文|硅兔賽跑 Amelie
編輯|Juni
萬(wàn)物之始,大道至簡(jiǎn)?!兜赖陆?jīng)》里的處世哲理名言卻并不適用于密碼學(xué)中。
近日,Twitter在其隱私中心發(fā)布聲明,確認(rèn)此前被曝出的540萬(wàn)個(gè)賬戶信息泄露事件確實(shí)存在。而在這540萬(wàn)個(gè)賬戶里,還有不少“名人”和“公司”賬戶,這意味著你知道某人的電子郵件地址或電話號(hào)碼就可能可以查到相關(guān)的Twitter賬戶,以及電話號(hào)碼、公開的個(gè)人資料信息,并可以與真實(shí)的人相匹配。而修復(fù)這個(gè)漏洞,則需要6個(gè)月的時(shí)間。
圖源:Restore Privacy
一個(gè)社交媒體賬戶,怎么會(huì)引起軒然大波?因?yàn)樵谶@個(gè)大數(shù)據(jù)統(tǒng)領(lǐng)時(shí)代,信息即一切。你的消費(fèi)記錄,你的觀看記錄,你的過(guò)往言論……這些數(shù)據(jù)代表了你的生活狀態(tài),而當(dāng)大量用戶數(shù)據(jù)與個(gè)人選擇匯集在一起時(shí),某些人就有能力來(lái)插手你的生活,成為幫你做出選擇的“藏鏡人”。
這不是危言聳聽。
即便你逃脫了保險(xiǎn)推銷電話三不五時(shí)地打擾,也識(shí)破了詐騙電話那巧舌如簧的謊言,但那些根據(jù)數(shù)據(jù)生成的投放廣告可會(huì)在無(wú)形當(dāng)中摸清你的脾氣性格,在每個(gè)廣告位精準(zhǔn)地將商家的商品推送給你,讓你“只買貴的,不買對(duì)的”,從引導(dǎo),到轉(zhuǎn)化,再到成交,你的每一步都踩在這些用數(shù)據(jù)編制的陷阱里。你的每個(gè)決定,都是他讓你做的。
對(duì)于個(gè)人尚且如此,對(duì)公司戰(zhàn)略和國(guó)家發(fā)展等宏觀議題,數(shù)據(jù)安全也異常重要。且不說(shuō)用戶數(shù)據(jù)庫(kù)泄露對(duì)公司品牌形象與用戶忠誠(chéng)度的消極影響,就說(shuō)當(dāng)公司戰(zhàn)略機(jī)密泄露,所帶來(lái)的連鎖損失,也是一個(gè)讓人心驚肉跳的數(shù)字。
在國(guó)家層面上,“懂王”特朗普上臺(tái)之時(shí)就有"劍橋分析"(Cambridge Analytica)被指利用社交媒體臉書約5000萬(wàn)人的用戶數(shù)據(jù),影響英國(guó)2016年脫歐公投,美國(guó)2016年大選,帶來(lái)的震撼波,余音未消。
在全球語(yǔ)境下,人們對(duì)于數(shù)據(jù)隱私安全都異常重視,但令人感到惋惜的是,在全球化異常發(fā)達(dá)的今時(shí)今日,人們對(duì)于數(shù)據(jù)安全仍然沒(méi)有一個(gè)通用的監(jiān)管標(biāo)準(zhǔn)。
01 數(shù)據(jù)泄露就在我們身邊
數(shù)據(jù)泄露早已不是什么新鮮事。
兩個(gè)月以前,芯片大廠AMD公司450Gb數(shù)據(jù)泄露事件被曝光。而黑進(jìn)其內(nèi)部系統(tǒng)的黑客聲稱,破譯AMD內(nèi)部員工設(shè)置的登陸權(quán)限密碼只用了不到5分鐘。這并非用了什么高科技的黑客技術(shù),相反,只是因?yàn)锳MD員工設(shè)置的密碼過(guò)于簡(jiǎn)單,簡(jiǎn)單到直接用“password”“123456”這種毫無(wú)腦回路的排列組合做密碼。
圖源:Twitter
五個(gè)月以前,美國(guó)征信巨頭TransUnion的南非分公司遭到巴西黑客團(tuán)伙N4aughtysecTU的網(wǎng)絡(luò)襲擊,黑客入侵成功用到的密碼,同樣就是“password”,破解用時(shí)只有幾秒鐘。黑客因?yàn)閱T工使用如此簡(jiǎn)單的密碼成功地獲取了5400萬(wàn)消費(fèi)者的個(gè)人信息,其總數(shù)據(jù)量約達(dá)4TB。
互聯(lián)網(wǎng)時(shí)代技術(shù)一直都在更新迭代,同樣與時(shí)俱進(jìn)的還有各種黑客技術(shù)。我們?cè)诰韬诳腿肭謺r(shí),也需要思考數(shù)據(jù)安全的意識(shí)是否跟上了網(wǎng)絡(luò)日新月異進(jìn)化的矯健步伐。
它就像疫情一樣,伴隨著各行業(yè)的數(shù)字化轉(zhuǎn)型持續(xù)深入,一直有恃無(wú)恐、不斷沖擊企業(yè)及各個(gè)國(guó)家的安全防線,即便在這個(gè)數(shù)據(jù)安全逐步進(jìn)入法制化的強(qiáng)監(jiān)管時(shí)代下。
2022年已經(jīng)過(guò)半,最近的數(shù)據(jù)泄露國(guó)內(nèi)外大事件層出不窮:
萬(wàn)豪酒店集團(tuán)在6月證實(shí)了又一起發(fā)生在自家的數(shù)據(jù)泄露事件:黑客入侵內(nèi)部系統(tǒng)獲取了20GB的用戶數(shù)據(jù),包括顧客及員工的部分專有和個(gè)人信息、甚至酒店各部門的平均工資等。在調(diào)查后,萬(wàn)豪給出的結(jié)論是:黑客團(tuán)伙通過(guò)欺騙手段實(shí)施社會(huì)工程學(xué)攻擊(通過(guò)釣魚郵件或社交平臺(tái)進(jìn)行誘騙),順利訪問(wèn)到了一名內(nèi)部員工的計(jì)算機(jī)。黑客在拿數(shù)據(jù)敲詐未果曝光的同時(shí)還不忘吐槽萬(wàn)豪安全水平太差、進(jìn)入內(nèi)部系統(tǒng)簡(jiǎn)直毫無(wú)難度。
4月,美國(guó)知名投資公司Cash App Investing的820萬(wàn)客戶數(shù)據(jù)被泄露,泄露的信息包含客戶的全名和經(jīng)紀(jì)賬號(hào)等,而起因只是一名前員工下載了公司內(nèi)部的一份報(bào)告。
圖源:Youtube
幾乎同一時(shí)間,德克薩斯州的Baptist Medical Center醫(yī)療中心被曝同樣發(fā)生了重大的數(shù)據(jù)泄露事故,這其中涉及124萬(wàn)份個(gè)人健康安全的敏感數(shù)據(jù),其中包括不少未經(jīng)授權(quán)訪問(wèn)的患者數(shù)據(jù);
3月,美國(guó)醫(yī)療集團(tuán)Shields Health Care Group被黑客曝光,這家位于美國(guó)馬薩諸塞州的擁有數(shù)十個(gè)地區(qū)分支的醫(yī)療機(jī)構(gòu),大約200萬(wàn)包括姓名、社保號(hào)碼和保險(xiǎn)信息等的用戶資料被泄露;
圖源:WBZ
不止歐美,國(guó)內(nèi)的數(shù)據(jù)泄露事件也照樣存在:
7月,媒體報(bào)道已有至少6名交通銀行用戶被盜刷資金,每戶金額從幾萬(wàn)到幾十萬(wàn)不等,總金額超200萬(wàn)元。他們的共同點(diǎn)都是被犯罪分子誘騙,將錢存入了交通銀行,犯罪分子使用假人臉攻破了銀行“人臉識(shí)別”這一防線。
02 拿走隱私數(shù)據(jù)能干什么?
你肯定接到過(guò)那些能夠直呼你名字的騷擾電話,它們似乎對(duì)你的生活了如指掌。
在掛掉之后,每個(gè)人都不禁好奇:為什么總能收到賣房、賣車、賣保險(xiǎn)各種商家的短信、電話?為什么很多陌生人加你微信就能直接叫出你的姓名?
為什么我們用搜索引擎查詢一些關(guān)鍵詞問(wèn)題或者搜索商品之后,總能在各種購(gòu)物網(wǎng)站、視頻網(wǎng)站看到相關(guān)甚至相近的產(chǎn)品,這些看似巧合的“巧合”又是誰(shuí)在推進(jìn)的?
如果你的私人信息、日?;顒?dòng)、喜愛(ài)偏好,甚至不為人知的秘密時(shí)刻都處在被監(jiān)控之中,甚至這些數(shù)據(jù)輾轉(zhuǎn)于各大商業(yè)平臺(tái)被販賣……你作何感想?
15年前丹尼爾 沙勒夫在出版的一本書《隱私不保的年代》中,就在探討“如何在網(wǎng)絡(luò)的流言蜚語(yǔ)、人肉搜索和私密窺探中生存?”這樣的話題,15年過(guò)去了,書中很多的例子已經(jīng)過(guò)時(shí),但描述的現(xiàn)象和現(xiàn)在也相差無(wú)幾。
國(guó)內(nèi)數(shù)據(jù)泄露事件中,交通銀行卡被盜刷受害者之一的家屬馬躍說(shuō):
“當(dāng)時(shí)犯罪分子冒充公安系統(tǒng)人員說(shuō)出了我老婆的姓名、身份證號(hào)、工作單位,還有我老婆的照片,說(shuō)我們信息泄露了,賬戶風(fēng)險(xiǎn)很大,銀行卡可能存在被盜刷的風(fēng)險(xiǎn),最好去開一張交通銀行卡,國(guó)有大行安全措施比較好?!?/p>
馬躍進(jìn)而推斷出,地址在中國(guó)臺(tái)灣省的犯罪分子一定要讓受害者辦一張交通銀行的卡,而不是其他銀行,是因?yàn)榉缸锓肿影l(fā)現(xiàn)了交通銀行存在人臉識(shí)別漏洞,并利用了這一漏洞。
這個(gè)事件發(fā)生在去年6月,馬躍妻子不僅僅被泄露了個(gè)人隱私信息,還被不法分子鉆了她隱私保護(hù)的空子,偷走了交通銀行卡里的50萬(wàn)元。而她還并不是唯一的受害者,從交通銀行在2020年9月啟動(dòng)“人臉識(shí)別”技術(shù)作為登陸密碼之后的一個(gè)月,就出現(xiàn)了用戶資金被盜的情況。
拿我們的隱私數(shù)據(jù)去詐騙,這是騙子們互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代的新手段之一。
圖源:鳳凰網(wǎng)科技
總部位于紐約的軟件公司Clearview AI聲稱已經(jīng)從Facebook、YouTube和Venmo等網(wǎng)站上抓取了超過(guò) 200億張圖像,以建立一個(gè)可供付費(fèi)公司使用的大型面部識(shí)別數(shù)據(jù)庫(kù)。
這家成立于2017年的美國(guó)人臉識(shí)別公司因?yàn)槠錁I(yè)務(wù)的不討好有點(diǎn)臭名昭著,在未經(jīng)用戶同意的情況下,從公開網(wǎng)絡(luò)及社交媒體平臺(tái)上大量抓取人臉圖像和相關(guān)數(shù)據(jù),并用于創(chuàng)建其面部識(shí)別的全球在線數(shù)據(jù)庫(kù),用作自身盈利的商業(yè)用途。
盡管他們聲稱公司可以幫助警察局等執(zhí)法機(jī)構(gòu)識(shí)別人臉,提供高質(zhì)量線索,預(yù)防犯罪。但我們也知道照片標(biāo)記一旦和個(gè)人信息聯(lián)系起來(lái),人們將更容易被各種商業(yè)推銷捆綁,或者危及家庭暴力受害者或證人保護(hù)計(jì)劃中的人的生命和安全。
拿我們的隱私數(shù)據(jù)去進(jìn)行商業(yè)盈利,這也是部分資本家們獲取更多財(cái)富的新手段之一。
圖源:鳳凰網(wǎng)科技
此外,拿我們的隱私數(shù)據(jù)用來(lái)推銷保險(xiǎn)理財(cái)?shù)榷喾N業(yè)務(wù)、虛假注冊(cè)騙政策補(bǔ)貼,用數(shù)據(jù)隱私來(lái)引流個(gè)性化廣告賺廣告費(fèi)等情況,也不勝枚舉。
03 守護(hù)隱私也是監(jiān)視自衛(wèi)
從Verizon發(fā)布的2022數(shù)據(jù)泄露調(diào)查報(bào)告中可以看到,82%的數(shù)據(jù)泄露涉及“人的因素”,包括社會(huì)工程學(xué)攻擊、網(wǎng)絡(luò)釣魚、勒索軟件、憑據(jù)被盜、特權(quán)濫用、或純粹的人為失誤等。
在過(guò)往被入侵過(guò)的企業(yè)中,員工安全意識(shí)淡薄常常是數(shù)據(jù)遭受攻擊的突破口。
黑客最常用的手段就是利用常用密碼對(duì)網(wǎng)絡(luò)發(fā)起攻擊以獲取訪問(wèn)權(quán)限,或者利用人員安全意識(shí)不足或安全能力不足,實(shí)施社會(huì)工程學(xué)攻擊,通過(guò)釣魚郵件或社交平臺(tái)進(jìn)行誘騙。
圖源:Verizon
互聯(lián)網(wǎng)大數(shù)據(jù)的浪潮下,上網(wǎng)沖浪的每個(gè)人都應(yīng)該有責(zé)任和義務(wù),去主動(dòng)學(xué)習(xí)如何更具有防騙防入侵的能力。
密碼的設(shè)置不要太簡(jiǎn)單
不止是在工作中的網(wǎng)絡(luò)登錄入口,生活中電腦上、手機(jī)、平板上操作登錄界面提高安全意識(shí),密碼設(shè)置忌太過(guò)簡(jiǎn)單,用統(tǒng)一的密碼登錄各種不同的網(wǎng)站尤其不可取;同時(shí)也要注意防范電腦、手機(jī)這類帶有自身數(shù)據(jù)的物品丟失,避免被陌生人隨意使用;在交換、維修等場(chǎng)景下,記得提前將手機(jī)數(shù)據(jù)備份,并刪除原有數(shù)據(jù)。
關(guān)閉敏感數(shù)據(jù)收集權(quán)限
了解我們?nèi)粘2僮鞯挠布O(shè)備,尤其是上網(wǎng)端口的電腦、平板、手機(jī)等。拒絕被應(yīng)用軟件跟蹤是第一步,麥克風(fēng)、攝像頭、照片庫(kù)的權(quán)限,或者日歷、聯(lián)系人等都可以限制應(yīng)用軟件訪問(wèn)。現(xiàn)在各類功能應(yīng)用軟件眾多,如果訪問(wèn)通訊錄、照片庫(kù)和使用它本身并無(wú)多大關(guān)聯(lián),我們可以選擇關(guān)閉它的訪問(wèn)權(quán)限。
提高防詐騙的覺(jué)悟意識(shí)
正如國(guó)家反詐中心提醒我們的一樣,其實(shí)防范網(wǎng)絡(luò)詐騙只要牢記一條:凡是讓出錢的事情一律免談。網(wǎng)上沖浪,警惕透露個(gè)人信息給過(guò)于熱情的陌生人。
定期更新各類軟件系統(tǒng)
我們應(yīng)該相信軟件的迭代更新就是一次又一次的糾錯(cuò)過(guò)程,他們?cè)谔钛a(bǔ)系統(tǒng)漏洞、升級(jí)優(yōu)化使用界面的同時(shí),也是對(duì)惡意程序的防范、對(duì)用戶隱私泄露的提醒;我們定期更新軟件,就是在加固我們安全上網(wǎng)的防火墻,來(lái)應(yīng)對(duì)越來(lái)越復(fù)雜的互聯(lián)網(wǎng)上的各種沖擊。
不去過(guò)多曝光個(gè)人信息
社交網(wǎng)站上的圖片分享盡管成了很多人日常分享的習(xí)慣,但也要警惕被部分企業(yè)利用非法收集用作他途;同時(shí)網(wǎng)上購(gòu)物要慎重,不要為了貪圖便宜去點(diǎn)擊釣魚網(wǎng)站,包括各種網(wǎng)絡(luò)抽獎(jiǎng)、調(diào)查問(wèn)卷等。
科技迅猛發(fā)展的當(dāng)下,除了各種黑客針對(duì)企業(yè)的網(wǎng)絡(luò)攻擊有備而來(lái),科技公司們一面聲稱關(guān)心每個(gè)用戶的隱私,一面又從沒(méi)放緩他們收集用戶信息的方式。更多時(shí)候,我們也在不自覺(jué)中以犧牲個(gè)人信息的代價(jià)去換取看似免費(fèi)的各項(xiàng)軟件應(yīng)用的服務(wù)。
但自始至終,在互聯(lián)網(wǎng)世界里,網(wǎng)絡(luò)攻防從來(lái)都是沒(méi)有硝煙和終局的戰(zhàn)爭(zhēng),黑客之于企業(yè)、企業(yè)之于用戶都在相互博弈中進(jìn)化。要保障各自信息的安全,我們就應(yīng)該時(shí)刻保持警惕,從策略、技術(shù)、心理等各方面做好準(zhǔn)備。
我們都知道,自從去年蘋果手機(jī)的隱私新規(guī)生效后,絕大部分用戶都拒絕了被手機(jī)應(yīng)用程序跟蹤,蘋果在這方面先發(fā)制人贏得了用戶很大一部分好感的同時(shí),也告訴我們,用戶的隱私是何等重要,每個(gè)人都應(yīng)該有對(duì)數(shù)據(jù)抓取直面說(shuō)“NO”的勇氣。
圖源:Apple
但這明顯也動(dòng)了不少科技公司的蛋糕,比如之前靠支持靶向廣告營(yíng)收的Meta,用戶的拒絕被跟蹤間接讓Facebook損失近100億美元的年收入,而這僅僅只是開始。
馬克·扎克伯格在2010年說(shuō):“你已經(jīng)沒(méi)有隱私了??朔朔?!”12年之后,我們斬?cái)嗔耸謾C(jī)跟蹤服務(wù),也一并斬?cái)嗔嗽瞬裨趶V告業(yè)務(wù)上的財(cái)路。保護(hù)隱私的路還長(zhǎng),我們也不必過(guò)于悲觀,時(shí)代在變,層出不窮的新技術(shù)也會(huì)為我們帶來(lái)多種可能性。
這也并非只是個(gè)人的責(zé)任。只有每個(gè)人重視并在意個(gè)人隱私保護(hù),科技公司們才會(huì)放下先前的商業(yè)企圖心,黑客們才會(huì)不去把大眾隱私作為要挾的籌碼,互聯(lián)網(wǎng)世界才會(huì)趨于正向循環(huán),往更好的方向優(yōu)勝劣汰。
參考來(lái)源:
AMD Investigating Data Breach by RansomHouse Cyber Extortion Group.(CPO Magazine)
Wannabe Wired: How to protect your privacy online. (Swoknews)
Some Facebook users are receiving $397 checks over data privacy violations—and these tech companies could be next. (CNBC)
#2022 Data Breach Investigation Report (DBIR) | Verizon
Hacking and other healthcare breaches have exposed data of 20M patients in early 2022. (McKnights)