当心！十余个公号集体被盗，覆盖粉丝高达千

　　1月6日零点刚过，“新榜指数800交流群”有运营者爆料称，多个微信公众号几乎同时推送了同一则文字消息，涉及淫秽信息，疑似公众号集体被黑。

　　早上，相关运营者向新榜确认这些账号全部被盗，他们已向警方报案。微信官方也已经介入，对相关涉事账号进行了删除信息、封号等处理，并表示将对此事进行深入调查。

　　● ● ●

　　发生了什么?

　　十余个账号同时发送违法广告信息

　　“养颜瑜伽”等公众号的运营者王某昨晚遭遇午夜惊魂，刚过12点，就有朋友打来电话，告知他们旗下的几个账号同时推送了一条包含链接的广告文字信息。这并不在日常运营的计划内，更令王某震惊的是，这条广告信息中的链接导向某不知名催情香水，明显是非法商品。这让整个团队如坠云里雾里，经过分析，他们确认账号被盗，已经在今天早上第一时间到当地公安机关报案。

　　据王某向新榜确认，此次他们旗下共有9个账号被盗之后推送了违法广告信息，分别是“养颜瑜伽”、“全球爆笑搞笑排行榜”、“全球健身指南”、“逗逼女王”、“魅力上海”、“一起神回复”、“月寒书社”、“逗唠坊”、“内裤都笑湿了”。

　　5日晚还有两个微信公众号运营团队也遭遇了类似情形。据新榜向这些账号的运营方了解，王某团队的9个账号粉丝总数在500，其余两个团队被盗账号，粉丝也达到一百多和三百多。据此来算，此次被盗账号覆盖粉丝高达上千。

　　

　　而根据更多新榜旗下微信群所提供的信息，类似事件在2015年最后一天就曾发生过，手法类似，且发布的是同一则色情广告信息，极有可能是同一团队所为。

　　

　　如果以目前微信公众号的一般广告报价来计算，此次给相关方造成的损失数以十计。更严重的是对这些公众号声誉造成的恶劣影响，除了给不清楚实际情况的粉丝带来错误印象外，对于后续的发展和商业化也有极大负面影响。这也是运营方选择第一时间向警方报案的重要原因。

　　在此之前，微信公众号被盗事件也有发生，据其中一位受害者爆料称，号被盗后对方每天疯狂发广告以谋取非法利益，在所发广告被删除后，盗号者更是报复性地将订阅号升级为服务号，造成不可挽回的损失，多年辛苦一夕之间付诸东流。

　　

　　微信公众号盗号事情频发，令人心惊。更让人忧虑的是，此次十余个账号几乎是在同一时间发布同一条违法广告信息，而且导流之后商品的交易流程十分隐蔽。

　　

　　盗号后发布的广告链接，并不是指向某个固定的交易平台，而是导向另外几个发布具体商品信息的公众号页面，在极尽吹嘘之后，阅读原文链接导向一个购买信息登记页面，承诺货到付款。至于货从何来，何人操作，售后服务等信息，一概不知。

　　● ● ●

　　为什么被盗号?

　　可能与第三方平台方有关

　　虽然相关运营者告诉新榜，此次被盗账号并非全部都有授权给第三方的经历，但按目前分析来看，盗号可能与公众号的秘钥泄露有关，而第三方仍然有较大嫌疑。具体原因微信方面还在追查当中。

　　公众号第三方平台是开发者针对各行各业公众号的共性需求，在熟悉的行业和领域内所搭建的平台，主要为公众号提供行业解决方案或功能优化方案，如电商行业的公众号商城解决方案、图文消息的功能优化方案等。公众号运营者可以通过公众号授权机制接入第三方平台。

　　为了便于管理，也为了帮助公众号运营者快速理解所授权接口和功能权限，微信开放平台将权限集细分列举如下：

　　消息与菜单权限集

　　用户管理权限集

　　帐号管理权限集

　　网页授权权限集

　　微信小店权限集

　　多客服权限集

　　业务通知权限集

　　微信卡券权限集

　　素材管理权限集

　　摇一摇周边权限集

　　线下门店权限集

　　微信连WIFI权限集

　　授权之后，除第三方平台代公众号发起网页授权的过程中，需要用到公众号App ID之外，其他接口的调用，一般是根据第三方平台方的开发凭据(授权公众号的令牌)来完成，当然第三方平台方在获得开发凭据时，需要公众号的App ID等信息。由于获取公众号的App ID信息后，开发者具有极高权限，可以越过管理员进行很多操作，所以其中也隐藏了不少风险。

　　在2015年12月29日，微信团队曾发布《关于公众号第三方平台安全风险管理的公告》，对存在安全隐患的公众号第三方平台进行管理，主要措施为对存在风险的公众号第三方平台进行安全警告，以及对存在高风险的公众号第三方平台进行限期接入。微信方面今天也表示，接下来微信还将继续加强对第三方平台的监管。

　　● ● ●

　　微信方面怎么说?

　　协助追查盗号者并提醒

　　盗号事件发生后，微信官方对此也非常关注。新榜从腾讯微信风控总监郑立鹏处了解到，目前微信已主动介入，正在协助追查盗号的人或者公司，并优先给上述被盗账号进行安全升级。另外，盗号后发布的色情广告链接都已经被删除，且发布非法色情广告的相关账号都已经被永久封号。

　　微信方面表示，建议所有公众号运营者开启风险操作保护。开启微信保护后，除管理员和运营者可直接扫码验证登录和群发操作外，其他风险操作都需管理员微信号进行验证以保护公众号安全。此项操作可以在微信公众号后台的安全中心内开启。

　

　　防止被盗号的另一个建议是，取消不信任的第三方授权。因为账号被黑也有可能是因为第三方平台被黑。

　　此外，微信运营者不要轻易将登录账户、密码等给自己不熟悉的人。此前曾有运营者反映，有人在账号被封之后听信来历不明者可以帮忙解封的许诺，将账户、密码及主体资料全部拱手奉上，结果从被短期封号变成被盗号，最后因为推送违规非法信息等以至被永久封号。

　　2016年伊始，新榜希望新媒体运营朋友们提高警惕，不要让自己苦心经营的账号遭遇类似风险。