30亿条用户数据被窃取，运营商应被追责

　　警方控制多名“史上最大数据窃取案”嫌疑人。图片来源：越城公安微信公众号。

　　一家之言

　　以往多是通过各个互联网平台来窃取数据，但该公司直接和网络运营商“合作”来偷数据，“只要一联网，信息就裸奔”，用户甚至无处可躲。

　　微博莫名其妙关注了乱七八糟的营销号，QQ号忽然加了一些不认识的好友及群聊，淘宝账号不知何时多了几个好友？如果你遇到过这些问题，说明你的账号密码不幸中招，已经被他人非法窃取。近日，绍兴警方破获了一起涉及30亿条用户数据窃取案件，涉案的北京瑞智华胜科技股份有限公司是一家新三板上市公司，其主营业务为“互联网新媒体营销”。

　　有媒体称之为“史上最大规模的数据窃取案”，因为窃取的用户数据体量巨大，而且波及的范围相当广，包括BAT在内的全国96家互联网公司，无一幸免。更加讽刺的是，涉案的还是一家上市公司，每年都会进行相关的财务披露。

　　与以往曝光的信息泄露案例不同的是，这家公司并非是通过程序漏洞，在各个互联网公司分别窃取用户数据；而是在更前端的环节，利用与网络运营商的合作关系，获取运营商服务器的远程登录权限，把上网用户的数据导出来。

　　用户使用运营商提供的网络上网，在登录微博等平台输入密码时，登录信息得经过网络传输到互联网公司的后台。理论上，用户的所有登录信息，都要经过网络运营商这个环节，而涉案公司所做的，正是在传输过程中，利用登录权限植入软件窃取用户信息。

　　说得通俗点，就相当于你在一个本子上记下所有平台的账号、密码，但本子却被该公司盗走了。这种方式更隐蔽，因为运营商提供的上网服务，属于基础性功能，所以大规模作案成为可能。

　　从媒体揭露的信息看，涉案公司的黑色产业链已相当成熟。一方面，利用掌握的用户登录数据，可以在微博、抖音等各大平台上，进行“涨粉”服务。而且，涨的粉还不是僵尸粉，都是真实用户。另一方面，给自己“涨粉”，提高广告报价。

　　这种上不了台面的业务，被包装成“互联网新媒体营销”。黑产利益之庞大，从该公司2016年的财报可见一斑：2016年营收3028万元，净利润1053万元，同期增长高达525.5%。利润率达到34.78%，这解释了为什么公司敢于冒险，大量窃取用户数据。

　　该案件的危害，绝不只是让用户有莫名其妙“被加粉”的困扰。它让公众的隐私处在裸奔的状态，因为不只是个人身份信息，连账号、密码也被盗取，这些涉及财物的登录数据，是否有被二次倒卖，沦为不法分子的诈骗工具，现在还是未知数。

　　作为网络基础设施提供者的运营商，难辞其咎。运营商是一切上网服务的基础，扮演着连接者的角色，瑞智华胜能够窃取用户信息，前提是运营商开放了登录权限。从商务合作的角度看，这种开放无可厚非，但运营商作为个人隐私的第一道把关人，在权限开放后对合作的第三方应该保持高度的警惕，如果时刻查遗补漏，也不至于让一家上市公司窃取数据长达几年。

　　有知情人士对媒体提到，该案件同样存在运营商“内鬼”，给涉案公司大开方便之门，这个说法目前未经验证，同样有必要列为要彻查的疑点。

　　另外，这次波及的互联网公司，看上去是纯属躺枪，但也并非全然无辜。用户莫名其妙被关注的一些营销账号，在平台上被吐槽过多次，平台不可能觉察不到；再者，涉案公司进行“涨粉”操作，账号IP大规模登录异常很容易识别，互联网公司在技术上完全有监控大量用户数据泄露的能力。

　　在互联网时代，网民的个人信息被记录，互联网平台上的账号，也成为重要的财产。要捍卫个人隐私的安全，不能只靠不停地更换密码这种最原始的手段，运营商和互联网公司，必须负起责任来。

　　□熊志（媒体人）