微博莫名关注了一堆陌生营销账号,QQ不知怎地就被加进陌生群组,抖音也“自动”成为某网红的“粉丝”——如果你曾遇到过上述情况,也许黑灰产团伙已经通过数据窃取操控了你的账户。近日,浙江绍兴警方侦破了一起“史上,规模数据窃取案”,一伙犯罪分子利用非法窃取的30亿条用户数据,操控用户账号进行社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。
侵犯公民个人信息俨然已成其他各类犯罪的“上游犯罪”,在非法获取信息的来源方式上,公安部网络技术研发,曾明确指出了四种:一是网络黑客用技术手段窃取;二是假冒网站链接、伪基站设备窃取;三是通过招聘、婚介、送礼品等渠道获得;四是行业内部工作人员出售公民个人信息。比照起来,这起案件不同于上述任何一种情形,直接指向了基础信息系统的安全性不足。回顾这起案例,北京一个上市公司与覆盖10余省份的运营商签订营销广告系统服务合同,获取运营商服务器的远程登录权限后,把一种恶意程序放在运营商的采集机上,当运营商的流量经过采集机时,该程序就自动工作,采集一些域名下面用户cookie、搜索记录等数据。如此操作方式,犹如把金条存在不上锁的金库里,毫无疑问,再次颠覆了我们的想象!
公司方面的违法行为固然要追究责任,不过仔细推敲整个过程,某公司能通过运营商服务器拿到数据,也暴露了某种显而易见的事实,即运营商充分掌握了流量的使用去向,包括搜索记录、出行记录、交易记录以及各种密码信息等。也就是说,运营商不仅建起了流量的“高速公路”,还掌握了所有过路者的动态数据,鉴于这些基础信息资产的宝贵性,运营商应该也必须发挥,能力去保护它们。然而现实情况是,尽管将流量采集器的登录权限给予了合作方,但部分运营商均未对具体项目进行约束、监督,这不仅说明了相关人员保护意识的不充分、不自觉,更暴露了运营商作为基础信息系统的脆弱。正如警方所说,“涉案公司铤而走险,正是因为监管缺失”,在这个层面上,运营商并不是清白无辜的,它要担负起相当大的责任。
网络运营商是关键信息基础设施的提供者,不同于一般网络产品和服务的提供商,它是一切互联网/物联网的底层基础,是群众上网的第一道信息安全“闸门”,事关国家安全、社会秩序和公共利益。它是好是坏、是强是弱,直接体现我国网络安全基本的防范能力和水平。不久前公安部起草的《网络安全等级保护条例(征求意见稿)》,提出将网络分为五个安全保护等级,背景即网络安全威胁和风险日益突出,具有向政治、经济、文化、社会、生态、国防等领域传导渗透的趋势,但目前来看,我国关键信息基础设施还面临较大风险隐患,网络安全防控能力薄弱,难以有效应对,、有组织的高强度网络攻击。在这样的情况下,网络运营商应该严格要求自己,从最基本的小事做起,最起码不能犯让合作者公然窃取数据的错误。
,总书记指出:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”当今世界,没有网络安全就没有国家安全,运营商如果上不好信息安全的“第一把锁”,不仅仅是隐私泄露那么简单,更有可能会损害国家安全。可见,不论从哪个角度出发,这件事都必须要引起足够的重视!