上个月,市民夏女士家里人身体不舒服,排便不顺畅,9月30日下午,她拿出手机想在网上搜搜,看看有没有什么好办法。她在百度搜索框输入“便秘”、“排便不畅”等关键词,她点击了排在第一位的潍坊某医院的网站。她觉得不是很正规,很快就退出了。但让她没想到的是,半个小时后,医院打来电话,询问夏女士需要什么帮助。
记者在网络上搜索,发现外地也有类似的手机号被泄露的事件。2014年2月下旬,济南多家媒体报道了市民李先生的遭遇。报道称,李先生感觉腰部有点不舒服,随即拿起手机打开浏览器搜索了一下“腰疼是怎么回事”。随便点开一条,发现是济南某男科医院的页面,看了两眼便关了,第二天,接到一个电话,对方称是济南某男科医院的工作人员。
不仅在山东,天津也曾出现过类似事情。据2014年7月21日天津《城市快报》报道,市民刘先生用手机浏览器在百度上搜索“现货黄金”投资理财产品,后来他突然接到一家投资理财公司工作人员打来的电话,问他是不是想投资理财,一番了解后得知,在他登录网站时已经被记录下手机号码。
网站如何拿到访问者的手机号?10月8日,记者通过邮件将此问题发给岛城某高校网络安全方面的专家,10月10日,记者当面采访了该专家。专家称,某些网站能够获取访问者的手机号,推测有两种途径:一是访问者所使用的浏览器在访问网站时,向发送的访问数据中添加了手机号等隐私信息;二是访问者的访问数据在通信运营商处理时加入了手机号等隐私信息。考虑到访问者所使用的浏览器种类繁多,而且浏览器对隐私数据的访问一般是受限的,其APP端获取手机号和其他隐私信息较难。所以,初步推断某些网站获取访问者的手机号是通过解析运营商在访问数据中添加的隐私信息实现的。
专家解释说,不管是电脑或手机访问网站,都是HTTP协议,必定有个叫“HTTP报文”的东西,这个里面有很多信息,User-Agent是访问者所用的浏览器和手机型号,这些都能看出来,还有IP地址,可以看出访问者是从哪个网络访问到这个网站的。在手机访问网站的时候,HTTP报文经过通信运营商的基站时,运营商在报文里面加了些东西,比如手机号、IMEI号,这些东西有可能是“明文”直接写在里面,也有可能是加密的。对于网站来说,每天都有很多来访者,所有的HTTP报文都能在网站的日志里找到。
“当然,如果报文信息是加密的,网站方是无法获取访问者的手机号等信息的,但是,如果网站运营者去通信运营商手中买到相关的‘接口’,这样,通过接口,网站运营者就能知道通信运营商在HTTP报文里面加了哪些东西,如何解密。”专家告诉记者。
不过,目前只有部分机构或网站能获取通信运营商的相关“接口”,于是就催生了中介机构,这些中介机构出售程序或者代码,只要相关网站购买,然后放在网站上,中介机构就能获取访问者的HTTP报文信息,然后利用网络通信运营商的接口进行解密,然后再传递给购买者。通过这样的流程,网站运营方就能获取访问者的手机号。
记者还联系到360安全卫士的安全工程师,工程师称在手机上搜索医疗信息,更容易遭遇不正规医疗网站。这是因为手机网站的制造成本更低,页面空间小更具迷惑性。目前手机WAP页面通过添加JS代码的方式,利用相关的接口和平台,有一定几率可以获取到手机号码、手机型号、机主所在地等关键隐私信息,存在安全风险。
