据说，最近很多公众号运营者都得了一种“零点恐慌症”。每晚一过零点，就要打开自家的公众号看看，没有看到乱七八糟的东西，才能安心入睡。比如下面这东西，估计已经成为公众号“公敌”，让人恼极恨极。

是的，Vivi说的又是公众号“被盗号”问题。这个问题，在不到一个月时间内，新榜做了两次报道，微果酱也写过《第三方“活好”风险也大，关键时“原配”才更稳妥？》，这是第二次。

如果还没能足够引起你的注意，没关系，正所谓“针不刺到肉是不会痛”，等轮到你了，自然也会操碎了心。

昨晚深夜后，五月大哥给Vivi发来截图，语气颇感无奈“这TM都是第三波了......有完没完啊？！”是的，元旦后的那一波，五月大哥的“魅力上海”，就是中招者之一。

那我们一起来回顾一下这三波“盗号”事件。

❶2015年12月31日零点

同属一家公司的3个公众号“福利电影院”、“18楼电影院”以及“抢先电影院”遭遇“黑手”，隔天同一时间发文澄清。

❷2016年1月6日零点

“魅力上海”、“一起神回复”、“养颜瑜伽”、“全球爆笑搞笑排行榜”、“全球健身指南”等十余个公众号遭遇集体被盗，次被盗账号覆盖粉丝高达上千万。众人推测，应该是“公众号所使用的微信第三方接口被盗用”所致。

❸2016年1月16-17日零点

过去的这个周末，“盗号”事件再次上演。两天内，包括“悦读”、“果然是个吃货”、“糗事速递”、“漂亮有约”在内的十余个公众号中招，数百万粉丝收到相似一内容的恶意信息。

盗号仍在继续......但已经是第三波了，我们大多数人却仍旧对作恶者一无所知，仍旧只能在受害之后强烈谴责，然后发文澄清、自省致歉。微信也仍旧只能对推送的链接做屏蔽处治。更多的东西，没有。

所以，你们要不要先写好道歉信？

这一条让众多运营者共愤的“文字+超链”色情内容，其实是一则催情药物的广告。“蝙蝠侠”推送1小时左右，阅读量迅速达到了3000+，如果是白天群发，影响后果可想而知。

而且，购买链接是导向另外几个发布具体商品信息的公众号页面，阅读原文链向“购买信息登记页面”，承诺货到付款。但这个货从何来呢？吃了有没副作用呢？售后问题找谁？没人知道。还真有人下单购买，你以为是“金戈”啊？！

业内人士猜测，一切都是“第三方服务平台”的错。

新榜上的说法是，“虽然相关运营者告诉新榜，此次被盗账号并非全部都有授权给第三方的经历，但按目前分析来看，盗号可能与公众号的秘钥泄露有关，而第三方仍然有较大嫌疑。具体原因微信方面还在追查当中。”

所以极有可能是，作恶者通过黑了第三方服务平台，来窃取目标公众号所绑定的APP ID（应用ID）和APP Secret（应用密钥）。

技术大神Denis跟Vivi解释过，通过开放模式和第三方授权等方式去管理微信公众号，就相当于把微信公众号最大权限给了第三方，如果第三方发生安全问题，比如被黑客拖库，或者由于第三方的管理问题等等，黑客窃取了密码，就相当于他们完全接管了你的公众号，可以为所欲为。

事实上，这些中招的公众号本身就存在很大的安全隐患：并没有绑定群发需要管理员扫码。据说，这扫码保护当初推出的原因之一也是为了对付不安全的第三方平台。

但其实，如果盗号者是通过第三方平台操作的话，不需要登录公众号后台也是能群发的，所以所谓的“群发绑定管理员扫码”也不管用。

这个问题，其实Vivi在写上一篇文章时就有向部分运营者问起过，但无奈大家讳莫如深，并没有明确告知接入的第三方平台是什么。

这一次，其中一名受害者告诉Vivi，他们曾经授权的第三方平台叫做“V5智能客服”。在被盗号的这段时间，后台登陆IP变化很大，他们明明是在深圳，IP却出现上海、深圳、浙江、佛山等不同地方。

Vivi网上一搜，发现这个由深圳市智客网络科技有限公司研发的“V5智能客服”是免费注册的，功能不小的样子。在微信接口的“高级功能”下面包括了无限制群发、微信高级群发等功能，而高级群发功能必须要填写APP ID（应用ID）和APP Secret（应用密钥）。

据该公司官网介绍，目前接入的企业超过11万，涉及电商、互联网金融、家电、政务、快消、美妆等不同领域，客户服务覆盖C端用户数1.48亿。嗯，只能说：祝你们好运。

建议，免费的东西，接入时还是要慎重一点。尤其现在一个公众号，可能养活着一个团队、一个公司的人呢。当然，被盗公众号接入的不仅仅只有这个“V5”，只是其他的Vivi还暂未得知。

第二波事件后，苏州大禹网络科技有限公司已向警方报警立案，然而公司负责人反映，暂时没有从警方处获得相关反馈。

那微信官方呢？作为公众号的大本营，“亲生父母”，微信方面究竟有没有一些实际行动？上次新榜采访时他们是这样说的：

简单理解就是：我们会协助追查，我们提醒你们开通保护。

那追查到了什么？作案者搞明白是谁了吗？哪些第三方可能存在安全问题？那么，开启扫码保护真的就能完全解决问题了吗？

Vivi从技术大叔处得到的答案是：如果公众号授权了第三方平台所有功能，那么群发消息是真的不需要经过管理员扫码的。也就是，官方所说的扫码保护，不是万能保险。

我们特意用公众号测试了一下。Denis大叔利用微果酱自己的第三方平台“微信机器人”，定向给Vivi推送了一则测试消息。在已经开启管理员扫码保护模式的情况下，Denis通过“微信机器人”仍旧成功将相关信息推送到了Vivi的微信号上。

https://v.qq.com/txp/iframe/player.html?vid=w1302z9378s&width=500&height=375&auto=0

如果没有接入第三方，这个管理员扫码保护也许确实有用。可一旦你全部授权后，还会觉得它是安全、万能的吗？

一次，两次，三次......第四次可能是今晚，明晚，或者任何哪一个晚上，受害者可能是万千接入微信第三方平台的公众号之一，没有人知道下一个是谁，只知道受害者在增加：

这家伙好会挑时间，选在零点群发，就是知道纯文字的文本推送后是不能消除的，就如身上的伤疤，会一直留在用户的接收页面上，而公众号又只能等到次日才能推送，一整天的时间发酵，简直心机婊。而长期用心经营，积攒起来的用户信任，也可能在这一刻受到考验。

其次，自身不具备开发能力的公众号，通过授权第三方平台，就可以使用更多的接口和功能，比如卡券、会员卡、个性化菜单设置等，让自己的账号功能更加强大、实用。如同傻瓜相机只要能简单拍照就好，但若讲究光圈、ISO、白平衡什么的，还是得用单反相机。

一旦第三方安全问题无法获得真正解决，在“草木皆兵”的时候，相信很多运营者都会自动选择取消授权。没有了“活好”的第三方，对于缺乏开发人员的小团队，以及二三线城市地方号来说，显然是雪上加霜，金钱和技术的难题将如何解决？

幸好的是，中招的公众号事后反映迅速，立即在后台采取人工+自动回复的形式，向粉丝说明情况，并在次日零点推送道歉文，获得大部分用户理解，掉粉和粉丝反应都不其预想中好。

官方解释，公众号第三方平台是针对各行各业公众号的行业共性需求，第三方开发团队可以在自身熟悉的行业和领域内搭建公众号第三方平台，为公众号提供行业解决方案或功能优化方案，如电商行业的公众号商城解决方案、客户管理的功能优化方案等。公众号运营者可以通过公众号登录授权，将业务授权给第三方平台。

过去，微信在公众号第三平台的开放上做了不少事情，目的也是为了能满足公众号的个性化需求，实现功能强大化。

随着公众号的大热发展，第三方平台也进入了群雄割据的时代，好一点的公司甚至都拿到融资了。如今，微信第三方平台网上关键词一搜一大把，参差不齐，安全与否一下也难以判定。

如果事情发展无法得以遏制，作案者无法落网，时不时再来个“集体被盗号”，运营者都纷纷解除公众号授权，那第三方平台公司要怎么活下去？第三方平台，你们又能如何证明自己的系统安全性，不怕黑不怕盗，重新获得用户？

接二连三的事件中，同样的不良信息多次触达万千用户，却仍旧没有人知道该怎么制止这个作恶者继续作案。除了公众号道歉，微信提醒开通保护，警方立案之外，似乎在这一段内，用户除了不断受到不良信息骚扰之外，甚至可能承担财产方面的损失。

感觉在玩“狼人”桌游，“天黑请闭眼，狼人请出来杀人......天亮了请睁眼，昨晚有人死了”，而守卫、女巫、预言家，全部如同没有能力的平民一般，不知道保护了谁。

这是一场自媒体的集体恐慌。

这也是不法分子的公开挑衅。

你是否感觉到，他们在反复以技术来碾压一众自媒体人？

然而，我们确实无可奈何。我们把希望寄托在微信方，希望养活我们的森林能继续为我们撑起一片天，但是却一边被告知，你们可以通过枝桠靠近阳光，吸取更多养分，一边又被警告小心野兽，你们要待在我们的安全区域内，好好地把门拴好。

这难道没有自相矛盾吗？这难道不是存在bug了吗？

至今，官方仍旧没有一个公告说明事情的来龙去脉，给予大家公开的警告和建议，也没有把跟进到的案情及时公开，更没有把确认了的不安全第三方名单公之于众，却似乎要运营者在“公众号”以及“第三方平台”中作出选择。如此，会不会太被动了？

Denis大叔告诉Vivi，目前公众号运营者可以做的有下面几方面：

（1）取消不信任的公众号第三方授权；

（2）如果是配置授权的话，这需要在后台“基本配置”中停用服务器配置，并且重置密钥；

（3）选择性授权。非要使用第三方时，不要选择全部授权，而是要进行相对应操作的模块授权，比如你要使用卡券功能，那就授权卡券模块，群发等功能还是别随意授权了。

（4）微信扫码保护，还是要开启的。

嗯，说完。祝大家好运，睡觉前记得看看公众号。