几天前,很多QQ用户发现,在不知情的情况下,自己的QQ账号被黑客利用,向QQ好友群发了色情照片。一些网友还因此被踢出了QQ群,甚至因此被运营商冻结了账号。
北京的小李是一名公司白领,平时工作时使用QQ与同事和领导沟通及传递文件,但是6月底的一天晚上,他QQ里的好友、家人、同事和领导均收到了小李QQ发送的一张色情照片,照片还附带一个赌博网站的链接。然而对这张照片小李一无所知,因为他根本就没有发送该照片。
小李:有好友提醒我用QQ发了一些色情照片是什么情况,我赶紧登录看了一下,结果提示我因为该账号涉及不良内容被封了,后来很多人问我通过短信、微信发色情照片什么情况,给我造成了很多困扰。
实际上在6月26日,有众多网友的经历与小李相同,有人利用他们的QQ向好友群发了色情照片,然后账号被封。大量的网友在社交媒体上晒出了自己的经历。这名叫路西的网友是一名学生,有人利用她的QQ账号向同学甚至父母发送了色情照片。
6月27日QQ运营商发表声明,QQ号码被盗主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。并称已经组织安全技术力量积极对抗,目前受影响范围已得到控制。
黑客利用授权漏洞 控制QQ账号
QQ的声明中提到了黑客是利用游戏登录授权漏洞,控制了QQ账号为己所用,那么黑客又是如何利用授权控制QQ账号呢?记者就这些问题特别找了网络安全专家,我们来听专家的解读。
中国通信学会普及与教育工作委员会委员 裴智勇:首先说授权是很多互联网平台为用户提供的一种方便使用工具,比如说我们登录很多网站或者登录很多App的时候是不是会经常提示你是用微信或者QQ,愿意用这两个账号进行登录,这个过程就是让微信授权这些软件可以调取账户信息进行登录和身份识别。
简单讲用户登录一个软件时,需要输入账户密码,如果没有账号密码时就用微信或者QQ授权给该软件,让软件可以读取到QQ内的账号信息实现登录。专家介绍说,授权内容的不同,权限也会不同,比如授权使用账号名称、授权读取通讯录。这次盗用QQ账号群发消息事件中,QQ曾给过某软件发送消息的授权。
中国通信学会普及与教育工作委员会委员裴智勇:用户在不经意间通过软件平台向第三方二维码所提供的要求进行了授权,授权它可以来发消息,平台可以向用户登录状态向用户发消息,实际上在这个过程中,发消息的一方并不需要知道你的账号密码,也不会截取你的账户密码。
专家介绍说,经过授权的第三方软件如果要通过QQ发送消息无须登录该账号,只需要一个指令就可以达到目的。
中国通信学会普及与教育工作委员会委员裴智勇:我已经授权给你可以给其他人发送信息了,你只要按照我的接口标准把信息发布过来,我就可以把这些信息转发给你的好友。
平台运营方应当履行好网络安全保护义务
网络安全专家介绍说,这次事件是近年来发生的少有的影响广泛、性质恶劣的网络安全事件。专家还指出,在事件发生后,平台运营方应当履行好网络安全的保护义务,积极主动地处理相关技术问题,并帮助用户减少损失。
中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋:这次黑客行为涉嫌触犯刑法,至少涉嫌触犯两个罪名,一个是侵入计算机系统罪,一个是涉嫌传播淫秽物品罪。
网络安全的主体责任是软件的运营商,专家表示,在网络安全事件发生后,运营商应积极主动地处理相关技术问题,并努力减少用户的损失。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋:平台你应当履行好网络安全的保护义务,出了问题,主管部门一方面去查找攻击者,让犯罪分子绳之以法,同时还要看平台是不是存在失职的情况。
根据QQ官方通报,此次事件网络安全问题是黑客利用了软件授权漏洞形成的,专家也表示,目前网络授权非常普及,此前确实也没有想到过黑客会利用授权做发送色情图片如此性质恶劣的攻击。专家也呼吁所有社交软件都应该引以为戒,优化系统,避免此类事件发生。
中国通信学会普及与教育工作委员会委员裴智勇:这次事件的发生,应该说可能不仅仅是一个社交软件的问题,可能很多社交软件当中都有类似的问题。我相信这次事件的发生,很多即时通信和社交软件都会及时跟进,把安全的问题弥补。
编辑/朱葳