大批公众号被盗发淘宝客广告,都是授权第三方惹的祸?

2017-11-11 09:13 来源:微果酱 我来投稿 我要评论

  摘要:继去年公众号“盗号风波”后,昨晚,不少公众号也躺枪了。今天一大早,“无锡生活网”公众号创始人王雄在朋友表示,自己的号在昨晚凌晨1点左右悄然发送了一段文字消息,具体内容为淘宝客的广告。此外,他还表示,关

  继去年公众号“盗号风波”后,昨晚,不少公众号也躺枪了。

  今天一大早,“无锡生活网”公众号创始人王雄在朋友表示,自己的号在昨晚凌晨1点左右悄然发送了一段文字消息,具体内容为淘宝客的广告。

  

 

  此外,他还表示,关注的其他几个号也发现了同样情况。果酱妹向一些运营者了解了一下,这次的盗号风波范围不小,被盗的号涉及江西、江苏、河南焦作等地,且以地域号居多。

  

 

  其中,“微宜春知宜春”的创始人表示,他的号已经是第二次中招了。10月31日凌晨,他的公众号也悄无声息地发送了一条文字消息,内容同样为淘宝客的广告,“上次估计我就是小白鼠,发现微信没察觉,这次就大范围来一波。”

  

 

  ▲一前一后的被盗

  

 

  公众号被盗是授权第三方的错?

  “没有登录提醒,没有登录记录,没有群发记录,也没有群发提醒”,“微宜春知宜春”的创始人表示很无奈。不过,一些中招的公众号表示,没有登录记录,但在手机上收到了群发成功的提醒。

  不少运营者表示疑惑,公众号登录和群发都要扫码,怎么可以悄无声息地群发消息呢?

  在果酱妹的了解下,发现这次被盗的公众号中都授权了不同的第三方管理后台,其中授权的权限中就包括了“群发与通知”等多种涉及账号隐私的权限。

  

 

  有运营者咨询腾讯客服后,得到了“可能是接入了第三方,密钥没定期更新让人盗用了”的答复。

  为此,果酱妹也特意咨询了我司的程序猿。在公众号后台左侧的「开发」模板下的基本设置里可以查看授权了哪些第三方管理。此外,在公众号开发信息这一栏的开发者密码(AppSecret)就是我们经常说的密钥,具有极高的安全性。

  

 

  我司程序猿表示,“如果别人有你的密钥,那基本上等于有了你的密码,而且群发不用扫码。”也就是说,如果那些第三方的服务器被黑客黑进去了的话,基本上你的公众号在黑客面前裸奔了。

  日常运营中,自身不具备开发能力的公众号,通过授权第三方平台,就可以使用更多的接口和功能,比如卡券、会员卡、个性化菜单设置等,让自己的账号功能更加强大、实用。

  随着公众号的大热,第三方平台也进入了群雄割据的时代,好一点的公司基本都拿到了融资。如今,微信第三方平台网上关键词一搜一大把,好坏参差不齐,安全与否一下也难以判定。

  在使用这些第三方的过程中,如果涉及公众号安全的AppID和AppSecret泄露了,对方就可以在你的账号随意发布色情淫秽信息,又或者更改你的公众号信息,甚至进行勒索等等恶意行为。

  

 

  公众号曾多次上演被盗风波

  其实,公众号被盗的事情一直都有发生:

  •2015年12月31日,同属一家公司的三个公众号“福利电影院”、“18楼电影院” “抢先电影院”由于账号被盗发布了一则不雅文字消息;

  

 

  •2016年1月6日,“魅力上海”、“一起神回复”、“养颜瑜伽”、“全球爆笑搞笑排行榜”、“全球健身指南”等十余个公众号遭遇集体被盗,这次被盗账号覆盖粉丝高达上千万;

  

 

  •2016年1月16-17日零点,“悦读”、“果然是个吃货”、“糗事速递”、“漂亮有约”在内的十余个公众号被盗,数百万粉丝收到相似一内容的恶意信息;

  

 

  •2016年3月20日,新的盗号手段再出现,盗号者利用一条假的侵权投诉,诱导运营者输入账号密码,实现盗号目的,共有700多个公众号被盗,2016年4月,海珠警方将2名犯罪嫌疑人抓获归案;

  

 

  •2016年6月26日,十几个公众号被盗,推送恶意营销链接;

  

 

  每次的盗号事件发生后,都可以看到运营者的一片哀嚎:白白浪费了每天只能推送一次的机会,内容计划都被打乱了,广告排期也没了,简直恨啊!

  为了提高公众号的安全性,微信也不断发力,强制开启了登录和群发扫码保护等功能。不过,扫码保护并不是百分百的安全,如果公众号授权了第三方平台所有功能,那么群发消息是真的不需要经过管理员扫码的。也就是,官方所说的扫码保护,不是万能保险。

  那么问题来了,想要减少被盗号的风险要怎么做呢?

  我司程序猿告诉果酱妹:

  ①取消不信任的公众号第三方授权;

  ②如果是配置授权的话,这需要在后台“基本配置”中停用服务器配置,并且重置密钥;

  ③选择性授权。非要使用第三方时,不要选择全部授权,而是要进行相对应操作的模块授权,比如你要使用卡券功能,那就授权卡券模块,群发等功能还是别随意授权了。

  对于此次盗号事件,不少中招的运营者表示“希望微信能管管,是否可以对接入的第三方的群发权限也开启类似于扫码保护这样的措施呢?”

  最后,果酱妹还是想提醒一句,第三方虽好,使用需谨慎哦~

【版权与免责声明】如发现内容存在版权问题,烦请提供相关信息发邮件至yy@painiu.com,我们将及时沟通与处理。本站内容除非来源注明A5创业网,否则均为网友转载,涉及言论、版权与本站无关。

标签

扫一扫关注最新创业资讯