6月26日晚间,“QQ盗号”相关词条登上热搜。QQ官方就此事回应称,账号被盗的主要原因系用户扫描过伪造的游戏登录二维码并授权登录,目前已组织安全技术力量对抗黑产。
几天前,高校学习软件“学习通”被曝1.7亿条数据库信息泄露,有网友猜测QQ盗号事件与此有关。不过,“学习通”方面向南都记者否认了二者之间的关联。
有专家分析认为,被盗号的原因可能是用户在不该授权的地方授了权,QQ平台也可能存在安全漏洞。他提醒,用户要设置高强度密码,不要扫描、点击来路不明的二维码或链接,需认准来自官方渠道的登录路径。
1
QQ号被盗与学习通数据泄露有关?学习通否认
6月26日晚间,标题为“QQ盗号”“QQ回应大批账号被盗”的词条相继登上微博热搜。大量QQ用户反映,自己的QQ账号被盗后,向好友或在群聊中发送色情图片等不良信息,随后用户账号因被检测到违规行为而遭到封禁。
QQ用户被盗号后被封禁
27日上午,腾讯QQ官方微博发文回应称,其自6月26日晚10时左右收到部分用户反馈的QQ账号被盗一事,经调查发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
腾讯回应
腾讯QQ强调,其已组织安全技术力量,积极对抗黑产作恶,目前受此事件影响的用户账号已于27日凌晨陆续恢复正常使用。腾讯正在收集整理黑产团伙的犯罪证据,后续将根据需要配合有关部门开展工作,并提醒广大用户不要扫描来源不明的二维码。
有网友猜测,QQ盗号事件与此前高校学习软件“学习通”数据库疑发生的信息泄露事件有关。
据南都此前报道,有安全团队于6月20日发文称“学习通”数据库信息疑似大规模泄露,包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑达1亿7273万条。对此,学习通21日回应否认用户密码泄露,称经过十几个小时技术排查,暂未发现明确的用户信息泄露证据。
南都记者据此向“学习通”方面求证,对方否认与QQ盗号事件存在关联,并称正常注册使用学习通的用户隐私均未被泄露,若有用户此前将账号密码、个人信息泄露给第三方刷客商,则在学习通控制范围之外。
尽管腾讯在较短时间内针对盗号事件做出了回应,但并未完全打消网友的疑虑。南都记者注意到,在相关话题中,部分网友表示自己已经很久没有登录QQ,也并未扫描过游戏登录二维码,仍然被盗号。
2
网友申诉需先“承认错误”?
在发现账号被盗又被封禁后,许多用户选择向QQ平台进行申诉。
有数位账号被盗者向南都记者反映,他们在申诉过程中手动签署了一份“QQ个人账号合规使用承诺书”,其中的内容包括“我已认真阅读《QQ号码规则》,充分认识并承认我利用QQ实施了违规行为,对其他用户和平台造成了不良的影响……我郑重承诺我不再实施前述行为”,并上传手持身份证的照片证明身份。
申诉过程中需签署的“承诺书”,图源微博
“用户想解封账号,必须上传手持身份证照片,并签订相关协议,承认用户利用QQ所做的事。”一名网友这样说道——他对这种申诉方式提出异议。不过,也有网友向南都记者表示“某种程度也可以说是我做的,我的账号被冒用了”。
北京市京师律师事务所王琮玮表示,按照法律规定,腾讯等互联网应用平台应当设立投诉、举报渠道,但法律对于用户在申诉的过程中需提供哪些材料、材料内容如何确定并无具体规定,这需要平台根据自身业务情况,结合用户投诉、举报的内容、证据等材料自行确定。
在王琮玮看来,QQ平台要求用户在申诉过程中承认错误的做法并不合适。“根据 QQ的回应,QQ承认用户账号是在被利用的情况下发布了违规信息,过错方并非真正的用户,而且QQ称账号被盗的主要原因是用户扫描了假冒二维码的说法也是单方面的,并没有查证。在这样的情况下要求用户做出这种承诺的做法欠妥。”
“QQ通过采取禁止发布信息、封禁账号等措施来阻止平台账号发布违法有害信息的做法符合相关法律规定,但在处理这一事件时也应遵循实事求是的原则。”王琮玮表示,该事件发展到这个阶段,在缺乏权威认定的情况下,承认账号之前发布违法有害信息是用户自身所作,并不应作为账号申诉的理由之一。
3
专家建议设置高强度密码,扫正规二维码
扫描伪造的游戏登录二维码并授权登录,进而导致账号被盗——这一切是如何发生的?怎样才能避免类似情况再次发生?
北京汉华飞天信安科技有限公司总经理彭根分析,用户授权QQ账号登录游戏时,只会向游戏平台提供头像等非敏感个人信息,并不会把整个QQ账号的操作权限都交给第三方。
出现被盗号的情况,需要满足两个条件:一是用户可能“在有些不该授权的地方进行了授权”,二是QQ平台存在一定的安全漏洞,“这个漏洞被黑产找到并扩大了”,获取了用户账号更多的操作权限,于是才实现了盗取账号以及发送不良信息。
他还指出,出现被盗号情况的用户大概率不是通过扫描腾讯官方平台的二维码来登录游戏的。“如果是在官方平台或网页扫码登录的,不应该出现扫描到假冒二维码这种情况。”如果用户确实是通过官方渠道扫描登录,证明“腾讯平台存在很大的审核漏洞”。
有多名网友向南都记者反映,自己在被盗号前曾在电脑上扫码登录游戏,但登录过程十分顺利,并未发现任何异常或收到任何安全警示。对此,彭根坦言,这种情况在技术上也是可以实现的。
如果用户扫描了一个黑产提供的假冒二维码,黑产可以“帮用户在游戏平台上进行授权”,其后将授权结果发送给用户,再让用户跳转到正常游戏界面上去。“相当于你的包裹被我拆开看了一遍后,我再原封不动地给你重新包装回去,你是不会知道我拆开看过的。”
此外,彭根认为该事件中QQ平台有着不可推卸的责任,因为“腾讯没能识别出发送色情图片的盗号者是否为真实的账号拥有者”。他以微信为例解释道,每当用户换一部手机重新登录微信时,都需要好友验证等多重验证才能进行,但QQ没有;同时,盗号会导致号主的地理位置短时间内发生变化,而“大规模用户出现这种异常情况时,腾讯却没有察觉,因此这个漏洞是肯定存在的。”
谈及用户该如何防范,彭根建议,一是将密码设置得更加高强度,比如密码需设置为8位以上,其中包括大小写字母、数字、符号等;二是不要扫描、点击来路不明的二维码或链接,需认准来自官方渠道的登录路径。
采写:南都记者 樊文扬 方诗琪 实习生 肖遥