你的微博莫名其妙地关注了一堆陌生营销账号,QQ号忽然被加进不认识的陌生群聊,抖音也“自动”成为某一网红的粉丝……如果你遇到过这些问题,或许意味着你的账号密码已被泄露,成为网络黑产操控的猎物。
近期,由浙江法院审理的一起被称为史上最大的数据窃取案细节被曝光。据笔者了解,在该案侦办中,警方发现运营商流量遭劫持,接连导致百度、腾讯、今日头条等全国96家互联网公司用户数据被窃取,也就是说,几乎国内所有的大型互联网企业均被“雁过拔毛”。而操控用户帐号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,该犯罪团伙旗下一家公司一年营收就超过3000万元。涉案的是新三板上市公司北京瑞智华胜科技股份有限公司。该公司及其关联公司多名犯罪嫌疑人被抓获,涉嫌非法窃取用户个人信息30亿条。据警方介绍,案件侦办过程中获得阿里巴巴的大力协助。
与以往用户个人信息主要从物流、网站等处泄露不同,在这起案件中,网络黑产公司系凭借与电信运营商签订正规营销广告系统服务合同,拿到运营商服务器远程登录权限,然后非法截流了用户数据,即用户数据在运营商层面就通过流量劫持和清洗的方式丢失了,这就意味即便位于下游的互联网公司安全防护能力再强,也无法进行有效防范。据媒体报道,此案波及了百度、腾讯、阿里等96家互联网公司,几乎国内所有的大型互联网公司无一幸免,影响极其恶劣。
随着社会进入到大数据时代,数据在企业运营中的重要性愈发凸显,甚至被誉为信息时代的“新石油”,这也使得个人信息等数据资源成为网络黑产觊觎的猎物:从无孔不入的垃圾短信骚扰,到见缝插针地营销电话围攻,再到让人瞠目结舌的“被加粉”“被点赞”,再到令人义愤的电信诈骗致人死亡案,无不凸显了个人信息保护的极端重要性和紧迫性。就在近日媒体还曝出很多明星的个人信息也在网上被明码标价公开售卖,价格几元到上百元不等,内容包括身份证号、家庭地址、游戏账号等不一而足。
与这种恶劣生态相对应的是,实施窃取倒卖公民个人信息行为的不再是散兵游勇的单打独斗,而是演化成具有专业化分工、链条化运作特点的产业,且规模近千亿元/年,甚至一些网络黑灰产的操控者不再隐身幕后,而是设立公司,身着“正规化”外衣堂而皇之走上台前。如此案犯罪团伙旗下一公司一年营收就超过3000万元人民币,甚至挂牌新三板,一时间风光无限。
面对日益猖獗、方法手段不断翻新的网络黑产,如何打击治理,不仅关乎网络空间安全,也关乎人民群众财产安全,因此必须综合施策,协同治理。
首先,电信运营商要切实从源头上履行好信息安全保障义务。近年来,电信运营商出于市场竞争的需要,大力推进多元化经营,这也给一些不法分子非法窃取用户数据提供了契机。此次“史上最大数据窃取案”也警示运营商作为保护用户信息数据安全最基础、最底层的一环,要切实强化内部业务管理规范,严格审核合作机构运营资质,并对其日常运营行为进行有效监管,避免因流程监管不力导致用户信息数据外泄,从而从源头上保障用户数据安全。
其次,加大对网络黑灰产的打击处罚力度。从网络黑灰产运作链条来看,很多网络违法犯罪行为发生的源头都在于用户个人信息泄露,一些处于上游的黑数据公司、数据黑灰产团伙、公司内鬼非法盗取公民个人信息等重要数据后,要么自己通过非法商业化运营变现牟利,要么利用社交平台等渠道倒卖交易,为下游社工诈骗等网络违法犯罪行为提供“养分”,导致网络黑灰产日益壮大,给网络空间安全和人民群众财产安全带来了巨大安全隐患。
沉疴当用猛药。对于这些从事窃取、倒卖公民个人信息的黑数据公司、内鬼等罪魁祸首,法律必须展示出其强大的威慑力和惩处力,而目前司法实践中,针对盗取倒卖个人信息行为的定罪量刑还存在一些分歧,法律适用也不甚统一,严重削弱了法律对黑产分子的震慑力度,一些不法分子在接受较轻的刑罚后再次犯案。重罚之下才有畏者,只有予以严厉打击,并辅之以高昂违法成本,才能打消不法分子的嚣张气焰,并对其他网络黑产从业者进行震慑。
最后,加大协同治理。近年来,为了逃避打击,网络黑灰产业链条上的不法分子不断变换作案手法,调整对抗策略。面对这种新态势,作为拥有技术优势的互联网企业不仅要加大自身网络安全投入,还要加强与行业、公安等监管部门的协同治理。从很多重大网络黑产案件的破获情况看,都与良好的警企联动密不可分。如此次“史上最大数据窃取案”的破获,就与阿里提供的协助有关。只有打击整治防范管控同步推进,多方联动,协同治理,才能最大限度压缩网络黑产生存空间,最大程度保障公民个人信息安全。
作者为资深互联网观察人士
