新三板上市公司北京瑞智华胜科技股份有限公司涉嫌非法窃取用户30亿条信息引发公众一片哗然。这次案件不仅信息窃取规模庞大,同时还涉及互联网科技巨头,百度、腾讯、阿里、京东等全国96家互联网公司产品都受牵涉。最为关键的是用户信息泄露的源头竟然出在运营商身上,这也更加让大众忧心忡忡。
国内运营商手上掌握了全中国数以亿计用户的重要信息,它们一旦没有管好群众上网“第一道”信息安全闸门,产生的后果不堪设想。国内用户信息泄露时常发生,为何会屡禁不止?到底谁要为这次重大的信息窃取案背锅?未来该从哪几个方面做保护用户信息隐私?
信息被窃的广泛性和严重性日渐凸显 平台跟用户站统一战线仍然难遏制
现在用户每天收到垃圾短信、诈骗电话几乎已经算是家常便饭了,以信息诈骗为生的黑色产业链在背后发展的规模跟速度已经超乎想象。据《网络安全产业白皮书(2017)》有关数据显示,2017年我国网络安全产业规模为450多亿元,而黑灰产业比安全产业发展得更为野蛮。有业内人士认为,黑灰产业已达千亿元规模。
除了这条黑色产业链已经越来越严重之外,用户信息泄露遭受的损失同样是不可估量。据中国互联网协会《中国网民权益保护调查报告2016》显示,全年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。从上面两个数据可以看出,国内用户信息被窃的广泛性和严重性已经日渐凸显。
这次涉案公司从全国96家互联网公司的产品中非法获取了用户信息,涉及了30亿条。其中全国主流的互联网公司无一幸免,这让很多投入了巨资保护信息安全的互联网公司都很无奈,毕竟它们都是有花巨资在维护平台上用户信息的安全。比如2017年下半年,阿里巴巴各大反钓鱼团队对已知风险进行及时防控阻断,2018上半年各钓鱼风险呈下降趋势,电商类欺诈下降94%,公检法欺诈下降48.9%。
互联网平台也深知保护用户信息的重要性,在对抗网络黑产上,平台和用户是统一战线。几乎所有的互联网平台都将帐号信息安全作为重中之重,都配备了强大的安全团队。而且平台越大,对信息安全的重视程度就越高。同时随着各类诈骗案件的发生,已经让越来越多的用户意识到保护信息的重要性,他们的防患意识也较以往有了提高。
但这次案件信息泄露的源头却出在了运营商身上,就让外界有点匪夷所思了。互联网服务的提供商是网络运营商,他们掌握并流通互联网所有的数据。当有人从运营商那儿窃取时,互联网服务商做的再安全也没有用,因为用户的数据对运营商是透明的。那为何涉案公司能轻易的在运营商身上窃取呢?
羊毛出在羊身上运营商有失责之嫌 监管力度不够让非法企业有可乘之机
为何这次信息窃取案件涉及面这么广?据《人民日报》报道在本案中,信息泄露的端口并非单一互联网网站或APP,而是波及了电信、移动、联通、铁通、广电等全国多个省份的多家运营商。这家涉案公司前身是一家自媒体营销公司,它与全国多个省市的运营商签订营销广告协议,但运营商并未对具体项目作出必要的约束跟监管,才能这家公司借合作的正当名义,在运营商服务器上安插恶意采集程序,非法获取用户流量。
这意味着,只要用户使用电脑或登录手机,个人信息就有可能在第一时间被不法分子非法截留。因此不难理解像百度、腾讯、阿里、今日头条等这些互联网巨头为何会中招了,这是因为涉案公司从运营商从身上为黑产撕了道口子。而这样的“源头”一旦泄露,后果也显而易见。既然运营商掌握着数以亿计的用户信息这道关口,它的重要性不言而喻,为何还会出现运营商监管不到位呢?
其一黑产具有隐蔽性运营商难以察觉
这次的涉案公司名义上跟运营商签约,背后却利用接口来清洗数据的行为,除非用户举报,一般很难察觉,但是个别用户的异常,又不能普遍反映问题。对于运营商来说,它们可能并不会主动去查看有什么异常。由于涉案公司跟运营商有正当合作,外部很难看出里面合作会有其他猫腻,毕竟这种信息获取是涉案公司是在暗处。
其二难以杜绝运营商内部人员被企业收买
对于运营商来说内部能接触到用户信息的估计不少,但是愿意去做窃取用户信息谋利益的可能还是在中层人员身上。作为高层他们不愿去冒风险,毕竟代价太大;底层人员他们可能还达不到级别能接触到这么庞大的用户信息资源,其中中层人员就存有可能为了利益为涉案公司行方便。一旦有利益作怪,运营商也很难保证内部所有的人员都能知法守法。
其三运营商自身对于用户信息监管还不够重视
相对于互联网平台依赖用户信息生存而言,运营商他们并不能直接从用户身上获益。运营商主营只是为用户提供上网流量收取费用,他们对数据信息的保护,本质上就没有动力。一旦他们对于用户信息保护还不够重视,就会有机会让中间人有机可乘。运营商应该从上到下都要有这个强烈的意识,不管是哪个地区哪个阶段的人员。
保护用户信息仍然任重而道远 国家平台用户环环相扣缺一不可
之前媒体报道用户信息被泄,很大一部分原因是在于内鬼泄露或黑客盗取,而这一次,公民信息是不法分子通过与运营商签订合作协议,在正常渠道中采取非法手段获取的。不法分子是能以正当名义走进仓库,然后私下偷摸携带财物出来。如果窃贼能从正门进入,互联网平台再多的防火墙或杀毒软件只是摆设,变得没有什么意义。
因此,保护用户信息并不仅仅是某一方平台的职责,国家、互联网平台、运营商、用户都是其中重要的一环,环环相扣缺一不可。
一、在国家层面法律对于用户信息保护的处罚要更加细分明确
目前关于网络信息安全方面的法律条文还不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。同时也应该加强对行业的监管,对互联网公司监管,特别是对运营商的监管,为用户个人信息和隐私保驾护航。
二、互联网平台跟运营商都是靠用户生存,保护用户信息安全也要放在同一重要位置
网站平台在收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,降低最小损失。运营商作为互联网的基础设施,他们对数据其实有重要的监管职责,特别是运营商强调对流量进行多元化经营的现在,这种监管责任更不能缺失。个人信息涉及数亿网民,一旦泄露会造成严重的社会后果。
三、信息安全无小事,用户必须进一步增强信息保护意识
信息保护不能只靠技术保护与严厉打击,从源头来看,防范意识同样重要,用户自身对信息的保护同样是重要的环节。平时用户应警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。如果有互联网平台不再使用,用户注销登录账号其实也是有必要的。
自有互联网起,信息泄露的话题就常谈常新。虽说很难在短时间内从根源上彻底解决,但是只要国家、互联网平台、运营商、用户都齐心协力,一起为保护用户信息做好应尽的本分,未来还是能期待一个先内后外、由内到外的信息安全环境。
文 |小谦,葫芦程序(http:www.huluchengxu.com)创始人,互联网观察员,数十家科技媒体专栏作者,微信请联系net1996,转载请注明版权