在经典情景喜剧《我爱我家》中第61集:贾志国当初下乡时候的“女友”小芳找上门来,说他有个私生子,要认祖归宗。
因为志国当初在村里颇有点风流,因此这件事被家里人都认为是真事,连妻子和平都信了。
后来小芳承认,根本就不是那回事,只是因为私生子大壮长大了,看志国有钱、而且脾气好,想讹点钱。
这就是所谓的“闭门家中坐,锅从天上来,甩都甩不掉”。
在网络公司里,跟志国一样的倒霉蛋不少,尤其是百度。
一
黑奇士在网上搜索,早在2015年6月,就有一个昵称为fpx的用户在某法律网站提问,手机搜索“如何清洗肠道”,没一会就有医院打电话来问,是不是有肛肠问题。
这名用户尴尬之余,他表示“只是随便看一下百度推广的网页就被人知道手机号,还有什么信息安全可言,我应该怎么通过法律去维权”?
律师其实没办法回答这么专业的问题,估计连百度自己都不知道,他已经成了一个个人隐私泄露事件的背锅侠。
类似这样的受害用户,从2015年开始大量出现,直到两年之后的2017年7月,这个问题的谜底才揭开:
黑客利用某电信运营商(我不是说电信!!)的漏洞,编写了一套手机号码抓取系统。任何网站只要嵌入一段代码,当用户开启4G/3G访问网站时,网站管理员就可以在后台看到这名用户的手机型号、手机号码、所在地区等敏感信息。
这件事情揭开谜底,还是一位“海淀网友”的偶然好奇心发作。
2017年6月初,网友时某在上网的时候看到一条广告:“提供手机号抓取服务,详情请添加QQ好友私聊”,在加了那个QQ号码之后,时某把广告商提供的代码挂在了自己网站上,测试后发现:添加代码之后,凡是有人用手机开3G或4G来访问网站,都会被抓取到手机号码等信息,成功率在90%以上。
“这就犯法了啊!”时某把这件事报告了海淀警方。北京市海淀公安分局网安大队接到举报后,对线索开展了深入摸查。
一条抓取贩卖用户隐私,用于“医美”、“黑心医院”、“保健品”等精准营销的黑色产业链浮出水面。
警方找到相关公司进行调查,在这个过程中,百度安全团队给予了最大力度的支持。(久旱逢甘霖啊,你懂的)
三
警方对这条黑色产业链进行了溯源侦察:
北京市海淀区网安大队副大队长董立波介绍,此黑色产业链存在松散的三层层级。一级负责编写代码,二级帮助一级推销代码(代理商),三级属于购买代码自己使用(百度推广商家)。网络架构较为明确,就像一个金字塔。
开发运营商拥有编码技能,他们利用电信运营商的漏洞编写代码功能,并建立网站实现后台统计等;
代理商是分销渠道,他们从开发运营者那里批发来“手机号码抓取服务”,按照年卡、月卡或按照次数售卖。一般抓取一个手机号要0.3--1元,包月为600—1000元。
最终使用者是在百度上做推广的商家。就像上文中所提到的“肛肠医院”,就是购买了这种手机号抓取服务。
以往在百度做推广,一般有100次访问,能有5、6个人打电话咨询,这个转化率就已经不得了。毕竟不少人咨询的问题比较隐私,不少人都是犹豫再犹豫,才打电话咨询。
购买了这样的手机号抓取服务,100个人来访问,大概有90多个人能抓取到手机号,客服可以主动去打电话推销,这样就大大增加了用户转化率。
当然,这其中也会大量侵犯到用户隐私。那些被抓取到的手机号,除了会被商家看到之外,手机号系统还会上传到后台,供代理商和代码运营者二次销售,再次成为被贩卖的对象。
四
2017年7月24日,由网安大队牵头,刑侦、派出所等多部门组成专案组共同参与侦查此案,同时,还邀请海淀区检察院提前介入指导侦查工作,此次行动定为“滤网行动”。
专案组共安排18个工作组、200余名警力,前往全国15个省18个地市开展前期侦查工作。经侦察,发现一级网站下有32家二级网站还在正常运营中,有26家二级网站存储了5000条以上的公民信息。
经过两个月的艰难工作,到9月25日,警方抓获了26家涉案网站多名违法犯罪嫌疑人,查获公民信息100余万条。这也是海淀警方2017年成功破获的一起涉案广、地区多,非法获取公民个人信息的重大案件。
12月初,检察院批准将33名嫌疑人依法逮捕。
滤网行动中落网的被告人王某、张某,因涉嫌利用计算机代码非法抓取他人手机号开展精准营销,被海淀检察院以侵犯公民个人信息罪诉至海淀法院。
2018年6月27日,海淀法院公开开庭审理此案。
五
公诉机关指控,2015年至2017年间,梁某通过网络购买了手机号抓取代码,架设服务器、搭建网站向他人出售权限。
被告人王某(代理商)在互联网上购买上述代码及权限,通过进一步销售,共非法获取公民个人信息9万余条;被告人张某(代理商)在王某的域名下注册二级账号,非法获取公民个人信息3万余条。
公诉机关认为,被告人王某、张某的行为均已构成侵犯公民个人信息罪。
两被告均当庭表示认罪、悔罪,法庭未当庭宣判。
六
互联网上有个背锅定律:只要你在别人眼里是个坏蛋,那所有坏事就都是你干的,所有的锅都由你来背。
就像当初的3Q大战,懂行的人肯定站在腾讯这边:你都开始截取我的用户隐私了,我还不反击?(想想杀毒软件在系统底层,完全可以截取QQ通讯,站在用户安全角度,二选一真是无可奈何的选择。)
但因为当时腾讯形象不好,生生就被周教主搞成了:“垄断巨头腾讯对小厂商360赶尽杀绝”。
百度这个也类似。
虽然是BAT里最弱那个,但百度向来对用户和商家十分强势,所以一有什么负面问题,大家都先天性的相信:你就是那个坏蛋。(但其实真不一定)
这也导致百度在公关策略上过于保守,像本次手机号泄露这个案例,我曾经多次向百度索取相关资料,但百度的PR总是很抱歉的说,“黑老师,这个我们还是以公开资料为准”。
唉,有理的时候都不敢高声,也难怪背了那么多的锅。