360快视频账号克隆:数据的制度保护还处原始阶段

最新公告:

我的网站

{参数1}

咨询热线

{电话1}

分离设备企业名录

当前位置: 主页 > 分离设备企业名录

360快视频账号克隆:数据的制度保护还处原始阶段

添加时间2018/03/08

文丨王倩

最近,很多人在快视频APP上看到了一个克隆版的自己,该账户的用户名、头像、简介以及发布内容,甚至跟帖都跟B站(国内大型弹幕视频网站)上的一致

快视频是360旗下的一款定位为一分钟的超短视频APP。

此次账号克隆波及范围甚广。不仅B站经常上传视频的大号中招,一些只有很少粉丝数的个人账号也惨遭盗用。

更神奇的是,有人还发现,快视频上的克隆账号里的内容比他们自己在B站上传的还要多。这个山寨号不仅扒了账号在B站的视频,还整合了诸如微博、快手等其他平台的内容,搬到快视频。

如果说内容被别的平台技术抓取,还算是“常见”,当用户发现用自己账号密码甚至能登陆快视频时,才真正觉察到了危险。这意味着自己的隐私被掌握甚至出卖,这才是最大的安全隐患。

快视频是通过什么手段,掌握如此多用户的隐私?至今仍是罗生门。

技术上如何实现大规模克隆

从纯技术的角度看,快视频克隆事件可能包含两部分:盗取账户密码和盗搬视频内容。

展开剩余81%

盗取账户密码无非是三种方法:钓鱼、拖库、撞库。

一是网络钓鱼。网络钓鱼是黑客利用欺骗性电子邮件和伪造网站,引诱用户给出账号、密码、口令等敏感信息。常见的QQ盗号也是这个路子。

二是拖库。拖库(Drag)就是黑客从网站导出数据,通俗来讲就是到别人网站盗取数据。

三是撞库。简单来说,使用他人在A网站的账号密码,去B网站尝试登陆。撞库的数据来源便是由拖库操作而来。

一些用户为了方便记忆,在多个网站用相同的用户名和密码,所以撞库是有一定成功率的。据统计,撞库成功率在0.4%左右。这里给我们的启示是:不同网站用不同的账户和密码可以减少账户、密码被盗风险。

在早些年,盗取他人账号主要靠木马,随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。

有了账号、密码,复制内容就很简单了。如果是拖库,账户、密码和内容会一起盗过来。

从技术角度说,只存在这几种可能。快视频的情况是哪一种?目前无论是快视频还是B站的回应,都没有对数据大规模流出给出合理解释。

数据泄露背后的罗生门

此次事件,不少网友声讨,“要么360快视频把B站的数据库拖库了,要么就是背地里收集了用户的账号密码”。在用户们看来,这场大型盗版事件,即使不是快视频通过拖库实现的,也与快视频和360有极大的利益关联。

360快视频两次官方发声,称“部分快视频账号确实存在未经原创作者授权,私自搬用其内容,甚至冒用其头像及ID。这事我们认!”但严正表明“绝不存在数据拖库、获取用户个人隐私的任何行为”。360对于拖库行为,不认。

B站公布了相关调查结果,称“没有发现B站的用户账号信息被泄露的证据”,表明了自身网站数据未被拖库、网站安全的立场。B站对于网站被拖库,也不认。

这也在预料之中:拖库,对黑客来说,是盗取数据,是非法行为;对网站来说,是泄露了数据,是自身的安全防范存在漏洞。撞库,如果找不到黑客,这看起来便成了灰色产业。

到底是主动的、黑色的拖库,还是被动的、灰色的撞库,双方各执一词使得这种罗生门在该领域不断上演。最终,事情往往不了了之,没有人得到追惩。

2015年网易邮箱数据泄露事件中,国家互联网应急中心通报证实其确有数据遭泄露,但网易邮箱坚称不存在自身数据泄露问题。不难注意到,在多次数据泄露事件后,网站往往以“数据库未被拖库,是被撞库”回应收尾。

但是,不论是有意盗取数据,还是无意被撞库导致数据泄露,数据安全问题正在变得越来越明显。而不了了之的处理方式,会使得黑客乃至整个黑产链在数据盗取方面总是游走在灰色地带。

账号克隆事件背后的黑色产业链

B站的内容被克隆,看起来除了版权受侵犯之外,别的方面影响不大,但是账号密码等数据安全得不到保障,用户往往会被拖进更危险的黑色产业链。

黑客的拖库、撞库操作只是整个网络黑色产业链的一环。它处于上游,是整个黑产链的数据来源和支撑。

在整个黑色产业链中:职业黑客处于上游,他们最为隐蔽,通过挖掘漏洞、编写木马来实施入侵,获取用户数据,技术含量最高;中间环节是一个庞大的进行欺诈的犯罪团伙,他们熟练地应用各种手段对用户实施具体的欺诈行为;产业链的下游是各种周边的组织,如洗钱团伙、收卡团伙、贩卖身份证团伙等。

生活中很多精准式诈骗场景,都是由一整套黑色产业链的团队协作在支撑。明面上的骗局有多么精明,暗地里的黑产就有多么专业。

如今,互联网对人们生活的介入不断加深,用户在互联网上留下了更多、更隐私的数据。这些数据可以更精准地对用户的形象、行为进行刻画。这让黑产链条上的黑客们有了更强的经济驱动力。

如今频繁发生的电信诈骗案、网络诈骗案、信用卡盗刷案等,受害者动辄遭受几万、几十万的损失。这些都是个人信息、个人隐私数据泄露的恶果。而这些个人信息通常来源于网站数据的泄露。

网站泄漏数据库的标志性事件是2011年CSDN 600万用户数据泄漏,引领了当年一波数据泄漏高峰,数十个网站的用户数据被公开。类似事件还有2014年12306网站超过13万条用户隐私数据泄露、2015年网易邮箱数亿账号泄漏、2017年优酷账号密码疯狂泄露等。

这些被爆出来的数据泄漏,仅仅是冰山一角。

这一次的克隆风波,再次提醒我们国内网站数据安全保护,除去自身安全技术的升级,在法律法规层面似乎还处于原始年代。如果每一次的数据泄露都不能搞清始末,惩治作恶者,而是不了了之,那掘取数据进而非法牟利的盛宴就很难终止。

搜狐知道推荐:七天提升你的办公效率--效能UP——新精英生涯规划师【橙子学院】

声明:本文由入驻搜狐号作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。阅读 (0)

文章来源:

分离设备厂家名录

没有该栏目

电话:{首页上方服务热线}

传真:{电话1}

地址:{地址1}

LINK 友情链接: {友情链接}
电话:{电话1} 传真:{电话1} 地址:{地址1} 版权所有: