查看原文
其他

第三方“活好”风险也大,关键时“原配”才更稳妥?

2016-01-06 Vivi 微果酱

今日零点刚过,就有多个运营者哭诉,自家公众号莫名推送同一则涉及淫秽信息的文字信息,“什么仇什么怨?!”,这是公众号集体被黑的节奏?

 

(部分涉事公众号截图)


新榜消息,此次涉事的公号至少有6个,分属苏州两家不同公司,法人代表和成立日期均不相同。不过这两家公司中,苏州大禹网络科技有限公司是苏州伊人瑜伽有限公司的投资人之一。 其推测,该情况或为“公众号所使用的微信第三方接口被盗用”所致。


事实上,在此前几天就已有公众号遭遇“黑手”。同属一家公司的三个公众号“福利电影院”、“18楼电影院”以及“抢先电影院”,就曾在2015年12月31日零点时分推送过相同的文字内容以及链接。




次日,三个公众号同一时间发文澄清,指该不雅文字消息是由于账号被盗而发布,并非公众号运营者意愿,呼吁大家不要上当受骗。(真真是元旦也不让人省心啊......)

 

 

而这一条让众多运营者共愤的“文字+超链”色情内容,实则是一则催情药物的广告。“蝙蝠侠”推送1小时左右,阅读量迅速达到了3000+,如果是白天群发,影响后果可想而知。(这些人一定只是好奇宝宝而已...请问点赞的是什么心态...)

 



为什么要发文字,不发图文?那是因为,群发的纯文字内容后台也删除不了,如此一来影响对用户的影响就更持久,范围更大。这,算是微信的又一Bug吗?


看到自己苦心经营的公众号以及用户,受到这样的不良影响,甚至可能上当受骗,受害公众号运营者怎么可能不气愤?而且,还白白浪费了每天只能推送一次的机会,内容计划都被打乱了,就连澄清、道歉的公告都得延迟一天推送,简直恨啊!



此事在公众号自媒体圈引起了不小轰动,不少运营者纷纷表示,最早一年多以前就遇到过相似情况,同样是由于授权第三方而遭遇接口被盗。当时第三方市场比较混乱,微信也还没推出扫码保护。




Vivi从部分运营者处了解到,作恶者应该是通过黑了第三方服务平台,获取目标公众号所绑定的APP ID(应用ID)和APP Secret(应用密钥),然后直接进行群发,不需要登录公众号后台,所以所谓的“群发绑定管理员扫码”根本就不管用。




这一点Vivi从咱们牛逼哄哄的技术大叔Denis处得到确认,最好是重置密钥,并且取消不信任的授权第三方。通过开放模式和第三方授权等方式去管理微信公众号,其实相当于把微信公众号最大权限给了第三方,如果第三方发生安全问题,比如被黑客拖库,或者由于第三方的管理问题等等,被黑客窃取了密码,那就相当于黑客完全接管了你的公众号,他们可以完全为所欲为了。




在这种潜在的大风险情况下,退而求其次,回归到微信最原始的后台,也许还更令人安心些?


关于微信第三方平台,可能大家比较熟悉,但Vivi还是想啰嗦一下。


微信开放平台目前包括4种开发类型:移动应用开发、网站应用开发、公众账号开发、公众号第三方平台开发。而此次涉事的就是最后一种,公众号第三方平台。官方解释:

公众号第三方平台是针对各行各业公众号的行业共性需求,第三方开发团队可以在自身熟悉的行业和领域内搭建公众号第三方平台,为公众号提供行业解决方案或功能优化方案,如电商行业的公众号商城解决方案、客户管理的功能优化方案等。公众号运营者可以通过公众号登录授权,将业务授权给第三方平台。

 

过去一年,微信在公众号第三平台的开放上做了不少举措,包括协助未认证公众号接入微信卡券、自定义菜单接口和素材管理接口向第三方平台旗下未认证订阅号开放等等。




自身不具备开发能力的公众号,通过授权第三方平台,就可以使用更多的接口和功能,比如卡券、会员卡、个性化菜单设置等,让自己的账号功能更加强大、实用。毕竟,傻瓜相机只要能简单拍照就好,但若讲究光圈、ISO、白平衡什么的,还是得用单反相机。



(如微果酱开发的微信机器人就功能齐全)


随着公众号的大热发展,第三方平台也进入了群雄割据的时代,好一点的公司甚至都拿到融资了。如今,微信第三方平台网上关键词一搜一大把,好坏参差不齐,安全与否一下也难以判定。




有人认为,微信通过公开部分接口来吸引第三方平台将微信产品生态多样化,第三方平台通过提供公众号服务来盈利,公众号又可以通过第三方平台来实现多功能、个性化定制,三者互相促进形成商业闭环。


但如今这个闭环也出现了“漏洞”。这些“漏洞”源自第三方平台自身存在的安全漏洞。据360互联网安全中心日前发布的《中国网站安全报告(2015)》显示,网站漏洞严重且修复率不到一成,数十亿条个人信息面临泄露危险。



(图片来源比特网)


个人信息泄露了,可能是几封垃圾邮件、几通骚扰电话,或者是可以计算的钱财损失,但如果是涉及公众号安全的APPID和APPSecret泄露了,对方像这样在你的账号随意发布色情淫秽信息,又或者更改你的公众号信息,甚至进行勒索等等恶意行为,你还敢随便绑定那些免费的第三方平台吗?这时候一个技术过硬、安全靠谱的第三方平台就尤为重要了。(你要认为我指的是微果酱的微信机器人,当然我也不介意~)


若要使用第三方可以,但是微信官方是否要确保所有群发,包括微信官方后台网页版、手机端、第三方平台等,都必须开启管理员扫码确认才能推送,如此一来,虽然操作上会麻烦些,但起码安心些。


要记住“安全和方便,永远是永恒的矛盾体”,你网上买个东西尚且需要登录密码、手机验证码、支付密码呢。这种情况也能被盗的话,那可能就是管理员手机也被盗了,或者是个卧底了。


据了解,此次推送的是文字信息+超链,链接到盗号者自己开的公众号小号上,所以即便公众号运营者删除了文章,链接可能仍打得开。目前,官方已把超链文章删除,并对那些小号进行永久封号处理。而具体的被盗过程,受害者已经报警处理,目前尚未有进一步消息。



声  明


作者:Vivi


本文为 微果酱 原创,转载请注明出处。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存