約合人民幣1004億元。
“大資料推動了網際網路的發展,資訊交流和社會執行效率得到了提高,然而由於人們的資料資訊保安保護意識薄弱,有些不法分子尋機以販賣資料牟利,或利用隱私從事詐騙等犯罪活動。”在談劍鋒看來,資料交易鏈條是其最擔心的風險點。
實際上,在過去的幾年裡,網際網路平臺屢屢陷入使用者資訊洩露事件:2014年支付寶20G使用者資訊遭洩露、同年噹噹網再陷盜號門,小米論壇800萬用戶資訊被拖庫。此外由於平臺監管不力造成的內部人員洩露及交易使用者資料也時有發生。
一位網際網路技術研發人士對時代週報記者表示道:“移動網際網路的資訊加密邏輯更多是PC端的延續和遷移,然而在PC端,除了銀行賬戶或者是重要財務資產賬戶會進行裝置識別及加密設定以外,普遍的使用者登入資訊並不會做這樣的設定,由此造就了移動網際網路平臺弱資訊加密的設定。”
該位人士指出,網際網路使用者資訊洩露,主要原因還是在於人們對於資料資訊保安、使用者隱私安全不夠重視。
在業內看來,大資料時代,提升全民資訊資料、隱私安全意識極為重要。對於平臺而言,一方面要在資訊加密技術層面加強重視和投入;另一方面也要將安全可控的大資料技術與企業管控、社會治理系統融合,構建大資料時代下的隱私保障機制。