360快視頻賬號克隆：數據的制度保護還處原始階段

生活中很多精準式詐騙場景，都是由一整套黑色產業鏈的團隊協作在支撐。明面上的騙局有多麼精明，暗地裡的黑產就有多麼專業。

文王倩

最近，很多人在快視頻APP上看到了一個克隆版的自己，該賬戶的用戶名、頭像、簡介以及發布內容，甚至跟帖都跟B站（國內大型彈幕視頻網站）上的一致。

快視頻是360旗下的一款定位為一分鐘的超短視頻APP。

此次賬號克隆波及範圍甚廣。不僅B站經常上傳視頻的大號中招，一些只有很少粉絲數的個人賬號也慘遭盜用。

更神奇的是，有人還發現，快視頻上的克隆賬號里的內容比他們自己在B站上傳的還要多。這個山寨號不僅扒了賬號在B站的視頻，還整合了諸如微博、快手等其他平台的內容，搬到快視頻。

如果說內容被別的平台技術抓取，還算是「常見」，當用戶發現用自己賬號密碼甚至能登陸快視頻時，才真正覺察到了危險。這意味著自己的隱私被掌握甚至出賣，這才是最大的安全隱患。

快視頻是通過什麼手段，掌握如此多用戶的隱私？至今仍是羅生門。

技術上如何實現大規模克隆

從純技術的角度看，快視頻克隆事件可能包含兩部分：盜取賬戶密碼和盜搬視頻內容。

盜取賬戶密碼無非是三種方法：釣魚、拖庫、撞庫。

一是網路釣魚。網路釣魚是黑客利用欺騙性電子郵件和偽造網站，引誘用戶給出賬號、密碼、口令等敏感信息。常見的QQ盜號也是這個路子。

二是拖庫。拖庫（Drag）就是黑客從網站導出數據，通俗來講就是到別人網站盜取數據。

三是撞庫。簡單來說，使用他人在A網站的賬號密碼，去B網站嘗試登陸。撞庫的數據來源便是由拖庫操作而來。

一些用戶為了方便記憶，在多個網站用相同的用戶名和密碼，所以撞庫是有一定成功率的。據統計，撞庫成功率在0.4%左右。這裡給我們的啟示是：不同網站用不同的賬戶和密碼可以減少賬戶、密碼被盜風險。

在早些年，盜取他人賬號主要靠木馬，隨著近幾年頻繁出現網站資料庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。

有了賬號、密碼，複製內容就很簡單了。如果是拖庫，賬戶、密碼和內容會一起盜過來。

從技術角度說，只存在這幾種可能。快視頻的情況是哪一種？目前無論是快視頻還是B站的回應，都沒有對數據大規模流出給出合理解釋。

數據泄露背後的羅生門

此次事件，不少網友聲討，「要麼360快視頻把B站的資料庫拖庫了，要麼就是背地裡收集了用戶的賬號密碼」。在用戶們看來，這場大型盜版事件，即使不是快視頻通過拖庫實現的，也與快視頻和360有極大的利益關聯。

360快視頻兩次官方發聲，稱「部分快視頻賬號確實存在未經原創作者授權，私自搬用其內容，甚至冒用其頭像及ID。這事我們認！」但嚴正表明「絕不存在數據拖庫、獲取用戶個人隱私的任何行為」。360對於拖庫行為，不認。

B站公布了相關調查結果，稱「沒有發現B站的用戶賬號信息被泄露的證據」，表明了自身網站數據未被拖庫、網站安全的立場。B站對於網站被拖庫，也不認。

這也在預料之中：拖庫，對黑客來說，是盜取數據，是非法行為；對網站來說，是泄露了數據，是自身的安全防範存在漏洞。撞庫，如果找不到黑客，這看起來便成了灰色產業。

到底是主動的、黑色的拖庫，還是被動的、灰色的撞庫，雙方各執一詞使得這種羅生門在該領域不斷上演。最終，事情往往不了了之，沒有人得到追懲。

2015年網易郵箱數據泄露事件中，國家互聯網應急中心通報證實其確有數據遭泄露，但網易郵箱堅稱不存在自身數據泄露問題。不難注意到，在多次數據泄露事件後，網站往往以「資料庫未被拖庫，是被撞庫」回應收尾。

但是，不論是有意盜取數據，還是無意被撞庫導致數據泄露，數據安全問題正在變得越來越明顯。而不了了之的處理方式，會使得黑客乃至整個黑產鏈在數據盜取方面總是遊走在灰色地帶。

賬號克隆事件背後的黑色產業鏈

B站的內容被克隆，看起來除了版權受侵犯之外，別的方面影響不大，但是賬號密碼等數據安全得不到保障，用戶往往會被拖進更危險的黑色產業鏈。

黑客的拖庫、撞庫操作只是整個網路黑色產業鏈的一環。它處於上游，是整個黑產鏈的數據來源和支撐。

在整個黑色產業鏈中：職業黑客處於上游，他們最為隱蔽，通過挖掘漏洞、編寫木馬來實施入侵，獲取用戶數據，技術含量最高；中間環節是一個龐大的進行欺詐的犯罪團伙，他們熟練地應用各種手段對用戶實施具體的欺詐行為；產業鏈的下游是各種周邊的組織，如洗錢團伙、收卡團伙、販賣身份證團伙等。

生活中很多精準式詐騙場景，都是由一整套黑色產業鏈的團隊協作在支撐。明面上的騙局有多麼精明，暗地裡的黑產就有多麼專業。

如今，互聯網對人們生活的介入不斷加深，用戶在互聯網上留下了更多、更隱私的數據。這些數據可以更精準地對用戶的形象、行為進行刻畫。這讓黑產鏈條上的黑客們有了更強的經濟驅動力。

如今頻繁發生的電信詐騙案、網路詐騙案、信用卡盜刷案等，受害者動輒遭受幾萬、幾十萬的損失。這些都是個人信息、個人隱私數據泄露的惡果。而這些個人信息通常來源於網站數據的泄露。

網站泄漏資料庫的標誌性事件是2011年CSDN 600萬用戶數據泄漏，引領了當年一波數據泄漏高峰，數十個網站的用戶數據被公開。類似事件還有2014年12306網站超過13萬條用戶隱私數據泄露、2015年網易郵箱數億賬號泄漏、2017年優酷賬號密碼瘋狂泄露等。

這些被爆出來的數據泄漏，僅僅是冰山一角。

這一次的克隆風波，再次提醒我們國內網站數據安全保護，除去自身安全技術的升級，在法律法規層面似乎還處於原始年代。如果每一次的數據泄露都不能搞清始末，懲治作惡者，而是不了了之，那掘取數據進而非法牟利的盛宴就很難終止。

來源：搜狐號三條出品 未經許可不得轉載

關鍵詞

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！