谁偷了我的微博账号?竟自行转发违规内容

21世纪经济报道 吴立洋,实习生王海晴 上海报道
2024-03-15 05:00

“我的账号莫名其妙就转发了我根本没看过的内容,然后就被举报判定违规了。”近日,上海的李瑶(化名)女士的网上冲浪之旅颇有些不顺,在她不知情的情况下,自己的微博账号转发了一篇“出轨PPT”的视频,在被很多私信求发PPT原件的同时,也被举报判定为违规,微博信用分也被降低。

作为一名微博老用户,李瑶基本保持每天登录一次账号,在发生账号被盗用事件后,她第一时间向微博客服进行了申诉,同时向官方渠道反馈了该问题,但前者申诉周期过长,后者则在了解问题情况后便没有了进一步回应。

南方财经全媒体记者梳理微博等互联网平台关于账号盗用、异常动作相关事件后发现,账号未经用户本人操作,自行点赞、关注、发布的问题长期存在,且此前多以假账号点赞和关注为主。近年来,很多真人账号被盗用转发违规内容,使得账号权益被举报受损的情况开始广泛出现,平台消费者再次将目光聚焦于账号防盗这一互联网时代基础的安全权益上。

粉丝“买卖”

回顾近年来各大社交平台的发展历程,用户账号被盗用进行关注、点赞,乃至发布或转发违规信息的情况一直存在。2020年,已去世微博用户“@努力做个小太阳的晨小晨”突然发布某明星应援内容,后微博对此解释称,怀疑该账号被他人非法盗窃贩卖和使用。

在包括微博在内的各类社交媒体平台上,都长期存在对没有进行操作,但账号莫名关注、点赞热门账号或内容的讨论。有网友观点认为,出现这一情况的原因在于平台本身对用户账号的安全监管失职,乃至质疑此类行为一定程度上得到了平台的默许。

此前针对用户的疑问,新浪微博曾回应称,异常关注系第三方应用利用系统漏洞导致,建议用户升级客户端,退出所有登录设备并重新登录。后续通过及时修改密码,清空第三方应用授权等方法提高账号安全性。

民间互联网安全组织“网络尖刀”联合创始人蔡勇在接受南方财经全媒体记者采访时表示,从技术角度看,出现账号盗用一般情况都是通过密码破解或者钓鱼攻击来获取账号信息进行操作。

记者在某电商平台以“粉丝”“涨粉”等为关键词搜索后,出现了不少涉及各类社交媒体平台粉丝关注数量买卖的店铺,在添加其中一名店铺微信后,对方发来了一份报价表。在这份表单中,在微博平台23元可买到一千个“刷量粉”,27元可买到一千个“优质粉”,55元可买到一百个“真人粉”,且还有各类包含两种或三种粉丝的组合套餐。三者的区别在于:“刷量粉”没有头像和昵称,店家也坦言此类粉丝就是充数用;“优质粉”则大部分有头像,“质量稳定”;“真人粉”则自带粉丝,且有微博更新,质量较高。不难看出,身份信息越完整,行动越接近真人账号的关注粉丝售价也越高。

“最直接的原因,是真实账号具有较高的信任度。”蔡勇表示,真实账号可以规避部分平台的安全检测机制,且在平台本身的各项运营中,真实账号的各类行为对在线热度、流量转化率等方面的效果显然要高于虚拟账号。

盗账号的生意经

从当前主要的黑灰产活动来看,采用技术手段盗来的大量用户的社交平台账号,其核心用途和变现方式主要是利用这些账号进行非法网站的引流或进行恶意营销,用来给某些账号的内容和粉丝数进行刷量。

2020年7月微博管理员发布的《关于互联网账号安全现状和微博账号安全策略说明》社区公告中称,盗号者将非法获得的账号贩卖给从事各种违法犯罪活动的组织和个人,传播违法有害信息,给违法网站引流进行营利。或进行恶意营销,给营销账号涨粉、转发、点赞,采用不正当手段提高博文的曝光量,牟取非法利益。

根据用户账号粉丝量和认证程度的不同,被盗来的账号的价格也有所区别。曾有报道称,一位卖家发布的售卖信息显示,33万粉丝的实名认证账号标价2700元,有“财经博主”“摄影博主”等实名认证的个人账号等比普通账号售价更贵。而对于粉丝量较少,用户活跃度不高的账号,多数用来进行刷赞、刷关注和评论,以及一些视频网站的播放量,甚至是给一些违法网站引流。报道中显示这种恶意营销服务涉及抖音、小红书、QQ等多个社交平台。

针对被盗取的用户账号的一些集中特点,不难发现,更新频次不高或长期未使用已被闲置的账号是被盗用的重灾区。

一方面,对于长期闲置的账号用来传播内容或进行异地IP登录不易被账号用户发现。另一方面,这些账号虽然不发布内容或活跃度不高,但用户注册时往往填写了手机号码、出生年月等大量个人信息,对于这些个人信息的获取,也是盗取用户账号的主要目标之一。

如何落实用户权益保障

近年来,随着社会对个人隐私保护的重视度不断提升,除了增强账号安全保障意识外,监管与大众亦开始强调平台在保障虚拟账号安全方面应承担的责任。

电子商务法第38条第2款规定,网络服务提供者对消费者未尽到安全保障义务,造成消费者损害的,依法承担相应的责任;民法典第1197条规定,网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。

上海申伦律师事务所律师夏海龙在接受南方财经全媒体记者采访时表示,一般而言,正规的网络平台是不会擅自使用用户账号进行操作的,如果确实存在此种情况,属于平台违约,给用户造成损失,需要承担相应的责任。

从权利基础来看,随着数字世界与真实世界的结合愈加紧密,用户投入精力乃至金钱打造的虚拟社交账号的财产属性,已得到社会的广泛共识,其保障标准与措施近年来不断完善。

2020年,我国民法典首次将账号等网络虚拟财产正式纳入法律的保护范畴。用户社交平台账号、虚拟游戏装备等网络虚拟财产遭到非法侵害时,和普通财物遭到侵害一样,受到法律保护。

而对于用户长期未使用账号的处置问题,夏海龙也指出,“各类虚拟资产、数据虽然属于法律保护的财产范围,但本质上他们只是一种基于合同的债权,而非物权。所以用户的网络账号权益取决于平台与用户之间的协议的约定,如果用户的账号长期闲置不用,无疑也会增加平台的经营和管理成本,所以用户协议中平台也可以约定闲置账户收回的条款。”

对于被盗用户账号存在传播不当内容、大量发布同质化信息、虚假广告而被平台查封的情况,在进行申诉时则需要由用户本人提供证据来证明账号发布不实内容时确实被盗用,违法违规内容并非由本人发布。

在既往判例中,北京知识产权法院此前审结了一起疑似因个人身份信息泄露引发的侵害信息网络传播权案件,在该案中,原告文某发布的50幅摄影作品在未经许可条件下被搜狐网一账号发布内容时擅自使用,涉案账号系实名认证人赵某在相关身份信息被泄露后,他人利用其身份信息注册,赵某对此并不知情。

在该案二审中,北京知识产权法院根据赵某提供的相关微信支付记录和百度地图查询结果等证据及涉案账号使用时的IP地址证明侵权时使用的行为人并非赵某,基于此二审法院改判驳回文某的全部诉讼请求,赵某不承担相应的侵权责任。

“在为互联网用户提供服务时,平台主要是作为一个监督者以及守卫者的角色,确保做到安全保障,反欺诈措施,数据隐私保护等。”蔡勇指出,当前用户被盗用或假粉现象较为普遍的平台,在安全机制上往往还存在一些缺陷或漏洞:第一,弱密码和密码重用,然后导致账号被盗用;第二,未及时更新漏洞补丁,让攻击者有机可乘;第三,缺乏行为分析和异常检测机制。

在申诉渠道和机制上,不少用户在社交平台上反映,自己是在账号被查封后才意识到自己被盗号了,而与平台进行申诉时存在处理较慢、交给机器客服不予回应等相关问题。

针对此类问题,2019年由工信部指导,中国互联网协会建成互联网信息服务投诉平台上线运行。用户账号被盗用时可在该网站上提供相关证据进行账号的恢复和相关问题的投诉处理。

“在技术层面上,平台应该加强密码安全性的校验,定期更新漏洞补丁,实时行为分析和异常检测,关注如大规模转化和关注的动作等。”蔡勇表示。此外,也应对账号发生盗用后的各类补救、检验、恢复机制做出更为妥善的规划。

(作者:吴立洋,实习生王海晴 编辑:骆一帆)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926