*本文原創作者:追影人,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
前言
如今,互聯網已經與我們的生活密切融合,我們的一舉一動都會在網絡上留下蛛絲馬跡,而這些數據的泄露往往會帶來很多麻煩事。本文將簡要介紹大數據時代給個人隱私保護所帶來的挑戰,看看會有哪些環節泄露了我們自己的秘密。
什么是隱私?
隱私是一種與公共利益、群體利益無關,當事人不愿他人知道或他人不便知道的個人信息,(只能公開于有保密義務的人)當事人不愿他人干涉或他人不便干涉的個人私事,以及當事人不愿他人侵入或他人不便侵入的個人領域。
《中國人權百科全書》中將隱私定義為:隱私即秘密,是指尚未公開的、合法的事實狀態和一般情況。如果已經向公眾公開或向無保密義務的特定人公開,即不屬于隱私。
互聯網時代的隱私
上世紀90年代,《紐約客》曾有一句俚語聞名全球:On the Internet, nobody knows you’re a dog(在互聯網上,沒有人知道你是一條狗)。也正是從那時候起,互聯網開始興起,其不但促進信息流動效率,而且以虛擬和高度匿名的優勢吸引大批用戶,任何用戶都可以在網絡上打造一個全新的完美的無懈可擊的自我,屌絲瞬間逆襲成高富帥。似乎那時對匿名性的癡迷勝過了當今的美顏,在各種社交軟件上以各種各樣的目的侃侃而談著不知從哪編造的各種經歷。那時候,互聯網在人們心里的功能可能就是:玩(玩游戲)、聊(聊天交友)、約(此處過濾)、罵(吐槽)。
進入21世紀以來,我國互聯網快速發展,尤其是移動互聯網進一步推動這種速度,很快我們發現,如今的互聯網已經與當初的截然不同,電商購物、地圖導航、移動支付、炒股理財、網絡約車、政務辦公、充值繳費等等,似乎一切都能在互聯網上完成,出門不需要再帶錢包,全靠一部手機即可。
但是這一切的背后也帶來了很多問題,尤其在移動互聯網時代似乎沒有絕對意義上的隱私。很多產品為了用戶體驗搜集用戶使用信息,而這些信息有時并不能明確鑒定是否屬于個人隱私。原因在于,互聯網的出現使得很多隱私不斷公開化,而使得隱私失去了私密屬性。當我們的賬號密碼被掛在“社工庫”中,當我們接到假冒賣家打來的電話時,當我們手機每天收到“借款放貸、投資理財”的騷擾電話時,隱私似乎已經離我們越來越遠。
隱私保護的線上與線下
“不要和陌生人說話”這句話想必大家都非常熟悉。為了保護自身安全,我們用簡單粗暴的方法將社會群體劃分為“熟人”和“陌生人”,而這兩者則對應“安全”和“非安全”兩種狀態。在保護隱私方面,一般堅持最小化原則,即讓盡可能少的人知道,最理想的狀態是,不讓與該隱私無關的人員知道任何信息。
但是互聯網的生態環境完全改變了這一狀態,有時隱私保護的主動權似乎不在你手中。由于之前網絡的高度匿名帶來的很多不好的現象,目前推出的各種網絡實名制需要用戶或多過少的提供個人信息進行身份認證,比如與金融理財相關的應用實名認證要求最為嚴格;另外,一些產品為了提升用戶體驗需要搜集一些個人信息,比如瀏覽記錄等。而當“大數據”被炒的很熱的時候,各大公司也越來越重視“數據”的重要性,個人數據則起到重要作用。就這樣,有意無意中,原本屬于個人的“數據”源源不斷的輸向云端,而云端的一切對于用戶來說都是陌生的,因此之后所發生的各種問題,用戶也不得而知,也不可控制。
快遞單上的秘密
11月12日凌晨消息,2015天貓雙十一全球狂歡節正式落下帷幕,最終交易額912.17億元。成千上萬的快遞已經奔波在各個快遞點,筆者當時就目睹了門口某快遞點爆倉的火熱情景,都快把馬路給堵上了。。。但是有不少剁手黨在拿到快遞后,欣喜萬分,拆開包裝趕快瞧瞧自己淘的貨是不是和“賣家秀”一樣,而隨手就把快遞包裝扔了。
你的姓名、住址、電話號碼就這樣隨著垃圾飄向遠方,你也不知道他下一站會到哪里。上半年,我國快遞業務量累計完成132.5億件,同比增56.7%,如此龐大的快遞量給一些別有用心的人也創造了很大機會。因快遞單號信息泄露而引發的入室搶劫案例已經不在少數。而筆者每次都是處理了快遞單上的信息,卻依然中招,上周自稱某庫的工作人員對筆者進行敲詐,只可惜對方行騙手段太低劣,邏輯思維混亂,說了沒幾句就識破了。下圖是某庫旗艦店首頁圖片,由于該品牌銷售量可觀,一直被不法分子盯著。
FreeBuf上的《解析網購訂單信息泄露的秘密》一文全方位解讀了四大環節的泄露風險,即平臺、物流、用戶、商家這四個環節,如果你每次都讓隔壁老王幫你收件,那么隔壁老王將是第五環節。
廢舊手機不要扔
工信部最新數據顯示,截至2015年12月底,我國手機用戶數達13.06億戶,手機用戶普及率達95.5部/百人,比上年提高1部/百人。2016年8月3日上午,中國互聯網絡信息中心(CNNIC)在京發布第38次《中國互聯網絡發展狀況統計報告》,截至2016年6月,我國手機網民規模達6.56億,網民中使用手機上網的人群占比由2015年底的90.1%提升至92.5%,僅通過手機上網的網民占比達到24.5%,網民上網設備進一步向移動端集中。
另外,各手機廠商都會頻繁升級換代自身產品,根據報告顯示,近7成用戶更換手機的周期為1年半至兩年。
那么被廢棄的手機會被怎么處理呢?
網友1:送也沒人要扔了又可惜,只好收藏咯
網友2:拿去二手市場賣,只賣到原來十分一的錢
網友3:家里實在放不下,扔掉是最好的選擇
網友4:送給親戚朋友
網友5:注重環保,參加廢舊手機回收活動
據手機市場一位多年從事手機銷售的吳先生說,目前市場上回收的舊手機主要有3種去向,一是翻新后當新機賣;二是對于損壞嚴重,無法翻新或再售的手機,商販一般會將手機拆解開,銷售零件;三是有些保存較好的手機直接流入二手市場。一些舍不得扔在回收平臺上又評估不了高價的手機,最后就有可能流入了上圖,以機換盆的地攤活動中,筆者不能確定這種活動中回收手機的最終去向,但是這些手機一旦流入騙子手中,可憑借恢復手機信息獲得的機主姓名、身份證號等修改支付軟件的密碼從而讓舊手機成為他們的“自助取款機”……
今年年初,一個名為“聶小剛”的網友在微博發布的《我用十天追回支付寶盜刷款25000元的奇葩經歷》成為網絡熱帖,講述了自己支付寶被盜刷而又重新追回的詳細過程。支付寶官方對此回應,該賬戶被盜的關鍵原因,或為該網友在1月份轉賣手機時,曾將自己的開機密碼和手機云賬戶密碼等重要信息告訴了買家,而這些信息很可能和支付寶信息高度雷同,導致盜用者利用這些信息破解了賬戶。
另外在廢棄手機前一定要把該設備在支付寶設備管理留下的記錄清除,否則該設備將不需要重新輸入密碼即可登錄支付寶。
指紋密碼
據一些公開的數據統計,互聯網用戶平均每人擁護26個賬號、6.5個密碼,每天需要密碼登錄8次。很多用戶為了記憶的便利,很多賬戶使用同一密碼,或者密碼之間具有關聯性,導致一個賬戶被盜全部遭殃的局面。為了解決用戶記憶門檻,提升安全性,目前很多支付應用都加入指紋支付功能,而這一功能似乎成了目前智能機的標配。
截至2016年6月,我國使用網上支付的用戶規模達到4.55億,較2015年底增加3857萬人,增長率為9.3%,我國網民使用網上支付的比例從60.5%提升至64.1%。手機支付用戶規模增長迅速,達到4.24億,半年增長率為18.7%,網民手機網上支付的使用比例由57.7%提升至64.7%。
手機支付規模的增加勢必帶動指紋支付市場,但是指紋畢竟作為個體生物特征,具有高度隱私性,在法律上也具備極強的證據性。曾經也發生過利用他人“指紋套”在犯罪現場偽造痕跡,企圖嫁禍于人的案例。
按照支付寶、華為推出的指紋支付標準,指紋支付采用“硬件廠+服務商”的模式,用戶錄入的指紋數據將保存在本地的安全硬件中,不會存儲到任何服務器和云端。且手機并不保存完整圖像,只存儲指紋關鍵信息,并進行加密處理。
安全沒有絕對的,如果硬件出現漏洞,一樣會發生指紋的泄露,和文本密碼不同的是,指紋具有終身不變性,且每個人只擁有10枚指紋,因此指紋被盜后,損失將是終生的。在中國的文化乃至法律中,摁指紋就是許可、同意、授權的憑證。一旦指紋泄露被非法使用(比如冒充你的身份貸款或者抵押房子),后果不堪設想!
指紋泄露的場景還可能是:
1——指紋考勤機
2——指紋門鎖
3——指紋套
4——自拍“剪刀手”
黑客從公開圖片中獲得德國國防部長指紋
公眾號小游戲的陷阱
前段時間,朋友圈一度被這類“性格標簽圖”刷屏,后來一些朋友關注相關公眾號時便出現如下情況,公眾號被官方封號。
該公眾號因存在“誘導分享”被微信官方封號。之后,性格測試的熱度并沒有完全減退,有些公眾號在模仿著做這個小測試,在朋友圈不間斷的看到這些性格測試圖片。但有用戶分析出這個測試設定的變化參數只有生日一項。也就是說,不管什么名字,只要同月同日生,測試結果就一樣,就算把全部測試結果都加起來也不到400種,根本就是不靠譜的事兒。其實這類游戲在朋友圈里面已經屢見不鮮,類似“測測你今后能開什么車”,“測測你未來年薪”,“你未來的老公/老婆是什么樣子”,“你的新年簽”等等都是換湯不換藥。這些游戲為了降低用戶警惕,并非在一款游戲中讓用戶輸入過多個人信息,而是采用“分布式”采集戰術,在一款游戲中,只讓用戶輸入一條或兩條信息(如姓名、性別、電話、職業、郵箱、QQ號等),這些信息會和微信串號進行綁定,匯總關聯,整理出完整信息。最終將個人網絡上的虛擬賬號和現實的個人身份進行綁定,相關信息可能拿去做大數據分析、精準營銷。一年前,微信官方就發布《微信公眾平臺關于禁止發布簽類測試信息的公告》明確了這種獲取信息的方式屬于違規行為。并從去年7月1號起,開始對違規公眾號進行刪除粉絲及封號處理。
不安全的鏈路
隨著智能手機的普及,大多應用都是聯網應用,且為了提升用戶體驗,常常會加載很多多媒體元素,使得用戶常感覺流量不夠,所以就會出現去哪都是先找wifi的現象。筆者曾將寫的《WinPcap開發(三):欺騙與攻擊》一文也曾分析過這類免費公共wifi的安全隱患,這便是一種不安全鏈路的類型。
下圖是某網站首頁上的郵箱地址:
可以看到默認的入口地址是http頁面,非https頁面,且點擊進入后并沒有跳轉到https頁面。
我們手動輸入網站訪問https頁面,可正常訪問。
因此在一些涉及密碼登錄的頁面,一定要注意地址欄中是否為https地址,這樣可一定程度上保護信息不被鏈路上截取。
關于免費硬件FreeBuf之前有文章紕漏過K1免費路由的留后門劫持流量竊取用戶隱私,這就好比自己保安監守自盜,數據包剛進入鏈路就被強盜給搶了。
網絡節點搜索引擎
Shodan、ZoomEye等檢索網絡空間節點的搜索引擎,通過后端的分布式爬蟲引擎對全球節點的分析,對每個節點的所擁有的特征進行判別,從而獲得設備類型、固件版本、分布地點、開放端口服務等信息。
因為其威力強大,大大降低了casual hacker的攻擊門檻,對于很多中小單位是比較嚴峻的攻擊。筆者之前很少接觸硬件設備,但是可以借助這類引擎,輕松進入別人的監控。下圖為搜索結果。
隨便選取一些節點,登錄管理頁面,輸入該設備默認的用戶名和密碼。
網絡上很多類似設備都是出廠設置,密碼采用默認密碼,給隱私泄露留下巨大隱患。
精準廣告定向技術
我們常常會有這種經歷:在淘寶、百度或者美團搜了某件商品,然后在瀏覽其他網頁時會發現相關的廣告。這邊是精準廣告定向技術的典型場景,其中有四個要素共同發揮作用:商家,廣告運營商,瀏覽器廠商以及用戶的Cookie。
但是這在一定程度上也泄露了個人的隱私,比如你搜索過什么羞羞的東西,卻發現怎么清理cookies都去不掉,這豈不是很尷尬。
一般瀏覽器默認所清理的cookie只是Http Cookie,而FlashCookie依然沒有被清除。FlashCookie是由FlashPlayer控制的客戶端共享存儲技術。通過使用JavaScript與ActionScript可以將Http Cookie和Flash Cookie進行互通。
Flash cookie的優勢在于:
1、跨瀏覽器:不管用戶的計算機上安裝了多少個瀏覽器或者瀏覽器的不同版本,使用Flash Cookie能夠使所有的瀏覽器共用一個Cookie。
2、不易刪除:所有的瀏覽器均提供了清除Http Cookie的快捷方式,但Flash Cookie并沒有此種方式,并且其保存位置非常隱蔽,網民難以刪除。
3、容量更大:Flash Cookie可以容納最多100千字節的數據,而一個標準的HTTP Cookie只有4千字節。
如何關閉定向廣告?
1.清除http cookie和Flash Cookie;
2.將相關工具的個性化配置關閉。
“大數據”賣披薩的時代會來嗎?
網上流傳著一個關于大數據時代顧客購買披薩的段子,雖然劇情略顯夸張,但事實是我們的衣食住行現在都被互聯網所入侵,你所有的個人信息和偏好都被保留且共享。
下面是KK在《必然》一書中列出的美國對公民進行常規追蹤的清單:
汽車活動——當你發動汽車時,車內芯片就開始記錄車速、剎車、過彎、里程、事故等狀況。高速公路交通——高速公路上的柱子和測速器上安裝的攝像頭通過車牌和快速追蹤標志記錄汽車的位置。
拼車軟件——優步、Lyft和其他零散的打車軟件記錄你的旅程。
長途旅行——你的航空和鐵路行程被記錄。
無人偵察機——“捕食者”無人偵察機監控美國邊境的活動。
郵政信件——你寄出或收到的每封信的表面信息都被掃描并數字化了。
公用設施——你的用水和用電模式都被公共設備記錄了。
手機位置和通話記錄——你通話的時間、地點和對象(元數據)會被儲存數月,有些手機供應商通常會把信息和電話的內容儲存幾天到幾年不等。
民用攝像頭——在大多數美國城市的中心地帶,攝像頭24小時不間斷地記錄你的活動。
商業和私人空間——如今,68%的公立機構主管、59%的私人企業主、98%的銀行工作人員、64%的公立學校人員以及16%的業主在攝像頭下生活或工作。
智能家居——智能恒溫調節器(如Nest)檢測你是否在家,同時記錄你的行為模式,并將這些數據傳輸到云端。智能插座(如Belkin)監控你的用電量和用電時間并把數據分享到云端。
家居監控——視頻攝像頭記錄你在家里或四周的活動,將數據儲存在云端服務器。
互動設備——你傳達給手機(Siri,Now,Contana)、主機(Kinect)或環境話筒(亞馬遜Echo)的語音命令和信息在云端被記錄和處理。
商場會員卡——超市能追蹤你購買的物品。
電子零售商——亞馬遜之類的零售商不僅追蹤你購買的東西,還有你瀏覽或想買的東西。
美國國家稅務局(IRS)——國稅局追蹤你一生的財務狀況。
信用卡——購買行為都被追蹤了。信用卡和復雜的人工智能相結合形成模式,揭示你的人格、種族、癖好、政治觀點和愛好。
電子錢包和電子銀行——諸如Mint一類的信息采集組織追蹤你的貸款、房貸以及投資等完整的財務狀況。類似Square和Paypal這樣的錢包軟件追蹤你的購買情況。
人臉識別——臉譜網能在他人上傳的照片中辨認(標記)你的頭像。照片的拍攝地點代表了你過去所處的位置。
網絡活動——網頁廣告cookie追蹤你上網時的舉動。上千家頂尖網站中有80%利用網頁cookies追蹤你在網上的行蹤。通過與廣告網絡(adnetworks)的合約,你沒有訪問過的網站也能得到你的瀏覽歷史。
社交媒體——它們能辨認你的家庭成員、朋友以及朋友的朋友,還能追蹤你以前的老板以及現在同事,也能了解你如何度過閑暇時間。
搜索瀏覽器——谷歌默認永久記錄你查詢過的所有問題。
流媒體服務——他們能追蹤你看過哪些電影(Netflix)、音樂(Spotify)、視頻(YouTube)以及你的評論時間和內容。有線電視公司會記錄你的觀看歷史。
讀書——公共圖書館會保存你的借書記錄一個月。亞馬遜永久儲存你的購買歷史。Kindle監控你的電子書閱讀模式,包括你的閱讀進度、閱讀每頁的耗時以及停止閱讀的位置。
健康追蹤——你進行身體活動的時間、地點通常會被24小時不間斷記錄,其中還包括每天睡覺和起床的時間。
在這樣一個IoT和大數據的時代,我們每個個體無時無刻的產生著各種數據,而這些數據被以不同形式收集記錄著,每個人似乎變得更加透明。有人提出,大數據時代,個人隱私會逐漸失去意義,隱私更趨向于公開化和共享。但無論怎樣,這都是一個逐漸演變的過程,而不是一蹴而就,那么在這個漫長演變過程中必將產生各種各樣的問題。由于互聯網相關技術的迭代速度進一步加劇,保護隱私方面的博弈也必將激烈,所以一定程度上還是需要相關的完善法律來進行強制性約束。《個人信息保護法》至今仍“只聽樓梯響,不見人下來”。早在2003年,國務院信息辦就委托中國社科院法學所承擔相關課題及草擬一份專家建議稿,課題組于2005年提交《個人信息保護法》專家意見稿。時至今日,這部法律仍處于草案提交階段。法律的制定總是具有滯后性的,再加上互聯網領域發展速度極快,這也給相關制定者帶來了不少困難挑戰,畢竟法律不可能隨著互聯網三天兩頭得改來改去,所以制定者對此很謹慎。
結尾
在進入21世紀時,網購平臺開始進入普通老百姓的生活,剛開始人們都持有懷疑的態度,害怕遇到假貨、騙子,但是如今我國的網購規模已經讓世界瞠目結舌。新科技的出現往往會讓人感到威脅,未知的事物往往往會使人恐懼。但當我們尋找到科技運用的平衡點和較佳解決方案后,這種緊張與焦慮便會消逝。也許有一天,我們暢游網絡時,不再擔心個人隱私的泄露問題,而是全身心的享受其中的樂趣。
*本文原創作者:追影人,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
京公網安備 11010502049343號