新年開啟的放假,讓大家終於可以迴歸家庭,好好休息。很多人可以有時間看看自己喜歡的視頻節目,但僅僅一週的假期,是不是要購買那些視頻網站的會員呢?
從淘寶網上可以看到很多賬戶售賣信息,大家可以用很便宜的價格獲取並使用,從2016年大量視頻網站數據洩露開始,視頻網站都做了安全應對,但人們的心中一直駐紮著疑問,視頻網站盜號為何一直在發生?本文,引石老王為您解析會員盜號。
面對會員賬號的網絡銷售,視頻網站出臺應對政策,旨在打擊會員號轉讓或會員資格售賣的現象
知名視頻網站愛奇藝在用戶協議中規定,VIP會員服務僅限於申請賬號者自行使用,禁止贈與、借用、租用、轉讓或售賣,否則愛奇藝有權在未經通知的情況下,取消轉讓賬戶、受讓賬戶的VIP會員服務資格。
同時,愛奇藝明確了自己的技術反制措施:同一愛奇藝VIP賬號,只允許在最多5個設備上使用,且同一時間、同一賬號,僅可在兩個設備上登錄觀影,超出上述範圍使用的,愛奇藝系統將自動封禁該賬號。
優酷也在用戶協議中規定,禁止將優酷網賬戶有償或無償提供給任何第三人,禁止其通過該賬戶觀看費他付費購買的收費視頻。如果同一賬戶在15分鐘內有超過4個及以上的IP訪問,優酷方面將關閉該賬戶服務30分鐘。
網絡信息安全防護才是視頻會員洩露的最大風險,視頻網站盜號使用中,會員惡意共享僅是一小部分,大部分原因還是信息安全洩露造成的網站盜號原因。
且不說視頻網站的規定是否侵犯了消費者利益(會員賬戶和密碼是會員已經購買獲得的,會員如何處理應該是會員的事情),關鍵是這樣的方式能解決盜號銷售的根本問題嗎?
從2016年大量網站數據洩露開始,淘寶上就形成了一種產品---視頻網站會員賬號銷售,即使淘寶多次表示消除該產品的銷售,但實際上賣家們各種套路,一直不絕。有興趣的朋友可以直接登陸淘寶去查查看。
視頻網站盜號中,確實有會員進行了惡意共享使用,但這樣惡意共享的結果並不能讓售賣者獲得太多的收益,真正能夠獲得收益的是那些網絡黑客,通過技術手段非法入侵視頻網站後臺“脫褲”獲取數據,經過“洗庫”,最終“撞庫”獲取巨大的利益。
跟著引石老王學安全。在黑客術語裡面,”脫庫“是指黑客入侵有價值的網絡站點,把註冊用戶的資料數據庫全部盜走的行為。在取得大量的用戶數據之後,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現,這被稱作 “洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸,叫做”撞庫“。因為很多用戶喜歡使用統一的用戶名密碼,所以,“撞庫”可以使黑客收穫頗豐。
網站盜號的防禦是視頻網站的技術不行,還是另有原因?安全防禦的目標是簡單、靈活、使用,要讓應用具有主動防禦意識。
目前,視頻網站不光擁有眾多用戶,更加擁有很強的技術實力。但為何安全防禦做的還是不好呢?引石老王理解有以下幾個原因:
一方面,在用戶量沒有達到一定數量之前,根本不會投入太多的力量做安全防禦,黑客的盜號從某一個角度也為它們增加了知名度,擴展了用戶。視頻網站生存的基礎首先是流量,沒有流量,防禦技術沒有任何價值。所以,很多視頻網站重視流量,忽略安全防禦。在安全防禦的投入上面少的可憐,所以賬戶被盜銷售的問題一定就會屢禁不絕。
另一方面,還是引石老王一直強調的問題,安全防禦對於應用來講,都是事後防禦,沒有出現安全問題之前,沒有人會更多地考慮應用安全風險。跟著老王學安全的朋友一定知道,引石老王很多的文章都涉及到這一點,不過現在隨著技術的進步,大家對安全的認知要比之前好多了,當然大家也別忘記了,引石老王也出了一份力。
最後,最重要的一點。即使是視頻網站們認知到了安全的重要性,但由於他們都是應用的專家,在安全方面還不行,所以低估了安全的風險,形成了較弱的系統安全策略。
從安全策略的角度來講,安全不是簡單的安全設備與技術的堆積,也不是大量的資金投入,而應該建立的是簡單、靈活、實用,讓應用具有主動的安全防禦體系。這一點,基於引石老王多年的安全技術研究,建議安全體系的設計要從應用出發,實現動態防禦。有興趣的朋友可以關注引石老王,私下溝通。
引石老王:從事信息安全工作20年,國內首批商業密碼從業人員,國家商業密碼應用的參與者與見證者。專注物聯網、人工智能技術的反劫持防禦與信息安全反黑,為您解讀當下科技創新與發展,推薦最佳的反劫持主動防禦技術。歡迎關注交流。
關注引石老王,評論安全熱點,解讀安全風險,歡迎您留言探討,期待與您的互動,共同交流!
閱讀更多 引石老王 的文章
