作 者丨江賢,王嶽
編 輯丨陳磊
圖 源丨圖蟲
久未聯系的QQ好友突然發來了一條消息,沉寂多年的老同學群有人貼出一張照片?别誤會,不是大家不約而同地想要重拾往日情誼,而是登錄和操縱社交賬号的那根線,被不法網絡黑産分子悄悄捏在了手中。
6月26日晚間,QQ平台出現大規模用戶賬号被盜事件,部分遭到黑客控制的賬号開始向好友和所在群聊發送不良圖片廣告,這一現象一直持續到第二天淩晨才逐漸得到控制。
受訪網絡安全專家表示,平台需要做好對用戶新的加密處理,及時對暴露出的漏洞進行修複;而用戶也需定期更換密碼,不點擊、浏覽非官方渠道和存在風險的鍊接内容,做好網絡賬号安全防護。
問題出在哪個環節
據社交平台中被盜号用戶的描述,在其賬号被盜的過程中,盜号者曾多次向賬号中的群聊和好友發送不良信息,包括不雅圖片、不雅小視頻、僞裝成聊天記錄的外部廣告鍊接等多種形式。
值得關注的是,有部分用戶甚至因為在被盜号期間發送大量不良信息而被系統封禁,再次登錄時需簽署“QQ個人賬戶合規使用承諾書”,承諾書中寫道“我已認真閱讀《QQ号碼規則》,充分認識并承認我利用QQ實施了違規行為,對其他用戶和平台造成了不良的影響”。此外,還需本人簽字并上傳手持身份證照片方可解封。
針對以上用戶遭遇的情況,上海某關注網絡安全的法律從業者向記者表示,但從承諾書的内容來看,顯然騰訊認為過錯在用戶,是用戶沒有保管好自己的賬号密碼,如若用戶簽署了該保證書,就可以理解為用戶也承認了自己有洩露密碼的過錯。
“首先搞清楚到底是因為哪一方造成用戶的賬号密碼洩露。”該法律從業者表示,用戶和騰訊之間是服務合同關系,如果用戶認為是騰訊方問題導緻自己賬戶被盜,那就屬于騰訊違約,導緻其遭受了一些财産損失,或者用戶對此承擔一定法律責任,那其是可以根據用戶協議的約定要求騰訊承擔相應的違約責任和賠償損失,但需要用戶進行舉證。
那麼,用戶的登錄信息究竟是如何被洩露的?這或許要從QQ提供的第三方接入相關協議說起。
21記者注意到,在騰訊官方開設的開放平台“QQ互聯”中,提到了第三方的網站在接入QQ登錄前,需申請獲得對應參數,以通過“OAuth2.0”協議的認證。
“QQ互聯”官網中對于OAuth2.0協議的說明
上文中提到的“OAuth2.0”協議,其全稱為“Open Authorization2.0”,是目前互聯互通場景下,最常用的第三方授權協議之一。據悉,QQ所采用的OAuth2.0協議,允許用戶授權第三方網站訪問他們存儲在另外的服務提供者上的信息,而不需要将用戶名和密碼提供給第三方網站或分享他們數據的所有内容。
一名技術專家向21記者分析指出,黑客很有可能是在OAuth2.0協議的認證過程中,通過假扮合法服務的方式,在用戶和通訊目标之間進行信息劫持,從而遠程登錄用戶的QQ賬号,在用戶本人不知情的情況下對外發送信息。“從目前的公開信息來看,大概率是黑客在用戶和第三方網站交互的過程中盜取了‘臨時訪問令牌’(Access Token),用戶的賬号和密碼并未直接洩露。”該專家表示。
而針對本次事件,騰訊QQ在其官方微博中表示:“6月26日晚上10點左右,我們收到部分用戶反饋QQ号碼被盜。QQ安全團隊高度重視并立即展開調查,發現主要原因系用戶掃描過不法分子僞造的遊戲登錄二維碼并授權登錄,該登錄行為被黑産團夥劫持并記錄,随後被不法分子利用發送不良圖片廣告。”
騰訊方進一步指出,确認原因後,騰訊第一時間組織安全技術力量,積極對抗黑産作惡,目前受影響範圍已得到控制,受此事件影響的用戶帳号也于6月27日淩晨陸續恢複正常使用。
盜号背後的黑産鍊條
這并非國内社交媒體平台用戶賬号被盜首次獲得廣泛關注的案件。
2014年,馬航MH370客機失聯後不久,網絡上出現了一款利用該事件相關報道、圖片壓縮包僞裝盜号木馬,通過QQ和論壇等渠道傳播的惡性盜号案件,僅殺毒軟件有記錄的攔截次數就超過2萬次。2015年,揚州開發區法院公開宣判了一起非法獲取計算機信息系統數據罪案件,本案所涉六名被告非法盜取16萬餘組QQ賬号及密碼,獲利人民币157萬餘元。
除國内平台外,很多國外大型社交媒體用戶也曾被盜号問題所困擾。
2020年7月,推特遭到大規模黑客入侵,多位名人政要和官方賬号受到波及。包括美國現任總統拜登、前總統奧巴馬、特斯拉CEO馬斯克、蘋果官方在内的一大批賬号全部被盜。且被入侵的名人賬号都發布了一條内容類似的推文:給出一個詐騙鍊接,要求通過比特币捐款,自己将雙倍返還捐款金額。
入侵大規模擴散後,推特官方回應稱,已經獲悉該平台出現安全事故,正在進行調查并逐步修複。
“盜号問題背後,其實是一條完整的黑産産業鍊。”數美科技黑産研究專家道然在接受21世紀經濟報道記者采訪時表示,具體可劃分為脫庫、洗庫和撞庫三個階段:
所謂脫庫可以劃分為技術和社工手段兩類,技術手段是指黑産不法分子直接入侵目标服務器、數據庫獲取賬号密碼等信息;社工手段即社會工程,主要是通過釣魚郵件等方式從用戶處獲取其相關信息。
洗庫階段則是不法分子根據信息類型進行分類,例如将賬号劃分為金融賬号、遊戲賬号等等,在此階段黑産團夥會建立社工庫,即将盜取的各類信息按照用戶進行歸納,其需要某個人的信息即可在庫中調取。此外,其還會計算密碼表,即根據用戶的某一應用賬戶密碼和生日、地址等個人信息推算其他應用賬戶可能使用的密碼。
在撞庫階段,黑産團夥則會拿着相關個人信息和可能的密碼嘗試破解用戶各類應用賬号,例如社交賬号、金融賬戶等等,破解賬号後,其可以試圖将其中便于變現的數據資産例如金融賬戶餘額等直接轉出,也可以結合其他個人信息進行電信詐騙等不法活動,也可能像本次QQ被盜事件一樣用于散播不良内容。
“通過這樣一條産業鍊,盜号問題不僅僅關乎單個賬号的得失,其背後是用戶很大一部分網絡信息可能被黑産所利用的風險。”道然說。
如何防範?
那麼,在發生盜号事件後,應如何盡可能縮減損失,降低風險呢?
道然表示,用戶首先應當盡快修改賬号密碼,其次是和相關賬号上的親友進行溝通,告訴他們近期務必警惕有關于自己的詐騙信息;從平台層面,其需要盡快修複相關漏洞,同時對黑産傳播的不良信息進行撤回或封禁處理,避免風險進一步蔓延。
面對龐大的盜号産業鍊,互聯網平台與用戶又該如何見招拆招?
上述技術專家則認為,為預防黑客通過竊取臨時登錄信息進行盜号行為,該類社交媒體平台應在授權過程中加大對第三方網站及應用合法經營資質的審核力度。同時,對于已經出現該類問題的第三方,平台應立即停止授權,切實保護用戶的相關利益。
道然則指出,從基礎安全層面而言,平台在對用戶數據進行存儲時要進行加密處理,一定不能做明文存儲,否則被攻擊後用戶信息相當于直接被暴露給黑産;其次,平台服務器和數據庫要及時做好漏洞修補和防火牆升級,可以在内部設置紅藍團隊進行攻防演練;最後,從風控角度要對做好賬戶保護,提升平台對于撞庫盜号的識别能力,并對内容生态中出現的釣魚信息進行及時阻斷。
而對于個人用戶,道然則表示,一方面用戶需要定期修改賬号密碼;其次就是注意将銀行卡密碼等關鍵密碼設置于自己的生日信息等隔離開,盡量避免重複使用同一套密碼,增大黑産“撞庫”可能性。此外,非官方渠道的二維碼、鍊接、網站、應用不要使用,避免信息洩漏。
本期編輯 黎雨桐 實習生 李凱琳
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!