新浪财经:瑞智华胜涉窃取 30 亿条个人信息。运营商流量合作是什么原理。

2018-08-20 13:53:17 +08:00
 rotoava

“点智互动、中科云智两家公司主要与运营商进行正规流量合作,合作过程中他们会加入非法软件用于清洗流量、获取用户的 cookie 等”

“他们先和运营商签订正规合同、拿到登录凭证,然后将非法程序置入用于自动采集用户 cookie、手机号等信息。他们劫持数据后会进行爬取、还原等,为了不被发现,他们专门购买了 3 万多个 IP 地址用于频繁爬取。”

原文只说了这么两句,具体原理没讲。有熟悉“流量合作”原理的同学吗? https 协议下 cookie 怎么会被中间人分析截取的呢?

原文链接:瑞智华胜涉窃取 30 亿条个人信息:非法牟利超千万元 http://finance.sina.com.cn/stock/thirdmarket/2018-08-20/doc-ihhxaafz0581317.shtml

7783 次点击
所在节点    云计算
41 条回复
luozic
2018-08-20 17:00:51 +08:00
@dwhzy 是内鬼卖,还是公司名义卖,这个不一样吧。
ys0290
2018-08-20 17:08:45 +08:00
@nocoo 我看联通 APP 流量,好像是专用通道
linuslv
2018-08-20 17:11:22 +08:00
@dwhzy 确实是可以卖的,公司可以跟电信运营商,或者电商平台合作,做所谓的市场分析调查。
tadtung
2018-08-20 17:22:35 +08:00
@luozic 按上面说的应该是运营商劫持后,通过他们投放广告变现,但是他们在其中加后门,窃取用户信息。
这编辑不专业,很多东西乱说一通。
估计可能这公司老板得罪人或者后台倒了,不然这种和运营商合作的公司一般能量大不容易出问题。
Removable
2018-08-20 17:24:33 +08:00
@nocoo #17 应该是走腾讯服务器中转过,然后走专用通道到手机端,因为去浏览器设置把“云加速”关掉以后,就会提示可能有部分网页无法免流
passerbytiny
2018-08-20 17:40:25 +08:00
@xian
搜索引擎爬的数据,是网站让爬的。请参见 robots.txt 。
robots.txt 定义了不让爬,搜索引擎还爬的话,也不是窃取,是抢劫。
sujin190
2018-08-20 17:48:01 +08:00
早先还听人详细介绍说有资源可以和运营商合作,然后再骨干网出口部署分光器,然后你就有了一份完整流量了,接着解析流量可以做什么个性化推荐什么的,据说后来还真的去做了,牛逼的啊
xian
2018-08-20 18:47:30 +08:00
@passerbytiny
但是我没有授权我发表的内容的网站允许其它网站爬取我的内容啊。

如果说是注册协议授权的,那按照这个逻辑,那网站是否有随意处置任何人在其自愿发表或自愿登记的任意信息的权力?
xian
2018-08-20 18:52:30 +08:00
@sujin190
运营商出口流量要求保存 3 个月,很早就实行了啊
34C
2018-08-20 19:01:34 +08:00
@xian 窃取是个获取行为,个人信息是个数据的定义,我知道在 v2 发帖有可能会被第三方记录,我愿意,v2 也愿意公开,那搜索引擎就不算窃取,但这不影响我的发帖是个人信息啊
sujin190
2018-08-20 21:00:03 +08:00
@xian #29 但是开放给其他公司做盈利用途不合法的吧
Neoth
2018-08-21 02:20:26 +08:00
这个新闻应该是不懂技术的记者,按表面情况写的文章,实际上不是(或只有少数比如微博这种还在用 HTTP 的垃圾公司)通过窃取 cookie,而是登录信息用 cookie 形式保存这几个流氓公司服务器上用来随时登录。
HTTPS 下运营商也是不能随便窃取 cookie 的
Neoth
2018-08-21 02:45:55 +08:00
如果如上所述,cookie 只是用来存储和登录,不是窃取的来的主要方式,那这个窃取用户登录信息的来历就更有意思了,等后续揭秘吧。
Neoth
2018-08-21 02:49:33 +08:00
这次事件,表明一个问题,微博那些新浪白吃饭不干活的鸟货,尽管被阿里收购了,但根本不拿用户安全当个屁。发生几年用户账户信息泄露都没彻查,推托是第三方插件就是这么来的。
而阿里淘宝账户关系到敏感的金钱交易,很容易被用户举报推动,跟踪调查。
这就是新浪尽管姓阿里,但依然垃圾的现实。
Neoth
2018-08-21 02:53:41 +08:00
这事儿一眼看到底:写新闻的记者是技术外行,文章有问题。新浪技术团队几年不作为,有重大问题。阿里团队貌似负责,实际上,用 cookie 就能登录,还几千个账户用几十个 IP 登录,摆明了也是阿里产品安全有问题。
zzNucker
2018-08-21 02:56:14 +08:00
楼上一顿分析。。 只能说,外行看起来可能很有道理。
aru
2018-08-21 08:19:04 +08:00
@Neoth
呵呵,窃取 cookie 当然是最方便的途径
不懂就好好学习吧
passerbytiny
2018-08-21 08:52:06 +08:00
@xian 你在把内容设置为公网可见,并且没有用 robots.txt 禁止的时候,就已经默认授权了搜索引擎(包括其他网站)可以爬你的内容。如果你只想让搜索引擎爬,不让其他网站爬,那么只能靠技术手段阻止,不能靠法律手段。(然而对方有可能起诉你的技术手段不正常竞争,参见 LinkIn 的一个官司,用技术手段阻止某个公司搜集分析数据,官司输了)

如果你把内容放到了公网上,那么你的内容就是能被任何“人”查看的,这个“人”,即包括对你有用的人,也包括对你没用的人,更包括搜索引擎和机器人。放到公网上,又只想让特定的人看,这是不受法律支持的。
dwhzy
2018-08-21 09:49:57 +08:00
@luozic 如果这家公司有运营商子公司的投资,就不是个人卖的问题了。
最重要的是如何卖:当时这家公司描述,我们有日志,我们可以做大数据分析,但我们不能给你(这个很重要)。使用方式是:发一个手机号过来,我们会返给你找个用户最近访问的 app 等各种行为,但不直接给日志。
luozic
2018-08-21 17:14:02 +08:00
@dwhzy 你还是没看清楚,日志全部存储到境外了? 这…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/481421

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX