大公司频频发生泄密丑闻 人人都在网上“裸奔”

万物之始,大道至简。《道德经》里的处世哲理名言却并不适用于密码学中。

近日,Twitter在其隐私中心发布声明,确认此前被曝出的540万个账户信息泄露事件确实存在。而在这540万个账户里,还有不少“名人”和“公司”账户,这意味着你知道某人的电子邮件地址或电话号码就可能可以查到相关的Twitter账户,以及电话号码、公开的个人资料信息,并可以与真实的人相匹配。而修复这个漏洞,则需要6个月的时间。


图源:Restore Privacy



一个社交媒体账户,怎么会引起轩然大波?因为在这个大数据统领时代,信息即一切。你的消费记录,你的观看记录,你的过往言论……这些数据代表了你的生活状态,而当大量用户数据与个人选择汇集在一起时,某些人就有能力来插手你的生活,成为帮你做出选择的“藏镜人”。

这不是危言耸听。

即便你逃脱了保险推销电话三不五时地打扰,也识破了诈骗电话那巧舌如簧的谎言,但那些根据数据生成的投放广告可会在无形当中摸清你的脾气性格,在每个广告位精准地将商家的商品推送给你,让你“只买贵的,不买对的”,从引导,到转化,再到成交,你的每一步都踩在这些用数据编制的陷阱里。你的每个决定,都是他让你做的。

对于个人尚且如此,对公司战略和国家发展等宏观议题,数据安全也异常重要。且不说用户数据库泄露对公司品牌形象与用户忠诚度的消极影响,就说当公司战略机密泄露,所带来的连锁损失,也是一个让人心惊肉跳的数字。

在国家层面上,“懂王”特朗普上台之时就有"剑桥分析"(Cambridge Analytica)被指利用社交媒体脸书约5000万人的用户数据,影响英国2016年脱欧公投,美国2016年大选,带来的震撼波,余音未消。

在全球语境下,人们对于数据隐私安全都异常重视,但令人感到惋惜的是,在全球化异常发达的今时今日,人们对于数据安全仍然没有一个通用的监管标准。


01

数据泄露就在我们身边

数据泄露早已不是什么新鲜事。

两个月以前,芯片大厂AMD公司450Gb数据泄露事件被曝光。而黑进其内部系统的黑客声称,破译AMD内部员工设置的登陆权限密码只用了不到5分钟。这并非用了什么高科技的黑客技术,相反,只是因为AMD员工设置的密码过于简单,简单到直接用“password”“123456”这种毫无脑回路的排列组合做密码。


图源:Twitter



五个月以前,美国征信巨头TransUnion的南非分公司遭到巴西黑客团伙N4aughtysecTU的网络袭击,黑客入侵成功用到的密码,同样就是“password”,破解用时只有几秒钟。黑客因为员工使用如此简单的密码成功地获取了5400万消费者的个人信息,其总数据量约达4TB。



图源:Twitter

互联网时代技术一直都在更新迭代,同样与时俱进的还有各种黑客技术。我们在警惕黑客入侵时,也需要思考数据安全的意识是否跟上了网络日新月异进化的矫健步伐。

它就像疫情一样,伴随着各行业的数字化转型持续深入,一直有恃无恐、不断冲击企业及各个国家的安全防线,即便在这个数据安全逐步进入法制化的强监管时代下。

2022年已经过半,最近的数据泄露国内外大事件层出不穷:

万豪酒店集团在6月证实了又一起发生在自家的数据泄露事件:黑客入侵内部系统获取了20GB的用户数据,包括顾客及员工的部分专有和个人信息、甚至酒店各部门的平均工资等。在调查后,万豪给出的结论是:黑客团伙通过欺骗手段实施社会工程学攻击(通过钓鱼邮件或社交平台进行诱骗),顺利访问到了一名内部员工的计算机。黑客在拿数据敲诈未果曝光的同时还不忘吐槽万豪安全水平太差、进入内部系统简直毫无难度。



图源:WSJ

4月,美国知名投资公司Cash App Investing的820万客户数据被泄露,泄露的信息包含客户的全名和经纪账号等,而起因只是一名前员工下载了公司内部的一份报告。



图源:Youtube

几乎同一时间,德克萨斯州的Baptist Medical Center医疗中心被曝同样发生了重大的数据泄露事故,这其中涉及124万份个人健康安全的敏感数据,其中包括不少未经授权访问的患者数据;

3月,美国医疗集团Shields Health Care Group被黑客曝光,这家位于美国马萨诸塞州的拥有数十个地区分支的医疗机构,大约200万包括姓名、社保号码和保险信息等的用户资料被泄露;


图源:WBZ

不止欧美,国内的数据泄露事件也照样存在:

7月,媒体报道已有至少6名交通银行用户被盗刷资金,每户金额从几万到几十万不等,总金额超200万元。他们的共同点都是被犯罪分子诱骗,将钱存入了交通银行,犯罪分子使用假人脸攻破了银行“人脸识别”这一防线;

6月,大学生学习软件超星学习通被曝数据库信息泄露,其中包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私,泄露数据高达1.7亿条,并且在境外平台被公开售卖,引发社会各界强烈关注和讨论。



图源:weibo


02

拿走隐私数据能干什么

你肯定接到过那些能够直呼你名字的骚扰电话,它们似乎对你的生活了如指掌。

在挂掉之后,每个人都不禁好奇:为什么总能收到卖房、卖车、卖保险各种商家的短信、电话?为什么很多陌生人加你微信就能直接叫出你的姓名?

为什么我们用搜索引擎查询一些关键词问题或者搜索商品之后,总能在各种购物网站、视频网站看到相关甚至相近的产品,这些看似巧合的“巧合”又是谁在推进的?

如果你的私人信息、日常活动、喜爱偏好,甚至不为人知的秘密时刻都处在被监控之中,甚至这些数据辗转于各大商业平台被贩卖……你作何感想?

15年前丹尼尔•沙勒夫在出版的一本书《隐私不保的年代》中,就在探讨“如何在网络的流言蜚语、人肉搜索和私密窥探中生存?”这样的话题,15年过去了,书中很多的例子已经过时,但描述的现象和现在也相差无几。



图源:Goodreads

国内数据泄露事件中,交通银行卡被盗刷受害者之一的家属马跃说:

“当时犯罪分子冒充公安系统人员说出了我老婆的姓名、身份证号、工作单位,还有我老婆的照片,说我们信息泄露了,账户风险很大,银行卡可能存在被盗刷的风险,最好去开一张交通银行卡,国有大行安全措施比较好。”

马跃进而推断出,地址在中国台湾省的犯罪分子一定要让受害者办一张交通银行的卡,而不是其他银行,是因为犯罪分子发现了交通银行存在人脸识别漏洞,并利用了这一漏洞。

这个事件发生在去年6月,马跃妻子不仅仅被泄露了个人隐私信息,还被不法分子钻了她隐私保护的空子,偷走了交通银行卡里的50万元。而她还并不是唯一的受害者,从交通银行在2020年9月启动“人脸识别”技术作为登陆密码之后的一个月,就出现了用户资金被盗的情况。

拿我们的隐私数据去诈骗,这是骗子们互联网大数据时代的新手段之一。


图源:凤凰网科技

总部位于纽约的软件公司Clearview AI声称已经从Facebook、YouTube和Venmo等网站上抓取了超过 200亿张图像,以建立一个可供付费公司使用的大型面部识别数据库。

这家成立于2017年的美国人脸识别公司因为其业务的不讨好有点臭名昭著,在未经用户同意的情况下,从公开网络及社交媒体平台上大量抓取人脸图像和相关数据,并用于创建其面部识别的全球在线数据库,用作自身盈利的商业用途。

尽管他们声称公司可以帮助警察局等执法机构识别人脸,提供高质量线索,预防犯罪。但我们也知道照片标记一旦和个人信息联系起来,人们将更容易被各种商业推销捆绑,或者危及家庭暴力受害者或证人保护计划中的人的生命和安全。

拿我们的隐私数据去进行商业盈利,这也是部分资本家们获取更多财富的新手段之一。


图源:凤凰网科技



此外,拿我们的隐私数据用来推销保险理财等多种业务、虚假注册骗政策补贴,用数据隐私来引流个性化广告赚广告费等情况,也不胜枚举。


03

守护隐私也是监视自卫



从Verizon发布的2022数据泄露调查报告中可以看到,82%的数据泄露涉及“人的因素”,包括社会工程学攻击、网络钓鱼、勒索软件、凭据被盗、特权滥用、或纯粹的人为失误等。

在过往被入侵过的企业中,员工安全意识淡薄常常是数据遭受攻击的突破口。

黑客最常用的手段就是利用常用密码对网络发起攻击以获取访问权限,或者利用人员安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗。



图源:Verizon



互联网大数据的浪潮下,上网冲浪的每个人都应该有责任和义务,去主动学习如何更具有防骗防入侵的能力。


密码的设置不要太简单

不止是在工作中的网络登录入口,生活中电脑上、手机、平板上操作登录界面提高安全意识,密码设置忌太过简单,用统一的密码登录各种不同的网站尤其不可取;同时也要注意防范电脑、手机这类带有自身数据的物品丢失,避免被陌生人随意使用;在交换、维修等场景下,记得提前将手机数据备份,并删除原有数据。



关闭敏感数据收集权限



了解我们日常操作的硬件设备,尤其是上网端口的电脑、平板、手机等。拒绝被应用软件跟踪是第一步,麦克风、摄像头、照片库的权限,或者日历、联系人等都可以限制应用软件访问。现在各类功能应用软件众多,如果访问通讯录、照片库和使用它本身并无多大关联,我们可以选择关闭它的访问权限。


提高防诈骗的觉悟意识

正如国家反诈中心提醒我们的一样,其实防范网络诈骗只要牢记一条:凡是让出钱的事情一律免谈。网上冲浪,警惕透露个人信息给过于热情的陌生人。


定期更新各类软件系统

我们应该相信软件的迭代更新就是一次又一次的纠错过程,他们在填补系统漏洞、升级优化使用界面的同时,也是对恶意程序的防范、对用户隐私泄露的提醒;我们定期更新软件,就是在加固我们安全上网的防火墙,来应对越来越复杂的互联网上的各种冲击。


不去过多曝光个人信息



社交网站上的图片分享尽管成了很多人日常分享的习惯,但也要警惕被部分企业利用非法收集用作他途;同时网上购物要慎重,不要为了贪图便宜去点击钓鱼网站,包括各种网络抽奖、调查问卷等。


图源:Twitter



科技迅猛发展的当下,除了各种黑客针对企业的网络攻击有备而来,科技公司们一面声称关心每个用户的隐私,一面又从没放缓他们收集用户信息的方式。更多时候,我们也在不自觉中以牺牲个人信息的代价去换取看似免费的各项软件应用的服务。

但自始至终,在互联网世界里,网络攻防从来都是没有硝烟和终局的战争,黑客之于企业、企业之于用户都在相互博弈中进化。要保障各自信息的安全,我们就应该时刻保持警惕,从策略、技术、心理等各方面做好准备。

我们都知道,自从去年苹果手机的隐私新规生效后,绝大部分用户都拒绝了被手机应用程序跟踪,苹果在这方面先发制人赢得了用户很大一部分好感的同时,也告诉我们,用户的隐私是何等重要,每个人都应该有对数据抓取直面说“NO”的勇气。



图源:Apple



但这明显也动了不少科技公司的蛋糕,比如之前靠支持靶向广告营收的Meta,用户的拒绝被跟踪间接让Facebook损失近100亿美元的年收入,而这仅仅只是开始。

马克·扎克伯格在2010年说:“你已经没有隐私了。克服克服吧!”12年之后,我们斩断了手机跟踪服务,也一并斩断了扎克伯格在广告业务上的财路。保护隐私的路还长,我们也不必过于悲观,时代在变,层出不穷的新技术也会为我们带来多种可能性。

这也并非只是个人的责任。只有每个人重视并在意个人隐私保护,科技公司们才会放下先前的商业企图心,黑客们才会不去把大众隐私作为要挟的筹码,互联网世界才会趋于正向循环,往更好的方向优胜劣汰。

推荐阅读