freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

沾上社交圈的坑,航旅纵横也在数据隐私上跌了一跤
2018-06-13 08:00:25

关于个人信息安全的问题,每隔一段时间都会推上热点。从最开始的百度搜索引擎被质疑收集用户隐私,到“微信到底有没有保存用户聊天记录”,以及Facebook大型数据泄露事件,史上最严数据保护法案欧盟GDPR的正式实施也意味着全球范围内个人信息安全形势严峻。

time_paradox.jpg

航旅纵横新功能惹出数据泄露猜疑

而这几天,航企也被卷入泄露用户隐私信息的漩涡,航旅纵横APP上可以直接查看用户的兴趣标签以及经常飞行的地点。

经常坐飞机的人一定都使用过着听说过这款APP,航班管理类APP中唯一一个国字号的选手,由中国民航信息网络股份有限公司出品,光凭这个名头就足以让其成为很多用户的首选APP,尽管依然是第三方(在航空公司的角度)。

笔者也是航旅纵横的忠实用户,手机选座、值机,查看航班信息等非常方便,比手机上安装多个航空公司的官方APP体验好太多,并且各大航空公司官方APP使用体验不敢恭维,不得不说,航旅纵横确实是一款难得优秀的国字号APP。

1.jpg

好了,基于事实的吹捧就到这里吧。其实在各大媒体曝出航旅纵横泄露用户隐私的话题之前,笔者在跟同事出差过程中,恰好也注意到了这个功能,虚拟客舱界面下,可以点击查看每个座位乘客的个人主页,其中包含一些评价性的标签,例如“双鱼座”、“偏爱南航”、“座位靠窗派”、“90后”、“文艺青年”等,同时还会有个人飞行热力图,能够查看飞行过的地点,通过这些信息,其实可以基本推断出职业、财力、年龄、兴趣等。

当时我就跟同事说:“这都能查看到一整个飞机的人的经常飞行路径、星座等信息标签,有点不太对”。但我没想过几天后被炒上热点……主要针对其标签、飞行热力图以及私聊等社交属性的功能。

默认显示“昵称”或者以“游客”显示。有些人可能会觉得不以为然,真实姓名、通讯信息都没有暴露,只是标签、飞行地点也不算什么重要的隐私。不知道大家还记不记得滴滴顺风车的标签评价机制、前段时间风靡的足迹地图刷屏朋友圈事件,都被认为是泄露用户隐私的特征。不了解的可以复习一下:

滴滴顺风车二次整改,隐私与安全的平衡点何在?

足迹地图刷屏朋友圈,国人的隐私看起来如此廉价

可以简单举个典型的例子,假如你在飞机上,旁边坐着一位美女,然后你想去搭讪聊天,但是你却对她一无所知,打开航旅纵横,查看她的主页,虽然依然不知道她的名字,但是可以看到她的一些兴趣标签以及飞过的地点,有了这些就有了初步的了解了。换个角度来说,如果坐在你旁边的人突然说出了你的星座、哪些地点飞的比较多,并且以此推测出你的职业,不知道你会不会大吃一惊。

2.jpg点击查看大图

在了解到这样的功能之后,我第一时间就去在设置中寻找有没有关闭的开关,果然被我找到了。可以分别关闭个人主页和私聊两项功能。关闭之后,就无法再查看到任何信息。

TIM截图20180612162341.png

笔者了解到,这些是航旅纵横近期才推出的测试功能,试图建立社交属性,而且在官方微博也多次推广宣传。

航旅纵横否认泄露隐私,并默认关闭展示个人主页

在质疑声爆发之后,航旅纵横在其微信公众号回应称“用户展示的非个人真实身份信息”,而对社交属性功能开发的初衷,是这么描述的:

通过虚拟客舱功能,大家搭建起了同客舱交流的桥梁,在乘机遇到的任何疑问或者困难都可以随时获得解答,在同行旅客需要帮助时也有机会伸以援手。

虽然在网络上看到很多对该功能由褒贬不一的各种言论,但以笔者自身的体验来说,在飞机上搭讪并非一个那么合适的场合,如《爱在黎明破晓前》里火车上邂逅的浪漫爱情故事,换做是在飞机上可能就不可能发生了。

而且对于乘客来说,航旅纵横定位于工具类应用,围绕飞机、航班的社交总感觉有些尴尬。上一个典型想做社交的是支付宝,我们不想要一个“围绕钱的社交圈”,我想对于航旅纵横这个道理同样适用。

另外,有一点是非常值得商榷的。那就是航旅纵横添加这一功能后并没有明确告知用户,而且用户展示个人主页、飞行热力图、私聊等功能都是默认开启的。没经过用户同意就公开一些信息,大多就是如此。

笔者选择一次行程去查看,几乎一整个机场100+名乘客,99%的个人主页开启,且以“游客”昵称展示,另外1%就是我自己。也就是说,绝大部分人是根本不知道该功能,也并没有进行任何设置。

9745f64cly1fs8d0t89vwj20p00jgted.jpg

在6月12日下午,也许是媒体报道之后的事件持续发酵,航旅纵横继续针对这些新功能做出调整,将虚拟个人主页设置为默认关闭状态。截至笔者发稿之时,所有“游客”昵称的用户主页都被隐藏,除了头像、昵称之外,无法查看任何信息。

社交圈的魔力太大,跨行需谨慎

至此,航旅纵横隐私事件应该差不多可以告一段落了,我宁愿相信开发者的初衷是积极的,只是想让乘客之前有一个互相求助的通道。但奈何沾上了社交圈的属性……

社交确实具有非常大的诱惑力,腾讯依靠QQ、微信成为国内互联网巨头,而且依然保持着强劲的势头。即便被吐槽,支付宝也拼命打造自己的社交圈;超级课程表大学校园的网红APP,也迅速加入社交功能,这样的例子是在太多太多。无非一点,社交能够增强用户粘性。现如今如果哪一款网游没有一定的社交功能,它可能都不是一款合格的网游。

不说人们已经不那么需要新的社交工具,近几年发生的信息泄露事件也足以让大多数人多了一些警惕,社交圈提供了互相沟通的渠道,同样也提供了互相泄露的途径。强如Facebook也在数据隐私面前大跌一跤,腾讯的微信始终摆脱不了“是否上传聊天记录”的质疑。

我宁愿支付宝永远只是一个单纯的支付工具,航旅纵横永远只是一个单纯的航班管理工具,超级课程表永远只是一个单纯的能够查看大学课表、查看成绩的APP,但似乎总是事与愿违……

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

# 航旅纵横 # 数据隐私
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者