相信大家最近都有碰過自己或朋友 LINE 帳號被盜的情況吧?傳訊軟體最怕的就是這種利用朋友間的互信關係所進行的詐騙行為。像阿達好幾位科技部落客好友就算換機密碼設了、電話與帳號也綁定了照樣被盜,甚至一天被盜兩次!WeChat 身為全球最多人使用的傳訊軟體之一當然也有相同的困擾,在中國大陸這類的「科技詐騙」已經形成一種「產業」,從業人員數量之多、生態鍊之廣,可能是身在台灣的你、我所無法想像的。為此騰訊在 WeChat 的資料安全防護所做的各項措施,嚴格程度可說是絕無僅有,用「鋪天蓋地」來形容也不為過。
當天由來自騰訊總部安全平台部應用運維安全總監「宗澤」先生,為我們詳細的報告騰訊在 WeChat 的資訊安全部分作了哪些全面性的防護措施:
說起「騰訊」台灣的朋友可能並不熟悉,他的老闆是知名的馬化騰先生(中國科技業好多扛罷子都姓馬),其下除了 WeChat(中國稱為「微信」)以外,含包括了騰訊網、拍拍網、通訊軟體QQ等,是全世界第四大的網路公司,僅次於 Google、亞馬遜與 Ebay,這麼大的網路公司,旗下的安全部門當然是相當複雜與分門別類的,光安全部門就有六個,分別對虛擬與實體的網路安全有不同的分工:
而整個騰訊的安全部門直屬員工就超過兩千人(還不包含其他合作的資安單位),而 WeChat 安全團隊總人數就有 300 人,佔了全公司安全部門編制相當大的比例。馬化騰先生表示「WeChat 是騰訊整個平台的根本」所以在 WeChat 的資訊安全部分相當重視:
WeChat 所使用的核心安全技術可說是「軟硬兼施」,在使用安全性方面,WeChat 有所謂的「安全提示 123 機制」全方位的保護使用者資訊安全。當您的 WeChat 帳號在其他裝置登入時,系統會跳出警示提醒防止莫名其妙的被盜帳號。而在聊天過程中如果有對財產部分相關的訊息(如買點數、匯款)等關鍵字也會有提示警告使用者要撥打實體電話給對方確認。另外如果收到類似詐騙網址(釣魚網站)的連結,系統也會提示警告。而在後端部分 WeChat 的資安團隊對主機安全(前端伺服器、資料庫)和終端安全(PC、Mobile、App)除了硬體的防護機制以外,更有全面性的緊急回應系統:
WeChat 的每一個版本由開發前、下載後、使用中等狀況,都有一套獨家的安全加密技術,在軟體開發時就制訂了一套嚴謹的軟體研發規範,對可能發生的漏洞及早進行強化與防護,各版本在發佈前更要通過自家的「金剛安全審計系統」進行全面性的安全檢測,一定要先通過繁複的內部資安評估後才能釋出更新版:
而且在傳訊過程中 WeChat 使用了自行開發的終端安全加密技術,讓對話內容不被側錄分析解密:
在主機防駭房攻擊部分,WeChat 也自行開發「宙斯盾」系統防護DDOS攻擊,網站安全部份也有所謂的「門神」系統把關,加上主機採取「洋蔥式」一層層的多重防護,讓騰訊一天受到數萬次的駭客攻擊,也不曾發生過嚴重的資安問題:
WeChat 雖然作了萬全的準備,但也從未放鬆過對各種資安漏洞的圍堵,他們也開放給外部研究人員(白帽駭客)提供激勵獎金,只要能發現單一資安漏洞,最高可獲得50萬新台幣的獎賞,由內到外全面性落實資訊安全防護:
在宗澤先生分享過後,接著是騰訊 WeChat 事業群安全經理兼安全發言人的「楊光」先生,繼續分享 WeChat 這幾年曾經遇到與解決的各種安全狀況:
WeChat 這幾年遇過很多資諳風險問題,由終端(硬體、駭客)、作業系統(Android/iOS本身的漏洞與木馬)到 App(使用者沒有危機意識,亂信詐騙、亂點連結)都有,絕大部分都不是 WeChat 的問題:
光「外部安全風險」就不是 WeChat 所能自己解決的,其中還牽涉到所謂的「社會工程詐欺」,是一整個生態鍊的詐騙行為,由盜取帳號、詐騙使用者家屬、遮斷聯繫到領取贓款一條鞭的流程(就是之前台灣流行的小孩被車撞需要醫藥費,騙父母親匯款的把戲改到 WeChat 上實作),根據以往破獲的記錄,在大陸甚至是「整個村」都在做這樣的勾當,領款的車手更是遍及全國:
在 WeChat 裡面,不只要處理資安問題,還要處理人的問題,尤其是網路時代詐騙、謠言、謾罵、色情…等各種社會問題,都是因為使用的「人」引起的,但這些事情發生的時候還是要靠 WeChat 自己處理:
而讓大家重視且疑慮的「WeChat 資料是否會外洩」的問題,楊光表示騰訊是上市公司(還是香港股王)不會拿自己公司信譽開玩笑,但為了遵守各地區的法規,在中國的微信資料集中存放於上海、深圳等地的 IDC 受中國政府法規限制。而離開中國之後的 WeCaht 資料則在加拿大、新加坡、香港的 IDC 存放,兩者是互不干涉的,所以中國政府不能、也沒辦法取得海外 WeChat 用戶的任何通訊記錄,當然 WeCaht 也不會去監控使用者的聊天記錄:
最後提到 WeChat 強大的資訊安全團隊,依照不同狀況分作許多部門:
除了軟體與網路面的資訊安全,更結合了舉報、申訴、刑事打擊等實際的作為,騰訊內部有一群人馬專門在收集非法情事後配合大陸的公安系統現場逮捕罪犯,跟拍電影一樣屌:
而最近 LINE 頻頻發生帳號被盜的案件,以前在 WeChat 也發生過,但是騰訊以各種資安手段進行防堵,至今五億用戶幾乎再也沒有發生任何帳號被盜用的情況發生:
最後楊光也提醒大家,漏洞與人為安全問題是在所難免的,但透過事先的防堵、對於使用者的教育都能防堵類似的情況發生:
在活動的最後 WeChat 也展示了近期在大陸試辦,提供盲人免費「聽書」的公益服務,讓所有的 WeChat 用戶都能以「一人一句」的方式把原本滿滿文字的書本,透過志願服務的使用者的話語組合成一本本的生動有聲書,相當令人感動。WeChat 也表示試辦良好的話,可能會在其他國家以各種形式來持續進行公益活動,幫助有需要的朋友們:
這次在台灣 WeChat 所舉辦的「WeChat 盛夏體驗會」中可深刻的感受到 WeChat 為了增進使用者體驗的努力與支持在地文創產業的用心,加上背後專業龐大的安全團隊,相信一定會讓您的 WeChat 生活更加的豐富美好,一起來 WeChat 一下吧!
延伸閱讀: