幽暗镰刀：隐私安全下的收割者们

gavin 498 2019-08-07

今天，一个时隔一年的国内“史上最大规模的数据窃取案”有了新的进展。

2018年8月，阿里安全协助警方侦破了该案件，事涉7名被告人及一家上市公司瑞智华胜，他们通过竞标的方式，先后与全国多地的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同，为运营商提供广告投放系统的开发、维护，进而拿到了运营商服务器的远程登录权限。

拿到权限后，他们把自己编写的脚本程序植入后台，当用户流量经过运营商服务器时，他们可以拿到这些数据，然后就是数据清洗，导出，整理，贩卖。

由于脚本直接植入在互联网运营商的底层，所有使用服务的互联网公司的用户数据也未能幸免，全国共有96家互联网公司的用户数据被窃取，基本涵盖大部分大型互联网公司。

这些数据被用来在网络领域刷赞刷流量，当初微博大量用户反馈自己在毫无感知的情况下给一些不认识的账户点赞，就源自账户数据被人异地登录操作。

这起案件的背后，是无数黑产的黑色生意在肆意流转。在大数据年代，我们每个人其实都是活在地球上的硬盘里的。

这个硬盘非常广阔，如浏览器，APP，手机，电子设备，信用卡等你与外界相连的信息，以及你身边人的信息，都在里面会被关系网络串联在一起。

有一个很流行的六度关系理论说只要通过6个中间人，你就能找到这个世界上的任何一个人。从这个角度说，数据化时代，硬盘里的我们都是一家人。

硬盘为我们创造了前所未有的生活便利，同时内中也暗藏着一定风险。有光必有影，光影必相依。

风险制造者往往是试图从中牟利的数据黑灰产团伙，他们盗取数据、滥用数据等作恶行为，不仅损害了数据产生者和用户利益，更为重要的是还严重扰乱了整个数据产业的正常秩序，也抹黑了整个产业名声。他们违法成本极低，因其有不易被发现，且取证难、执法难等特征，一旦发生数据泄漏事件，通常是受害方为其“背锅”。

通常这种情况，整治处罚的不是数据作恶者。他们依旧会死灰复燃甚至继续逍遥法外，给行业深埋着更大的风险“炸弹”。