記者/江賢 王岳
久未聯系的QQ好友突然發來了一條消息,沉寂多年的老同學群有人貼出一張照片?別誤會,不是大家不約而同地想要重拾往日情誼,而是登錄和操縱社交賬號的那根線,被不法網絡黑產分子悄悄捏在了手中。
6月26日晚間,QQ平臺出現大規模用戶賬號被盜事件,部分遭到黑客控制的賬號開始向好友和所在群聊發送不良圖片廣告,這一現象一直持續到第二天凌晨才逐漸得到控制。
受訪網絡安全專家表示,平臺需要做好對用戶新的加密處理,及時對暴露出的漏洞進行修復;而用戶也需定期更換密碼,不點擊、瀏覽非官方渠道和存在風險的鏈接內容,做好網絡賬號安全防護。
問題出在哪個環節
據社交平臺中被盜號用戶的描述,在其賬號被盜的過程中,盜號者曾多次向賬號中的群聊和好友發送不良信息,包括不雅圖片、不雅小視頻、偽裝成聊天記錄的外部廣告鏈接等多種形式。
值得關注的是,有部分用戶甚至因為在被盜號期間發送大量不良信息而被系統封禁,再次登錄時需簽署“QQ個人賬戶合規使用承諾書”,承諾書中寫道“我已認真閱讀《QQ號碼規則》,充分認識并承認我利用QQ實施了違規行為,對其他用戶和平臺造成了不良的影響”。此外,還需本人簽字并上傳手持身份證照片方可解封。
針對以上用戶遭遇的情況,上海某關注網絡安全的法律從業者向記者表示,但從承諾書的內容來看,顯然騰訊認為過錯在用戶,是用戶沒有保管好自己的賬號密碼,如若用戶簽署了該保證書,就可以理解為用戶也承認了自己有泄露密碼的過錯。
“首先搞清楚到底是因為哪一方造成用戶的賬號密碼泄露。”該法律從業者表示,用戶和騰訊之間是服務合同關系,如果用戶認為是騰訊方問題導致自己賬戶被盜,那就屬于騰訊違約,導致其遭受了一些財產損失,或者用戶對此承擔一定法律責任,那其是可以根據用戶協議的約定要求騰訊承擔相應的違約責任和賠償損失,但需要用戶進行舉證。
那么,用戶的登錄信息究竟是如何被泄露的?這或許要從QQ提供的第三方接入相關協議說起。
21記者注意到,在騰訊官方開設的開放平臺“QQ互聯”中,提到了第三方的網站在接入QQ登錄前,需申請獲得對應參數,以通過“OAuth2.0”協議的認證。
上文中提到的“OAuth2.0”協議,其全稱為“Open Authorization2.0”,是目前互聯互通場景下,最常用的第三方授權協議之一。據悉,QQ所采用的OAuth2.0協議,允許用戶授權第三方網站訪問他們存儲在另外的服務提供者上的信息,而不需要將用戶名和密碼提供給第三方網站或分享他們數據的所有內容。
一名技術專家向21記者分析指出,黑客很有可能是在OAuth2.0協議的認證過程中,通過假扮合法服務的方式,在用戶和通訊目標之間進行信息劫持,從而遠程登錄用戶的QQ賬號,在用戶本人不知情的情況下對外發送信息。“從目前的公開信息來看,大概率是黑客在用戶和第三方網站交互的過程中盜取了‘臨時訪問令牌’(Access Token),用戶的賬號和密碼并未直接泄露。”該專家表示。
而針對本次事件,騰訊QQ在其官方微博中表示:“6月26日晚上10點左右,我們收到部分用戶反饋QQ號碼被盜。QQ安全團隊高度重視并立即展開調查,發現主要原因系用戶掃描過不法分子偽造的游戲登錄二維碼并授權登錄,該登錄行為被黑產團伙劫持并記錄,隨后被不法分子利用發送不良圖片廣告。”
騰訊方進一步指出,確認原因后,騰訊第一時間組織安全技術力量,積極對抗黑產作惡,目前受影響范圍已得到控制,受此事件影響的用戶賬號也于6月27日凌晨陸續恢復正常使用。
盜號背后的黑產鏈條
這并非國內社交媒體平臺用戶賬號被盜首次獲得廣泛關注的案件。
2014年,馬航MH370客機失聯后不久,網絡上出現了一款利用該事件相關報道、圖片壓縮包偽裝盜號木馬,通過QQ和論壇等渠道傳播的惡性盜號案件,僅殺毒軟件有記錄的攔截次數就超過2萬次。2015年,揚州開發區法院公開宣判了一起非法獲取計算機信息系統數據罪案件,本案所涉六名被告非法盜取16萬余組QQ賬號及密碼,獲利人民幣157萬余元。
除國內平臺外,很多國外大型社交媒體用戶也曾被盜號問題所困擾。
2020年7月,推特遭到大規模黑客入侵,多位名人政要和官方賬號受到波及。包括美國現任總統拜登、前總統奧巴馬、特斯拉CEO馬斯克、蘋果官方在內的一大批賬號全部被盜。且被入侵的名人賬號都發布了一條內容類似的推文:給出一個詐騙鏈接,要求通過比特幣捐款,自己將雙倍返還捐款金額。
入侵大規模擴散后,推特官方回應稱,已經獲悉該平臺出現安全事故,正在進行調查并逐步修復。
“盜號問題背后,其實是一條完整的黑產產業鏈。”數美科技黑產研究專家道然在接受21世紀經濟報道記者采訪時表示,具體可劃分為脫庫、洗庫和撞庫三個階段:
所謂脫庫可以劃分為技術和社工手段兩類,技術手段是指黑產不法分子直接入侵目標服務器、數據庫獲取賬號密碼等信息;社工手段即社會工程,主要是通過釣魚郵件等方式從用戶處獲取其相關信息。
洗庫階段則是不法分子根據信息類型進行分類,例如將賬號劃分為金融賬號、游戲賬號等等,在此階段黑產團伙會建立社工庫,即將盜取的各類信息按照用戶進行歸納,其需要某個人的信息即可在庫中調取。此外,其還會計算密碼表,即根據用戶的某一應用賬戶密碼和生日、地址等個人信息推算其他應用賬戶可能使用的密碼。
在撞庫階段,黑產團伙則會拿著相關個人信息和可能的密碼嘗試破解用戶各類應用賬號,例如社交賬號、金融賬戶等等,破解賬號后,其可以試圖將其中便于變現的數據資產例如金融賬戶余額等直接轉出,也可以結合其他個人信息進行電信詐騙等不法活動,也可能像本次QQ被盜事件一樣用于散播不良內容。
“通過這樣一條產業鏈,盜號問題不僅僅關乎單個賬號的得失,其背后是用戶很大一部分網絡信息可能被黑產所利用的風險。”道然說。
如何防范?
那么,在發生盜號事件后,應如何盡可能縮減損失,降低風險呢?
道然表示,用戶首先應當盡快修改賬號密碼,其次是和相關賬號上的親友進行溝通,告訴他們近期務必警惕有關于自己的詐騙信息;從平臺層面,其需要盡快修復相關漏洞,同時對黑產傳播的不良信息進行撤回或封禁處理,避免風險進一步蔓延。
面對龐大的盜號產業鏈,互聯網平臺與用戶又該如何見招拆招?
上述技術專家則認為,為預防黑客通過竊取臨時登錄信息進行盜號行為,該類社交媒體平臺應在授權過程中加大對第三方網站及應用合法經營資質的審核力度。同時,對于已經出現該類問題的第三方,平臺應立即停止授權,切實保護用戶的相關利益。
道然則指出,從基礎安全層面而言,平臺在對用戶數據進行存儲時要進行加密處理,一定不能做明文存儲,否則被攻擊后用戶信息相當于直接被暴露給黑產;其次,平臺服務器和數據庫要及時做好漏洞修補和防火墻升級,可以在內部設置紅藍團隊進行攻防演練;最后,從風控角度要對做好賬戶保護,提升平臺對于撞庫盜號的識別能力,并對內容生態中出現的釣魚信息進行及時阻斷。
而對于個人用戶,道然則表示,一方面用戶需要定期修改賬號密碼;其次就是注意將銀行卡密碼等關鍵密碼設置于自己的生日信息等隔離開,盡量避免重復使用同一套密碼,增大黑產“撞庫”可能性。此外,非官方渠道的二維碼、鏈接、網站、應用不要使用,避免信息泄漏。
“掌”握科技鮮聞 (微信搜索techsina或掃描左側二維碼關注)