騰訊QQ群數(shù)據(jù)遭泄露,用戶姓名年齡等信息均可“秒查”!QQ是我國(guó)公民使用最為廣泛的即時(shí)通訊工具,此次數(shù)據(jù)泄露涉及7000多萬(wàn)個(gè)QQ群、12億個(gè)部分重復(fù)的QQ號(hào)。
QQ群數(shù)據(jù)庫(kù)泄露 用戶隱私“被裸奔”
因?yàn)樗矫苄耘c便利性,QQ群已成為志同道合的網(wǎng)友進(jìn)行交流的主要根據(jù)地。國(guó)內(nèi)知名安全漏洞監(jiān)測(cè)平臺(tái)烏云20日公布報(bào)告稱,騰訊QQ群關(guān)系數(shù)據(jù)被泄露,數(shù)據(jù)下載鏈接很輕易在迅雷快傳找到。根據(jù)QQ號(hào),可以查詢到備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個(gè)人隱私。
19日,360互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室研究員安揚(yáng)通過(guò)迅雷,下載到了此次被曝光的“QQ群數(shù)據(jù)庫(kù)”,并通過(guò)簡(jiǎn)單測(cè)試驗(yàn)證了數(shù)據(jù)的真實(shí)性。“解壓后達(dá)90多G,大概有7000多萬(wàn)個(gè)QQ群,12億多個(gè)部分重復(fù)的QQ號(hào)碼。”
記者調(diào)查發(fā)現(xiàn),QQ群數(shù)據(jù)庫(kù)已被多家網(wǎng)站利用開(kāi)展垃圾郵件營(yíng)銷,紛紛主打“最牛精準(zhǔn)數(shù)據(jù)庫(kù)”。在名為“大戰(zhàn)天朝”的網(wǎng)站上,銷售郵件群發(fā)系統(tǒng),商家稱:“一臺(tái)電腦日發(fā)10萬(wàn)封營(yíng)銷郵件!超高收件率,超高打開(kāi)率!”
騰訊公司20日回應(yīng)記者稱,此次QQ群數(shù)據(jù)庫(kù)泄露確有其事,但這一漏洞是2011年發(fā)現(xiàn)的問(wèn)題,當(dāng)時(shí)已及時(shí)修復(fù),不影響現(xiàn)有用戶正常使用。與此同時(shí),他們也正在全力防范減少此前數(shù)據(jù)庫(kù)泄露可能帶來(lái)的危害。
QQ群數(shù)據(jù)何以泄露?安全聯(lián)盟安全專家余弦認(rèn)為,推測(cè)應(yīng)該是黑客利用騰訊相關(guān)業(yè)務(wù)的漏洞獲取數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限,然后將整個(gè)或關(guān)鍵的騰訊QQ群數(shù)據(jù)庫(kù)找到,然后整體導(dǎo)出。“當(dāng)黑客掌握用戶的社交關(guān)系后,可以完整了解用戶個(gè)人情況,利用社交圈的信任關(guān)系進(jìn)行詐騙,成功率很高。”
灰色利益鏈暗藏 精準(zhǔn)詐騙難防范
記者調(diào)查了解到,信息泄露背后已形成一條完整的利益鏈。這些用戶信息或被用于團(tuán)伙欺詐釣魚,或被用于精準(zhǔn)營(yíng)銷,更有甚者用于打擊競(jìng)爭(zhēng)對(duì)手。
烏云漏洞平臺(tái)創(chuàng)始人方小頓分析,用戶信息泄露主要有兩方面原因造成:
第一種是企業(yè)主動(dòng)泄露的,主要是企業(yè)利用用戶的數(shù)據(jù)和信息牟利。如一些瀏覽器抓取用戶的信息用于自己的產(chǎn)品如搜索引擎,一些小型房地產(chǎn)企業(yè)和銀行主動(dòng)對(duì)外銷售自己的客戶數(shù)據(jù);
另一種是企業(yè)由于安全管理不完善,由黑客攻擊或者內(nèi)部人員人為導(dǎo)致用戶信息泄露,如CSDN600萬(wàn)用戶信息泄露、如家等酒店用戶住宿信息的泄露,以及經(jīng)常收到的各種營(yíng)銷短信都屬于此類。
互聯(lián)網(wǎng)安全人士孟德指出,烏云報(bào)告預(yù)警的多數(shù)安全問(wèn)題,其實(shí)地下非法產(chǎn)業(yè)已利用數(shù)月甚至幾年,往往到黑客已無(wú)利用價(jià)值之時(shí),才會(huì)浮出水面、被公布出來(lái)。
“修復(fù)也為時(shí)已晚。”孟德說(shuō),之前用戶的個(gè)人隱私已被泄露,企業(yè)除了積極保護(hù)現(xiàn)有用戶的信息安全,還需提前防范已泄漏信息可能帶來(lái)的不良后果。
余弦說(shuō),對(duì)中獎(jiǎng)、恐嚇等短信電話詐騙,人們已普遍有所提防,但掌握到用戶隱私信息后,很容易獲得信任、精準(zhǔn)詐騙。
金山網(wǎng)絡(luò)反病毒工程師李鐵軍說(shuō),信息泄露危害極其嚴(yán)重,比如包含公民姓名、郵箱、身份證號(hào)、銀行卡號(hào)等信息的泄露,可能帶來(lái)直接的經(jīng)濟(jì)損失。“前一段時(shí)間部分酒店入住信息的泄露,就給犯罪分子補(bǔ)辦手機(jī)卡、盜竊網(wǎng)銀制造了方便。”
誰(shuí)來(lái)保衛(wèi)公民信息安全?
多名業(yè)內(nèi)人士指出,隱私保護(hù)需由國(guó)家層面立法立規(guī),約束各企業(yè)認(rèn)真對(duì)待用戶隱私。企業(yè)除了受到法律法規(guī)的約束外,還必須加強(qiáng)自身的安全建設(shè),防止由于黑客入侵導(dǎo)致用戶隱私泄露。
北京市兩高律師事務(wù)所律師董正偉認(rèn)為,目前盡管沒(méi)有專門保護(hù)公民隱私權(quán)的法律,但相關(guān)條款散見(jiàn)于侵權(quán)法等法律中,在具體案件中條款的落實(shí)值得重視。目前存在監(jiān)管機(jī)構(gòu)不夠明確、執(zhí)法不積極、責(zé)任追究不到位等問(wèn)題,甚至?xí)o公眾造成通過(guò)網(wǎng)絡(luò)侵犯隱私權(quán)無(wú)人管、不必承擔(dān)責(zé)任的印象。
浙江容海律師事務(wù)所網(wǎng)絡(luò)與知識(shí)產(chǎn)權(quán)專業(yè)律師王延軍指出,網(wǎng)絡(luò)隱私的泄露和相關(guān)的不正當(dāng)商業(yè)競(jìng)爭(zhēng)對(duì)整個(gè)互聯(lián)網(wǎng)的安全秩序造成危害。網(wǎng)絡(luò)隱私權(quán)的保護(hù)主要面臨舉證困難的問(wèn)題。“互聯(lián)網(wǎng)隱私的保護(hù)不能僅依靠立法層面,希望能進(jìn)一步規(guī)范互聯(lián)網(wǎng)企業(yè)的行為,并通過(guò)行業(yè)協(xié)會(huì)等實(shí)施監(jiān)管。”
北京市昌平區(qū)法制辦副主任、法學(xué)博士吳鋒建議,對(duì)于達(dá)不到保密要求、存在技術(shù)漏洞的企業(yè),應(yīng)該出臺(tái)相應(yīng)的技術(shù)保密規(guī)范和懲罰機(jī)制。同時(shí),補(bǔ)救措施要跟進(jìn),一旦出現(xiàn)信息泄露,要用網(wǎng)絡(luò)技術(shù)手段彌補(bǔ),最低限度減少風(fēng)險(xiǎn)。此外,對(duì)傳播大量公民個(gè)人信息、利用泄露信息從事違法犯罪活動(dòng)的行為要進(jìn)行嚴(yán)厲打擊。