記者/江賢 王嶽 

久未聯繫的QQ好友突然發來了一條消息，沉寂多年的老同學羣有人貼出一張照片？別誤會，不是大家不約而同地想要重拾往日情誼，而是登錄和操縱社交賬號的那根線，被不法網絡黑產分子悄悄捏在了手中。

6月26日晚間，QQ平臺出現大規模用戶賬號被盜事件，部分遭到黑客控制的賬號開始向好友和所在羣聊發送不良圖片廣告，這一現象一直持續到第二天凌晨才逐漸得到控制。

受訪網絡安全專家表示，平臺需要做好對用戶新的加密處理，及時對暴露出的漏洞進行修復；而用戶也需定期更換密碼，不點擊、瀏覽非官方渠道和存在風險的鏈接內容，做好網絡賬號安全防護。

問題出在哪個環節

據社交平臺中被盜號用戶的描述，在其賬號被盜的過程中，盜號者曾多次向賬號中的羣聊和好友發送不良信息，包括不雅圖片、不雅小視頻、僞裝成聊天記錄的外部廣告鏈接等多種形式。

值得關注的是，有部分用戶甚至因爲在被盜號期間發送大量不良信息而被系統封禁，再次登錄時需簽署“QQ個人賬戶合規使用承諾書”，承諾書中寫道“我已認真閱讀《QQ號碼規則》，充分認識並承認我利用QQ實施了違規行爲，對其他用戶和平臺造成了不良的影響”。此外，還需本人簽字並上傳手持身份證照片方可解封。

針對以上用戶遭遇的情況，上海某關注網絡安全的法律從業者向記者表示，但從承諾書的內容來看，顯然騰訊認爲過錯在用戶，是用戶沒有保管好自己的賬號密碼，如若用戶簽署了該保證書，就可以理解爲用戶也承認了自己有泄露密碼的過錯。

“首先搞清楚到底是因爲哪一方造成用戶的賬號密碼泄露。”該法律從業者表示，用戶和騰訊之間是服務合同關係，如果用戶認爲是騰訊方問題導致自己賬戶被盜，那就屬於騰訊違約，導致其遭受了一些財產損失，或者用戶對此承擔一定法律責任，那其是可以根據用戶協議的約定要求騰訊承擔相應的違約責任和賠償損失，但需要用戶進行舉證。

那麼，用戶的登錄信息究竟是如何被泄露的？這或許要從QQ提供的第三方接入相關協議說起。

21記者注意到，在騰訊官方開設的開放平臺“QQ互聯”中，提到了第三方的網站在接入QQ登錄前，需申請獲得對應參數，以通過“OAuth2.0”協議的認證。

（圖說：“QQ互聯”官網中對於OAuth2.0協議的說明）

上文中提到的“OAuth2.0”協議，其全稱爲“Open Authorization2.0”，是目前互聯互通場景下，最常用的第三方授權協議之一。據悉，QQ所採用的OAuth2.0協議，允許用戶授權第三方網站訪問他們存儲在另外的服務提供者上的信息，而不需要將用戶名和密碼提供給第三方網站或分享他們數據的所有內容。

一名技術專家向21記者分析指出，黑客很有可能是在OAuth2.0協議的認證過程中，通過假扮合法服務的方式，在用戶和通訊目標之間進行信息劫持，從而遠程登錄用戶的QQ賬號，在用戶本人不知情的情況下對外發送信息。“從目前的公開信息來看，大概率是黑客在用戶和第三方網站交互的過程中盜取了‘臨時訪問令牌’(Access Token)，用戶的賬號和密碼並未直接泄露。”該專家表示。

而針對本次事件，騰訊QQ在其官方微博中表示：“6月26日晚上10點左右，我們收到部分用戶反饋QQ號碼被盜。QQ安全團隊高度重視並立即展開調查，發現主要原因系用戶掃描過不法分子僞造的遊戲登錄二維碼並授權登錄，該登錄行爲被黑產團伙劫持並記錄，隨後被不法分子利用發送不良圖片廣告。”

騰訊方進一步指出，確認原因後，騰訊第一時間組織安全技術力量，積極對抗黑產作惡，目前受影響範圍已得到控制，受此事件影響的用戶帳號也於6月27日凌晨陸續恢復正常使用。

盜號背後的黑產鏈條

這並非國內社交媒體平臺用戶賬號被盜首次獲得廣泛關注的案件。

2014年，馬航MH370客機失聯後不久，網絡上出現了一款利用該事件相關報道、圖片壓縮包僞裝盜號木馬，通過QQ和論壇等渠道傳播的惡性盜號案件，僅殺毒軟件有記錄的攔截次數就超過2萬次。2015年，揚州開發區法院公開宣判了一起非法獲取計算機信息系統數據罪案件，本案所涉六名被告非法盜取16萬餘組QQ賬號及密碼，獲利人民幣157萬餘元。

除國內平臺外，很多國外大型社交媒體用戶也曾被盜號問題所困擾。

2020年7月，推特遭到大規模黑客入侵，多位名人政要和官方賬號受到波及。包括美國現任總統拜登、前總統奧巴馬、特斯拉CEO馬斯克、蘋果官方在內的一大批賬號全部被盜。且被入侵的名人賬號都發布了一條內容類似的推文：給出一個詐騙鏈接，要求通過比特幣捐款，自己將雙倍返還捐款金額。

入侵大規模擴散後，推特官方回應稱，已經獲悉該平臺出現安全事故，正在進行調查並逐步修復。

“盜號問題背後，其實是一條完整的黑產產業鏈。”數美科技黑產研究專家道然在接受21世紀經濟報道記者採訪時表示，具體可劃分爲脫庫、洗庫和撞庫三個階段：

所謂脫庫可以劃分爲技術和社工手段兩類，技術手段是指黑產不法分子直接入侵目標服務器、數據庫獲取賬號密碼等信息；社工手段即社會工程，主要是通過釣魚郵件等方式從用戶處獲取其相關信息。

洗庫階段則是不法分子根據信息類型進行分類，例如將賬號劃分爲金融賬號、遊戲賬號等等，在此階段黑產團伙會建立社工庫，即將盜取的各類信息按照用戶進行歸納，其需要某個人的信息即可在庫中調取。此外，其還會計算密碼錶，即根據用戶的某一應用賬戶密碼和生日、地址等個人信息推算其他應用賬戶可能使用的密碼。

在撞庫階段，黑產團伙則會拿着相關個人信息和可能的密碼嘗試破解用戶各類應用賬號，例如社交賬號、金融賬戶等等，破解賬號後，其可以試圖將其中便於變現的數據資產例如金融賬戶餘額等直接轉出，也可以結合其他個人信息進行電信詐騙等不法活動，也可能像本次QQ被盜事件一樣用於散播不良內容。

“通過這樣一條產業鏈，盜號問題不僅僅關乎單個賬號的得失，其背後是用戶很大一部分網絡信息可能被黑產所利用的風險。”道然說。

如何防範？

那麼，在發生盜號事件後，應如何儘可能縮減損失，降低風險呢？

道然表示，用戶首先應當儘快修改賬號密碼，其次是和相關賬號上的親友進行溝通，告訴他們近期務必警惕有關於自己的詐騙信息；從平臺層面，其需要儘快修復相關漏洞，同時對黑產傳播的不良信息進行撤回或封禁處理，避免風險進一步蔓延。

面對龐大的盜號產業鏈，互聯網平臺與用戶又該如何見招拆招？

上述技術專家則認爲，爲預防黑客通過竊取臨時登錄信息進行盜號行爲，該類社交媒體平臺應在授權過程中加大對第三方網站及應用合法經營資質的審覈力度。同時，對於已經出現該類問題的第三方，平臺應立即停止授權，切實保護用戶的相關利益。

道然則指出，從基礎安全層面而言，平臺在對用戶數據進行存儲時要進行加密處理，一定不能做明文存儲，否則被攻擊後用戶信息相當於直接被暴露給黑產；其次，平臺服務器和數據庫要及時做好漏洞修補和防火牆升級，可以在內部設置紅藍團隊進行攻防演練；最後，從風控角度要對做好賬戶保護，提升平臺對於撞庫盜號的識別能力，並對內容生態中出現的釣魚信息進行及時阻斷。

而對於個人用戶，道然則表示，一方面用戶需要定期修改賬號密碼；其次就是注意將銀行卡密碼等關鍵密碼設置於自己的生日信息等隔離開，儘量避免重複使用同一套密碼，增大黑產“撞庫”可能性。此外，非官方渠道的二維碼、鏈接、網站、應用不要使用，避免信息泄漏。