花生地鐵WiFi運(yùn)營(yíng)商稱“上億用戶資料泄露”系杜撰

責(zé)任編輯:editor005

作者:包雨朦 姚曉嵐

2017-03-31 10:52:30

摘自:澎湃新聞

3月30日下午,花生地鐵WiFi運(yùn)營(yíng)商南方銀谷回應(yīng)稱,前述文章中提及的“發(fā)現(xiàn)花生地鐵wifi提供商上億用戶資料及核心源碼泄露,存在重大安全隱患”

針對(duì)近日網(wǎng)傳“乘客使用花生地鐵WiFi導(dǎo)致信息泄露”等內(nèi)容,花生地鐵WiFi運(yùn)營(yíng)商南方銀谷科技有限公司(下簡(jiǎn)稱“南方銀谷”)3月30日作出回應(yīng)稱,在針對(duì)文中所述一一核實(shí)后,發(fā)現(xiàn)文中存在大量失實(shí)描述及常識(shí)性錯(cuò)誤,已與原文發(fā)布者聯(lián)系對(duì)原文予以刪除,并向發(fā)布該貼的相關(guān)公眾號(hào)發(fā)去了律師函。

3月22日,一篇名為《上海旁友!請(qǐng)遠(yuǎn)離花生地鐵免費(fèi)WiFi,被賣了都不知道!》的微信推送文章在網(wǎng)絡(luò)得到大量轉(zhuǎn)載,于3月29日當(dāng)天達(dá)閱讀量10萬(wàn)+。

文章稱,覆蓋上海地鐵1-13號(hào)線(5號(hào)除外)的花生地鐵WiFi,“存在重大安全隱患,上億用戶資料及核心源碼泄露”,“上傳用戶手機(jī)內(nèi)信息,獲取用戶地理位置信息,做不正當(dāng)利用。”

這篇文章轉(zhuǎn)載自知乎上一個(gè)相關(guān)問(wèn)題的回答,該回答因點(diǎn)贊數(shù)多位列該問(wèn)題答案的第一位。

3月30日下午,花生地鐵WiFi運(yùn)營(yíng)商南方銀谷回應(yīng)稱,前述文章中提及的“發(fā)現(xiàn)花生地鐵wifi提供商上億用戶資料及核心源碼泄露,存在重大安全隱患”, “純屬罔顧事實(shí),杜撰故事。”

據(jù)悉,在原文中,作者在自己的手機(jī)上使用抓包工具進(jìn)行分析,得出上述結(jié)論并認(rèn)為存在安全隱患。對(duì)此,南方銀谷創(chuàng)始人周成棟表示,手機(jī)本身的操作系統(tǒng)對(duì)于自身具備控制權(quán),可以理解為手機(jī)上的APP都是個(gè)人資產(chǎn),因此使用這個(gè)方法來(lái)分析是完全錯(cuò)誤的,“任何一個(gè)APP在手機(jī)后臺(tái)駐留都是正常行為。”

對(duì)于文中所述“花生地鐵WiFi涉嫌通過(guò)APP上傳用戶手機(jī)內(nèi)的信息”“獲取用戶的地理位置信息(GPS數(shù)據(jù),WiFi,小區(qū)基站信息等),做不正當(dāng)利用”等描述,南方銀谷回應(yīng)稱“脫離事實(shí)依據(jù),判斷依據(jù)簡(jiǎn)單而又主觀”。

澎湃新聞?dòng)浾卟殚喌?,中?guó)公安部2005年公布的第82號(hào)令中對(duì)提供互聯(lián)網(wǎng)接入服務(wù)的單位作出了明確規(guī)定,不僅要求其應(yīng)當(dāng)落實(shí)“防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項(xiàng)或者行為的技術(shù)措施”,還需要“記錄并留存用戶注冊(cè)信息”、“記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施”,以及“能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系”。

南方銀谷表示,其作為公眾網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商之一,嚴(yán)格遵循國(guó)家法律法規(guī)要求,在用戶關(guān)聯(lián)到花生地鐵WiFi后,要求用戶主動(dòng)填寫(xiě)手機(jī)號(hào)進(jìn)行實(shí)名認(rèn)證進(jìn)行登錄,并與手機(jī)MAC地址等少量信息進(jìn)行作關(guān)聯(lián)作為開(kāi)網(wǎng)憑證。

南方銀谷還表示,會(huì)通過(guò)第三方公司合作,統(tǒng)計(jì)在線用戶的總數(shù)及新建的用戶總數(shù),而統(tǒng)計(jì)過(guò)程均為用于做統(tǒng)計(jì)的脫敏數(shù)據(jù),目的是為了綜合判斷現(xiàn)有設(shè)備的承載情況及設(shè)備性能壓力情況,確保整體網(wǎng)絡(luò)的用戶體驗(yàn)及后續(xù)擴(kuò)容事宜。

澎湃新聞?dòng)浾甙l(fā)現(xiàn),在花生地鐵WiFi用戶協(xié)議中的隱私政策一欄,已寫(xiě)明該軟件會(huì)收集用戶的相關(guān)信息,包括:根據(jù)服務(wù)需要和國(guó)家法律規(guī)定要求披露的個(gè)人信息,如姓名、電話號(hào)碼等;在使用連接服務(wù)時(shí)系統(tǒng)自動(dòng)接收并記錄的信息,如IP地址、瀏覽器類型、訪問(wèn)日期和時(shí)間、曾使用的移動(dòng)應(yīng)用等;在使用連接服務(wù)時(shí)系統(tǒng)可能會(huì)讀取的移動(dòng)設(shè)備屬性及其存儲(chǔ)信息,如設(shè)備的品牌及型號(hào)、識(shí)別碼、所在國(guó)家或地區(qū)、位置信息等。

與此同時(shí),花生地鐵WiFi隱私政策中也聲明,在未經(jīng)用戶同意之前,不會(huì)向任何第三方提供、出售、出租、分享和交易用戶的個(gè)人資料。

但需要注意的是,用戶協(xié)議中有寫(xiě)明“您理解并同意,花生科技可能會(huì)與公眾、管理公司、合作伙伴(例如運(yùn)營(yíng)商、發(fā)布商、廣告客戶)分享非個(gè)人身份識(shí)別信息”,這些用途包括展示產(chǎn)品或服務(wù)的整體使用趨勢(shì)和使用情況、對(duì)用戶數(shù)據(jù)庫(kù)進(jìn)行分析并進(jìn)行商業(yè)上的利用等。這段話在開(kāi)頭也以黑體加粗的形式予以了標(biāo)明。

據(jù)悉,目前花生地鐵WiFi已覆蓋了上海、廣州、昆明、武漢、青島五個(gè)城市的多處地鐵線路,深圳和貴陽(yáng)地鐵即將開(kāi)通。其中,上海地鐵覆蓋面最廣,除了5號(hào)線和14號(hào)線,上海地鐵1-13號(hào)線花生地鐵WiFi已實(shí)現(xiàn)了全覆蓋。

周成棟介紹,目前上海14號(hào)線和5號(hào)線都由他們負(fù)責(zé),5號(hào)線因?yàn)樵谧鲕嚨赖母脑於舆t,最快今年年中可以使用,16號(hào)線也在建設(shè)當(dāng)中。

據(jù)他介紹,南方銀谷和地鐵方是合作關(guān)系。南方銀谷負(fù)責(zé)投資、建設(shè)、運(yùn)營(yíng)地鐵WiFi設(shè)施,地鐵方提供施工、解決方案和未來(lái)的一些調(diào)試。

澎湃新聞?dòng)浾咴谌珖?guó)企業(yè)信用信息公示系統(tǒng)上查閱看到,南方銀谷科技有限公司成立于2004年4月,法定代表人為周發(fā)展,注冊(cè)資本6666.6666萬(wàn)元人民幣,上文出現(xiàn)的周成棟為其董事之一。其經(jīng)營(yíng)范圍包括電腦軟硬件的技術(shù)開(kāi)發(fā)與銷售,通信工程、通信技術(shù)、網(wǎng)絡(luò)工程,和經(jīng)營(yíng)電子商務(wù)與從事廣告業(yè)務(wù)等。

值得注意的是,奇虎360軟件(北京)有限公司為南方銀谷第二大股東,出資比例達(dá)10.62%。

目前,南方銀谷已陸續(xù)獲得來(lái)自松禾資本與奇虎360的A輪融資和來(lái)自平安創(chuàng)新基因、分享投資與奇虎360的B輪融資,金額均達(dá)數(shù)千萬(wàn)元人民幣。

澎湃新聞?dòng)浾邚哪戏姐y谷工作人員處得知,南方銀谷就花生地鐵WiFi軟件安全在360企業(yè)安全集團(tuán)和杭州安恒信息技術(shù)有限公司均做了檢測(cè),檢測(cè)結(jié)果均顯示為“良好”。

360企業(yè)安全集團(tuán)報(bào)告對(duì)“良好”等級(jí)作出了定義,即信息系統(tǒng)處于良好運(yùn)行狀態(tài),沒(méi)有發(fā)現(xiàn)或只存在零星的低風(fēng)險(xiǎn)安全問(wèn)題,此時(shí)只要保持現(xiàn)有安全策略就滿足了本系統(tǒng)的安全等級(jí)。

杭州安恒信息技術(shù)有限公司的檢測(cè)報(bào)告認(rèn)為,花生地鐵WiFi“危險(xiǎn)度低”。

澎湃新聞?dòng)浾呖吹剑?月30日晚,發(fā)表前述文章的微信公眾號(hào)發(fā)布聲明稱,3月22日針對(duì)花生地鐵WiFi的推送文章對(duì)“花生地鐵WiFi”及其所屬公司南方銀谷科技有限公司造成很大影響,通過(guò)“花生地鐵WiFi”及其所屬公司南方銀谷科技有限公司與他們的溝通,獲悉知乎上原文回答已經(jīng)刪除。因此,該公眾號(hào)也于3月29日刪除了此文章,“在此,希望轉(zhuǎn)載我們這篇文章的其他公號(hào)或平臺(tái),也能配合刪除。”

周成棟表示,近年來(lái),我國(guó)對(duì)信息安全的要求越來(lái)越高。他們沒(méi)有出售用戶的數(shù)據(jù),因?yàn)閷?duì)于他們這類移動(dòng)互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),數(shù)據(jù)更為重要。“南方銀谷在目前還是將更多精力放在給用戶提供更好的互聯(lián)網(wǎng)體驗(yàn),未來(lái)也可能會(huì)順應(yīng)移動(dòng)互聯(lián)網(wǎng)的發(fā)展趨勢(shì),發(fā)展大數(shù)據(jù)。目前 我們?cè)谔幚砣魏斡嘘P(guān)涉及用戶數(shù)據(jù)的信息,基于兩個(gè)原則,第一是根據(jù)國(guó)家法律的要求,第二是遵守現(xiàn)在大的移動(dòng)互聯(lián)網(wǎng)企業(yè)所遵守的原則。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)