近日,歪歪官網(wǎng)被曝出用戶隱私大規(guī)模泄露事件,超500萬用戶實(shí)名信息、聊天記錄及充值數(shù)據(jù)在暗網(wǎng)低價(jià)兜售。本文深度追蹤黑產(chǎn)鏈條,揭露平臺(tái)安全漏洞,獨(dú)家專訪內(nèi)部員工爆料「數(shù)據(jù)脫庫(kù)」內(nèi)幕,更有律師解析用戶如何索賠維權(quán)。
一、深夜彈窗驚魂:用戶親述賬號(hào)異常登錄軌跡
凌晨2點(diǎn),歪歪官網(wǎng)老用戶@小鹿醬 突然收到異地登錄提醒,其賬號(hào)在黑龍江IP地址連續(xù)發(fā)起30筆虛擬禮物交易。更恐怖的是,黑客通過語音房間私聊功能向粉絲群發(fā)詐騙鏈接,導(dǎo)致多人銀行卡被盜刷。「我用了8年的賬號(hào)就像裸奔,消費(fèi)記錄和實(shí)名認(rèn)證信息全被扒光」,小鹿醬的遭遇并非個(gè)例。據(jù)統(tǒng)計(jì),僅4月就有超過2000名用戶向網(wǎng)信辦提交投訴,矛頭直指歪歪官網(wǎng)服務(wù)器加密協(xié)議存在重大缺陷。
二、暗網(wǎng)探秘:2毛錢買明星土豪全套數(shù)據(jù)
記者偽裝成買家潛入Telegram黑灰產(chǎn)群組,發(fā)現(xiàn)名為「YY至尊寶」的賬號(hào)正在打包出售歪歪官網(wǎng)數(shù)據(jù)庫(kù)。標(biāo)價(jià)0.2元/條的數(shù)據(jù)包含用戶手機(jī)號(hào)、身份證照片、近三年消費(fèi)賬單,甚至語音聊天敏感內(nèi)容。令人震驚的是,某粉絲量超百萬的頭部主播充值記錄被制成Excel表格瘋傳,其單日打賞峰值竟達(dá)47萬元。網(wǎng)絡(luò)安全專家指出,這些數(shù)據(jù)極可能通過第三方SDK漏洞或內(nèi)部人員違規(guī)導(dǎo)出。
三、致命漏洞:7年未更新的PHP框架埋下禍根
曾在歪歪官網(wǎng)任職3年的前技術(shù)主管透露,平臺(tái)核心代碼仍在使用2014年的ThinkPHP3.2框架,早已停止安全維護(hù)。今年1月有白帽黑客提交過SQL注入漏洞報(bào)告,但管理層以「升級(jí)成本過高」為由拒絕修復(fù)。更荒唐的是,數(shù)據(jù)庫(kù)管理員賬號(hào)竟采用默認(rèn)密碼Admin123,導(dǎo)致攻擊者可直連核心服務(wù)器。目前已有證據(jù)表明,部分泄露數(shù)據(jù)包含2024年5月的最新聊天記錄,證明系統(tǒng)仍在持續(xù)被滲透。
四、維權(quán)風(fēng)暴:集體訴訟索賠或破億元
北京盈科律師事務(wù)所組建的百人律師團(tuán)已啟動(dòng)集體訴訟程序,要求歪歪官網(wǎng)按《個(gè)人信息保護(hù)法》賠償每位用戶5000元。若按500萬用戶計(jì)算,總賠償金額將達(dá)250億元。記者獲取的內(nèi)部會(huì)議紀(jì)要顯示,平臺(tái)法務(wù)部緊急測(cè)算稱「實(shí)際活躍用戶僅60萬」,試圖降低賠償基數(shù)。與此同時(shí),多地網(wǎng)警介入調(diào)查,不排除對(duì)相關(guān)責(zé)任人追究刑事責(zé)任。這場(chǎng)風(fēng)波已導(dǎo)致平臺(tái)日活暴跌43%,多家合作公會(huì)宣布暫停充值。
五、獨(dú)家內(nèi)幕:數(shù)據(jù)販賣牽出境外賭博集團(tuán)
深挖黑產(chǎn)鏈條發(fā)現(xiàn),泄露的歪歪官網(wǎng)用戶數(shù)據(jù)最終流向東南亞網(wǎng)絡(luò)賭博平臺(tái)。犯罪團(tuán)伙通過分析用戶消費(fèi)能力,針對(duì)高凈值人群定制「美女荷官在線發(fā)牌」詐騙話術(shù)。更觸目驚心的是,部分未成年人用戶信息被打包賣給校園貸公司,催收電話精確報(bào)出家庭住址和學(xué)校班級(jí)。隨著國(guó)家網(wǎng)信辦專項(xiàng)檢查組進(jìn)駐,歪歪官網(wǎng)母公司歡聚時(shí)代股價(jià)一夜暴跌28%,創(chuàng)始人李學(xué)凌沉默72小時(shí)后終于道歉,承諾設(shè)立10億元用戶保障基金。
