快视频搬运B站事件,我们的网络数据安全怎么保证?

快视频是360旗下的一款超短视频APP。最近,很多人在快视频APP上看到了一个克隆版的自己,该账户的用户名、头像、简介以及发布内容,甚至于跟帖,都跟B站(国内大型弹幕视频网站)上的一致。

此次账号克隆波及范围甚广,不仅B站经常上传视频的大号中招,一些只有很少粉丝数的个人账号也不幸中招。

有人还发现,快视频上的克隆账号里的内容,居然比他们自己在B站上传的还要多。这个号不仅克隆账号在B站的视频,诸如微博、快手等其他平台的内容,也都打包搬到快视频了。这意味着自己的隐私被掌握甚至出卖,这才是最大的安全隐患。

快视频是通过什么手段,做到克隆账户的呢?

一般来说,盗取账户密码无非是三种方法:钓鱼、拖库、撞库。

一是网络钓鱼。网络钓鱼是黑客利用欺骗性电子邮件和伪造网站,引诱用户给出账号、密码、口令等敏感信息。常见的QQ盗号就是典型的钓鱼。

二是拖库。拖库就是黑客从网站导出数据,通俗来讲就是到别人网站盗取数据。

三是撞库。简单来说,使用他人在A网站的账号密码,去B网站尝试登陆。撞库的数据来源便是由拖库操作而来。

一些用户为了方便记忆,在多个网站用相同的用户名和密码,所以撞库是有一定成功率的。在以前,盗取他人账号主要靠木马,随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。有了账号、密码,复制内容就很简单了。如果是拖库,账户、密码和内容会一起盗过来。

快视频的情况是哪一种呢?目前无论是快视频还是B站,都没有给出合理解释。

对此不少网友声讨,“要么360快视频把B站的数据库拖库了,要么就是背地里收集了用户的账号密码”。在用户们看来,这场大型盗版事件,即使不是快视频通过拖库实现的,也与快视频和360有极大的利益关联。

360快视频两次官方发声,称“部分快视频账号确实存在未经原创作者授权,私自搬用其内容,甚至冒用其头像及ID。这事我们认!”但严正表明“绝不存在数据拖库、获取用户个人隐私的任何行为”。360对于拖库行为,坚决否认。作为一个网络安全公司来说,一旦承认是自己拖库,那等于是打自己以安全著称的老脸。

B站也公布了相关调查结果,称“没有发现B站的用户账号信息被泄露的证据”,表明了自身网站数据未被拖库、网站安全的立场。B站对于网站被拖库,也坚决否认。如果认了,那网站的数据安全就有问题,对一个网络运营公司来说,这难以让人接受。

不论是有意盗取数据,还是无意被撞库导致数据泄露,数据安全问题正在变得越来越明显。由于责任追究的难度太大,会使得黑客乃至整个黑产链在数据盗取方面总是游走在灰色地带。

在整个黑色产业链中:最上游的职业黑客通过挖掘漏洞、编写木马来实施入侵,获取用户数据,技术含量最高;中间环节是一个庞大的进行欺诈的犯罪团伙,他们熟练地应用各种手段对用户实施具体的欺诈行为;产业链的下游是各种周边的组织,如洗钱团伙、收卡团伙、贩卖身份证团伙等。

随着互联网对人们生活的介入不断加深,用户在互联网上留下了越来越多的隐私数据。这些数据可以更精准地对用户的形象、行为进行刻画。这让黑产链条上的黑客们有了更强的经济驱动力。

如今频繁发生的电信诈骗案、网络诈骗案、信用卡盗刷案等,受害者动辄遭受几万、几十万的损失。这些都是个人信息、个人隐私数据泄露的恶果。而这些个人信息通常来源于网站数据的泄露。

2011年CSDN 600万用户数据泄漏,2014年12306网站超过13万条用户隐私数据泄露、2015年网易邮箱数亿账号泄漏、2017年优酷账号密码疯狂泄露等。这几起比较有名的时间就是网站泄漏数据库的典型事件。而这些被爆出来的事件,仅仅是数据泄漏的冰山一角。

这次视频克隆风波,也反映了国内网站数据的安全保护,在法律法规层面还处于一个近乎原始的水平。如果每次数据泄露事件都不能搞清原因,就无法加强数据安全的保护,那这些类似的事件就不会杜绝,一定会再次重演。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180227A0QRX700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券