隱私洩露就像是一根細到幾乎不存在的銀針,每扎你一次你幾乎感覺不到痛,等你真正發覺之時,誰也說不清你究竟已經被扎過多少次,細思極恐……
手機上的攝像頭彈出、權限請求,用戶協議的默認勾選以及每一次都能正中你心的廣告,當我們像吃瓜群眾一般圍觀Facebook數據洩露醜聞的時候,我們自己又何嘗不是深陷水深火熱之中。每一次被挑動的隱私神經,都會引發一陣隱私保護熱潮,但熱潮之後往往是下一次的隱私洩漏。
誰說我們隱私意識薄弱?新時代的互聯網用戶深受所謂人工智能大數據的騷擾,早就在摸爬滾打中感受到隱私問題的嚴峻。只是一提及如何保護的問題,我們才會顯得束手無策。因為,個人信息是否洩漏,是否被濫用,很多時候我們可能並不知道,而當我們明確意識到這個問題的時候,除了憤怒可能更多的是無奈。有人說,一旦你接觸網絡你就會慢慢成為透明人,但就算離了網路,不代表你的信息不會出現在網上。
- 從未謀面的騙子都知道我的名字、電話甚至地址……
- 網頁上的廣告似乎總是知道我想買什麼、我最近在關注什麼……
- 似乎總有人知道我此時此刻在哪裡,並且精準的推薦附近的美食、牙科醫院……
- 某某社交軟件經常發短信提醒“您的朋友XXX提到了你……”
- 越來越多的網站給用戶做畫像:性取向、興趣愛好、所在地區、戀愛狀態……
- 頻繁不斷地騷擾短信、推廣電話……
當你發現有無數雙眼睛盯著你的時候,希望你依然會淡定如初。
我們總是在說隱私,就是那些我們不想其他人知道的事情,人肉搜索是這個時代的產物,一定程度上也代表著在互聯網中我們越來越透明,透明到隱私這個東西變得異常珍貴。
近期,中國互聯網絡信息中心發佈第42次《中國互聯網絡發展狀況統計報告》顯示,截至2018年6月30日,我國網民規模達8.02億,互聯網普及率為57.7%。一家上市公司涉嫌非法竊取用戶個人信息高達30億條而被查,這次終於不是百度、阿里或是騰訊,也不是京東、滴滴等新晉互聯網巨頭企業,而是一家幾乎所有人都沒聽過的一家公司瑞智華勝。
30億隱私數據洩露事件回顧
微博為自動關注一些營銷號?QQ自動加陌生人為好友?甚至它還知道你最近在關注什麼:生髮、整容……
出現這些異常行為,用戶第一時間想到的必定是對應的平臺——微博、QQ等。而這一次,洩露源頭更深、覆蓋範圍更廣,甚至連BAT等平臺都沒有辦法抑制。
根據澎湃新聞針對該事件的報道,瑞智華勝利用兩家關聯公司,與全國十多個省市的運營商聯通、電信、移動、廣電、鐵通簽訂合作協議,並且獲得了服務器的登陸憑證。在服務器中置入非法程序用於自動採集用戶cookie、手機號等信息。他們劫持數據後會進行爬取、還原等,為了不被發現,他們專門購買了3萬多個IP地址用於頻繁爬取。
至於什麼是Cookies?簡單說就是可以記錄你的賬號、密碼以及瀏覽信息等數據緩存。
此次事件涉及洩露信息超過30億條,包含微博、QQ、今日頭條等諸多主流應用都受到影響,不誇張地說,這可能是近些年國內遭遇規模最大的數據洩露事件。
GDPR可能也救不了國內隱私環境
在此之前,我們一直像是吃瓜群眾圍觀、議論國外的隱私醜聞,最為人印象深刻的就是Facebook的數據洩露醜聞,扎克伯格為此受到美國、英國、歐盟傳喚,甚至逼出了史上最嚴的數據保護法案GDPR。
瑞智華勝這一次徹底將我們所有人的視線拉回國內,雖然隱私問題已經成為全球性話題,但國內的隱私環境卻顯得更加糟糕,法律法規不夠健全、威脅面多、企業重發展輕安全、用戶保護意識不強,即便是GDPR可能也拯救不了。
1. 用戶信息環境的威脅面多
在網絡實名制實行以來,我相信在限制流言散播上確實起到了一定的抑制作用,但同時也將無數人的私密信息上傳至網絡。即便強如騰訊、阿里、新浪等這樣地互聯網巨頭,要技術有技術,要錢有錢,卻也難逃成為瑞智華勝這次直接從運營商渠道劫持,直接獲取用戶信息。
除了這些互聯網巨頭,在眾多小眾網站、平臺以及學校、政企、醫院等網站,安全防護水平參差不齊,卻也掌握著大量用戶的真實身份信息。而國內大部分公司基本都是“重功能而輕安全”,留下的安全隱患誰來承擔,終究還是落到用戶頭上。
一個很明顯的例子就是,加密貨幣熱潮興起之後,挖礦成為黑產、黑客入侵的主要目的之一。2018年開年以來,國內已經有大量的醫院、政企網站、企業服務器遭入侵植入挖礦木馬,想必大家也有印象。如此的安全防護形勢,不知道已經被無孔不入的黑產利用過多少回。
此外,黑客攻擊一直是互聯網公司面臨的主要威脅之一,竊取數據已經成為黑客入侵的主要目的。每年全球各地都在爆發大大小小不同規模的數據洩露事件,這也是用戶嚴峻的隱私環境最好佐證。
2. 消費者隱私心態存在問題
是的,正如之前所說,目前主流的網絡群體對於隱私意識已經有了更多的認識。但其實仔細思考下來,會覺察到一個很有意思的話題。每一次隱私話題被送上熱搜,微博、知乎上討論異常激烈,朋友圈到處轉發的10w+,但我們能看到的依然是一次又一次的重複上熱搜。
似乎我們對隱私意識的敏感性只停留在事發之後的抨擊、議論上,一方面是,在實名制下,用戶在應對隱私問題上本身就處於被動的狀態,因此會顯得很無奈;但另一方面,我相信 更多的人並沒有堅定保護自己隱私安全的立場,首先他們會希望有人來幫助他們保護自己的隱私,事故發生之後才會如此憤怒;而他們自己在很多場景下並沒有意識到需要去保護個人信息,比如隨手扔掉的快遞單、隨便註冊一個小網站、APP、掃二維碼換取小禮品以及公共場合的公共WIFI、共享充電寶等等,即便這樣,我還是相信他們不會將身份證隨便出示給陌生人,所以說這是隱私保護意識的問題。
正如李彥宏說的那樣:很多時候,中國願意去用隱私交換便利。有的安全專家表示,對於隱私問題,應該將選擇權交給用戶。這話確實沒錯,但手機APP上每一次彈窗要求讀取通訊錄、短信等權限時候,有多少人仔細看清楚過,既然點擊了同意,就需要承擔相應的風險。
3. 還有企業輕視安全、法律法規不夠健全等等……
安全領域的都有這種意識,很多企業都有些重發展而輕安全,一方面是沒有相應的法律約束,或者說發生意外之後付出成本太少,這早就是老生常談的問題。
當你實名註冊一個網站,該網站的確是有責任保護數據,但能不能保護的了很多時候不是他們自己能夠決定的。國內頻繁出現的數據洩露、隱私濫用問題,暴露出來的只是冰山一角,眾多實例表面國內對於隱私保護方面的法律法規依然不夠健全、企業安全意識不強。GDPR可能拯救不了我們,我們也不需要GDPR,我們需要一套符合國內隱私環境的措施來嚴格約束企業重視安全,既然實行實名制,就有必要承擔並解決實名制帶來的風險。
30之後,會不會出現50億、100億
總覺得每一次曝出的數據洩露事件,規模只會越來越大。30億,看起來數字很可怕,如果不解決實際問題,下一次可能就是50億、100億。那怎麼解決,是個問題。隱私問題首先是用戶用戶自己的問題,在將信息交託出去之後才會涉及到相應的平臺、網站的保護責任,進而才涉及相應的法律法規問題。
一夜之間改善不可能,各方面逐一改善,這本是互聯網健康發展的重要一步。只是希望到那一天,我們還能保存一點那些叫做隱私的東西……
閱讀更多 網絡安全焦點 的文章
