IT商业科技网

百度甩锅大作战:黑客卖你们的手机号,不是我!

来源:黑奇士    时间:2018-07-07 10:14:51    搜狐科技

在经典情景喜剧《我爱我家》中第61集:贾志国当初下乡时候的“女友”小芳找上门来,说他有个私生子,要认祖归宗。

因为志国当初在村里颇有点风流,因此这件事被家里人都认为是真事,连妻子和平都信了。

后来小芳承认,根本就不是那回事,只是因为私生子大壮长大了,看志国有钱、而且脾气好,想讹点钱。

这就是所谓的“闭门家中坐,锅从天上来,甩都甩不掉”。

在网络公司里,跟志国一样的倒霉蛋不少,尤其是百度。

黑奇士在网上搜索,早在2015年6月,就有一个昵称为fpx的用户在某法律网站提问,手机搜索“如何清洗肠道”,没一会就有医院打电话来问,是不是有肛肠问题。

这名用户尴尬之余,他表示“只是随便看一下百度推广的网页就被人知道手机号,还有什么信息安全可言,我应该怎么通过法律去维权”?

律师其实没办法回答这么专业的问题,估计连百度自己都不知道,他已经成了一个个人隐私泄露事件的背锅侠。

类似这样的受害用户,从2015年开始大量出现,直到两年之后的2017年7月,这个问题的谜底才揭开:

黑客利用某电信运营商(我不是说电信!!)的漏洞,编写了一套手机号码抓取系统。任何网站只要嵌入一段代码,当用户开启4G/3G访问网站时,网站管理员就可以在后台看到这名用户的手机型号、手机号码、所在地区等敏感信息。

这件事情揭开谜底,还是一位“海淀网友”的偶然好奇心发作。

2017年6月初,网友时某在上网的时候看到一条广告:“提供手机号抓取服务,详情请添加QQ好友私聊”,在加了那个QQ号码之后,时某把广告商提供的代码挂在了自己网站上,测试后发现:添加代码之后,凡是有人用手机开3G或4G来访问网站,都会被抓取到手机号码等信息,成功率在90%以上。

“这就犯法了啊!”时某把这件事报告了海淀警方。北京市海淀公安分局网安大队接到举报后,对线索开展了深入摸查。

一条抓取贩卖用户隐私,用于“医美”、“黑心医院”、“保健品”等精准营销的黑色产业链浮出水面。

警方找到相关公司进行调查,在这个过程中,百度安全团队给予了最大力度的支持。(久旱逢甘霖啊,你懂的)

警方对这条黑色产业链进行了溯源侦察:

北京市海淀区网安大队副大队长董立波介绍,此黑色产业链存在松散的三层层级。一级负责编写代码,二级帮助一级推销代码(代理商),三级属于购买代码自己使用(百度推广商家)。网络架构较为明确,就像一个金字塔。

开发运营商拥有编码技能,他们利用电信运营商的漏洞编写代码功能,并建立网站实现后台统计等;

代理商是分销渠道,他们从开发运营者那里批发来“手机号码抓取服务”,按照年卡、月卡或按照次数售卖。一般抓取一个手机号要0.3--1元,包月为600—1000元。

最终使用者是在百度上做推广的商家。就像上文中所提到的“肛肠医院”,就是购买了这种手机号抓取服务。

以往在百度做推广,一般有100次访问,能有5、6个人打电话咨询,这个转化率就已经不得了。毕竟不少人咨询的问题比较隐私,不少人都是犹豫再犹豫,才打电话咨询。

购买了这样的手机号抓取服务,100个人来访问,大概有90多个人能抓取到手机号,客服可以主动去打电话推销,这样就大大增加了用户转化率。

当然,这其中也会大量侵犯到用户隐私。那些被抓取到的手机号,除了会被商家看到之外,手机号系统还会上传到后台,供代理商和代码运营者二次销售,再次成为被贩卖的对象。

2017年7月24日,由网安大队牵头,刑侦、派出所等多部门组成专案组共同参与侦查此案,同时,还邀请海淀区检察院提前介入指导侦查工作,此次行动定为“滤网行动”。

专案组共安排18个工作组、200余名警力,前往全国15个省18个地市开展前期侦查工作。经侦察,发现一级网站下有32家二级网站还在正常运营中,有26家二级网站存储了5000条以上的公民信息。

经过两个月的艰难工作,到9月25日,警方抓获了26家涉案网站多名违法犯罪嫌疑人,查获公民信息100余万条。这也是海淀警方2017年成功破获的一起涉案广、地区多,非法获取公民个人信息的重大案件。

12月初,检察院批准将33名嫌疑人依法逮捕。

滤网行动中落网的被告人王某、张某,因涉嫌利用计算机代码非法抓取他人手机号开展精准营销,被海淀检察院以侵犯公民个人信息罪诉至海淀法院。

2018年6月27日,海淀法院公开开庭审理此案。

公诉机关指控,2015年至2017年间,梁某通过网络购买了手机号抓取代码,架设服务器、搭建网站向他人出售权限。

被告人王某(代理商)在互联网上购买上述代码及权限,通过进一步销售,共非法获取公民个人信息9万余条;被告人张某(代理商)在王某的域名下注册二级账号,非法获取公民个人信息3万余条。

公诉机关认为,被告人王某、张某的行为均已构成侵犯公民个人信息罪。

两被告均当庭表示认罪、悔罪,法庭未当庭宣判。

互联网上有个背锅定律:只要你在别人眼里是个坏蛋,那所有坏事就都是你干的,所有的锅都由你来背。

就像当初的3Q大战,懂行的人肯定站在腾讯这边:你都开始截取我的用户隐私了,我还不反击?(想想杀毒软件在系统底层,完全可以截取QQ通讯,站在用户安全角度,二选一真是无可奈何的选择。)

但因为当时腾讯形象不好,生生就被周教主搞成了:“垄断巨头腾讯对小厂商360赶尽杀绝”。

百度这个也类似。

虽然是BAT里最弱那个,但百度向来对用户和商家十分强势,所以一有什么负面问题,大家都先天性的相信:你就是那个坏蛋。(但其实真不一定)

这也导致百度在公关策略上过于保守,像本次手机号泄露这个案例,我曾经多次向百度索取相关资料,但百度的PR总是很抱歉的说,“黑老师,这个我们还是以公开资料为准”。

唉,有理的时候都不敢高声,也难怪背了那么多的锅。

【责任编辑:紫嫣】

声明:来源非IT商业科技网的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

频道精选
ARMGPU漏洞暴露安卓升级困局,谷歌Project Zero团队谴责厂商偷懒行

ARMGPU漏洞暴露安卓升级困局,谷歌Project Zero团队谴责厂商偷懒行

谷歌的ProjectZero团队的终极目标是消除世界上所有的零日漏洞,而鉴于近期爆发的ARMGPU漏洞
ARM 手机 GPU 漏洞 谷歌
决战辅助驾驶下半场 极狐、长城、小鹏等车企角逐城市NOA

决战辅助驾驶下半场 极狐、长城、小鹏等车企角逐城市NOA

今年下半年以来,小鹏、极狐、吉利、长城等车企纷纷推出搭载城市 NOA功能产品。
极狐 长城 小鹏 汽车
三星Galaxy S23 Ultra或搭载超声波指纹解锁:识别精度更高更安全

三星Galaxy S23 Ultra或搭载超声波指纹解锁:识别精度更高更安全

随着第二代骁龙8旗舰芯片的正式亮相,一大波搭载该芯片的顶级旗舰很快就将迎来第一波大混战
三星 通信 超声波
分手在即 网易给玩家发问卷调查:你还会玩暴雪游戏吗?

分手在即 网易给玩家发问卷调查:你还会玩暴雪游戏吗?

据官方介绍,2023年1月24日0时起,正式停止暴雪游戏产品的运营,关闭战网登录以及所有游戏服务器,同时关闭客户端下载。
网易 游戏 暴雪游戏
软银研发出以无人机探测灾害被埋者手机信号的技术

软银研发出以无人机探测灾害被埋者手机信号的技术

日本软银现公布了一项新技术,可通过小型无人机探测灾害中被沙土瓦砾掩埋者的智能手机信号并锁定位置。
软银 互联网 手机信号
马斯克:若推特被谷歌苹果下架 将生产属于自己的智能手机

马斯克:若推特被谷歌苹果下架 将生产属于自己的智能手机

据国外媒体报道,马斯克在推特回复网友称,如果谷歌和苹果将推特从应用商店中移除,他将生产一款自己的智能手机作为替代品。
马斯克 手机 谷歌 智能手机
消息称美国FTC可能提起诉讼,阻止微软以690亿美元收购动视暴雪

消息称美国FTC可能提起诉讼,阻止微软以690亿美元收购动视暴雪

据Politico周三援引三位知情人士的话报道,美国联邦贸易委员会(FTC)可能会提起反垄断诉讼,以阻止微软公司对视频游戏发行商动视暴雪公司以690亿美元进行收购。
微软 互联网 动视暴雪
挖台积电墙角 三星3nm喜迎4大客户:百度也有参与

挖台积电墙角 三星3nm喜迎4大客户:百度也有参与

三星也在想办法提升良率,不过更关键的还是如何拉到大客户,韩国媒体表示三星在这方面也不是没有进展,除了三星自己的芯片部门,还锁定了四大客户。
台积电 通信 百度 三星
两大服饰“抄袭惯犯”对簿公堂:江南布衣诉森马开庭,同病相

两大服饰“抄袭惯犯”对簿公堂:江南布衣诉森马开庭,同病相

昨日,江南布衣服饰与浙江森马服饰的案件开庭了。双方就著作权权属、侵权及不正当竞争纠纷,对簿公堂。
江南布衣 互联网 森马
氢燃料电池汽车在韩国已注册2.7万辆 在新能源汽车中占近2%

氢燃料电池汽车在韩国已注册2.7万辆 在新能源汽车中占近2%

据国外媒体报道,在发展新能源汽车的浪潮中,除了混合动力汽车和纯电动汽车,通过氢与氧的化学反应而产生电能进而驱动车辆的氢燃料电池汽车。
氢燃料 汽车 新能源汽车

2017-2019 Copyright © IT商业科技网 备案许可证号豫ICP备18040629号 豫公网安备110102003388号

技术支持:沿亮云科技