法治周末記者 馬樹娟
近兩百元的視頻網站年度會員資格,只需要區區數元就可以買到;而價值十餘元的月度會員資格,甚至只需幾分錢……
此前,湖北用戶劉棟(化名)從未意識到:這些以超低價出售視頻網站會員賬號的QQ群、淘寶店,會同自己有什么關聯;直到一次偶爾事件的出現,他才發現——原來自己的賬號,也是這個產業鏈上被黑客覬覦的獵物。
劉棟以前購買樂視電視時,曾被贈予了兩年會員資格。當時,他家人也知曉該用戶名和密碼,因此當他登錄賬號,即使偶爾看到陌生的觀影記錄,也並未多加留意。直到2015年12月,劉棟為嶽母購買了一部樂視手機,在輸入自己樂視賬號和密碼後,突然樂視雲裏多出了很多同步下載的視頻、照片內容,其中還 有大量女性裸體照片。
“我當時特別尷尬,妻子還為此懷疑我是不是生活作風有問題。”面對這些“從天而降”的圖片,劉棟百口莫辯。他開始懷疑自己賬號被盜,便趕緊修改了賬號密碼,同時想要查清事情的來龍去脈。
就在這時,劉棟自己的微博(劉棟樂視賬號和微博賬號一致,均為一郵箱賬號)收到了一位網友的私信,對方聲稱,自己此前一直用該賬號在樂視手機上看視頻,由於劉棟變更了密碼,導致其樂視手機被鎖,因此向他詢問更改後的密碼。
劉棟質問對方為何有自己的賬戶名和密碼,對方說是在網上購買的。同時,對方還發來一張當時的交易截圖,顯示有其賬號和密碼。在這張截圖中,賣家還特意叮囑,“不要修改賬號密碼,否則造成不能使用”。
至此,劉棟才知道自己樂視賬號不僅被他人盜取,而且還被用來交易、牟利。
盜號銷售已成產業鏈
賬號被盜賣,劉棟並非是特例。記者在網絡上搜索發現,很多用戶都遭遇過類似的事情。很多用戶都反映自己的賬號被盜賣,致使自己觀影受阻。
記者加入了多個視頻會員共享QQ群,發現這幾個群裏,不時有用戶發布低價銷售各家會員賬號的信息。1月23日,記者聯系上了一位銷售者,得知支付5元,就可以獲得愛奇藝一年的黃金會員資格,而在愛奇藝官網上一年(贈送3個月)會員價格為195元。
在記者支付了5元後,對方發來一組賬號和密碼;盡管頁面提示為“異地登錄”,但記者還是順利進入。頁面顯示,賬號有效期至2016年2月23日。該賣家表示,賬號若到期,可以自動續費。
記者詢問:賬號來源於何處?賣家稱是“刷出來的”,至於具體操作細節,賣家並不願多談,只是稱只要繳納30元代理費,就可以“低價大量拿貨,一組賬號和密碼一年3元”。
在一個名為“樂視會員批發”群內,有一位名為“貨源掃貨器”的賣家,經常在群內發布信息“優酷、樂視、搜狐、迅雷賬號批發”。記者以有意從事批發為由,聯系到了這個賣家。
該賣家告訴記者,賬號分為黑號(指盜取的賬號)和白號(指自己充值購買再次售賣的賬號),以樂視會員為例,使用黑號每月只要交0.5元,最多可以給3個人使用;使用白號的話,每月需交2元,最多可以給20個人使用。
該賣家還告訴記者,即便是黑號,也分一手黑號(即剛剛被盜取進入市場售賣的賬號)和二手黑號。相對於在市場上流通多次、已被多人掌握賬號及密碼的二手黑號,一手黑號的觀影效果無疑更為穩定。
1月18日,記者在淘寶上發現,有一些店鋪在以明顯低於市場價的價格銷售視頻企業的會員賬號,涉及的視頻網站有搜狐、迅雷、愛奇藝、樂視等,銷售記錄從三五條到上千條不等,相關評論也有數百條。
在這些評論中,有用戶稱“便宜也能買到好貨”;有用戶則反映一登錄賬號就出現提示,稱會員賬戶已被多人使用,暫時無法播放;也有用戶直呼上當,稱賬號還未到期,就提示密碼錯誤、無法登錄。
前述賣家告訴記者,那種反映“無法播放”的用戶,買到的可能就是二手黑號;而提示密碼錯誤的,則有可能是同時登錄賬號人數過多,也有可能是盜號行為已被原用戶發現,及時更改了密碼。
張祖優是互聯網安全企業“知道創宇”的漏洞社區負責人,他告訴法治周末記者,用戶出現賬號被盜賣的情形,首先,可能由於視頻網站本身遭遇過拖庫(即黑客入侵有價值的網站,盜走用戶數據庫)。
此外,根據騰訊最新發布的《移動支付網絡黑色產業鏈研究報告》,有超過七成被調查者稱,自己多個網絡賬號都使用同一用戶名與密碼,特別是青少年,多賬號使用同一密碼的比例更是高達82.39%。
網上交易保障中心副主任喬聰軍對記者表示,這樣的密碼設置習慣,使得黑客或其他不法分子一旦獲得一組賬號信息,就可以嘗試在其他網站,比如視頻網站進行登錄,使得黑產分子拖庫、撞庫的成功率更高;所以作為用戶,必須提高自己的安全意識。
獵豹移動安全專家李鐵軍告訴記者,這些售賣者所謂的“刷號”“掃號”,就是通過已有數據庫中得到的賬號進行撞庫,如果撞庫成功,就算“掃號”成功,然後將其進行銷售。
中國互聯網協會政策與資源委員會專家成員、北京市盛峰律師事務所主任律師於國富對法治周末記者表示,早期的黑客,並不涉及經濟利益,而是通過突破他人的技術安全措施來炫耀自己的高超技術;但是,近年來,黑客行為越來越產業化,有的甚至形成一整條“產業鏈”。
盜號銷售情節嚴重可追刑責
在網絡黑產鏈條中,竊取賬號密碼的黑客、分銷商等分工配合,不僅嚴重損害網站方的權益,也損害到了賬號原持有人的合法權益。於國富表示,鑒於其造成嚴重社會危害,對於該產業鏈中的任何一個環節,都應當予以嚴厲打擊。
“對於賣家通過黑客手段獲取了他人賬號和密碼的行為,可以根據不同的案情,追究黑客非法侵入、控制、破壞計算機信息系統罪;如果相關賬號有明顯的金錢權益,還可以盜竊罪名追究黑客責任。”於國富說。
而對於明知是黑客竊取賬號密碼而進行銷售的行為,於國富認為,在社會危害性已達到刑事追究程度的情況下,該行為人應被當作共犯而予以追究。
而對於被盜賬號密碼的持有人來講,於國富認為他們並非沒有損失。“一方面,新的持有人有可能通過修改密碼,使原持有人喪失會員服務權利;另一方面,會員賬號中的個人信息、觀看記錄、財產權益被他人非法獲取和控制後,原持有人必然受到個人信息泄露、財產喪失等損失。”西安交通大學信息安全法律研究中心副主任王玥對法治周末記者表示,在大部分的司法判例中,“侵犯公民個人信息罪”裏面的“個人信息”,指的是可以識別公民個人的信息;在視頻網站的用戶賬號中,可能會有用戶購買視頻網站服務的記錄、觀影記錄等,這類購買記錄,就可以被視為個人信息。
“即使賣家是以公開渠道獲得用戶賬號和信息,再進行售賣,只要盜號銷售數量大、情節嚴重,就有可能觸犯刑法中的侵犯公民個人信息罪。”王玥說。
“商家在出售商品前,應當對商品的合法性承擔責任,這點毋庸置疑。”於國富表示,QQ群是相對封閉的空間,而電子商務網站更為開放,對平台上的實體商品和虛擬商品,網站應當加大監控力度。
對此,淘寶工作人員表示,淘寶一直依據視頻網站提供的線索以及阿裏自身的關鍵詞搜索、大數據技術,對違法違規銷售視頻企業會員賬號的店鋪進行定期清理。在采訪中,淘寶這一做法也得到了愛奇藝等視頻網站工作人員的印證。
視頻企業已推反制措施
為了保障公司正常收益,也為了保障會員有良好的觀影效果,記者了解到,視頻企業已在會員協議明確規定,不准轉讓或售賣會員資格。
如愛奇藝在用戶協議中規定,VIP會員服務僅限於申請賬號者自行使用,禁止贈與、借用、租用、轉讓或售賣,否則愛奇藝有權在未經通知的情況下,取消轉讓賬戶、受讓賬戶的VIP會員服務資格。
同時,愛奇藝明確了自己的技術反制措施:同一愛奇藝VIP賬號,只允許在最多5個設備上使用,且同一時間、同一賬號,僅可在兩個設備上登錄觀影,超出上述范圍使用的,愛奇藝系統將自動封禁該賬號。
1月25日晚間,記者用前述購買的愛奇藝會員賬號嘗試登陸,結果就發現無法登陸,並出現如下字樣:“您的會員賬號正在被多台設備同時使用,根據 《愛奇藝會員服務協議》,我們將停止在當前設備上提供會員服務。如想在該設備上觀看,請關閉其他正在使用該賬號播放的設備或立即修改密碼。”
優酷也在用戶協議中規定,禁止將優酷網賬戶有償或無償提供給任何第三人,禁止其通過該賬戶觀看費他付費購買的收費視頻。如果同一賬戶在15分鍾內有超過4個及以上的IP訪問,優酷方面將關閉該賬戶服務30分鍾。
於國富表示,在線會員服務協議,在不違反法律法規的情況下,應屬有效合同,各方均應依約履行,賬號和密碼,是網站為給注冊人提供互聯網信息服務而提供給注冊人的使用憑證。
即使是所謂的“白號”,於國富也表示,在合約中明確規定服務賬戶不得轉讓、受讓的情況下,初始注冊人將賬號、密碼轉讓、出租給他人,違反合同中的相關約定。
愛奇藝工作人員告訴法治周末記者,這種盜號銷售、“白號”惡意共享不僅會影響公司的收益,更重要的是,也會影響初始用戶的觀影體驗。
記者了解到,很多視頻企業都擁有大數據技術,可以根據用戶的觀影記錄,為用戶推送符合用戶興趣愛好的、具有個性化特點的影片和服務。“如果賬戶一旦被盜,或者被他人共享,那么觀影記錄將會非常混亂,公司也無法提供給用戶良好的服務。”該工作人員說。
王玥認為,針對視頻行業盜號銷售、賬號惡意共享的現象,應該“法律、管理、技術、用戶教育”四位一體予以治理:針對個人信息保護的立法應該進一 步跟上,執法機構也應當加大執法力度,而視頻網站也應當革新技術和管理手段,防范撞庫、盜號等事件的發生;對於用戶,也應當加強安全、契約教育;只有四者 聯動,方能從根源上杜絕此類行為的發生。