安全就是,如果你操作起来有点烦,那可能跟安全有点沾边了,如果你操作起来想摔鼠标,想骂人,恭喜你,很安全了。

许卓斌等均对本文有贡献。

近期出现2个事件,一个是礼泉某部门微信公众号2019.9.15 01:17深夜发布不良内容,另一个是某大学官方微博2019.9.17 01:01也是深夜发布不良信息。这2个事件涉及大学、某部门、微博、微信公众号,时间点又非常接近,使得大家紧张了一会儿,其实过往这些新媒体平台也发生过多起安全事件,有些是平台自身的问题,有些是使用者的问题。

  • 某博多次XSS漏洞导致蠕虫爆发,看过某个微博内容就会自动发送一条微博。
  • 上市黑产公司忽悠运营商窃取30亿条公民信息。利用窃取的Cookie在用户不知情的情况下添加了陌生好友、关注。
  • 2019.8.30,某特CEO,Jack Dorsey账号发布不良内容。因为某特有个功能是只要使用绑定的手机号码往一个号码发送文本内容就可以自动Post。然而这个方法被黑客利用,虽然某特无法被攻击,但某特无条件信任手机短信号码和后端绑定的账号,而运营商手机号码验证存在漏洞。跟任意改号打电话诈骗类似。
  • 非常规利用终端设备ID向百万账户发起重置密码请求并获得百万重置6位验证码有可能导致对某个Instagram账户进行劫持。
  • 某博为借势推广其他产品导致自动发送微博问题,比如下载某博旗下的某盘上的文件,会自动发送微博“谁谁谁下载了什么文件”,后来由于反应太大,打钩默认去掉或者弹窗提示。
  • 小编混淆工作和个人身份,使用官方账户发布或者评论。

新媒体跟传统网站群信息发布的安全没什么太大的差别,虽然新媒体依托云平台,运营者较少面对网站群自身部署和代码的漏洞,然而也需要正确使用才能提高安全等级,以下内容也适用任何内容发布平台。

账户的安全

  • 首先要有账号,可以适当防御性在各大平台注册英文中文缩写的账号。否则没有注册,被人恶意抢注发布信息,也会造成一定的舆论。
  • 控制权明晰,注册账户可使用主体公用邮箱,在职人员手机号码。注意设置取回密码功能和绑定手机号码、身份证。如果是从离任人员手里拿到账户,应当演练一遍能否重新获取控制权,以免出现被黑客拿到控制权后申诉无门。如果是学校,由于学生更替频繁,建议管理员应当是在职教工。
  • 使用强密码。
  • 必须启用双因素认证。密码再强也不安全,可参考“郑海山dump”的“关于密码的一些事”。
  • 账户安全中心页面一定要去点击并确认所有安全选项全部开启,不要怕麻烦,微盾该装就装。微信公众号群发应当扫码确认,风险操作全部启用保护。
  • 梳理账户功能,不开不必要的功能,特别是一些开发权限。还有某特的手机号码发送直接发布这些功能酌情关闭。
  • 定期检查信任客户端和登录日志。
  • 对API调用进行检查,限制调用者IP地址,定期重置APPSECRET。有些小编以为发布微博只有一个通道,实际上API也是可以随意发布的,而且没有双因素认证,APPSECRET有时会在源代码库内泄漏或前维护公司掌握。这种就类似你门守得很好,黑客掌握着APPID和APPSECRET潜伏着,随时可以从窗户爬进去。
  • 梳理所有使用OAuth2协议或其他信任机制的第三方应用。

团队的安全

  • 运营团队应有较高的安全防范意识,团队角色清晰,采、编、排、发人员固定,发布限制只有A/B角。所有内容应当先审后发。在团队成员换届更换后,要及时重置密码或移除成员账户。
  • 如果可以,应做到专机专用。发布的终端应使用较高安全等级加固。专机不浏览无关网页内容或安装无关移动应用。处理完事务应当及时退出账户。
  • 不随意浏览有可能造成自动发送动态的第三方应用内容,比如微博有弹出“分享到微博”等操作应当认真阅读并避免意外信息发送。
  • 一定要及时切换工作和个人身份、情绪等等。
  • 粉丝互动要注意,不要随意打开私信链接。

小编的个人安全素养

常规的安全素养绝不止以下这些。

  • 操作系统:安装还未EOL的操作系统,补丁更新到最新,打开自动更新。安装反病毒工具。
  • 使用正版软件,下载均应从官方网站下载。自定义安装,以免安装到全家桶。
  • 离开电脑锁屏:倒水,上厕所,按Windows+L。
  • 密码:强密码,终端设置密码。

内容的安全

  • 提升法律意识,不信谣、不传谣,不造谣。非官方的新闻不转发。
  • 制定信息发布制度,先审后发。
  • 下载图片应注意:图片可能隐写了信息,图片会隐藏很多人眼初次无法立刻识别到的信息。粉丝供稿要注意。
  • 拷贝文章内容要注意,最好只留下文本并重新排版,以免有隐藏字符,链接。以前遇到过这种问题,类似小学生教材事件,某篇新闻内容是转载的,里面带了一个链接。后来年代久远,所链接的域名无人维护被黑产接管并部署不良内容,导致看起来就是某个网站某个页面链接到某个黑产网站。
  • 尽量不使用第三方排版工具。
  • 尽量不使用多个平台同步发送工具。

有错误或者补充请告诉我。

图分割线 =====

图分割线 =====

图分割线 =====

图分割线 =====

图分割线 =====

图分割线 =====

图分割线 =====

图分割线 =====