虎嗅注:有關(guān)騰訊搜集、監(jiān)控用戶聊天紀(jì)錄的事情,虎嗅早就發(fā)文章討論過??赡苡腥藭?huì)說,老事情了,不新鮮了。是啊,天底下哪有什么新鮮事?所以我們大概都知道這樣一個(gè)原則:關(guān)鍵問題要反復(fù)說、反復(fù)講。
最近,虎嗅的一位同事遇到了驚險(xiǎn)的網(wǎng)上詐騙,真是有了切身之痛,才深深感受到數(shù)據(jù)隱私安全的重要。
原文來自微博 @博國(guó)大V,本文轉(zhuǎn)自網(wǎng)易。
杭州的徐小姐是騰訊QQ的老用戶了,不過,最近發(fā)生的一宗QQ號(hào)碼被封事件,開始讓徐小姐變得警覺、驚恐直至憤怒了。
(一)事件——QQ號(hào)碼被查封
6月里的一天,徐小姐像平時(shí)一樣打開電腦上網(wǎng),登陸QQ時(shí),突然彈出一個(gè)窗口,提示“禁止使用”,徐小姐試了幾次,仍然是這樣。徐小姐后來回憶說:“我先是通過電子郵件詢問,沒人理我,一個(gè)星期后,我終于忍不住打長(zhǎng)途電話到深圳,問騰訊的客服,要她給我一個(gè)號(hào)碼被封的理由??头追昼娋筒榈搅?,說我下載了有關(guān)政治性的敏感文檔,是有記錄的,所以號(hào)碼才會(huì)被查封。”
記者在征得徐小姐的同意后,即以該QQ號(hào)碼的使用者身份致電深圳騰訊公司,了解號(hào)碼被查封的情況,在報(bào)出QQ號(hào)碼和密碼后,該客服人員讓記者稍等,幾分鐘后,客服人員告訴記者,這個(gè)QQ號(hào)碼在5月30日下載過敏感的信息,所以被查封,而且,“不可能要回來了”!
按照徐小姐的回憶,她的確是曾經(jīng)下載過一個(gè)文檔,“如果不是騰訊有記錄,我都想不起來了??晌疫B看都沒有看全,又沒有散布,這也要封號(hào)碼?”更奇怪的是,徐小姐當(dāng)時(shí)并沒有使用騰訊的TE瀏覽器下載該文檔。
徐小姐懷疑,難道只要裝了QQ就可以監(jiān)視用戶的電腦使用情況,并且可以把用戶電腦中的資料回傳到騰訊的服務(wù)器上?如果這是這樣,那么,還有什么個(gè)人隱私可言?況且作為QQ會(huì)員的徐小姐,她本人的身份證號(hào)碼、手機(jī)號(hào)碼都是按照騰訊公司要求記錄在案的。
其實(shí)還不僅僅是涉及隱私問題這么簡(jiǎn)單,如果政府部門或者商業(yè)機(jī)構(gòu)中有人在電腦中裝有QQ,就有可能造成嚴(yán)重的信息外泄的安全隱患了。QQ捆綁的TE瀏覽器提供的“誰與我同在”的功能,就可以追蹤和了解QQ用戶訪問了那些網(wǎng)站。
(二)調(diào)查——用戶信息被記錄
一位在軟件安全問題方面頗有研究的業(yè)內(nèi)人士向記者證實(shí),通過Iris抓包軟件,可以看到QQ在向服務(wù)器回傳不明數(shù)據(jù),并且這些數(shù)據(jù)是經(jīng)過加密處理過的。
《科學(xué)時(shí)報(bào)》刊登的一篇文章也表明,騰訊附加在QQ程序中的瀏覽器程序,提供的一項(xiàng)叫做“誰與我同在”的功能,能讓任何用戶都可以查到當(dāng)前瀏覽的網(wǎng)頁上有哪些其他的騰訊QQ用戶,同時(shí),也可以監(jiān)控用戶正在察看哪些頁面,這些搜集來的用戶瀏覽資料,是可以被商業(yè)化利用的。
就在記者開始著手調(diào)查并要求對(duì)騰訊進(jìn)行采訪的當(dāng)晚,徐小姐的QQ號(hào)碼竟然自動(dòng)解封,可以使用了。
記者致電騰訊公司市場(chǎng)部,并通過電子郵件發(fā)送采訪提綱要求采訪。記者的主要問題是:
1,QQ是否在監(jiān)視每個(gè)用戶的使用情況?包括訪問那些網(wǎng)站、下載了什么文檔?
2,QQ在多大范圍內(nèi)監(jiān)視這些信息,監(jiān)視哪些信息?
3,作為一家民營(yíng)的商業(yè)性質(zhì)的公司,用戶的個(gè)人資訊和使用習(xí)慣如何保證不被他用?
4,對(duì)于QQ的監(jiān)視功能,如果被黑客或者其他情報(bào)機(jī)構(gòu)利用,騰訊該負(fù)什么責(zé)任?
5,對(duì)于政府部門或者商業(yè)公司的機(jī)密,騰訊是否也可以獲知?
(三)理由——企圖染上政治色彩
記者的采訪提綱發(fā)出后,騰訊方面并未給予任何書面的文字答復(fù),也沒有做出正式的采訪安排,而是通過北京的一家公關(guān)公司與記者聯(lián)系溝通。
該公關(guān)公司的人員按照記者留下的號(hào)碼撥通了記者的電話,試圖說服記者不要就此事進(jìn)行追查和報(bào)道,她告訴記者,騰訊目前正處于強(qiáng)勁的上升趨勢(shì),而市面上各種即使通訊軟件也是層出不窮,競(jìng)爭(zhēng)十分激烈,如果因?yàn)橛浾叩膱?bào)道,引起騰訊QQ在商業(yè)上的損失,這是騰訊方面所不希望的。
對(duì)于徐小姐QQ號(hào)碼被封一事,該公關(guān)公司人士透露,是騰訊方面接到了上級(jí)有關(guān)部門的指令,才監(jiān)視該用戶的使用情況并封掉了她的號(hào)碼,她不肯透露是是哪個(gè)部門要求騰訊這么做的,只是告誡記者,如果就此事進(jìn)行報(bào)道,有可能會(huì)“犧牲”。顯然是試圖把商業(yè)問題蒙上一層政治色彩。而在聽到這一消息后,徐小姐表示震驚和憤怒:“我怎么覺得陰森森的?把我當(dāng)成國(guó)家的敵人了?”徐小姐還信誓旦旦地對(duì)記者保證,她絕沒有通過QQ發(fā)布過任何不良信息,“如果有,讓他們拿出證據(jù)來,發(fā)給誰了?”
據(jù)記者調(diào)查了解到,對(duì)于網(wǎng)絡(luò)公司及通訊軟件公司,上級(jí)主管部門的確是提出過要求,對(duì)網(wǎng)絡(luò)上有害的不良信息進(jìn)行技術(shù)過濾和屏蔽,不得散布和傳播,但卻沒有哪家公司接到過要求監(jiān)視用戶使用情況的指令,“真是要監(jiān)視一個(gè)人,哪用得著他們呀”,一位曾作過情報(bào)工作的朋友這樣告訴記者。
(四)警惕——通訊軟件安全有隱患
一家通訊軟件公司的技術(shù)人員告訴記者,在即時(shí)通訊軟件中加進(jìn)監(jiān)控程序,在技術(shù)上不難實(shí)現(xiàn),只要在用戶本地機(jī)上加入幾個(gè)關(guān)鍵詞檢索和過濾,就可以把關(guān)鍵信息傳回服務(wù)器,而不用監(jiān)視所有的聊天記錄。
有關(guān)人士介紹說,即時(shí)通訊軟件都存在著安全隱患,作為消費(fèi)者是有權(quán)知道這些的,而作為一家商業(yè)公司卻沒有權(quán)利監(jiān)視跟蹤用戶操作記錄的,尊重和保護(hù)用戶的隱私及安全是國(guó)際上的通行商業(yè)準(zhǔn)則。
據(jù)賽迪網(wǎng)報(bào)道,6月14日,美國(guó)紐約州首席檢察官辦公室表示,AOL時(shí)代華納旗下的Netscape將支付10萬美元和解金,該公司因使用追蹤用戶下載情況的軟件而遭投訴。
另一方面,由于QQ本身的安全性能缺陷,針對(duì)QQ的各種黑客軟件也在不斷增長(zhǎng),在中國(guó)軟件史上,QQ應(yīng)該是受各種攻擊最多的在線即時(shí)通訊軟件。不少商業(yè)公司已經(jīng)意識(shí)到QQ的安全問題,北京的一些單位和商業(yè)公司里,是嚴(yán)禁使用QQ軟件的。
在記者發(fā)稿前,騰訊方面通過電子郵件,給編輯發(fā)來了書面答復(fù)意見,而杭州的徐小姐卻表示不會(huì)善罷甘休,她要“打電話問問看”。但無論如何,騰訊記錄了該用戶的使用信息,這不能不引起更多的使用者對(duì)網(wǎng)絡(luò)通訊軟件的安全問題引起重視。
附錄:騰訊公司的書面答復(fù)意見
谷龍你好:
關(guān)于就杭州用戶號(hào)碼被封一事所發(fā)來的提綱,騰訊公司的正式答復(fù)如下,希望你憑著客觀公*正的態(tài)度去報(bào)道。
首先需要嚴(yán)正申明的一點(diǎn)是,海量的信息之下,騰訊公司采取點(diǎn)對(duì)點(diǎn)的消息收發(fā)方式,決定了騰訊不能去監(jiān)視用戶在電腦上的操作情況。任何進(jìn)行不實(shí)情況的報(bào)道的單位或個(gè)人,則需負(fù)相應(yīng)責(zé)任。
作為一種即時(shí)通信軟件,騰訊QQ在技術(shù)上采用的原理是一種點(diǎn)對(duì)點(diǎn)的方式。也就是說,在大部分情況下,用戶之間的溝通是從一個(gè)用戶到另一個(gè)用戶,不需要通過騰訊服務(wù)器的中轉(zhuǎn)。只有在網(wǎng)絡(luò)不穩(wěn),網(wǎng)絡(luò)情況復(fù)雜或用戶下線等特殊情況下,騰訊服務(wù)器才會(huì)幫助用戶保存并中轉(zhuǎn)留言。按照上級(jí)的網(wǎng)絡(luò)安全信息處理的規(guī)定,通過服務(wù)器中轉(zhuǎn)的留言,作為騰訊公司發(fā)出的消息,將會(huì)經(jīng)過信息安全的過濾機(jī)制,該名用戶正是因?yàn)橥ㄟ^騰訊服務(wù)器中轉(zhuǎn)了含有敏感詞匯的留言內(nèi)容,因此騰訊做了封號(hào)處理。至于后來解封,是因?yàn)樵撚脩舻牧粞詢?nèi)容雖含有敏感內(nèi)容,但還不屬于有意傳播非***法內(nèi)容的情況。為了保障用戶權(quán)益,我們對(duì)這個(gè)號(hào)碼做了解封的處理。
騰訊公司一向注重并保護(hù)用戶隱私。關(guān)于該用戶的留言內(nèi)容,發(fā)送時(shí)間與對(duì)方號(hào)碼,騰訊目前不能提供。
如有需要,騰訊會(huì)在法律手續(xù)齊全的情況下提供。
騰訊QQ為海量用戶提供服務(wù),每天有超過兩千萬用戶上線溝通、聊天。發(fā)送消息量在10億條/天左右,騰訊無必要也無能力保存每位用戶的每條留言紀(jì)錄,更談不上監(jiān)視一億六千萬用戶的電腦使用行為。
在主管部門的要求下,騰訊會(huì)配合主管部門對(duì)網(wǎng)絡(luò)安全工作進(jìn)行協(xié)助,并按主管部門要求做一些處理。一切行為均符合有關(guān)規(guī)定與要求。
騰訊公司
附:國(guó)內(nèi)一資深程序員談QQ和1984:
從技術(shù)上來講,象QQ這樣安裝在非常多的電腦里的軟件內(nèi)容: 非常合適拿來做監(jiān)視軟件。說穿了,就是非常合適在里面安裝后門。
“騰訊QQ為海量用戶提供服務(wù),每天有超過兩千萬用戶上線溝通、聊天。發(fā)送消息量在10億條/天左右,騰訊無必要也無能力保存每位用戶的每條留言紀(jì)錄,更談不上監(jiān)視一億六千萬用戶的電腦使用行為。”
這段話看起來似乎有道理。如果要拿一臺(tái)大型服務(wù)器集中管理10億條消息,那臺(tái)服務(wù)器還真得投資巨大,運(yùn)算速度巨大才行。
但如果只在QQ軟件本身對(duì)用戶進(jìn)行監(jiān)視,利用每個(gè)用戶自己的CPU運(yùn)算資源,只發(fā)現(xiàn)“敏感”詞匯的時(shí)候才將“敏感”消息傳到特定的地方,需要用來監(jiān)視的服務(wù)器就不需要太大型了。
“作為一種即時(shí)通信軟件,騰訊QQ在技術(shù)上采用的原理是一種點(diǎn)對(duì)點(diǎn)的方式。也就是說,在大部分情況下,用戶之間的溝通是從一個(gè)用戶到另一個(gè)用戶,不需要通過騰訊服務(wù)器的中轉(zhuǎn)。”
如果QQ軟件本身對(duì)使用這進(jìn)行監(jiān)視,點(diǎn)對(duì)點(diǎn)的消息也一樣可以監(jiān)視到。
中國(guó)Internet的國(guó)際出口,每天多大的信息流量啊,在我們偉大的“長(zhǎng)城”項(xiàng)目的科研成果管理下,如此巨大的信息流量,還不照樣每條信息都過濾。
沒事多讀幾遍《1984》,學(xué)會(huì)夾著尾巴作人,不要亂說亂動(dòng),不要使用互聯(lián)網(wǎng),為人不做虧心事,就不怕半夜鬼敲門了。