注意！多個公號被盜群發賭博廣告，這次又是第三方平臺授權的鍋？

上週五，有一群公眾號主過了一個並不平靜的中秋節，多個公眾號“被群發”同一條賭博廣告資訊，到底是哪裡出了問題？

作者 | Ceci

責編 | 大紅

出品 | 微果醬

多個公眾號遭惡意群發賭博廣告

9月13日凌晨時分，“北京化工大學”、“五大連池”、“淮安民聲”等多個公眾號釋出了同一條廣告資訊，其所呈現的連結和推廣文字均含有賭博內容，連結更是疑似搭載木馬病毒。

獲悉後，公眾號運營者們紛紛採取應急措施，把相關連結刪除，併發布平臺宣告，向用戶交代事實真相以防有人因此誤點。

經果醬妹觀察發現，這些公眾號都綁定了第三方平臺“微訊雲端”，其官方網站在9月15日早晨釋出公告致歉並解釋原因。

但令人意想不到的是，隨後“微訊雲端”公眾號也慘遭“毒手”，“被”連發兩條內容不同的灰黑產賭博廣告資訊。

該號在第一時間作出迴應，同時也公開了微信官方安全助手的相關通知。通知顯示，涉事公眾號App id和開發者密碼（App Secret）可能因無意間洩露後被黑灰產獲取，利用其下發賭博類的文章內容，賬號需重置開發者密碼，否則仍存在巨大安全隱患。

被惡意群發是授權第三方的鍋？

公眾號被盜發早已不是什麼新鮮事，微果醬此前就對相關事件進行過總結：

2015年12月31日，同屬一家公司的三個公眾號“福利電影院”、“18樓電影院” “搶先電影院”由於賬號被盜釋出了一則不雅文字訊息；

2016年1月16-17日零點，“悅讀”、“果然是個吃貨”、“糗事速遞”、“漂亮有約”在內的十餘個公眾號被盜，數百萬粉絲收到相似內容的惡意資訊；

2017年11月10日，“無錫生活網”、“騰訊光榮使命”、 “微宜春知宜春”等多個地域號被盜，用其群發淘寶客廣告。

2017年時騰訊官方客服就曾迴應稱，“盜號者很有可能是透過API介面（即接入了第三方）直接群發的，不需要掃碼也可以，建議運營者重置AppSecret”。

綜合這次事件，基本可以鎖定問題的癥結所在——授權第三方平臺導致的金鑰洩露。

開發者密碼（App Secret）就是我們所說的金鑰，具有極高的安全性。一旦有人獲取了你的金鑰，那基本上就等於掌握了你的密碼，而且群發不用掃碼。

公眾號在授權第三方時就包括了“群發與通知”等多種涉及賬號隱私的許可權。這一許可權不需要透過管理員掃碼確認就可以群發。一定程度上使接入了第三方的公眾號處於未知的風險境地。

目前微信仍未徹底解決這個安全驗證問題，為了保障公眾號主在使用第三方平臺時的權益和資訊保安，微信亟需做到運營者透過任意渠道群發，都必須透過管理員掃碼確認，這個問題或許就能迎刃而解了。

該如何應對這些風險？

目前已經有大批公眾號發生了被盜發事件，為了避免“悲劇”重演，公眾號主應及早重置開發者金鑰。

在公眾號後臺左側的「開發」模板下的基本設定裡，公眾號開發資訊這一欄的開發者密碼（App Secret）就是我們所說的金鑰，運營者只需要點選“重置”，再按照系統引導便可完成。

至於未受波及者也應敲響警鐘，提前做好預防工作。以免遭到不法分子的惡意群發和勒索。

1、授權群發需三思

運營者在使用第三方平臺時不要一股腦地選擇全部授權，儘可能只對所需的操作模組進行授權，比如你要使用卡券功能，那就授權卡券模組，群發等涉及賬號隱私的功能還是得慎重再慎重。

2、有意識地取消第三方授權

對於信任度存疑或暫時沒被使用的第三方平臺可及時進行取消授權，將風險降到最低。

在公眾號後臺左側的「設定」模板下的公眾號設定裡，選擇“授權管理“這一欄，運營者便可檢視自己已授權的平臺，再點選右邊的“檢視平臺詳情”則可對第三方進行取消授權。

公眾號被惡意群發廣告資訊從15年開始就發生不斷，不定時的爆發讓“中招”的公眾號運營者們苦不堪言，即便倖免於難也難免人心惶惶。

除了運營者自身需謹慎使用第三方平臺，微信開啟諸如第三方群發許可權掃碼保護等措施也該提上日程，而作為此次事件導火線的第三方平臺，必然得負起服務商的責任，加強平臺數據庫的安全保護，築起使用者資訊保安的防火牆。