随着互联网、传感器以及各种数字化终端设备的普及,一个万物互联的世界正在成型。尤其是以智能手机为首的终端设备普及使得人们的社交生活彻底数字化,人们每天在社交网络上花费的时间越来越多,产生的数据量也相应地不断增长。据IDC发布《数据时代2025》的报告显示,全球每年产生的数据将从2018年的33ZB增长到175ZB,相当于每天产生491EB的数据。我们正处在一个大数据时代,每天大量涉及个人隐私、财产信息和行为轨迹的数据在互联网上存储和传输,保护数据安全的重要性不言而喻。然而,近年来,大规模数据泄露事件层出不穷,不断引发社会各界对网络安全的担忧。
日前 Comparitech 的安全员 Bob Diachenko发布报告称,自己在某个出现在网络上的数据库中发现了超过 2.67 亿个 Facebook 用户的 ID、姓名和电话号码信息。据说该数据库无需密码或认证即可进入,其暴露在网上的时间已有两周之久,而且期间亦有人将其中的数据做成下载内容放到了骇客论坛上。在发现数据库后,Diachenko 向管理其服务器 IP 地址的服务供应商报告了情况。同时他也推测数据库中的信息很有可能是被非法抓取,亦或是有人在滥用 Facebook 的 API。
这已经不是 Facebook 第一次被爆数据被泄露了,今年3月21日,外媒报道,约有2亿至6亿Facebook用户的密码以纯文本方式储存。这些包含纯文本用户密码的数据元素被数千名Facebook 工程师或开发人员访问了约 900 万次,而且这些数据还能被2万多名Facebook员工搜索到。
当然这种数据泄露的问题国内外都会存在,2018年6月16日,有人在暗网开始叫卖招聘网站前程无忧(51job.com)用户信息,其中涉及195万用户求职简历,随后前程无忧方面确认部分用户账户密码被撞库。
2018年6月19日,有人公然在暗网上兜售圆通10亿条快递数据,这引发了外界的广泛关注,按照卖家的说法,这些数据是2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,都是圆通内部人士批量出售而来(只要快递单信息进入电脑他们就可以获取)。
2018年8月28日,网上突然出现了华住旗下多个连锁酒店入住信息数据售卖的行为,数据涉及5亿条的用户个人信息及入住记录,而这些泄密的数据中,包含的不少私密信息,比如身份证号、家庭住址、银行卡号等等。
2018年8月底又是在暗网上,一个ID为“bijiaodiao1688”的用户在公然售卖顺丰快递数据,其中牵扯到了3亿用户数据信息,售价是2个比特币,而这些信息中包含了寄件人、收件人的姓名、地址、电话等,为了证明数据的准确性,购买者可以选择先“验货”,验货数据量10万条,验货费用0.01个比特币。
这些层出不穷的数据泄露事件使得人们一直在担心个人隐私是否会随着互联网的发展而逐渐消失以至不存在?我想告诉大家的是一个非常沮丧的答案,大多数互联网用户只要你通过网络进行活动就没有任何隐私可言。正所谓涉密不上网,上网不涉密。对于个体用户来说,个人数据信息的产生、存储、转移和使用是不受用户个人意志的控制的,每天所使用的聊天工具、购物网站、打车软件、求职软件、地图工具、外卖软件等等都有可能收集着你的隐私,一旦平台方不小心遭遇黑客入侵或是平台或平台内有权查看数据的员工非法将这些数据贩卖从中牟利对于个体而言是毫无感知。这些数据一旦被泄露,很快就会在整个网络中传播。与此同时一些平台也在利用大数据分析个人隐私从而推出各种服务,也就是所谓的精准推送服务,更有甚者一些平台还通过大数据来“杀熟”,网络是一把双刃剑,它既能够给人们带来便捷而同时如果利用不但也能够毁了一个人。
近日央视连续报道公安系统打击“套路贷”的成果,多家头部大数据风控公司均被不同程度点名,自今年6月以来,公安部门锁定“套路贷”、“714高炮”依赖导流获客和暴力催收这两大帮凶,利用爬虫等工具,为这些“套路贷”平台爬取通讯录等个人敏感信息,并引发命案。这些非法个人信息的主要提供者,不少来自大数据风控公司。其中有一家公司杭州同盾科技有限公司利用爬虫、大数据等技术非法采集、加工个人隐私数据后,非法获利9亿多。据同盾科技2019年中E轮引资的PPT披露,2012年10月成立的同盾科技,2017年净亏损2500万元;2018年实现现金收入5.1亿元,去掉管理成本、人工成本等,利润为正;预计2019年收入为9.8亿元。
据央视新闻报道,(某公司)数据导致疑似催收死亡50人,现已证实19人;(某公司)数据导致疑似催收死亡40人,现已证实18人(见下图)
2018 年某著名搜索引擎公董事长说:“中国人更加开放,对隐私问题没那么敏感,他们愿用隐私来换便捷性跟效率,很多情况下他们是愿意这么做的,但也会遵守相应法规规则”。而事实国内对于隐私保护虽然有相应的法律法规,例如《网络安全法》。但是在实际操作中我们会发现各大厂家收集的数据范围只会越来越广,这种卑劣的行为逐渐的成为各大企业的默契,使得我们每一个人逐渐变成了透明人。大型互联网公司可以比我们自己更了解我们自己,这并不是危言耸听,比如通过你的消费记录可以判断你个人的喜好;通过你的位置信息和wifi接入点可以清晰的判断出你的位置;输入法企业通过分析输入关键词的平时和种类就会知道你的个人性格;我外卖和团购网站可以很清晰的得出你的饮食喜好;通过人脸识别解锁密码和视频聊天完全可以让你的面部信息变成了他们自己的数据,通过智能跑鞋和运动软件可以分析出你的体重步态、步频……
除了企业自身非法收集个人隐私之外,黑客入侵等导致的隐私泄露也层出不穷,而事实上仅有极少数大平台有人力和精力去完善和保护个人隐私,正如我们上面看到的各种数据泄露案例几乎都是大平台,很显然,哪怕是大平台也无法完全做到不泄露任何数据。更不要提那些小平台小公司所提供的网络服务了。归根结底还是因为各大网络服务方的背后的一个个企业实际都是由资本推动的,而资本对于隐私保护或数据安全这种非核心业务很显然并不会投入太多人力物力财力去做,同时也是出于方面监管等原因,我们就会看到各种企业数据泄露事件中会出现连密码都是明文传输的。
那么对于个人而言如何才能保证自己的隐私不会被恶意收集和爬取呢?这里我分享几点建议:
首先,遵循“最小权限”原则,当使用某一个服务时尽量只授予其最小权限,比如一个音乐软件,那就只允许其读取和写入文件,其他的录音、通话、通讯录等非必要权限一概不给,当然我们会发现很多软件如果你不给他权限就不给用户使用,对于这种行为,我强烈建议去投诉并拒绝使用他。
第二,除非确有必要,否则不必提供实名信息,在上传真实信息前,可以通过将敏感数据,例如身份证等数据进行打码,注明“仅允许办理 XXX业务使用,他用无效”等字样,防止信息泄露后被多次非法使用。
第三,在使用一些平台提供的服务时,对上传的数据进行二次加工,去除一些敏感信息,包括地理位置、家庭地址等等,对于一些敏感进行进行”打码”防止被泄露。
第四,保持“怀疑”,不要轻信任何具有诱惑力的链接,例如中奖了或者领红包之类的,防止被欺骗导致财产和隐私遭受损失。正所谓,害人之心不可有,防人之心不可无。在网络世界里,多留个心眼,从意识上保持对一切的“怀疑”,并且从心态认清“天下没有免费的午餐”。
第五,不要在多个平台使用相同用户名和密码,慎用弱密码,防止被撞库或被暴力破解,近日,网络安全公司NordPass公布2019年度最差密码列表,其中“12345”被破解280万次位居第一。NordPass 的研究表明,“最流行的密码包含显然易见且容易猜到的数字组合,比如 12345、111111、123321,还有键盘上简易组合,像 asdfghjkl、qazwsx 和1qaz2wsx 等。让人大跌眼镜的是,最明显的’password’仍然非常受欢迎,有 830846 人使用“。所谓“撞库”,即黑灰产设法攻破某一网站后,会用获取的账号密码去测试其他平台,那些多个平台用一套账号密码的用户就会中招。为确保安全,重要平台的账号密码不要与其他平台一样。如果可以,开通双因素认证。此外,长远来看,相比于简单的数字密码,指纹识别、人脸识别等生物识别是更安全的身份核验方式。生物识别从根本上解决了“撞库”风险。而如果必须要使用密码,也可以采用一些较为安全的密码管理软件,例如 1password、 lastpass等。
个人在使用互联网产品的时候要防止个人信息被悄无声息地掠夺,同时也要自身做好安全防范工作,在个人信息受到侵害的时候要果断拿起法律武器保护自己,积极为个人信息保护贡献力量。
