猎豹移动解剖医疗推广黑幕:浏览医疗网站,手机号外泄
近日,猎豹移动收到用户反馈:浏览某民营医院网站后,随即收到推销短信。经过技术分析得知,运营商存在查询漏洞,多家民营医院利用该漏洞获取网民资料,在网站上放入相关代码之后,只要用户浏览该网站,就可以获取用户的手机号,可造成严重隐私泄露。
在网上搜索,类似案例不少,都是浏览了民营医院的网站之后,收到了推销短信或电话:
这些网站通常从事性病、皮肤病、人工流产等个人隐私极强的医疗业务,如果仅仅通过用户的浏览行为来获取其手机号这样的私密信息,那支付密码、信用卡帐号等是否也会带来泄露危险?猎豹移动对其使用的技术进行了深入研究。
国内某些民营医院的口碑很差,几乎无法获得正常的客流,只能通过搜索引擎推广、论坛营销等手段“购买用户”,甚至成为各大搜索引擎的大客户。在购买广告之后,医疗广告只能被动显示,如果能获取更详细的用户信息——如手机号,有利于其进一步的医疗推广,这就促生了“获取浏览网站用户手机号”的灰色技术。
手机号码怎样被获取
猎豹移动的研究人员分析了医院网站页面,发现其引用了奇怪的链页面:
该页面中的内容,不仅包含了获取用户手机的接口代码,还有代理商的广告:
进一步的分析,并且结合其它几家代理商的接口分析,它们是通过查询网站的接口来获取手机号的。该网站属个人网站,并不是运营商旗下的网站。但通过以往的漏洞报告,可以知道他是利用了运营商的一些手机查询接口(漏洞),来动态获取用户手机号的。
到此,我们可以明确的几件事情:
第一,只有当用户的流量走的是手机网络时,这类获取号码的方式才会成功。用WIFI或PC,都不会中招。
第二,这种方式并不是通过病毒或木马来获取用户手机号,而是因为对方在网站植入了查询代码,以获取更多的隐私资料。
第三,民营医院(或其它有同类营销需求的机构),先在搜索引擎上做推广,再配合这种手机号统计服务,可以获取到浏览了他们页面移动端用户的手机号。
用户应该如何保护隐私
该漏洞已经存在一段时间,那么在相关部门弥补漏洞之前,我们可以做哪些事情保护自己的隐私:
第一,搜索医疗、支付等有关个人关键信息时,小心谨慎,分清楚推广链接与普通链接,分清楚正规医院网站与口碑不好的民营医院。
第二,搜索此类关键信息时,若怕手机号泄漏,可停用手机网络,刚用WIFI网络,或改用PC端查询。