獵豹移動解剖醫療推廣黑幕:瀏覽醫療網站,手機號外泄
近日,獵豹移動收到用戶反饋:瀏覽某民營醫院網站后,隨即收到推銷短信。經過技術分析得知,運營商存在查詢漏洞,多家民營醫院利用該漏洞獲取網民資料,在網站上放入相關代碼之后,只要用戶瀏覽該網站,就可以獲取用戶的手機號,可造成嚴重隱私泄露。
在網上搜索,類似案例不少,都是瀏覽了民營醫院的網站之后,收到了推銷短信或電話:
這些網站通常從事性病、皮膚病、人工流產等個人隱私極強的醫療業務,如果僅僅通過用戶的瀏覽行為來獲取其手機號這樣的私密信息,那支付密碼、信用卡帳號等是否也會帶來泄露危險?獵豹移動對其使用的技術進行了深入研究。
國內某些民營醫院的口碑很差,幾乎無法獲得正常的客流,只能通過搜索引擎推廣、論壇營銷等手段“購買用戶”,甚至成為各大搜索引擎的大客戶。在購買廣告之后,醫療廣告只能被動顯示,如果能獲取更詳細的用戶信息——如手機號,有利于其進一步的醫療推廣,這就促生了“獲取瀏覽網站用戶手機號”的灰色技術。
手機號碼怎樣被獲取
獵豹移動的研究人員分析了醫院網站頁面,發現其引用了奇怪的鏈頁面:
該頁面中的內容,不僅包含了獲取用戶手機的接口代碼,還有代理商的廣告:
進一步的分析,并且結合其它幾家代理商的接口分析,它們是通過查詢網站的接口來獲取手機號的。該網站屬個人網站,并不是運營商旗下的網站。但通過以往的漏洞報告,可以知道他是利用了運營商的一些手機查詢接口(漏洞),來動態獲取用戶手機號的。
到此,我們可以明確的幾件事情:
第一,只有當用戶的流量走的是手機網絡時,這類獲取號碼的方式才會成功。用WIFI或PC,都不會中招。
第二,這種方式并不是通過病毒或木馬來獲取用戶手機號,而是因為對方在網站植入了查詢代碼,以獲取更多的隱私資料。
第三,民營醫院(或其它有同類營銷需求的機構),先在搜索引擎上做推廣,再配合這種手機號統計服務,可以獲取到瀏覽了他們頁面移動端用戶的手機號。
用戶應該如何保護隱私
該漏洞已經存在一段時間,那么在相關部門彌補漏洞之前,我們可以做哪些事情保護自己的隱私:
第一,搜索醫療、支付等有關個人關鍵信息時,小心謹慎,分清楚推廣鏈接與普通鏈接,分清楚正規醫院網站與口碑不好的民營醫院。
第二,搜索此類關鍵信息時,若怕手機號泄漏,可停用手機網絡,剛用WIFI網絡,或改用PC端查詢。