近两百元的视频网站年度会员资格,只需要区区数元就可以买到;而价值十余元的月度会员资格,甚至只需几分钱……此前,湖北用户刘栋(化名)从未意识到:这些以超低价出售视频网站会员账号的QQ群、淘宝店,会同自己有什么关联;直到一次偶尔事件的出现,他才发现——原来自己的账号,也是这个产业链上被黑客觊觎的猎物。
刘栋以前购买乐视电视时,曾被赠予了两年会员资格。当时,他家人也知晓该用户名和密码,因此当他登录账号,即使偶尔看到陌生的观影记录,也并未多加留意。直到2015年12月,刘栋为岳母购买了一部乐视手机,在输入自己乐视账号和密码后,突然乐视云里多出了很多同步下载的视频、照片内容,其中还 有大量女性裸体照片。
“我当时特别尴尬,妻子还为此怀疑我是不是生活作风有问题。”面对这些“从天而降”的图片,刘栋百口莫辩。他开始怀疑自己账号被盗,便赶紧修改了账号密码,同时想要查清事情的来龙去脉。
就在这时,刘栋自己的微博(刘栋乐视账号和微博账号一致,均为一邮箱账号)收到了一位网友的私信,对方声称,自己此前一直用该账号在乐视手机上看视频,由于刘栋变更了密码,导致其乐视手机被锁,因此向他询问更改后的密码。
刘栋质问对方为何有自己的账户名和密码,对方说是在网上购买的。同时,对方还发来一张当时的交易截图,显示有其账号和密码。在这张截图中,卖家还特意叮嘱,“不要修改账号密码,否则造成不能使用”。
至此,刘栋才知道自己乐视账号不仅被他人盗取,而且还被用来交易、牟利。
盗号销售已成产业链
账号被盗卖,刘栋并非是特例。记者在网络上搜索发现,很多用户都遭遇过类似的事情。很多用户都反映自己的账号被盗卖,致使自己观影受阻。
记者加入了多个视频会员共享QQ群,发现这几个群里,不时有用户发布低价销售各家会员账号的信息。1月23日,记者联系上了一位销售者,得知支付5元,就可以获得爱奇艺一年的黄金会员资格,而在爱奇艺官网上一年(赠送3个月)会员价格为195元。
在记者支付了5元后,对方发来一组账号和密码;尽管页面提示为“异地登录”,但记者还是顺利进入。页面显示,账号有效期至2016年2月23日。该卖家表示,账号若到期,可以自动续费。
记者询问:账号来源于何处?卖家称是“刷出来的”,至于具体操作细节,卖家并不愿多谈,只是称只要缴纳30元代理费,就可以“低价大量拿货,一组账号和密码一年3元”。
在一个名为“乐视会员批发”群内,有一位名为“货源扫货器”的卖家,经常在群内发布信息“优酷、乐视、搜狐、迅雷账号批发”。记者以有意从事批发为由,联系到了这个卖家。
该卖家告诉记者,账号分为黑号(指盗取的账号)和白号(指自己充值购买再次售卖的账号),以乐视会员为例,使用黑号每月只要交0.5元,最多可以给3个人使用;使用白号的话,每月需交2元,最多可以给20个人使用。
该卖家还告诉记者,即便是黑号,也分一手黑号(即刚刚被盗取进入市场售卖的账号)和二手黑号。相对于在市场上流通多次、已被多人掌握账号及密码的二手黑号,一手黑号的观影效果无疑更为稳定。
1月18日,记者在淘宝上发现,有一些店铺在以明显低于市场价的价格销售视频企业的会员账号,涉及的视频网站有搜狐、迅雷、爱奇艺、乐视等,销售记录从三五条到上千条不等,相关评论也有数百条。
在这些评论中,有用户称“便宜也能买到好货”;有用户则反映一登录账号就出现提示,称会员账户已被多人使用,暂时无法播放;也有用户直呼上当,称账号还未到期,就提示密码错误、无法登录。
前述卖家告诉记者,那种反映“无法播放”的用户,买到的可能就是二手黑号;而提示密码错误的,则有可能是同时登录账号人数过多,也有可能是盗号行为已被原用户发现,及时更改了密码。
张祖优是互联网安全企业“知道创宇”的漏洞社区负责人,他告诉法治周末记者,用户出现账号被盗卖的情形,首先,可能由于视频网站本身遭遇过拖库(即黑客入侵有价值的网站,盗走用户数据库)。
此外,根据腾讯最新发布的《移动支付网络黑色产业链研究报告》,有超过七成被调查者称,自己多个网络账号都使用同一用户名与密码,特别是青少年,多账号使用同一密码的比例更是高达82.39%。
网上交易保障中心副主任乔聪军对记者表示,这样的密码设置习惯,使得黑客或其他不法分子一旦获得一组账号信息,就可以尝试在其他网站,比如视频网站进行登录,使得黑产分子拖库、撞库的成功率更高;所以作为用户,必须提高自己的安全意识。
猎豹移动安全专家李铁军告诉记者,这些售卖者所谓的“刷号”“扫号”,就是通过已有数据库中得到的账号进行撞库,如果撞库成功,就算“扫号”成功,然后将其进行销售。
中国互联网协会政策与资源委员会专家成员、北京市盛峰律师事务所主任律师于国富对法治周末记者表示,早期的黑客,并不涉及经济利益,而是通过突破他人的技术安全措施来炫耀自己的高超技术;但是,近年来,黑客行为越来越产业化,有的甚至形成一整条“产业链”。
盗号销售情节严重可追刑责
在网络黑产链条中,窃取账号密码的黑客、分销商等分工配合,不仅严重损害网站方的权益,也损害到了账号原持有人的合法权益。于国富表示,鉴于其造成严重社会危害,对于该产业链中的任何一个环节,都应当予以严厉打击。
“对于卖家通过黑客手段获取了他人账号和密码的行为,可以根据不同的案情,追究黑客非法侵入、控制、破坏计算机信息系统罪;如果相关账号有明显的金钱权益,还可以盗窃罪名追究黑客责任。”于国富说。
而对于明知是黑客窃取账号密码而进行销售的行为,于国富认为,在社会危害性已达到刑事追究程度的情况下,该行为人应被当作共犯而予以追究。
而对于被盗账号密码的持有人来讲,于国富认为他们并非没有损失。“一方面,新的持有人有可能通过修改密码,使原持有人丧失会员服务权利;另一方面,会员账号中的个人信息、观看记录、财产权益被他人非法获取和控制后,原持有人必然受到个人信息泄露、财产丧失等损失。”西安交通大学信息安全法律研究中心副主任王玥对法治周末记者表示,在大部分的司法判例中,“侵犯公民个人信息罪”里面的“个人信息”,指的是可以识别公民个人的信息;在视频网站的用户账号中,可能会有用户购买视频网站服务的记录、观影记录等,这类购买记录,就可以被视为个人信息。
“即使卖家是以公开渠道获得用户账号和信息,再进行售卖,只要盗号销售数量大、情节严重,就有可能触犯刑法中的侵犯公民个人信息罪。”王玥说。
“商家在出售商品前,应当对商品的合法性承担责任,这点毋庸置疑。”于国富表示,QQ群是相对封闭的空间,而电子商务网站更为开放,对平台上的实体商品和虚拟商品,网站应当加大监控力度。
对此,淘宝工作人员表示,淘宝一直依据视频网站提供的线索以及阿里自身的关键词搜索、大数据技术,对违法违规销售视频企业会员账号的店铺进行定期清理。在采访中,淘宝这一做法也得到了爱奇艺等视频网站工作人员的印证。
视频企业已推反制措施
为了保障公司正常收益,也为了保障会员有良好的观影效果,记者了解到,视频企业已在会员协议明确规定,不准转让或售卖会员资格。
如爱奇艺在用户协议中规定,VIP会员服务仅限于申请账号者自行使用,禁止赠与、借用、租用、转让或售卖,否则爱奇艺有权在未经通知的情况下,取消转让账户、受让账户的VIP会员服务资格。
同时,爱奇艺明确了自己的技术反制措施:同一爱奇艺VIP账号,只允许在最多5个设备上使用,且同一时间、同一账号,仅可在两个设备上登录观影,超出上述范围使用的,爱奇艺系统将自动封禁该账号。
1月25日晚间,记者用前述购买的爱奇艺会员账号尝试登陆,结果就发现无法登陆,并出现如下字样:“您的会员账号正在被多台设备同时使用,根据 《爱奇艺会员服务协议》,我们将停止在当前设备上提供会员服务。如想在该设备上观看,请关闭其他正在使用该账号播放的设备或立即修改密码。”
优酷也在用户协议中规定,禁止将优酷网账户有偿或无偿提供给任何第三人,禁止其通过该账户观看费他付费购买的收费视频。如果同一账户在15分钟内有超过4个及以上的IP访问,优酷方面将关闭该账户服务30分钟。
于国富表示,在线会员服务协议,在不违反法律法规的情况下,应属有效合同,各方均应依约履行,账号和密码,是网站为给注册人提供互联网信息服务而提供给注册人的使用凭证。
即使是所谓的“白号”,于国富也表示,在合约中明确规定服务账户不得转让、受让的情况下,初始注册人将账号、密码转让、出租给他人,违反合同中的相关约定。
爱奇艺工作人员告诉法治周末记者,这种盗号销售、“白号”恶意共享不仅会影响公司的收益,更重要的是,也会影响初始用户的观影体验。
记者了解到,很多视频企业都拥有大数据技术,可以根据用户的观影记录,为用户推送符合用户兴趣爱好的、具有个性化特点的影片和服务。“如果账户一旦被盗,或者被他人共享,那么观影记录将会非常混乱,公司也无法提供给用户良好的服务。”该工作人员说。
王玥认为,针对视频行业盗号销售、账号恶意共享的现象,应该“法律、管理、技术、用户教育”四位一体予以治理:针对个人信息保护的立法应该进一 步跟上,执法机构也应当加大执法力度,而视频网站也应当创新技术和管理手段,防范撞库、盗号等事件的发生;对于用户,也应当加强安全、契约教育;只有四者 联动,方能从根源上杜绝此类行为的发生。
支付宝扫一扫
微信扫一扫
赏