freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从拼多多到WhatsApp,撕开名为“匿名”的遮羞布
2021-01-21 11:38:03

你发现了吗?

天天po小蛋糕的账号背后其实是个身高1米8的肌肉猛男,发布详细攻略的游戏大神其实还是个中学生,关注的女装大佬其实是个公务员。很多时候,我们在网络上的形象与现实中截然不同……

在生活中有种种限制的我们,在网络上可以尽情地做自己,成为拥有两种身份的“双面人”。将网络与现实割裂的我们,不会希望自己在网络上的信息暴露给现实中周围的人,同样,也不会希望自己的真实信息暴露在网上。

自从腾讯通过微信“终局”了中文互联网世界的社交之战,社交领域但凡有新的风口出现基本都是围绕着“陌生人+匿名”展开的,譬如阿里推出的语音情感匿名社交“千耳”、陌陌在8月上线AI换脸匿名聊天“ZAO”;百度在11月推出在校生匿名社交“听筒”;网易推出语聊匿名社交“声波”……

如果有排行,“匿名”功能大概可以位居当代年轻人网上冲浪时最爱的功能前三吧。通过“匿名”,我们可以毫无顾忌地写下自己的肺腑之言,当然也可以写下一些“虎狼之词”,让我们体验真正的“畅所欲言”。

然而,最近发生的事件,却让我们意识到,原来“匿名”机制并非个人隐私数据保护的万全之策。

近日,“拼多多员工匿名发帖被辞退”事件闹得沸沸扬扬。微博用户@王太虚wary(拼多多前员工)发布视频称自己1月7日在目睹了同事被送上救护车之后,他在软件脉脉上匿名发帖并配文:“第二位拼多多猛士倒下了”。8日下午直系主管和两名HR就找到王太虚谈话,以发布“抹黑公司形象言论”、“违反员工纪律制度”为由,要求他主动离职。

(图一)脉脉上匿名发布的帖子

视频一经发布,便引起网友热议。除了对公司不人道的制度压迫劳动者感到不满与愤怒,拼多多如何查找到匿名帖子背后的真实员工也引起了广泛注意。

有网友怀疑是脉脉平台将数据提供给了拼多多公司,对此,脉脉在视频发出1小时之后,就发布了官方声明予以否认。脉脉称,“不以任何形式向任何第三方提供职言区发帖用户信息”并且“对用户的发布身份进行了严格的加密处理,即便是脉脉内部工作人员,也无法获取相关任何个人相关信息”。

(图二)脉脉官方在微博发布的声明

虽然脉脉声称没有提供任何信息,但是显而易见,用户在该平台上的匿名发言仍然暴露了其账号背后的真实信息。但目前具体的渠道方式还没有一个明确的答案。

拼多多对此称,系根据事发拍摄地路过的同事反馈,“高度怀疑”是太虚,后来得到本人承认。不过这个解释并没有得到民众的认可,网友们对于拼多多找到员工的方式始终保持着高度的质疑。从拼多多发布的官方声明来看,王太虚在脉脉上的外显ID是其身份暴露的重要因素。

对此,网络安全专家、北京汉华飞天信安科技有限公司总工程师彭根表示,从命名方法及其他信息来看,外显ID对脉脉用户而言是唯一的。只要拼多多有网络数据采集类的设备且长期收集数据,且员工使用公司网络上网发帖,就能通过外显ID找到发帖员工的IP地址,进而找到该员工。此外,众多网络安全行业的网友也提出了自己的猜测,比如FreeBuf上就有网友基于此次事件进行的技术猜测。

不论匿名账号的信息是怎样泄露的,群众都对拼多多产生了强烈的不满,这直接导致了拼多多口碑断崖式下滑,舆论浪潮席卷,使拼多多股市自事件爆出开始就持续下跌,给拼多多造成了声誉和经济的双重损失。

(图三)拼多多官方声明下的微博评论

无独有偶,国外WhatsApp的数据共享新政策也引爆了国外群众的强烈不满。

今年1月6日,WhatsApp通知用户:“从2月8日其,WhatsApp的用户将被要求与Facebook共享数据。”国内的群众对于WhatsApp这个软件或许比较陌生,它是一款通过互联网进行语音通话及影像通话,并发送短信、文档、图片等内容的软件。用户人数超过20亿人,是在海外相当流行的一款软件,在2014年被Facebook所收购。

面对新政策,WhatsApp用户只有三种选择:

  1. 接受与Facebook共享自己数据

  2. 完全停止使用该应用程序

  3. 删除自己的WhatsApp账户

这就意味着,如果用户想要继续如果用户想要继续使用WhatsApp这个软件,那么他必须同意数据共享。

对此,群众的不满首先就体现在用户的流失,特别是流向竞争对手。WhatsApp对标的Signal和Telegram近期下载量飙升。刚成为世界首富的特斯拉总裁 Elon Musk,发布了一条推特:“Use Signal.“Signal是一款更加安全的加密消息服务。之后短短的一天时间内, Signal软件便登上了AppStore 以及Google Play下载排行榜的第一,全球累计下载量约为750万。甚至于一家和这个 App 同名但是毫无关联的公司,也因为这一条推特,股票大涨 438%。Telegram则表示其活跃用户已突破5亿,在72小时内在全球获得了2500万新用户。对此,可以看出国外用户对于新政策的抗拒。

(图四)Elon Musk发布的推特

在群众如此反对的情况下,虽然WhatsApp在1月15日宣布将推迟新政策的实行日期至5月,但显然他们还将坚持政策的推行。据了解,该公司此次更新涉及使用WhatsApp与顾客沟通的商业用户,他们将能与Facebook共享数据,Facebook随之利用这些数据向用户投放定向广告。从电子商务获得的利润一定足够诱人才让WhatsApp冒着风险不顾用户反对依然执行与Facebook之间的数据共享。

虽然两件事情影响的范围不同,但是究其本质都是由用户数据泄露所引起。

在拼多多事件中,可以发现,在平台上发布的匿名言论,其匿名性不过浮于表面。只要公司有心收集,ID背后的真实员工完全暴露无遗。作为用户,选择匿名功能首先就是看中其可以保护自己的真实身份。但公司却可以通过显示出的ID,搜集到ID下的所有言论,进而推测出ID背后的真实身份,这无疑使“匿名”的功能荡然无存。

此次,脉脉虽然声称不向任何第三方提供用户信息,但无论是有意还是无意,其平台下的用户信息还是遭到了泄露。在事件回溯中,可以发现通过外显ID成为了隐私信息暴露的重要因子,那么对于平台来说ID的加密工作则应当成为安全工作中的重中之重,对其采取措施,从而做到真正的“匿名”。而不是仅仅作用于表象,在事件真正发生时,不能发挥其应有的保护作用,成为了盖在数据泄露上的“遮羞布”,一扯就掉。

在大数据时代,相关政策陆续出台,国家对于数据安全、网络安全越来越关注。在2020年11月27日,工信部组织相关单位制定了《APP用户权益保护测评规范》10项标准以及《APP收集使用个人信息最小必要评估规范》8项系列标准,同时还会持续推动剩余9项标准。相信一系列政策的出台使个人隐私保护更加规范。然而,政策越来越完善,为何用户的数据安全还是得不到保障呢?

以小见大,“匿名”背后的数据安全保护

匿名化是一种数据处理技术,可移除或修改个人身份信息;经过匿名化处理的数据无法用来与任何个人关联到一起。用户在使用匿名功能时会将其视为一种完全的保障功能,对其抱有充分的信任。但事实上,从数据安全保护生命周期来说,匿名只是很小的一个部分,其背后还有基于采集安全、存储安全、传输安全、共享安全等众多方面的措施,而这些方面的保障则主要来自于企业。也就是说,对于数据保护来说,真正重要的是企业如何保护已收集的信息。比如在此次事件中,脉脉的匿名机制的缺陷明显在于其外显ID,平台应该试着去弥补这方面的缺陷,比如说对ID进行加密,并对其显示机制进行改进。

对于企业来说,大数据的信息安全问题关系到企业的运行、发展以及在用户中的评价。一旦用户的信息安全不能得到良好的保障,将会失去用户的信任,造成企业公信力的下跌,其影响将会体现在方方面面,对企业的发展造成严重的影响。企业可以从以下几个方面来保障信息安全:

1. 大数据采集安全

大数据采集的可行性是一个重要关注点,可以利用基于大数据的数据真实性分析技术进行完善。例如Yahoo公司和Thinkmail公司利用大数据分析技术过滤垃圾邮件;DataVisor公司提供恶意账户识别技术帮助Yelp网站减少虚假评论等等。

2. 大数据存储安全

数据的集中存储和滥用增加了被非法入侵和数据被泄露的风险,对此可以通过数据加密来进行改善。针对传统磁盘存储数据,需要关注防磁盘数据篡改、防数据泄露失窃等方面。

3. 大数据传输安全

为了确保数据传输中的机密性和完整性,普遍做法是利用密码学相关技术解决。

4. 大数据使用和开放安全

大数据的共享安全是时下的热门焦点,针对这方面,主要集中在安全访问控制、共享安全和隐私保护等。

针对企业的数据安全保护是现在网络安全领域的热门话题,众多平台与机构都对其进行了分析与研究,比如FreeBuf即将发布的《2020企业安全威胁统一应对指南》。

刻不容缓,维护自身权益

本次事件也激发出我们的思考:匿名信息到底算不算是个人隐私?网络监管的边界该如何界定?

对此北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括称,目前网络平台采取的是实名制方式,即前台自愿、后台实名。即便是匿名消息,平台方也可以知道发帖人的真实身份。保护个人信息要求最大范围内的披露控制,而内容治理又要求能够有效归责到个人。这两者之间会产生一些潜在的规则冲突。但同时吴沈括也认为,在没有公共利益和安全必要、没有事先建章立制、没有和员工协议约定的情况下,公司不得以任何理由对员工在使用公司网络和设备的过程中进行秘密监控,否则涉嫌侵犯公民的隐私权和个人信息权益。

由此可见在平台发布的匿名言论属于个人隐私的范畴,我们拥有维护自己个人隐私的权力,也应该时刻注意隐私的保护。巧合的是,在拼多多此次事件发生之前,被爆出其前安全团队老大,天才黑客Flanker疑因拒绝做黑客攻击业务而被公司强制开除,错失上亿股票。此后,Flanker本人在微博上也确认了自己已离开拼多多。在这次匿名员工被开除事件发生之后,Flanker针对前东家在微博上发布了“脉脉匿名区安全使用指南”。

脉脉匿名区安全使用指南:

1.使用iPhone,全程使用数据网络

2.同一个id下不要发表太多个人信息关联内容(会被爬虫分析)

3.使用网上接码平台注册账号,注意自己的设备名(不要使xxx的iPhone这种)

但就像上文提及的那样,数据保护过程中除了个人的防范意识,更重要的是企业的职责。在大数据时代,数据的信息安全问题也成为了制约大数据应用发展的瓶颈,没有安全防护的大数据,将是数据灾难。既然企业给用户提供了“匿名”之类的隐私保护功能选择,那么就更加要注意用户的数据安全保护。

参考:

https://www.freebuf.com/company-information/260581.html

https://zhuanlan.zhihu.com/p/343876099

https://www.secrss.com/articles/28628

http://kb.southcn.com/content/2021-01/11/content_191964392.htm

https://www.sohu.com/a/444230949_161795

https://www.thepaper.cn/newsDetail_forward_10820286

https://www.huxiu.com/article/333938.html

https://www.secrss.com/articles/10346

# 数据安全 # 隐私安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者