|
上周五,有一群公众号主过了一个并不平静的中秋节,多个公众号“被群发”同一条赌博广告信息,到底是哪里出了问题? 作者 | Ceci 责编 | 大红 出品 | 微果酱 9月13日凌晨时分,“北京化工大学”、“五大连池”、“淮安民声”等多个公众号发布了同一条广告信息,其所呈现的链接和推广文字均含有赌博内容,链接更是疑似搭载木马病毒。获悉后,公众号运营者们纷纷采取应急措施,把相关链接删除,并发布平台声明,向用户交代事实真相以防有人因此误点。经果酱妹观察发现,这些公众号都绑定了第三方平台“微讯云端”,其官方微信号在9月15日早晨发布公告致歉并解释原因。但令人意想不到的是,随后“微讯云端”公众号也惨遭“毒手”,“被”连发两条内容不同的灰黑产赌博广告信息。该号在第一时间作出回应,同时也公开了微信官方安全助手的相关通知。通知显示,涉事公众号App id和开发者密码(App Secret)可能因无意间泄露后被黑灰产获取,利用其下发赌博类的文章内容,账号需重置开发者密码,否则仍存在巨大安全隐患。公众号被盗发早已不是什么新鲜事,微果酱此前就对相关事件进行过总结:· 2015年12月31日,同属一家公司的三个公众号“福利电影院”、“18楼电影院” “抢先电影院”由于账号被盗发布了一则不雅文字消息; · 2016年1月16-17日零点,“悦读”、“果然是个吃货”、“糗事速递”、“漂亮有约”在内的十余个公众号被盗,数百万粉丝收到相似内容的恶意信息; · 2017年11月10日,“无锡生活网”、“腾讯光荣使命”、 “微宜春知宜春”等多个地域号被盗,用其群发淘宝客广告。 2017年时腾讯官方客服就曾回应称,“盗号者很有可能是通过API接口(即接入了第三方)直接群发的,不需要扫码也可以,建议运营者重置AppSecret”。综合这次事件,基本可以锁定问题的症结所在——授权第三方平台导致的密钥泄露。开发者密码(App Secret)就是我们所说的密钥,具有极高的安全性。一旦有人获取了你的密钥,那基本上就等于掌握了你的密码,而且群发不用扫码。公众号在授权第三方时就包括了“群发与通知”等多种涉及账号隐私的权限。这一权限不需要通过管理员扫码确认就可以群发。一定程度上使接入了第三方的公众号处于未知的风险境地。
目前微信仍未彻底解决这个安全验证问题,为了保障公众号主在使用第三方平台时的权益和信息安全,微信亟需做到运营者通过任意渠道群发,都必须通过管理员扫码确认,这个问题或许就能迎刃而解了。目前已经有大批公众号发生了被盗发事件,为了避免“悲剧”重演,公众号主应及早重置开发者密钥。在公众号后台左侧的「开发」模板下的基本设置里,公众号开发信息这一栏的开发者密码(App Secret)就是我们所说的密钥,运营者只需要点击“重置”,再按照系统引导便可完成。
至于未受波及者也应敲响警钟,提前做好预防工作。以免遭到不法分子的恶意群发和勒索。运营者在使用第三方平台时不要一股脑地选择全部授权,尽可能只对所需的操作模块进行授权,比如你要使用卡券功能,那就授权卡券模块,群发等涉及账号隐私的功能还是得慎重再慎重。对于信任度存疑或暂时没被使用的第三方平台可及时进行取消授权,将风险降到最低。在公众号后台左侧的「设置」模板下的公众号设置里,选择“授权管理“这一栏,运营者便可查看自己已授权的平台,再点击右边的“查看平台详情”则可对第三方进行取消授权。 
公众号被恶意群发广告信息从15年开始就发生不断,不定时的爆发让“中招”的公众号运营者们苦不堪言,即便幸免于难也难免人心惶惶。除了运营者自身需谨慎使用第三方平台,微信开启诸如第三方群发权限扫码保护等措施也该提上日程,而作为此次事件导火线的第三方平台,必然得负起服务商的责任,加强平台数据库的安全保护,筑起用户信息安全的防火墙。
***
|
