隐私泄露就像是一根细到几乎不存在的银针,每扎你一次你几乎感觉不到痛,等你真正发觉之时,谁也说不清你究竟已经被扎过多少次,细思极恐……
手机上的摄像头弹出、权限请求,用户协议的默认勾选以及每一次都能正中你心的广告,当我们像吃瓜群众一般围观Facebook数据泄露丑闻的时候,我们自己又何尝不是深陷水深火热之中。每一次被挑动的隐私神经,都会引发一阵隐私保护热潮,但热潮之后往往是下一次的隐私泄漏。
谁说我们隐私意识薄弱?新时代的互联网用户深受所谓人工智能大数据的骚扰,早就在摸爬滚打中感受到隐私问题的严峻。只是一提及如何保护的问题,我们才会显得束手无策。因为,个人信息是否泄漏,是否被滥用,很多时候我们可能并不知道,而当我们明确意识到这个问题的时候,除了愤怒可能更多的是无奈。有人说,一旦你接触网络你就会慢慢成为透明人,但就算离了网路,不代表你的信息不会出现在网上。
从未谋面的骗子都知道我的名字、电话甚至地址……
网页上的广告似乎总是知道我想买什么、我最近在关注什么……
似乎总有人知道我此时此刻在哪里,并且精准的推荐附近的美食、牙科医院……
某某社交软件经常发短信提醒“您的朋友XXX提到了你……”
越来越多的网站给用户做画像:性取向、兴趣爱好、所在地区、恋爱状态……
频繁不断地骚扰短信、推广电话……
有人说我是被害妄想症,当你发现有无数双眼睛盯着你的时候,希望你依然会淡定如初。
我们总是在说隐私,就是那些我们不想其他人知道的事情,人肉搜索是这个时代的产物,一定程度上也代表着在互联网中我们越来越透明,透明到隐私这个东西变得异常珍贵。
近期,中国互联网络信息中心发布第42次《中国互联网络发展状况统计报告》显示,截至2018年6月30日,我国网民规模达8.02亿,互联网普及率为57.7%。一家上市公司涉嫌非法窃取用户个人信息高达30亿条而被查,这次终于不是百度、阿里或是腾讯,也不是京东、滴滴等新晋互联网巨头企业,而是一家几乎所有人都没听过的一家公司瑞智华胜。
30亿隐私数据泄露事件回顾
微博为自动关注一些营销号?QQ自动加陌生人为好友?甚至它还知道你最近在关注什么:生发、整容……
出现这些异常行为,用户第一时间想到的必定是对应的平台——微博、QQ等。而这一次,泄露源头更深、覆盖范围更广,甚至连BAT等平台都没有办法抑制。
根据澎湃新闻针对该事件的报道,瑞智华胜利用两家关联公司,与全国十多个省市的运营商联通、电信、移动、广电、铁通签订合作协议,并且获得了服务器的登陆凭证。在服务器中置入非法程序用于自动采集用户cookie、手机号等信息。他们劫持数据后会进行爬取、还原等,为了不被发现,他们专门购买了3万多个IP地址用于频繁爬取。
至于什么是Cookies?笔者在此前的文章《为何广告竟然如此懂你?这锅不该Cookies来背》中有比较详细介绍,简单说就是可以记录你的账号、密码以及浏览信息等数据缓存。
此次事件涉及泄露信息超过30亿条,包含微博、QQ、今日头条等诸多主流应用都受到影响,不夸张地说,这可能是近些年国内遭遇规模最大的数据泄露事件。
GDPR可能也救不了国内隐私环境
在此之前,我们一直像是吃瓜群众围观、议论国外的隐私丑闻,最为人印象深刻的就是Facebook的数据泄露丑闻,扎克伯格为此受到美国、英国、欧盟传唤,甚至逼出了史上最严的数据保护法案GDPR。
瑞智华胜这一次彻底将我们所有人的视线拉回国内,虽然隐私问题已经成为全球性话题,但国内的隐私环境却显得更加糟糕,法律法规不够健全、威胁面多、企业重发展轻安全、用户保护意识不强,即便是GDPR可能也拯救不了。
用户信息环境的威胁面多
在网络实名制实行以来,我相信在限制流言散播上确实起到了一定的抑制作用,但同时也将无数人的私密信息上传至网络。即便强如腾讯、阿里、新浪等这样地互联网巨头,要技术有技术,要钱有钱,却也难逃成为瑞智华胜这次直接从运营商渠道劫持,直接获取用户信息。
除了这些互联网巨头,在众多小众网站、平台以及学校、政企、医院等网站,安全防护水平参差不齐,却也掌握着大量用户的真实身份信息。而国内大部分公司基本都是“重功能而轻安全”,留下的安全隐患谁来承担,终究还是落到用户头上。
一个很明显的例子就是,加密货币热潮兴起之后,挖矿成为黑产、黑客入侵的主要目的之一。2018年开年以来,国内已经有大量的医院、政企网站、企业服务器遭入侵植入挖矿木马,FreeBuf已经报导过多次,想必大家也有印象。如此的安全防护形势,不知道已经被无孔不入的黑产利用过多少回。
此外,黑客攻击一直是互联网公司面临的主要威胁之一,窃取数据已经成为黑客入侵的主要目的。每年全球各地都在爆发大大小小不同规模的数据泄露事件,这也是用户严峻的隐私环境最好佐证。
消费者隐私心态存在问题
是的,正如之前所说,目前主流的网络群体对于隐私意识已经有了更多的认识。但其实仔细思考下来,会觉察到一个很有意思的话题。每一次隐私话题被送上热搜,微博、知乎上讨论异常激烈,朋友圈到处转发的10w+,但我们能看到的依然是一次又一次的重复上热搜。
似乎我们对隐私意识的敏感性只停留在事发之后的抨击、议论上,一方面是,在实名制下,用户在应对隐私问题上本身就处于被动的状态,因此会显得很无奈;但另一方面,我相信 更多的人并没有坚定保护自己隐私安全的立场,首先他们会希望有人来帮助他们保护自己的隐私,事故发生之后才会如此愤怒;而他们自己在很多场景下并没有意识到需要去保护个人信息,比如随手扔掉的快递单、随便注册一个小网站、APP、扫二维码换取小礼品以及公共场合的公共WIFI、共享充电宝等等,即便这样,我还是相信他们不会将身份证随便出示给陌生人,所以说这是隐私保护意识的问题。
正如李彦宏说的那样:很多时候,中国愿意去用隐私交换便利。有的安全专家表示,对于隐私问题,应该将选择权交给用户。这话确实没错,但手机APP上每一次弹窗要求读取通讯录、短信等权限时候,有多少人仔细看清楚过,既然点击了同意,就需要承担相应的风险。
还有企业轻视安全、法律法规不够健全等等……
安全领域的都有这种意识,很多企业都有些重发展而轻安全,一方面是没有相应的法律约束,或者说发生意外之后付出成本太少,这早就是老生常谈的问题。
当你实名注册一个网站,该网站的确是有责任保护数据,但能不能保护的了很多时候不是他们自己能够决定的。国内频繁出现的数据泄露、隐私滥用问题,暴露出来的只是冰山一角,众多实例表面国内对于隐私保护方面的法律法规依然不够健全、企业安全意识不强。GDPR可能拯救不了我们,我们也不需要GDPR,我们需要一套符合国内隐私环境的措施来严格约束企业重视安全,既然实行实名制,就有必要承担并解决实名制带来的风险。
30之后,会不会出现50亿、100亿
我总觉得,每一次曝出的数据泄露事件,规模只会越来越大。30亿,看起来数字很可怕,如果不解决实际问题,下一次可能就是50亿、100亿。那怎么解决,是个问题。隐私问题首先是用户用户自己的问题,在将信息交托出去之后才会涉及到相应的平台、网站的保护责任,进而才涉及相应的法律法规问题。
一夜之间改善不可能,各方面逐一改善,这本是互联网健康发展的重要一步。只是希望到那一天,我们还能保存一点那些叫做隐私的东西……
*本文作者:Andy.i,转载请注明来自FreeBuf.COM