透視網(wǎng)絡(luò)黑產(chǎn)系列之“個(gè)人信息泄露”光明網(wǎng)記者 李政葳回顧過(guò)去的2018年諸多熱點(diǎn)輿情事件����,支付寶賬單默認(rèn)勾選�����、Facebook 8700萬(wàn)用戶數(shù)據(jù)泄露�����、華住旗下酒店1.3億用戶數(shù)據(jù)泄露����、常州大學(xué)生個(gè)人信息泄露“被入職”��、花總曝光酒店亂象導(dǎo)致個(gè)人信息泄露等備受關(guān)注��。
在近日舉辦的2018個(gè)人信息安全大會(huì)暨“啄木鳥(niǎo)安全獎(jiǎng)”頒獎(jiǎng)典禮上�,南方都市報(bào)個(gè)人信息保護(hù)研究中心發(fā)布的《2018個(gè)人信息保護(hù)年度報(bào)告》,對(duì)購(gòu)物�、金融、交通����、社交等十大行業(yè)的1000款常用App隱私政策進(jìn)行測(cè)評(píng)����,顯示只有13款達(dá)到隱私政策透明度高的層級(jí)�����;透明度“不及格”的App數(shù)量超七成�����,透明度低的App高達(dá)538款&helpp;&helpp;一線安全領(lǐng)域從業(yè)者反詐騙和用戶隱私防護(hù)現(xiàn)狀如何�����?互聯(lián)網(wǎng)企業(yè)隱私政策改版過(guò)程中���,如何實(shí)現(xiàn)應(yīng)用合規(guī)與隱私設(shè)計(jì)的平衡?騙子為什么這么“努力”�����?原來(lái)他們的PKI指標(biāo)這么細(xì)最近有統(tǒng)計(jì)顯示�,中國(guó)網(wǎng)絡(luò)安全產(chǎn)值不到500億,但網(wǎng)絡(luò)黑灰產(chǎn)一年產(chǎn)值已達(dá)上千億。
當(dāng)在互聯(lián)網(wǎng)另一端的詐騙分子比你還“努力”�,反詐騙如何修成正果?“大家有沒(méi)有想過(guò)詐騙分子如何工作���?怎么樣才算一個(gè)‘好’的騙子�?是每天電話打得最多�����,還是騙到人最多����,或是詐騙手法最新穎?”知道創(chuàng)宇反詐騙技術(shù)專家潘少華拋出了一系列疑問(wèn)�。
他舉例說(shuō),之前有一個(gè)境外詐騙團(tuán)伙��,專門(mén)打著IT公司名義�,在武漢招聘應(yīng)屆生,并稱直接派出國(guó)培訓(xùn)���。
畢業(yè)生開(kāi)始都覺(jué)得高大上�����,結(jié)果出國(guó)后發(fā)現(xiàn)是讓員工每天編寫(xiě)詐騙劇本��,而且有嚴(yán)格的管理指標(biāo)��、相互之間需要競(jìng)爭(zhēng)��,最終要看團(tuán)伙的實(shí)際“產(chǎn)出”��。
網(wǎng)絡(luò)黑灰產(chǎn)使用的貓池工具��,可同時(shí)接受多個(gè)用戶撥號(hào)連接的設(shè)備(李政葳/攝)“有些不法分子文案寫(xiě)得不錯(cuò)�����,接電話的人很多�,但個(gè)人精力有限,一分鐘只能接一個(gè)單��,與一百個(gè)人深度交流后只騙到了一兩個(gè)人�����;有的只聊了兩三個(gè)人聊���,但每一單都轉(zhuǎn)化了�。”兩者相比���,誰(shuí)更厲害���?潘定華坦言,詐騙團(tuán)伙很直接�,只有騙到錢(qián)才算,所以更關(guān)注具體指標(biāo)�,“騙子的PKI指標(biāo)做的很細(xì),指標(biāo)高會(huì)給給發(fā)房����、發(fā)車,這可能是直接的驅(qū)動(dòng)力����。”另外,潘少華提到����,早些年他們?cè)鴧f(xié)助某單位破獲的一起大型犯罪團(tuán)伙,成員有數(shù)百人�,分工嚴(yán)密、按績(jī)效考核���,涉案金額數(shù)十億���,分為劇本組��、技術(shù)組����、電話組等���。
其中����,劇本組負(fù)責(zé)根據(jù)手頭資源集思廣益�,設(shè)計(jì)各類場(chǎng)景,比如����,冒充公檢法、機(jī)票改簽����、電商退貨等;技術(shù)組負(fù)責(zé)在黑市采購(gòu)公民隱私數(shù)據(jù)�、購(gòu)買(mǎi)作案裝備、開(kāi)發(fā)部署詐騙網(wǎng)站和App��、發(fā)送詐騙短信等���;電話組根據(jù)業(yè)務(wù)分組每天撥打海量電話�����。“所以大家不要覺(jué)得騙子怎么那么傻�,電話里有那么濃的口音��,其實(shí)只是為了快速把你過(guò)濾掉�,每個(gè)聽(tīng)起來(lái)‘傻傻’的騙子,背后都有一個(gè)團(tuán)隊(duì)拿著用戶資料在研究怎么突破你的心理防線�����。”潘定華說(shuō)���。魔高一尺����,道高一丈�����。詐騙分子這么拼,反詐騙人員也很拼��。“電話反詐騙有一個(gè)尷尬的地方���,出于多種因素考慮�����,不能直接在運(yùn)營(yíng)商里攔截阻斷詐騙電話��。”潘定華說(shuō)�,很多時(shí)候詐騙分子會(huì)讓受害人一直不掛機(jī)��,直到完成打錢(qián)操作�。
這種情況下,公安民警就沒(méi)辦法即時(shí)通知受害人����,甚至警察上門(mén)后,人們也還以為警察是壞人���,因?yàn)轵_子已通過(guò)整套話術(shù)進(jìn)行了洗腦�。
在潘定華等網(wǎng)絡(luò)安全一線從業(yè)者看來(lái),希望在詐騙案剛在發(fā)生時(shí)���,甚至還沒(méi)有發(fā)生時(shí),就能及時(shí)地阻斷���。“近兩年��,我們?cè)诟鶕?jù)既有案件和大數(shù)據(jù)平臺(tái)情報(bào)���,進(jìn)行建模訓(xùn)練。比如�,可以配合相關(guān)機(jī)構(gòu)進(jìn)到黑灰產(chǎn)后臺(tái),看他們已騙了哪些用戶��、哪些數(shù)據(jù)��,也能掌握嫌疑人的一些公共信息”�����。
數(shù)據(jù)不上傳就不會(huì)泄露����?未必����!還有大數(shù)據(jù)挖掘測(cè)算多年從事信息安全工作的楊更��,創(chuàng)業(yè)之前曾在亞馬遜(中國(guó))����、美團(tuán)、小米等擔(dān)任過(guò)首席安全官�。“人們沒(méi)聽(tīng)說(shuō)過(guò)我,是一件好事�����,說(shuō)明我服務(wù)過(guò)的公司都沒(méi)出現(xiàn)過(guò)重大安全事件����。”在楊更看來(lái),網(wǎng)絡(luò)安全防御領(lǐng)域沒(méi)有消息��,其實(shí)是最好的消息���。“從業(yè)18年得到了一個(gè)略有‘悲哀’結(jié)果:用戶的所有線上信息都會(huì)泄露���。如果擔(dān)心泄露��,‘小秘密’就不上傳��,也不行����,因?yàn)楝F(xiàn)在有了大數(shù)據(jù)挖掘���。”楊更舉例,F(xiàn)acebook早在2007年就能根據(jù)用戶社交關(guān)系測(cè)算用戶性傾向���;去年紐約大學(xué)研究員也發(fā)現(xiàn)���,靠點(diǎn)贊也能測(cè)算出用戶性傾向。“也就是說(shuō)���,你根本沒(méi)上傳過(guò)信息�����,靠大數(shù)據(jù)挖掘�����,也都可以被挖出來(lái)”���。
對(duì)用戶而言�,最重要的數(shù)據(jù)是什么�?“可能你覺(jué)得是密碼,因?yàn)檫@是打開(kāi)其他數(shù)據(jù)大門(mén)的鑰匙���。
可當(dāng)你還在為自己的密碼規(guī)則沾沾自喜時(shí)��,你的郵箱���、iCloud、銀行卡等密碼可能早已泄漏�,當(dāng)黑客攻擊你時(shí)、詐騙集團(tuán)忽悠你時(shí)��、廣告主騷擾你時(shí)��,他們根本不關(guān)心你是誰(shuí)��,在他們眼里�����,你只是一行數(shù)據(jù)。”在楊更看來(lái)����,以上種種,是日益增長(zhǎng)的個(gè)人隱私保護(hù)需求和不平衡�、不充分的個(gè)人隱私保護(hù)能力之間的矛盾。“普通網(wǎng)民與擁有大數(shù)據(jù)能力的攻擊者完全不是一個(gè)對(duì)等的存在����,這是互聯(lián)網(wǎng)世界的‘降維打擊’,也是隱私泄露時(shí)代的‘黑暗森林’����。”作為網(wǎng)絡(luò)安全工程師���,楊更自己一直嚴(yán)格管理個(gè)人密碼管理器���,所有攝像頭全部用黑塑料遮擋,用時(shí)才打開(kāi)����,但顯然對(duì)于多數(shù)人來(lái)說(shuō)����,很難做到���。“要想改變隱私保護(hù)的現(xiàn)狀���,光靠技術(shù)手段遠(yuǎn)遠(yuǎn)不夠。
需要法律圈��、媒體圈���、技術(shù)圈��、投資圈����,特別是用戶圈��,形成一股對(duì)隱私高度重視的力量���。”楊更認(rèn)為����,如果有更多用戶注重隱私保護(hù),就會(huì)有勇敢的投資者進(jìn)入這個(gè)賽道�����,從而吸引更多創(chuàng)業(yè)者����,打造出隱私保護(hù)行業(yè)的良性生態(tài)。
隱私細(xì)則不是越長(zhǎng)越好�����,用戶體驗(yàn)與數(shù)據(jù)合規(guī)已不再是“二選一”在過(guò)去的2018年�����,用戶隱私政策法規(guī)相較前一年嚴(yán)格了不少��,這次南方都市報(bào)個(gè)人信息保護(hù)研究中心測(cè)評(píng)顯示���,被測(cè)App的隱私政策透明度大幅躍升,還有不少App開(kāi)始嘗試視頻����、圖文����、表格�����、摘要等創(chuàng)新性的隱私設(shè)計(jì)���,騰訊和百度還上線了隱私保護(hù)平臺(tái)����,詳解旗下多款熱門(mén)產(chǎn)品的隱私設(shè)計(jì)��。
其實(shí)����,對(duì)于很多互聯(lián)網(wǎng)企業(yè)而言,移動(dòng)應(yīng)用的隱私政策多是從0到1����,尤其在隱私政策剛開(kāi)始出現(xiàn)時(shí),多是簡(jiǎn)短的一段話且內(nèi)容含糊�����。
讓知乎法務(wù)部門(mén)一帆記憶猶新的是,2018年4月知乎隱私政策修改時(shí)�����,曾一度引爆輿論���、差評(píng)如潮�����;8月底接到知乎進(jìn)入隱私政策評(píng)審名單的通知�����,需要在10月底前完成修改��。“當(dāng)時(shí)首先考慮的是產(chǎn)品特性�,沒(méi)考慮不同平臺(tái)對(duì)數(shù)據(jù)信息的使用��、管理����、收集的特性���。”在門(mén)一帆等人看來(lái)�����,知乎首先是內(nèi)容平臺(tái)���,并不需要那么多用戶信息�����,也沒(méi)有收集那么多信息�。
最后�,他們?cè)O(shè)計(jì)了兩個(gè)彈窗,先做隱私保護(hù)指引概要�,讓用戶選擇同意或不同意;當(dāng)用戶勾選不同意時(shí)�,再給用戶第二次選擇權(quán),如還需要用知乎�����,就進(jìn)入僅瀏覽模式�。
事實(shí)上,10月底上線的這個(gè)版本,是門(mén)一帆等修改的第20次稿��。
這里面到底寫(xiě)了哪些內(nèi)容�?“第一版不到6000字,第二版16000字�,還不包括Cookie指引和對(duì)難懂政策的解釋。”門(mén)一帆解釋說(shuō)���,一是個(gè)人信息保護(hù)的要求提高了�,產(chǎn)品需要給用戶更多權(quán)利�����,也需要把權(quán)利說(shuō)明白��;二是產(chǎn)品功能變復(fù)雜了�,小產(chǎn)品、小功能會(huì)有上百個(gè)���,且之間還會(huì)相互交叉��、信息共用���。“實(shí)際上16000字還沒(méi)寫(xiě)完�,但已經(jīng)不能再寫(xiě)了���,不要說(shuō)用戶看了會(huì)很痛苦,我們自己看都很痛苦���。”在她看來(lái)����,應(yīng)用的隱私政策越來(lái)越長(zhǎng)的趨勢(shì)是不對(duì)的���,需要思考�����,是否可以通過(guò)其他方式改進(jìn)�����。
用戶體驗(yàn)和數(shù)據(jù)合規(guī)是不是必須“二選一”�,魚(yú)和熊掌能不能兼得�?如果放在一年前,門(mén)一帆可能會(huì)說(shuō)“是”�����,但經(jīng)過(guò)這一年數(shù)據(jù)合規(guī)的風(fēng)暴后,她坦言:“數(shù)據(jù)合規(guī)已成為了用戶體驗(yàn)的一部分�,而且是至關(guān)重要的一部分。”讓她感受深刻地是�,現(xiàn)在法務(wù)也要站在“前臺(tái)”,引領(lǐng)產(chǎn)品的合規(guī)�����,有權(quán)利�����、有機(jī)會(huì)與技術(shù)部門(mén)站在一線���。“法務(wù)首先應(yīng)當(dāng)尊重技術(shù)��、關(guān)注技術(shù)�����。
既要意識(shí)到技術(shù)的重要性����,也要理解技術(shù)的局限性,法律可以用來(lái)指引技術(shù)���,但是不能替代技術(shù)��,也無(wú)法突破當(dāng)下技術(shù)水平的限制。”在不少業(yè)界人士看來(lái)����,個(gè)人信息泄露事件已經(jīng)成了“高空拋物”,高樓扔下來(lái)東西后�����,怎么去追責(zé)�����?樓上每個(gè)居民都要證明那天不在家或窗戶封死了����。“個(gè)人信息泄露如果是一個(gè)木桶的話,中間各個(gè)環(huán)節(jié)都要爭(zhēng)當(dāng)長(zhǎng)板����,這樣個(gè)人信息才會(huì)更安全”��。
