澎湃新闻记者 喻琰 薛莎莎 实习生 苏莹

6月27日凌晨,张华(化名)被久未联系的好友电话叫醒。电话那头,好友告诉他,他的QQ被盗号了,账号给100多名QQ好友发了不雅信息和图片。

“大型社死现场!”张华感慨。他已使用QQ账号10多年,每月登陆几次。

张华的经历并非个例。6月26日晚间,全国多地网友爆料称,QQ平台出现大规模用户被盗号事件,被盗的QQ号深夜向多个好友及群聊发送不雅色情图片。

对此,腾讯QQ官方6月27日发表声明称,调查发现事件主要原因系用户扫描不法分子伪造的游戏登陆二维码并授权登陆,该登陆行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。

涉事的第三方平台超星学习通客服此前回复澎湃新闻(www.thepaper.cn)称,QQ账号被盗与平台没有关系。

稍早前,6月21日,该公司曾就“疑似学习通APP用户数据泄露”一事发布声明称,学习通已经向公安机关报案,公安机关已经介入调查。

相关律师分析认为,一旦查实黑产盗取大量QQ账号发布不雅图片,就构成非法利用信息系统罪。

有网络安全专家在接受澎湃新闻采访时表示,QQ生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给微博等其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去;此次事件,更多的责任可能在QQ授权的第三方平台。

QQ大面积被盗号背后:用户授权各种第三方平台,数据易泄露插图

张华被盗号后,QQ账号被冻结。

QQ用户授权第三方平台时数据易泄露

2007年,张华注册了QQ号。最初,张华用QQ来聊天、玩小游戏。回忆起此前用QQ的时光,张华说“算是一种童年的回忆。”

QQ空间互踩、QQ游戏大厅里的斗地主小游戏,让张华印象深刻。他对QQ有一种情结,即便随着各种社交媒体的普及应用,他还是会时不时登陆QQ。慢慢地,QQ在他看来成了一个用来联系旧时好友的小角落,“会时不时登陆进去看看有没有消息遗落”。

此次“QQ盗号”事件里,张华有100多位QQ好友收到了用张华QQ号发送的色情图片和链接。盗号事件发生后,张华曾向平台提起申诉,“后来我的QQ号解封了,把那些被盗号之后发的内容全部都自动撤回了”。

张左也是QQ的资深用户。2009年,他在网吧注册了QQ账号,一用就是13年。QQ也是他最常使用的软件之一。

最初,张左这个QQ号主要用来打游戏,那时的游戏有QQ堂、穿越火线、地下城勇士等。对他来说,当时QQ的社交作用不大。在智能手机还没普及的年代,他登录QQ主要还是在电脑上。到了初中,他才逐渐接触有“手机QQ”软件的手机。高中年代,他的个别同学已经拥有了能登录QQ的手机。

那时,张左的QQ号就被盗过几次,他通过平台的安全中心找回了账号。最让他气愤的一次是,他在网吧用完电脑后,忘记退出QQ就离开了,而此后使用这台电脑的人,恶作剧般地把他QQ上的好友全部删掉,并修改了他的昵称和签名。他通过QQ的找回好友功能,才找回了被删掉的好友。

张左称,初中和高中时代,QQ似乎还没有“建群聊”的概念,老师发通知更多的是在班里或者通过校园通发信息给家长。到了大学,QQ似乎承担了更多社交上的功能。分离的初中和高中同学,主要通过QQ联系,大学班级建了群聊,老师在群里发学习资料或发公告。

在张左看来,微信和QQ有着不同的用户群体和使用场景。微信更多地掺杂着工作属性,而QQ则“是自由的”,用户群体更年轻。作为资深的QQ用户,即便在微信的使用场景越来越多的情况下,他仍然坚持使用QQ,发空间动态,还在几年前花六七百元购买了QQ会员。

张左也曾收到过被盗好友发来的诈骗链接和不雅图片等。这在从事技术相关工作的他看来,QQ的登录方式是输入账号和密码,如果电脑上有病毒,就比较容易被盗号,但微信是扫描二维码登录,被盗的几率就非常小。

QQ大面积被盗号背后:用户授权各种第三方平台,数据易泄露插图1

申诉找回过程中,张华签订合规使用承诺书。来源:受访者提供

此次腾讯QQ号被盗,问题可能出在哪个环节呢?

来自数美科技黑产研究院专家宇航在接受澎湃新闻采访时分析认为,QQ生态相对来说较为开放,本身用户体量大。由于生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给微博等其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去。

该专家分析称,“此次事件暴露出来的问题,本身更多的责任可能并不在于QQ,而是在QQ授权的第三方平台。”该专家表示,在这样多的应用相互交互的情况下,去做数据安全包括账号的安全,难度会大非常多。

澎湃新闻注意到,腾讯QQ在其官方声明中提到,提醒广大用户,不要扫描来源不明的二维码。在非常用环境下登陆账号时要提高安全警惕,防范账号被盗的风险。

盗号背后的黑产,或构成非法利用信息系统罪

近年来,黑产链利用QQ诈骗牟利的事情时有发生。

数美科技黑产研究院专家宇航在接受澎湃新闻采访时指出,黑产盗号,最主要的目的是通过各种手段来赚钱。被盗的账号或一些被恶意注册的账号,会经常散布赌博网站、色情网站链接,欺骗QQ好友转账。

“一旦有好友点进去,网站就会给被盗号者提供对应的钱数。假设被盗号的人有一万个QQ好友,并且给每个好友都发了链接,总共100万条,链接假设有10万个人点进去,最终这10万条链接中的每一条,盗号者都会获得对应的收益,色情网站也是一样的。”宇航说。

此外,宇航举例称,还存在另一类情况。例如,被盗的QQ号码在QQ空间或群里发了一条链接,显示可以免费领皮肤等信息,用户在不知情的情况下打开后发现,钓鱼网站与官网做得相似度很高,只有网站域名不一样。用户点击进钓鱼网站输入个人信息后,钓鱼网站会自动收集用户的个人信息,“用户输入信息越多,钓鱼网站收获的信息越多。它可以利用这些信息进行诈骗,例如进行电信诈骗,或者冒充某个活动工作人员要求用户缴纳保证金。”

宇航认为,危害性最大的,并不是直接露骨的文字图片,而是伪装成好友发博彩网站链接,并以自身发财赚钱的经历诱惑用户。

北京市京师(上海)律师事务所律师李萍向澎湃新闻介绍,近年来QQ账号被盗的情况一直存在,或可说明QQ官方对用户隐私保护的监管存在一定漏洞,所以黑产才选择QQ这样有一定用户基础的平台作为违法犯罪的“作案现场”。

李萍认为,很多用户已改用微信,QQ已不是主流社交软件,账号被黑后少有人找回,也少有人主张权利;QQ账号虽被弃置,但其中存在着大量的隐私资料以及相关联系人信息。这就好比窃贼进入一个放有财物的空房子,任取财物却较少有风险。

李萍坦言,目前腾讯QQ官方已向社会做出回应,正在收集整理黑产团伙的犯罪证据,若是腾讯后期可以向警方提供相关犯罪证据,警方则会依法立案调查。一旦查实黑产盗取大量QQ账号发布不雅图片,就构成非法利用信息系统罪,如果存在利用QQ账户进行金融诈骗、盗窃等行为,还构成诈骗罪或者盗窃罪。

澎湃新闻以“QQ盗号”为关键词检索裁判文书网发现,相关裁判文书网共有20份,大部分判决书披露盗号者最后以诈骗罪或其他罪判刑三年以下。

一则广西2021年的判决书载明,被告人磨某相伙同被告人磨某礼、黄某绵,以非法途径获取他人QQ账户和登录密码等信息,冒充该QQ账户持有人向该账户的好友发送消息,谎称朋友住院急需用钱,虚构已经转款给被害人的截图,后要求被害人向其指定的支付宝、微信等账户转款从而骗取财物。

最终,磨某相、磨某礼及黄某绵三人被犯诈骗罪,分别被判刑并处罚金。该案中,被告人彭肖某某、磨某诗、磨某礼、陆某德、磨某礼、谢某京、宋某业等人也因使用同样手段实施诈骗被判刑。

此外,前述被告人使用的工具,是被告人廖某彬创建的远程操控木马软件(钓鱼网站链接),租赁期间廖某彬通过网络负责木马软件的授权、维护、更新。廖某彬犯提供侵入、非法控制计算机信息系统程序罪被判刑。

专家:尽量避免重复使用同一套密码

曲芒(化名)曾经历过两次QQ被盗号。

曲芒读大一时,曾遇到过朋友QQ被盗号的情况。“我当时的同班同学,还没见过面,过了几天,就给我发了消息,说给她充话费。”当时曲芒觉得奇怪,于是没有充,过了一段时间,才知道同班同学的QQ号被盗了,是骗子冒充了她。

2016年,曲芒自己的QQ号被盗了。黑客冒充她,向曲芒的QQ好友借钱,“我几个好朋友真的以为盗号的骗子是我,直接转账了”。在好友的提醒下,曲芒赶紧向QQ中心申诉找回账号。

曲芒称,当时被盗金额总共未超过500元。她猜测,盗号和她设置的密码过于简单有关。

随着社交媒体的发展,从近五年的发展趋势来看,宇航认为,大家对于个人信息隐私保护的意识一直在增强,盗号的现象呈先上升后下降的趋势。“QQ早期盗号现象蛮的,但现在相对较少,现在对于QQ账号的管控其实是比较好的。”

此外,宇航表示,近两年,国家对于网络诈骗的打击力度很强,公安系统都会打击网络诈骗,综合分析来看,近两年的诈骗案件相较于以前也有所缓解。

被盗号后,如何减少个人损失?

从用户角度来看,宇航建议,每个用户都应该去检查一下QQ号是否真的被利用了。如果被盗号了,应该尽快去拿常用的密码做一次整体更新。“我们需要有这种常见的安全意识,因为我们并不确定黑客通过这些手段拿到了具体怎样的信息。

其次,注意将银行卡密码等关键密码设置的生日信息等隔离开,尽量避免重复使用同一套密码。此外,非官方渠道的二维码、链接、网站、应用尽量不要使用,避免信息泄露。

对于平台运营者,北京市京师律师事务所数字经济法律事务部执行主任孟博在接受澎湃新闻采访时指出,网络运营者处理个人信息,应当遵循合法、正当、必要、诚信原则,不得过度收集个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

责任编辑:胥辉 图片编辑:沈轲