作家，姜玄，王乐

编辑，陈磊。

图片来源，图虫

好久没联系的QQ好友突然沉寂了几年的老同学中有人贴了一张照片？请不要误会。不是所有人都不约而同地想找回过去的友谊，注册和操作社交账户的那条线被非法网络黑产分子悄悄掌握在手中。

6月26日晚，QQ平台发生了大规模用户账户被盗事件，部分受黑客控制的账户开始向朋友和小组聊天发送不良照片广告，这一直持续到第二天凌晨，并逐渐得到控制。

据受访网络安全专家称，平台必须处理好用户的新加密，及时修复暴露的漏洞。用户也要定期更改密码，点击、浏览非正式渠道和有风险的链接内容，保持互联网账户安全。

问题发生在哪个部分

据社交平台上盗录的用户透露，在账号被盗的过程中，盗录者曾多次向账号的群聊和朋友发送不良信息(如淫秽照片、淫秽视频、伪装成聊天记录的外部广告链接等多种形式)。

值得注意的是，部分用户在盗号期间发送大量不良信息，有时被系统封锁，再次登录时需要签署《QQ个人账户合规使用约定》，承诺书上写道：“我已经认真阅读了《QQ号码规则》，充分认识并承认我利用QQ进行违法行为，对其他用户和平台产生了不利影响。”另外，需要本人签名，上传手持身份证照片，才能解除封印。

上海某对网络安全感兴趣的法律工作者对记者说。但是从承诺书的内容来看，腾讯认为用户有错，很明显用户没有保存好自己的账户密码。用户签署保证书后，用户也可以理解为承认了泄露密码的错误。

“首先要弄清楚是哪一方造成了用户的账户密码泄露。”这位法律从业者表示，用户和腾讯之间是服务合同关系。如果用户认为由于腾讯方面的问题，自己的账户被盗，那么腾讯违约会造成部分财产损失，或者用户对此承担一定的法律责任。这就是说，根据用户合同的约定，腾讯可以承担相应的违约责任和赔偿损失，但需要用户证明。

那么，用户的登录信息是如何泄露的呢？这可能需要从QQ提供的第三方访问相关协议开始。

21记者在腾讯官方开放平台“QQ互联”上指出，第三方网站在访问QQ登录之前，必须申请相应的参数，获得“OAu”协议的认证。

“QQ互连”主页上OAu协议的说明。

上述所有“OAu”协议都称为“Open Au”，是当前互连方案中最常用的第三方许可协议之一。QQ采用的OAu协议使用户可以授权第三方网站访问其他服务提供商存储的信息，而无需向第三方网站提供用户名和密码，也无需共享数据的所有内容。

一位技术专家对21名记者分析说，黑客在OAu协议认证过程中，很有可能冒充合法服务，在用户和通信大象之间绑架信息，远程登录用户的QQ账户，在用户本人也不知道的情况下向外界发送信息。“从目前的公开信息来看，黑客在与用户和第三方网站互动的过程中，使用了‘临时访问令牌’(Access Tokks那位专家说。

针对此次事件，腾讯QQ在官方微博上表示：“6月26日晚上10点左右，部分用户反馈QQ号被盗。”QQ安全团队非常重视，立即进行了调查，结果显示，主要原因是用户扫描非法分子伪造的游戏登录队列(QR)代码(游戏登录)，并授权登录。这个登录行为被黑了。

腾讯方进一步指出，确认原因后，腾讯第一时间组织安全技术力量，积极对抗黑产作恶，目前受影响范围已得到控制，受此事件影响的用户帐号也于6月27日凌晨陆续恢复正常使用。

盗号背后的黑产链条

这并非国内社交媒体平台用户账号被盗首次获得广泛关注的案件。

2014年，马航MH370客机失联后不久，网络上出现了一款利用该事件相关报道、图片压缩包伪装盗号木马，通过QQ和论坛等渠道传播的恶性盗号案件，仅杀毒软件有记录的拦截次数就超过2万次。2015年，扬州开发区法院公开宣判了一起非法获取计算机信息系统数据罪案件，本案所涉六名被告非法盗取16万余组QQ账号及密码，获利人民币157万余元。

除国内平台外，很多国外大型社交媒体用户也曾被盗号问题所困扰。

2020年7月，推特遭到大规模黑客入侵，多位名人政要和官方账号受到波及。包括美国现任总统拜登、前总统奥巴马、特斯拉CEO马斯克、苹果官方在内的一大批账号全部被盗。且被入侵的名人账号都发布了一条内容类似的推文：给出一个诈骗链接，要求通过比特币捐款，自己将双倍返还捐款金额。

入侵大规模扩散后，推特官方回应称，已经获悉该平台出现安全事故，正在进行调查并逐步修复。

“盗号问题背后，其实是一条完整的黑产产业链。”数美科技黑产研究专家道然在接受21世纪经济报道记者采访时表示，具体可划分为脱库、洗库和撞库三个阶段：

所谓脱库可以划分为技术和社工手段两类，技术手段是指黑产不法分子直接入侵目标服务器、数据库获取账号密码等信息；社工手段即社会工程，主要是通过钓鱼邮件等方式从用户处获取其相关信息。

洗库阶段则是不法分子根据信息类型进行分类，例如将账号划分为金融账号、游戏账号等等，在此阶段黑产团伙会建立社工库，即将盗取的各类信息按照用户进行归纳，其需要某个人的信息即可在库中调取。此外，其还会计算密码表，即根据用户的某一应用账户密码和生日、地址等个人信息推算其他应用账户可能使用的密码。

在撞库阶段，黑产团伙则会拿着相关个人信息和可能的密码尝试破解用户各类应用账号，例如社交账号、金融账户等等，破解账号后，其可以试图将其中便于变现的数据资产例如金融账户余额等直接转出，也可以结合其他个人信息进行电信诈骗等不法活动，也可能像本次QQ被盗事件一样用于散播不良内容。

“通过这样一条产业链，盗号问题不仅仅关乎单个账号的得失，其背后是用户很大一部分网络信息可能被黑产所利用的风险。”道然说。

如何防范？

那么，在发生盗号事件后，应如何尽可能缩减损失，降低风险呢？

道然表示，用户首先应当尽快修改账号密码，其次是和相关账号上的亲友进行沟通，告诉他们近期务必警惕有关于自己的诈骗信息；从平台层面，其需要尽快修复相关漏洞，同时对黑产传播的不良信息进行撤回或封禁处理，避免风险进一步蔓延。

面对庞大的盗号产业链，互联网平台与用户又该如何见招拆招？

上述技术专家则认为，为预防黑客通过窃取临时登录信息进行盗号行为，该类社交媒体平台应在授权过程中加大对第三方网站及应用合法经营资质的审核力度。同时，对于已经出现该类问题的第三方，平台应立即停止授权，切实保护用户的相关利益。

道然则指出，从基础安全层面而言，平台在对用户数据进行存储时要进行加密处理，一定不能做明文存储，否则被攻击后用户信息相当于直接被暴露给黑产；其次，平台服务器和数据库要及时做好漏洞修补和防火墙升级，可以在内部设置红蓝团队进行攻防演练；最后，从风控角度要对做好账户保护，提升平台对于撞库盗号的识别能力，并对内容生态中出现的钓鱼信息进行及时阻断。

而对于个人用户，道然则表示，一方面用户需要定期修改账号密码；其次就是注意将银行卡密码等关键密码设置于自己的生日信息等隔离开，尽量避免重复使用同一套密码，增大黑产“撞库”可能性。此外，非官方渠道的二维码、链接、网站、应用不要使用，避免信息泄漏。

本期编辑 黎雨桐 实习生 李凯琳