30亿条信息被盗窃 运营商如何负责用户数据安全？

根据新浪科技的报道，瑞智华胜及其关联公司整个操作的方法是，从2014年开始，他们用竞标的方式，与覆盖全国十余省市的电信、移动、联通、铁通、光电等运营商签订营销广告系统服务合同，为运营商提供精准广告投放系统的开发、维护，进而拿到了运营商服务器的远程登录权限。

然后，他们将自主编写的恶意程序放在运营商内部的服务器上，当用户的流量经过运营商的服务器时，该程序就自动采集用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上，从而实现了从运营商处窃取用户隐私数据。

cookie是用户在浏览网页时的信息缓存。一般用于保存用户的账号、密码等登陆信息，包括浏览网页的记录。

如果按照这个分析，除了瑞智华胜高管被批捕外，运营商对此次事件承担不可推卸的责任。一家广告营销公司为什么会获得运营商的远程登录权限?无论是WiFi还是4G，运营商是用户上网的入口，所有的数据都从运营商手上经过，它有哪些手段保障用户数据安全?对此事如何处理?

至今为止，三大运营商均未出面对此事公开回应。

一位地方移动分公司的员工对界面新闻记者表示，“这个原则上应该不可能，但存在被窃取风险……这个是业务公司的，集团对用户信息还是很敏感的。各分公司强制要集团才会给。”

中国移动集团和各地分公司是完全独立的公司运作。从该员工视角来看，中国移动总公司对数据的流动管理是有严格限制的，但他也承认确实存在失窃的风险。

新浪微博是此次事件的重灾区。用户突然关注一些自己不知道的账号早就引起过微博注意，由于没有证据，新浪微博无法公开发表回应。但一位新浪微博内部员工告诉界面新闻记者，违规涨粉的事件他们收到过举报，内部也查过。

“我们查完之后回应是运营商劫持，这些盗用cookie的企业都是和运营商合作的，否则拿不到用户的cookie。”该员工说，运营商早就知道，微博也向运营商反馈过多次，其实这个道理就像垃圾短信、骚扰电话一样，运营商管不管是态度问题，不是能力问题。中间可能涉及利益牵扯。

国内某互联网公司的安全部工作人员阿飞告诉界面新闻记者，事件发生后，安全圈子里的人都在讨论这个案件。因为无论从作案手法、规模、波及范围来看，这起案件都足以给互联网安全整个圈子敲响警钟。但由于该案件的技术细节还没有披露，法院也没有对此案做出判决，很多事情都还是黑盒。

一家第三方服务商，想通过恶意软件盗取用户信息，关注一些莫名的账号，这件事情操作起来到底有多难?

在互联网数据传输过程中，通常有http和https两种传输方式。http是端到端的传输形式，不加密，容易被一些恶意软件截取，比如早期的网站经常会出现一些莫名其妙的广告，就是那些营销公司在网站数据传输给用户的时候，将流量劫持了下来，添加了自己广告的数据内容。这在早期互联网发展过程中是非常常见的。

现在，越来越多的互联网公司开始重视网络安全。都开始使用https打头的加密传输协议。但是加密解密这个动作本身会增加终端或者服务器的负担、让手机更费电、增加服务器消耗和运营成本。对于开发者来讲，一般的用户浏览的网页信息、图片加载这种都是通过明文传输的，只有登录名、登录密码这种是通过加密传输。