记者/江贤 王岳
久未联系的QQ好友突然发来了一条消息,沉寂多年的老同学群有人贴出一张照片?别误会,不是大家不约而同地想要重拾往日情谊,而是登录和操纵社交账号的那根线,被不法网络黑产分子悄悄捏在了手中。
6月26日晚间,QQ平台出现大规模用户账号被盗事件,部分遭到黑客控制的账号开始向好友和所在群聊发送不良图片广告,这一现象一直持续到第二天凌晨才逐渐得到控制。
受访网络安全专家表示,平台需要做好对用户新的加密处理,及时对暴露出的漏洞进行修复;而用户也需定期更换密码,不点击、浏览非官方渠道和存在风险的链接内容,做好网络账号安全防护。
问题出在哪个环节
据社交平台中被盗号用户的描述,在其账号被盗的过程中,盗号者曾多次向账号中的群聊和好友发送不良信息,包括不雅图片、不雅小视频、伪装成聊天记录的外部广告链接等多种形式。
值得关注的是,有部分用户甚至因为在被盗号期间发送大量不良信息而被系统封禁,再次登录时需签署“QQ个人账户合规使用承诺书”,承诺书中写道“我已认真阅读《QQ号码规则》,充分认识并承认我利用QQ实施了违规行为,对其他用户和平台造成了不良的影响”。此外,还需本人签字并上传手持身份证照片方可解封。
针对以上用户遭遇的情况,上海某关注网络安全的法律从业者向记者表示,但从承诺书的内容来看,显然腾讯认为过错在用户,是用户没有保管好自己的账号密码,如若用户签署了该保证书,就可以理解为用户也承认了自己有泄露密码的过错。
“首先搞清楚到底是因为哪一方造成用户的账号密码泄露。”该法律从业者表示,用户和腾讯之间是服务合同关系,如果用户认为是腾讯方问题导致自己账户被盗,那就属于腾讯违约,导致其遭受了一些财产损失,或者用户对此承担一定法律责任,那其是可以根据用户协议的约定要求腾讯承担相应的违约责任和赔偿损失,但需要用户进行举证。
那么,用户的登录信息究竟是如何被泄露的?这或许要从QQ提供的第三方接入相关协议说起。
21记者注意到,在腾讯官方开设的开放平台“QQ互联”中,提到了第三方的网站在接入QQ登录前,需申请获得对应参数,以通过“OAuth2.0”协议的认证。
(图说:“QQ互联”官网中对于OAuth2.0协议的说明)上文中提到的“OAuth2.0”协议,其全称为“Open Authorization2.0”,是目前互联互通场景下,最常用的第三方授权协议之一。据悉,QQ所采用的OAuth2.0协议,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
一名技术专家向21记者分析指出,黑客很有可能是在OAuth2.0协议的认证过程中,通过假扮合法服务的方式,在用户和通讯目标之间进行信息劫持,从而远程登录用户的QQ账号,在用户本人不知情的情况下对外发送信息。“从目前的公开信息来看,大概率是黑客在用户和第三方网站交互的过程中盗取了‘临时访问令牌’(Access Token),用户的账号和密码并未直接泄露。”该专家表示。
而针对本次事件,腾讯QQ在其官方微博中表示:“6月26日晚上10点左右,我们收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。”
腾讯方进一步指出,确认原因后,腾讯第一时间组织安全技术力量,积极对抗黑产作恶,目前受影响范围已得到控制,受此事件影响的用户帐号也于6月27日凌晨陆续恢复正常使用。
盗号背后的黑产链条
这并非国内社交媒体平台用户账号被盗首次获得广泛关注的案件。
2014年,马航MH370客机失联后不久,网络上出现了一款利用该事件相关报道、图片压缩包伪装盗号木马,通过QQ和论坛等渠道传播的恶性盗号案件,仅杀毒软件有记录的拦截次数就超过2万次。2015年,扬州开发区法院公开宣判了一起非法获取计算机信息系统数据罪案件,本案所涉六名被告非法盗取16万余组QQ账号及密码,获利人民币157万余元。
除国内平台外,很多国外大型社交媒体用户也曾被盗号问题所困扰。
2020年7月,推特遭到大规模黑客入侵,多位名人政要和官方账号受到波及。包括美国现任总统拜登、前总统奥巴马、特斯拉CEO马斯克、苹果官方在内的一大批账号全部被盗。且被入侵的名人账号都发布了一条内容类似的推文:给出一个诈骗链接,要求通过比特币捐款,自己将双倍返还捐款金额。
入侵大规模扩散后,推特官方回应称,已经获悉该平台出现安全事故,正在进行调查并逐步修复。
“盗号问题背后,其实是一条完整的黑产产业链。”数美科技黑产研究专家道然在接受21世纪经济报道记者采访时表示,具体可划分为脱库、洗库和撞库三个阶段:
所谓脱库可以划分为技术和社工手段两类,技术手段是指黑产不法分子直接入侵目标服务器、数据库获取账号密码等信息;社工手段即社会工程,主要是通过钓鱼邮件等方式从用户处获取其相关信息。
洗库阶段则是不法分子根据信息类型进行分类,例如将账号划分为金融账号、游戏账号等等,在此阶段黑产团伙会建立社工库,即将盗取的各类信息按照用户进行归纳,其需要某个人的信息即可在库中调取。此外,其还会计算密码表,即根据用户的某一应用账户密码和生日、地址等个人信息推算其他应用账户可能使用的密码。
在撞库阶段,黑产团伙则会拿着相关个人信息和可能的密码尝试破解用户各类应用账号,例如社交账号、金融账户等等,破解账号后,其可以试图将其中便于变现的数据资产例如金融账户余额等直接转出,也可以结合其他个人信息进行电信诈骗等不法活动,也可能像本次QQ被盗事件一样用于散播不良内容。
“通过这样一条产业链,盗号问题不仅仅关乎单个账号的得失,其背后是用户很大一部分网络信息可能被黑产所利用的风险。”道然说。
如何防范?
那么,在发生盗号事件后,应如何尽可能缩减损失,降低风险呢?
道然表示,用户首先应当尽快修改账号密码,其次是和相关账号上的亲友进行沟通,告诉他们近期务必警惕有关于自己的诈骗信息;从平台层面,其需要尽快修复相关漏洞,同时对黑产传播的不良信息进行撤回或封禁处理,避免风险进一步蔓延。
面对庞大的盗号产业链,互联网平台与用户又该如何见招拆招?
上述技术专家则认为,为预防黑客通过窃取临时登录信息进行盗号行为,该类社交媒体平台应在授权过程中加大对第三方网站及应用合法经营资质的审核力度。同时,对于已经出现该类问题的第三方,平台应立即停止授权,切实保护用户的相关利益。
道然则指出,从基础安全层面而言,平台在对用户数据进行存储时要进行加密处理,一定不能做明文存储,否则被攻击后用户信息相当于直接被暴露给黑产;其次,平台服务器和数据库要及时做好漏洞修补和防火墙升级,可以在内部设置红蓝团队进行攻防演练;最后,从风控角度要对做好账户保护,提升平台对于撞库盗号的识别能力,并对内容生态中出现的钓鱼信息进行及时阻断。
而对于个人用户,道然则表示,一方面用户需要定期修改账号密码;其次就是注意将银行卡密码等关键密码设置于自己的生日信息等隔离开,尽量避免重复使用同一套密码,增大黑产“撞库”可能性。此外,非官方渠道的二维码、链接、网站、应用不要使用,避免信息泄漏。