出品|三言财经 作者|Nancy 编辑|廖坤鹏
“谁用子弹短信,加个好友呗!”这已经不知道是朋友圈第多少个晒子弹短信二维码的同学了。
自从老罗振臂一呼,大小朋友和各类锤粉都在不停的推荐。三言君也想凑个热闹,不想却被它“任性”的隐私协议吓了一跳:我们对信息泄漏风险无法做出任何确定性的保证或承诺。
子弹短信任性的隐私协议V1.0
你在逗我吗?
有相关报道称,子弹短信的用户信息可以直接通过源代码查看。通过网址输入用户ID就可以查看该用户的网名、所在地、对应的社交账号等一相关信息,甚至在陌生人添加好友时都可以看到对方的手机号。据区块链 truth 报道,这是由于服务端存储了用户的通讯明文内容,可以通过链接的方式访问,对链接又没有做权限控制。这就等于,随意就可以查看到任何人的信息,这种漏洞很容易被人利用。
对此,子弹短信已经发布了多次声明,目前更新的《子弹短信用户协议》里也已经看不到如上的表述。且不说技术,这件事从根本上说明产品设计者在最开始做这个产品的时候,就几乎默认了用户的隐私裸奔,隐私保护意识几乎为零。
想到这,三言君的汗毛要竖起来了。
我身上没少肉、兜里没少钱、爱咋咋地吧!
这可能也是我们大多数人对待隐私信息的态度。
三言君一度吐槽手机应用不停索要授权。地图软件和外卖软件索要位置授权可以理解,要读取照片和联系人的授权就不能理解了;视频和图片软件索要读取照片的授权可以理解,但是要读取位置和通讯录的授权就不能理解了。很多软件一度流氓到如果不能同意其读取所有信息的授权就不能正常使用。
对待这种软件的办法就是卸载并拉入黑名单。但是很多人并不在意,两个指头一动,信息也就被软件公司读了去。根本上,这源于人们的隐私保护意识薄弱,觉得隐私没啥:我身上没少肉、兜里没少钱,爱咋咋地吧!
“三和大神”们也是这么想的。深圳三和人才市场有一波大神:做一天,阔以(可以)玩三天。他们对生活的态度让你很服气:没钱、打游戏、挂逼、睡大街、个把月不换衣洗澡、工作日结,不到最后一刻绝不会去工作。
图片来自网易看客,图为“三和大神”在填资料准备拿着中介给的身份证拍照片
在三和,像领取读卡器,办银行卡和做分期等灰色产业更受大神们的欢迎,钱来得快,活也轻松,就算被发现了也可以编个理由脱身。实在没办法就会变卖身份证换来几十块钱,或者去各种小贷平台借上几百上千块,然后吃上一碗加卤蛋的挂逼面,满血复活的再去网吧战斗。注意亮点,他们出卖身份信息,那么这些身份信息都用来干什么呢?
注册公司的黑中介收购了“大神”们的身份证,会利用他们的身份信息注册公司。这些公司都是为了诈骗而注册的,有些“大神”一个人就是数十家公司的法人,当然“大神”每次会收取1500-2000元的好处费。显然,这些出卖身份信息的人最后可能都是“背锅侠”。
这些身份证还可以被用来开银行卡,然后黑中介会将关联的身份证、银行卡、U盾、手机号再次转卖。这张卡会作为诈骗集团资金转账的跳板,让那些诈骗来的数百万款项如天女散花一样转到这些“三和大神”的银行卡里,再通过专门的“车手”(取款人)把这些钱取出来,转到“干净”的骗子账号。这就是为什么骗走的钱不好追回,这些人的存在就是其中一个重要的原因。
图片来自日本NHK电视台记录片《三和人才市场:中国日结100元的年轻人们》
当然,还有一些跟这些比起来“不那么起眼”的影响,比如这些身份证还会被用于到各网购、网贷平台骗贷。当然没有人会帮你还上,又一次坐实“背锅侠”,反正这些出卖身份信息的人根本不会 care 所谓的征信记录。
也许你会说,这些人是主动出卖的身份信息。那三言君就要敲黑板了:你以为互联网上被泄露出去的信息就会有好的归宿么?敢问那么多保险、推销、诈骗电话是怎么来的?
偷你的信息,神不知、鬼不觉!
桂纶镁主演的《巨额来电》取材自公安部真实备案案件。其中一个桥段是,老人接到一个声称孩子需要钱的电话后,立即把自己用来看病的钱汇到指定账户上,老人病痛难忍和得知钱被骗走的痛苦神情与骗子在千里之外晒着太阳数钱的得意神情形成鲜明对比,深深刺激着观众。三言君很气愤,但更多的是对“没有隐私保护意识”以及对“隐私保护不重视”的无力感。
相信这几天很多人被一则消息重新刷新了三观。华住集团旗下连锁酒店用户信息被曝疑似泄露,有卖家以8个比特币的标价在“暗网”打包售卖1.3亿名入住用户的数据,疑似泄露数据总数达5亿条。
卖家在“暗网”打包售卖华住集团用户隐私
是的,暗网是另一个世界(点击《11个比特币一条人命,暗网背后的真相触目惊心》)。我们所接触到的互联网是冰山一角,更多你想到和想不到的东西都能在暗网上找到,比如人命、毒品和诈骗,我们的隐私信息也夹杂其中。在暗网里,另一个我们都在裸奔!
说隐私泄露是老生常谈,从互联网开始发展就有了。当然,随着人们个人安全意识越来越高,人们会有意识的保护自己的个人隐私。但很多情况下,我们的个人信息是被动泄露的。
大大小小的网站,很多人为了便于记忆,大多会用相同或者相似的用户名和密码,因此黑客可以通过获取用户在A网站的账户来尝试登录B网站,这就是“撞库攻击”。一旦在某网站上使用了真实信息之后,黑客很容易把这些信息“撞”出来。
今年4月份,facebook 的用户信息泄露事件一度搞得沸沸扬扬,但这并不是孤例。据美国威瑞森电信公司(Verizon)发布的《2017年数据泄露调查报告》显示,在2017年的全球数据泄漏事件中,24%的数据泄露事件和金融机构有关,其次是医疗保健行业15%。75%的数据泄露是由于外部人员造成的,25%的数据泄漏则包含内部因素。而在窃取数据方式上,以黑客利用恶意软件或者直接盗取密码为主。
从外卖订单到快递信息,从交通酒店信息到各种购物和银行卡数据等,我们的个人信息分分钟都会被不法分子盯上。可怕的是,在黑客对数据进行整理后,就能了解一个人的姓名、身份证号、照片、常住住址、工作单位、常去哪里旅游、收入水平多高、喜欢买哪些东西、看什么类型的电影和书籍等等,简直比自己都了解自己。
世界的进步需要数据
但是如果我们不让别人使用我们的数据,互联网还能这么方便吗?
经常刷淘宝、新闻和视频的小伙伴想必感触很深吧。在淘宝上多看了几次衣服,下次打开首页推荐可能就是服饰类;正在网上读着新闻,旁边的跳出来的广告正是几天在京东买的零食;在视频网站上多看了几个卡通视频,再次登陆后出来的推荐必然跟你上一次的观看内容有关。
没错,这是大数据。但是你会问,这些网站怎么知道我的信息呢?
雁过留痕,所有你在某个网站上的操作都会留下痕迹,而这些痕迹都会成为你个人数据信息里的一环。互联网公司应用或者交换客户的信息已经不是新鲜事,那么问题来了,你在淘宝上留下的信息数据归属于你自己还是淘宝呢?
不善于行使权力的很多人,都没有好好想过这个问题:为什么我自己产生的信息,我还没有权利说不?学界虽然对此多有讨论,但无疾而终。
DCCI互联网数据中心创始人胡延平表示,信任成本是最高的成本。隐私和用户数据保护都处在三角之中,第一个角是开放,第二个角是安全,第三个角是更有效的服务,他们是不冲突的。
有些人担心 AI 的发展会让更多人失业,AI 为什么变的这么强大,当然是数据“喂”出来的。AI技术最大的亮点是可以自主学习,就像小冰一样,你跟她交流越多,她学习的东西就越多,她的反应就越出乎你的意料。
AI 最容易替代重复性机械的劳动,但如果想让一个机器人更精准的操作,就必须用更多的业务数据来让 AI 机器人进行学习。如果一个公司让第三方来训练 AI 机器人,那么能保证数据的安全性吗?
区块链技术能保护隐私吗?
区块链技术的出现让很多人都很兴奋,因其去中心化、公开透明、不可篡改等特点,区块链有望成为重筑社会信用体系的底层技术。
目前隐私性是区块链的瓶颈之一,无论交易信息还是智能合约都是完全透明的。那么问题来了,因为“太透明”,人们反而“不敢”让区块链处理敏感或者高价值的数据。从这个程度上来说,区块链技术的应用场景反而受到了限制。
说到这里,不得不说一些加密数据的知识。
从技术上来说,数据的加密领域主要分为三个层面:Data at rest 即存储加密,Data in transit 即通讯过程中加密,而最重要的一个是 Data at use 即加密运算。如果能将加密运算和区块链结合,那么区块链交易和智能合约隐私问题就能迎刃而解。
目前,在加密运算领域,学术上有一种处理方式是安全多方计算(Secure Multi-Party Computation)。这种技术可以保证输入的数据通过私密分享的方式,让计算节点不知道其原始数据,保证交易双方和智能合约的隐私性,实现私人智能合约。其具体应用除了智能合约,还包括数据租赁、多方数据共享等。
举个例子:身份验证。比如将个人生物信息如指纹、虹膜甚至DNA等私密数据分享到几个计算节点上,需要验证的时候可以用智能合约调用这些数据,通过加密运算网络,从而安全链接虚拟身份和真实身份。这样,需要获知信息的一方可以通过这些信息确认你的身份,但是你的真实身份并不会完全暴露。
最近热议的滴滴事件中,乘客隐私的泄露是一大问题。三言君提到,信息上链是对个人隐私最好的保护。
但这并不意味着信息全部透明化,而是可以有选择地披露个人关联信息,比如在区块链打车平台上,仅披露其驾驶证、驾龄、有无暴力犯罪及严重交通违法记录、汽车险保单等信息。被披露的信息可以经由部署在区块链上的智能合约检验,而不是直接发送给对方,避免第三方机构大量搜集用户的隐私信息。
这就是区块链目前可能做的。但是三言君还是要说,在发现更可信的处理方式之前,请尽量保护好你自己。只有我们每个人都真正意识到隐私数据的重要性,整个社会的人、整个社会的文化、整个社会的技术才会真正朝着保护隐私的方向发展。到那时,我们才会更安全。
(本文系三言财经原创文章,未经授权严禁转载)