如何看待腾讯 QQ 大规模盗号,超星学习通否认 QQ 盗号与其有关?【月诚故事】

标题: 《如何看待腾讯 QQ 大规模盗号,超星学习通否认 QQ 盗号与其有关?【月诚故事】

今晚的知乎热榜上,当前的榜首话题是《腾讯回应「QQ大规模盗号」,称用户扫描不法分子伪造二维码并授权,如何提高网络账号的安全性? - 知乎》。话题的实际人气热度并不算高,或许很快就会下榜。

说实话,密码被盗确实是个让人恼火的事情。有很多时候,账号被盗了甚至都不知道是怎样被盗的。在网上搜索了一下其他平台的密码被盗情况。譬如 Facebook,2015 年 SegmentFault 思否网站上就有用户发帖提问《Facebook密码为什么会被盗,还修改了我的密码?》表示其“Facebook 账号跟密码是单独的邮箱,没有跟任何 qq 支付宝之类的共用邮箱”,结果除了有人表示同情之外,没人能够解答问题。而根据 2020 年自媒体文章《犯罪团伙窃取了数千个脸书密码,然后忘记使用密码》描述,“……网络罪犯窃取 Facebook 密码,并将受害者的朋友引诱到推广比特币骗局的网站上。研究人员发现,然后他们将整个操作暴露在一个不安全的数据库中。一次犯罪行动似乎欺骗了数十万人脸谱网用户交出他们的帐户密码。欺诈者随后通过制定基本的安全错误:他们忘记了锁定一个云数据库,这个数据库存储着窃取的登录凭证和他们自己的密码。”根据 2020 年的另一篇自媒体文章《账号被盗阴霾之下,确保 Facebook 帐户和商家主页安全的几条建议 - iplayable出海的文章 - 知乎》描述,“自 8 月中旬开始,,Facebook 广告主个人帐户就屡次发生遭盗用的情况,网络危险分子趁机窃取商务管理平台的访问权限,投放虚假或有误导性的广告,从而产生大量额外消耗,造成不必要的损失。Facebook 帐号被盗用已经不是新闻了,单凭密码来保护帐号的安全性是相当薄弱的。为了提高大家账户的隐私和安全性,避免成为下个受害者,从现在开始请认真确认以下注意事项:……”

继续搜索其他平台的密码被盗情况。譬如美国谷歌公司,根据 2020 年的一篇自媒体文章《『聚焦』毫无隐私!谷歌再曝存在重大漏洞,上千万用户的密码早已被窃取!》报道,“英国《路透社》6 月 18 日报道称,世界著名网络安全组织 Awake Security 于近日发布了一份公开报告,指出谷歌公司旗下的浏览器——Chrome 存在严重漏洞,使上千万用户的个人资料遭到黑客窃取。这份报告中的数据指出,Chrome 浏览器的内置功能存在代码层级的漏洞,黑客对此加以利用,通过上传恶意的后台程序来攻击某些特定的端口,从而在用户不知情的情况下窃取电子邮箱、银行卡乃至其它账户的私密信息。据悉存在漏洞的内置功能得到了用户的充分使用,经过统计,恶意的后台程序至少被下载了 3200 万次,这也就意味着起码有 3200 万下载用户的密码很有可能已经被黑客所窃取。……”。根据另外一篇 2013 年的新闻《Facebook、Google和Twitter等网站逾200万密码被盗》报道,“互联网安全公司 Trustwave旗下安全实验室 SpiderLabs 表示,在 Pony Botnet Controller(僵尸网络控制器)服务器上发现来自大型网站的逾 200 万用户密码,受波及的网站包括 Facebook、Google、Twitter 和雅虎等。SpiderLabs 在深入研究该服务器源代码发现,该网站一台服务器上竟然存储着 158 万网站登录密码、32 万邮件账户密码、41 万 FTP 账户密码以及 3 万安全保护密码。从各大网站被盗的密码数量来看,Facebook 首当其冲,被盗密码数约为 31.8 万。雅虎名列第二,被盗密码数为 6 万。Google 紧随其后,被盗密码数为 5.4 万。另外,俄罗斯社交网站 vk.com 和 odnoklassniki.ru 也赫然在列。……”

类似如此的旧闻还有很多。简单来说,没有哪个软件或网站可以宣称自家平台的安全性是绝对安全。

为了减少网络安全风险,2021 年全球不少国家都相继提出了要加强网络安全措施。譬如美国,根据“秦安战略” 2021 年文章《美通过多项网络安全法案,聚焦关键基础设施和工控系统网络安全》描述,“美国众议院最近密集通过了多项网络安全法案,其中包括与关键基础设施、工业控制系统(ICS)有关的法案,以及给州和地方政府的拨款法案。……《网络安全漏洞修补法案》(Cybersecurity Vulnerability Remediation Act),重点关注关键基础设施。该法案旨在授权美国国土安全部(DHS)的网络安全和基础设施安全局(Cybersecurity and infrastructure Security Agency, CISA)协助关键基础设施的所有者和运营商制定针对严重漏洞的缓解策略。……众议院刚刚还通过了CISA网络演习法案( CISA Cyber Exercise Act)。该法案在CISA内部建立了一个项目,旨在促进对针对关键基础设施的网络攻击的准备和恢复能力的定期测试和评估。……第3项法案是美国国土安全部《2021年工业控制系统能力增强法案》(DHS Industrial Control Systems Capabilities Enhancement Act of 2021),该法案要求CISA提高识别和应对ICS威胁的能力,特别是用于关键基础设施的系统。……《州和地方网络安全改善法案》寻求批准一项新的5亿美元拨款计划,其目标是为州、地方、部落和地方政府的网络安全提供资金。该法案将允许州和地方政府组织申请资金,用于应对网络安全风险和对其IT系统的威胁。……刚刚提交参议院的另一项法案是《国土安全关键领域法案》(the Domains Critical to Homeland Security Act),该法案授权国土安全部识别对经济安全至关重要的域的供应链风险。……此前在上一届国会众议院通过的另一项法案也在7月20日获得通过。由俄亥俄州共和党众议员鲍勃·拉塔(Bob Latta)和加利福尼亚州民主党众议员杰里·麦克纳尼(Jerry McNerney)牵头的两党《网络感应法案》(Cyber Sense Act),将要求能源部长建立一个项目,对打算用于大容量电力系统的产品的网络安全进行测试。……”

需要注意的是,虽然 2021 年美国密集发布了各种网络安全法案,但实际上,中国才是遭遇网络安全攻击最多的国家之一。

根据 2021 年的一则知乎话题《2020 年中国境内约 531 万台主机遭境外网络攻击,前三来自美国及其北约盟国,说明了什么? - 知乎》题面部分内容描述,“据中国驻欧盟使团网站 7 月 20 日消息,驻欧盟使团发言人就欧盟及北约就所谓中国恶意网络活动发表声明答记者问。……事实上,中国是网络攻击的主要受害国之一。根据中国国家互联网应急中心报告,2020 年,共有位于境外的约 5.2 万个计算机恶意程序控制服务器控制了中国境内约 531 万台主机,对中国国家安全、经济社会发展和人民正常生产生活造成了严重危害。就所控制中国境内主机数量来看,控制规模排名前三位的控制服务器均来自北约成员国,分别控制了中国境内 446 万、215 万和 194 万台主机。我们敦促有关国家恪守网络空间国际规范,立即采取切实措施查处有关恶意网络活动。网络安全是全球性问题,事关各国共同利益,需要国际社会共同维护。政治化、污名化的做法不仅无助于解决网络安全问题,反而会削弱各国间互信,影响各国在该领域的正常合作。中方已于去年9月提出《全球数据安全倡议》,明确倡议各国反对利用信息技术破坏他国关键基础设施或窃取重要数据。我们期待各国共同参与该倡议,就网络安全问题作出明确承诺,共同营造和平、安全、开放、合作的网络空间。”

2021 年末,根据新闻《工信部:2025年基本建成安全可靠的新型数字基础设施》报道,“……(四)全面加强网络和数据安全保障体系和能力建设。坚决落实国家网络安全工作‘四个坚持’,紧紧围绕防范化解重大网络安全风险的工作主线,着力完备网络基础设施保护和网络数据安全体系,持续推进新型数字基础设施安全管理水平,打造繁荣发展的网络安全产业和可信的网络生态环境,全面提升行业网络安全应急处置,服务行业高质量发展,支撑构建国家网络安全新格局。……”

2025 年基本建成安全可靠的新型数字基础设施或许不是一件容易的事情。尤其是最近这段时间,热榜上和网络安全相关的热搜新闻又多了起来。

根据新闻《热搜第一!1.7亿条学生信息泄露?学习通回应来了!》报道,“6月21日,有消息称学生学习软件‘超星学习通’软件的数据库信息被公开售卖,超 1.7 亿条信息疑遭泄露。消息一经曝出便引发大量关注,‘学习通’一度冲上热搜榜第一!学习通回应:未发现明确的用户信息泄露证据。学习通官方微博 21 日发布声明回应称, 学习通昨晚收到‘疑似学习通 APP 用户数据泄露’的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关报案,公安机关已经介入调查 。声明还称,学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。”

简单解释一下,学习通公告中所提到的“学习通不存储用户明文密码,采取单向加密存储”指的是“撒盐加密”技术(SALT+HASH)。根据自媒体文章《【密码学】salt的概念》描述,“盐(Salt),在 密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为‘加盐’。安全因素 通常情况下,当字段经过散列处理(如 MD5),会生成一段散列值,而散列后的值一般是无法通过特定算法得到原始字段的。但是某些情况,比如一个大型的彩虹表,通过在表中搜索该 MD5 值,很有可能在极短的时间内找到该散列值对应的真实字段内容。加盐后的散列值,可以极大的降低由于用户数据被盗而带来的密码泄漏风险,即使通过彩虹表寻找到了散列后的数值所对应的原始内容,但是由于经过了加盐,插入的字符串扰乱了真正的密码,使得获得真实密码的概率大大降低。实现原理 加盐的实现过程通常是在需要散列的字段的特定位置增加特定的字符,打乱原始的字符串,使其生成的散列结果产生变化。比如,用户使用了一个密码:……”

“撒盐加密”是软件或网站后台一种常见的处理存储密码方式。在这种技术手段下,学习通公司内部也无法获取用户密码明文。那么“疑似学习通 APP 用户数据泄露”到底在哪个环节泄露?或者有没有泄露?最终是什么情况或许还需要一点时间才能揭晓答案。

不过有个很有意思的现象是,最近国内有多家互联网公司相继登上了热搜榜,似乎有一种力量在持续推送相关热搜话题。譬如京东公司相关的《京东健康暴跌14%,互联网健康全线崩盘,互联网巨头再遭重创? - 价值事务所所长的文章 - 知乎》、《如何理解刘强东近两月从京东套现 18 亿元? - 知乎》、《中国神秘女富豪 5.6 亿现金全款买下地中海顶级豪宅,有哪些信息值得关注? - 知乎》等等。

譬如阿里公司相关的《如何看待马云现身西班牙「打高尔夫,开 12 亿豪华游艇」?这透露出哪些信息? - 知乎》、由“财经十一人”发起的热议话题《「阿里女员工案」张某强制猥亵案一审宣判,被判一年半,如何从法律角度解读?还有哪些情况值得关注? - 知乎》等等。

譬如腾讯相关的《腾讯全部事业群至少缩减10%》、当前的榜首话题《腾讯回应「QQ大规模盗号」,称用户扫描不法分子伪造二维码并授权,如何提高网络账号的安全性? - 知乎》等等。

上一次中概股企业集体遭遇做空行情还是今年的 3 月份。

根据当时写作文章《如何看待官方表示今年不扩大房地产税改革试点?一场史诗级的暗战正……【月诚故事】》时的观察:……根据知乎话题《潘长江回应虚假宣传卖酒,称自己根本没说过跟茅台老总认识,也不知道外面卖多少钱,如何看待这一回应? - Wanger的回答 - 知乎》答主回答,“ 在b站上找到了潘长江当时直播时的近五个小时的原版视频,至今没有找到新闻中的那句话:‘我和茅台董事长认识十几年了,昨晚我把他灌醉了,让他签合同给我定价权。’ 目前没有任何一家媒体贴出原视频, 这则假新闻的源头每日经济新闻已将微博和官网相关内容悄悄删除,连一句道歉都没有 。每日经济新闻为了流量造谣,随便贴个文字就说的跟真的一样, 还在知乎自问自答,然后引发一群人围观,讨论 。这种事情已经发生无数次了,这是媒体从业人员的堕落。……”答主“工藤老二”回答说,“朱万平这个人不能说坏吧,但肯定跟茅台沾点什么仇,不如我们请他亲自来回答一下?? @朱万平 [截图][截图][截图]……”。在众多的截图当中,朱万平的相关财经新闻报道几乎全部都是做空茅台的负面新闻甚至是虚假新闻。不过截至目前为止,每日经济新闻记者朱万平并没有出面回应。答主“会隐身的六娃哦”在回答中分享了娱乐日爆社对潘长江老师的采访截图,潘长江老师在采访中回应说,“该媒体呢,没有经过我们的允许,也没经过我的求证,也根本没联系过我。更别提证实这事。这话我说没说过,于是我让我的团队的人主动跟这个记者去联系一下。我们抱着一种很诚恳的态度去问他说,这句话你们有证据吗?你们有凭证吗?为什么要打这样的标题来误导观众? 他说他没有证据,他也提供不出来任何凭证证据 。……”……类似的上市公司负面新闻甚至是谣言突然在最近集中被人炒作,究竟是怎样的情况呢?……根据知乎话题《为什么最近中概股连续暴跌,真实原因是啥? - 冰川上的梦想家的回答 - 知乎》答主回答,“……还有一个数据,就是美国十年期国债收益率。收益率越低,说明购买美债的资本越多,也可以说是回流到美国的资本就越多。本来从俄乌冲突开始,美国十年期国债收益率已经在下降了,3 月初甚至降到了一个月以来的新低(不到 1.7%)。但很快,又开始攀升,直至目前的 2.1%。所以美国就适时搬出了针对中概股《外国公司问责法》,怎么会是巧合呢?目的只有一个,绝对不能让局面跑偏。随着十年期国债收益率的反弹,美国开始出招。先是派军舰游弋海峡,接着派出政府前高管访T;然后就是上周美国证券交易委员会将5家中国公司列入《外国公司问责法》的暂定清单,限期不交审计底稿就有退市的风险。这5家公司主要是生物医药和半导体行业,暂时还没有涉及互联网公司。但是明眼人都看得出来,就是奔着中概股来的。首先,《外国公司问责法》是特朗普时期才制定并通过的,在贸易战的背景下,针对中国公司的用意十分明显;其次,该法案生效以来,在所有未提交审计底稿的非美国上市公司中,只有中概股三天两头被拿来说事儿;再次, 过去一年中美监管部门围绕审计底稿的问题一直在谈,但在谈的过程中,美方不停整活,完全把中概股当成了谈判的筹码 。中概股目前是代表了中国科技行业的排头兵,一旦面临集体退市,对于中国科技行业的融资来说无异于釜底抽薪,不管是已经上市的还是未上市的。打击中概股是表,打击外资对中国的信心才是里。特别是就短期而言,绝不能让中国成为国际资本的避风港,这不仅关系到美元的信誉,更关系到美国的信誉。 美国对中概股的打击,更像是一次来自政府的逼空行为 。……”关于“美方不停整活,完全把中概股当成了谈判的筹码”的说法,在最近的国家金融委会议当中得到了验证。根据由“贝壳财经”发起的知乎话题《刘鹤主持国务院金融委会议研究当前形势,研究了宏观经济运行、房地产企业、中概股等问题,释放了哪些信号? - 知乎》描述,“……会议研究了相关问题。关于宏观经济运行,一定要落实党中央决策部署,切实振作一季度经济, 货币政策要主动应对,新增贷款要保持适度增长 。关于房地产企业,要及时研究和提出有力有效的防范化解风险应对方案,提出向新发展模式转型的配套措施。 关于中概股,目前中美双方监管机构保持了良好沟通,已取得积极进展,正在致力于形成具体合作方案 。中国政府继续支持各类企业到境外上市。关于平台经济治理,有关部门要按照市场化、法治化、国际化的方针完善既定方案,坚持稳中求进,通过规范、透明、可预期的监管,稳妥推进并尽快完成大型平台公司整改工作,红灯、绿灯都要设置好,促进平台经济平稳健康发展,提高国际竞争力。关于香港金融市场稳定问题,内地与香港两地监管机构要加强沟通协作。……”

回到当前的榜首话题,暂时还不清楚腾讯 QQ 大规模盗号具体情况是怎样的。需要注意的是,有些新闻将两起热搜关联在了一起。根据文章《学习通否认QQ盗号与其有关》报道,“据中新经纬,6 月 26 日,不少网友反映自己 QQ 号被盗, 有消息称,此次 QQ 盗号疑似与超星学习通数据库信息泄露有关 。27 日,超星客服回应记者称,“到目前为止确实没有发现我们有泄露的证据。关于网传的信息泄露事件,鉴于事情重大,我们已经向公安机关报案,目前正在跟警方配合深入调查。……”

文章没有细说“有消息称”指的是哪个信源消息,因此最终是什么情况或许还需要一点时间才能揭晓答案。


微博头条文章作者:<strong>【月诚故事】</strong>

微信公众号:<strong>【月诚故事】</strong>自媒体运营小白的成长日记

联系邮箱:messages (à) intorich (.) com

<img src="/img/wechat.png" alt="【月诚故事】自媒体运营小白的成长日记" />