信息来源:中国信息产业网
近日,一则“拼多多出现重大漏洞,平台用户可随意领100元无门槛优惠券”的消息引发关注,拼多多官方微博1月20日刊发声明,称有黑灰产团伙利用拼多多漏洞,盗取了数千万元优惠券进行牟利,目前拼多多平台已修复漏洞并报案。
值得玩味的是,拼多多以不花钱或少花钱购物为诱饵,引诱消费者在其平台上下单购物,自己从中牟利。这种商业模式本身就是一种“套路”,却被黑灰产团伙利用其漏洞,乘虚而入,狂赚一把。聪明反被聪明误,拼多多赖以牟利的“套路”有漏洞,反被黑灰产团伙“套住”,最终只能打掉牙往肚里咽。拼多多的漏洞是商业秘密,一般人难以洞察知晓,遇到黑灰产团伙,算其倒霉。
那么,黑灰产到底是什么呢?为何其能捕捉到拼多多的漏洞以售其奸?这倒是值得我们特别关注的。
首先需要了解,黑灰产是带有黑客背景的团伙,是寄生于互联网的毒瘤。黑灰产团伙既然能利用拼多多的漏洞盗取数千万元优惠券,就能盗取拼多多平台上录得的数以千万计的消费者的个人信息。其后果不堪设想。
在2018网络安全生态峰会现场,参会人员突然发现自己的手机被定位到了国外。阿里巴巴安全专家五达(化名)的这场“定位劫持”演示,开启了峰会“金融安全与黑灰产治理”议题。会上,阿里联合南方都市报共同发布了《2018网络黑灰产治理研究报告》。报告披露,恶意账号中83%是通过“黑卡”注册产生,主要分布于网络打车、互联网金融、网络游戏等,也为网络诈骗等犯罪行为提供“马甲”。2018年活跃的专业技术黑灰产平台达数百个,犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。
专家揭秘公民信息泄露案件频发,黑灰产团伙被忽视是主要原因。据南方都市报报道,北京一家新三板上市公司,竟然利用30亿条公民个人信息从事黑灰产,一年营收就超过3000万元。据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模。
我们置身互联共享的网络时代,个人信息的采集与记录已司空见惯,相关信息在特定平台的共享也无法回避。这为拓展网络应用、便利日常生活提供了必要条件和基础。但是,面对商业机构互联网平台霸王条款的“授权”要求,人们往往为蝇头小利所累,一不留神就失去警觉,轻轻点击一下“同意”,个人信息就在瞬间流失,有的平台还耍流氓,“不同意”就休想得到礼遇,也就占不到小便宜。毫无疑问,这样的程序或应用多数已埋下隐患。个人信息保护存在的短板,酿成了一幕又一幕诈骗悲剧。
不经意间,我们已被信息泄露所困扰。领礼品扫码,自动跳转钓鱼网站;连接某些共享充电宝,手机却被“共享”;学生刚参加过高考,五花八门的大学录取通知书就纷至沓来;孕妇还未足月,月子中心就登门拉生意;才买了个手机,各种促销的电话便呼啸而来……个人信息遭泄露的案例触目惊心,背后衍生出复杂的利益链条,黑灰产乘势而起。可恶的是,一些企业视消费者个人信息为草芥,有的甚至故意网开一面,敞开信息通道,与关联企业合伙做个人信息生意。这是商业诚信沦丧的表现,这种背离商业诚信的生意,注定行之不远,昧良心赚黑钱心里也不安。
从这个意义上说,拼多多缺失安全意识,这一次是数千万元的优惠券被盗,下一次就有可能是数以千万计的消费者个人信息被盗。存在巨大漏洞的平台,能让消费者有安全感吗?而拼多多被黑灰产“薅羊毛”,最终还是消费者埋单。要把被黑灰产盗取优惠券的损失夺回来,一些消费者通过正常通道获得的优惠券也会被无辜取消,而后续个人信息的安全也会出现风险“敞口”。
篱笆扎得紧,野狗钻不进。从安全角度出发,保护个人信息需要三管齐下。既要大力打击网络黑手,斩断个人信息贩卖的黑色利益链,也要注意到盗取手段精细化,犯罪主体组织化,已形成了一条完整的黑色链条,必须有针对性地予以打击,利剑高悬,加强监督执法;进一步强化监管,最了解你的人,未必是你的身边人,而是那些“不动声色”的App,必须大力整治各类App,压实App网络安全责任,特别是对于掌握大量个人信息的银行、学校、医院、铁路、电商等机构,需要构建起坚固的“栅栏”;强化个人信息保护意识,慎用公共WiFi、公共充电桩,别乱点网上测试、来历不明的二维码、手机短信或微信中的链接,手机功能最好关掉附近的人、常去的地方、允许搜索、允许查看,在网上别乱晒车票飞机票、护照家门钥匙车牌、位置、孩子照片、家中老人照片,筑起个人信息安全网。