而最近,暗網上的產品又多了一項——53萬個Zoom賬號。
據Bleeping Computer消息,2020年4月14日,53萬Zoom賬號密碼在暗網被黑客以白菜價出售,換算成人民幣,1塊錢能買7000個。而Zoom的會員賬號價格為每月19.99美元(140元人民幣)。
這是4月初以來,視頻會議賽道頭部公司Zoom出現的重大安全漏洞的余波——早在3月底,就有專業人士指出Zoom的視頻和電話通信并未完全采用端到端的加密方式,存在暴露用戶登錄憑據的風險;有安全研究員發現云存儲上至少有1.5萬個Zoom會議視頻,其中大量會議視頻還被上傳到YouTube等視頻平臺。
這一丑聞令Zoom的股價如同經歷過山車——本來,由于疫情帶來的“在線辦公”利好, Zoom的股價在2月-4月間漲了約75%,最高時一度達164美元;但現在,其股價已回落至150美元,在4月8日直播道歉之前更是跌至117美元,相比高峰期下降28%。
面對質疑,Zoom創始人袁征分別通過博客和YouTube公開道歉,稱將動用全部工程師資源解決問題。
其實,此次事件只是Zoom公司發展史中一個不大不小的波瀾,放至整個科技領域看也只是很快會被其他信息淹沒的昨日熱點。
但它很好地注釋了我們當下所處的大環境:隨著數字化越來越發達,數據和安全風險也愈演愈烈。
如今疫情更是助推了這一趨勢,它極可能在人類并無充分準備的情況下,就大大加速數字化的進程。
一個抉擇已跳至眼前:我們要不加抵抗地用包含隱私信息的數據換取便捷或安全嗎?
1. 風險自負,不僅是Zoom
不僅是Zoom,近年來,數據安全問題已成科技領域的高頻事件和重要議題。各大科技公司都在獲取數據的過程中捅過簍子,道歉和罰款是家常便飯。
2019年7月,美國聯邦貿易委員會(FTC)宣布已與Facebook就一項隱私案調查達成和解,后者同意支付50億美元的罰款。這是美國有史以來政府開出的最高金額罰單之一,相當于Facebook年收入的9%。
調查源于2018年3月,媒體曝光英國政治咨詢公司“劍橋分析”(CambridgeAnalytica)未獲用戶授權,獲取了8700萬Facebook用戶的個人信息,并將數據用于對美國選民定向推送政治信息。
實際上這并非首次。早在2010年4月,Facebook啟用第一版Graph API時就存在向第三方泄漏用戶數據的情況。Facebook通過彈窗征求用戶對app獲取其特定數據的同意,而未經直接同意,用戶好友的信息卻可以一并被獲取。
在歐洲,Google、Facebook、蘋果、亞馬遜等科技巨頭一直都是審查清單上的“常客”;在中國,科技公司因可能侵犯用戶個人隱私受到日益激烈的抨擊。2019年,換臉App“ZAO”因違規收集人臉信息被約談;繼人臉識別進校園后,有小學用AI頭環監測學生是否走神也一度引熱議。
硅谷文化崇尚的高效便利似乎與隱私保護背道而馳。《紐約時報》2019年7月發布的一篇文章概括了科技公司處理用戶隱私問題的幾個階段:公司推出備受歡迎的產品,被曝出不道德行為后澄清、道歉并承諾改正,一段時間后人們淡忘了,再之后大家發現問題并沒真正解決。
幾乎無處可逃。從購物刷臉支付、門禁人臉識別、實時記錄位置的地圖軟件、街頭巷尾的攝像頭,再到Google眼鏡等可穿戴設備、智能家居,從生活至工作,你的一舉一動被信息工具記錄,越來越透明。
一切皆被記錄的后果是什么?人們的行為與觀點不僅可以被預測,且可被操縱。掌握數據的組織可以兜售他們想要的任何東西,無論是產品還是政治觀點。
信息泄露也造成了一些極端案例。
2015年8月24日,美國新奧爾良神學院的一名教授兼牧師約翰·吉布森在家中自殺。5天之前,黑客把370萬個“偷情社交網站”Ashley Madison的帳戶信息放到網上,吉布森的名字位列其中。羞愧與輿論壓力之下,吉布森舉槍結束了自己的生命。
看似一切有跡可循、公開透明的數字化世界,實際存在著信息利用權力的不平等。
2019年12月,《紐約時報》發布了一個關于隱私的重磅調查。《紐約時報》從1200多萬人的電話記錄中獲得了超過500億個位置的數據集。但借助公開信息,研究人員僅用了幾分鐘就對位置信息數據完成了反匿名處理,并獲得了特朗普一天的行蹤記錄,白宮、五角大樓、FBI等政府機構人員的行蹤也不在話下。這在社交網絡上引起熱議:特朗普的信息安全都不能保證,更何況普通公民?
必須讓渡部分隱私幾乎成了現代科技生活的宿命。而問題背后是當今社會越來越突出的倫理悖論:社會治理和公民隱私之間的平衡。
早在疫情之前,組織擴張管理權限和個人自由權利之間就存在異常曠日持久的拉鋸。而在信息社會到來之后,拉鋸雙方實力愈發懸殊。
隨著上世紀50年代以來信息技術的蓬勃發展,和上世紀80年代以來互聯網的逐漸普及,個人的信息支配權已被大型跨國企業和政府大大削弱,博弈的天平早已失衡。
究其原因,這是因為在信息社會和現在正到來的數字社會里,“數據”已成為和土地、資本、勞動力并列的“生產要素”,而個人身份和行為信息正是這些數據生產要素的重要組成部分。
無論是互聯網的商業模式還是人工智能算法,都建立在這個重要的新生產要素上。于是,包含了個人隱私的數據被商品化。當下的消費行為不僅僅需要交出貨幣,同樣意味著要交出隱私。
可以預料的是,未來這種沖突只增不減。
2.疫情之下,危機的塑造力
而現在,冠狀病毒疫情正在讓高度數字化的未來提前到來。
人類社會可能會在危機壓力之下做出一些非理性或者說無奈的決策——對高程度監控手段的快速接受,以及對隱私保護輕易放棄。
《人類簡史》作者尤瓦爾·赫拉利在近日發表的文章中談到,冠狀病毒蔓延之下,不成熟的、甚至危險的技術被趕鴨子上架,因為什么都不做的風險更大。整個國家都成了大型社會實驗中的小白鼠。
畢竟相比生命安全,隱私安全的優先級遠不能及。于是不知不覺中,世界各國都在沒遇到什么阻礙的情況下,上馬了史上最嚴的公民監控體系。
當Zoom焦頭爛額的處理這安全漏洞時,更值得關注卻被忽視的,正是這些快速席卷世界、正順暢運轉的系統。
一個例子是在疫情最早爆發的中國已廣泛使用的健康碼。
健康碼要求使用者自行填報戶籍、居住地、旅游史與健康狀況等問題,系統基于回答生成專屬二維碼。“綠碼”代表可以自由通行;“黃碼”和“紅碼”均需進行相應時間的隔離,在連續健康申報打卡之后轉為綠碼。
相似的工具還有三大運營商的行蹤軌跡查詢,中國16億手機用戶均可通過短信方式查詢14天內停留4小時以上的到訪地。在許多公共場合,行蹤碼被當做入場憑證使用。
韓國、新加坡、意大利、以色列等國家也陸續上線公民行蹤追蹤手段:
韓國政府有關機構對確診者的信用卡和地理位置進行監測,以追蹤冠狀病毒患者在過去幾周內的行蹤;意大利倫巴第政府通過分析手機定位數據追蹤市民行走距離,來確定有多少人老實遵守了封鎖令;以色列內務安全部門同樣使用了手機定位數據追蹤患者,這種措施以往被用于反恐行動。
英國等西歐國家也正在考慮利用新科技追蹤感染源,以阻止病毒蔓延。
在跨國公司話語權巨大的美國,病毒甚至撮合了老死不相往來的商業宿敵:iOS和Android兩大生態已牽手合作,組團抗疫:
4月10日,蘋果CEO庫克與谷歌CEO皮猜在推特上互相@,宣布兩家公司將合作推出“美國版健康碼”。
這一聯盟的覆蓋范圍占全球智能手機市場的99%,約30億用戶,即全球三分之一人口。
疫情讓防疫的正當性在短時間內壓倒了其他事務——它使此前抵抗大規模監視工具的政府和組織也開始讓步,對新的數據獲取權限和手段投出贊成票。
這些選擇在和平時期需反復論證、測試,而危機狀態縮短了這個進程,特殊時期人們往往也愿意交出數據或者讓渡一些權利。
德國近期一項民調得出結論,70%的受訪者表示為遏制疫情,他們愿意向公共防疫機構提供體溫等個人健康、行動數據以及社會關系等信息。英國一項民調中同樣有三分之二的受訪者愿意讓有關部門使用自己的信用卡信息、電話數據和閉路電視來監控病毒的傳播軌跡。
一些超出必要的數據、信息暴露風險開始出現:
近幾日被當做笑料的“哈爾濱啪啪啪”導致群體感染的事件就是其中一例,在有關該事件的各種報道中,披露了大量和防疫并無直接關系的鄰里間私生活信息,其中的主要人員都有名有姓,有年齡、身份。
對大部分人來說,相似的新聞不過疫情期間的笑談,對當事人則是真切的傷害。
技術是中性的,越來越方便的信息獲取和傳播技術則會帶來越來越多的風險。
技術對人的侵犯更直接的表現則是其本身的“bug”,比如不透明的算法。
以健康碼為例,個體并不知道健康碼打通了多少平臺、共享了多少數據,這讓人無法推測健康碼變紅的原因,也申訴無門。不少被大數據和機器支配的紅牌持有者,生活出行已受到限制。
極致的“無隱私”狀態是怎樣的?
科幻作品已經不止一次敲響警鐘。美國科幻作家埃格斯(Dave Eggers)在其小說《圓圈》(The Circle)中設想了一個未來世界。在那里,規則被顛倒,保護隱私會遭到唾棄甚至交給法律制裁。
所有人的信息和個人數據,全都掌握在名為圓圈的一個硅谷公司手里。圓圈會在各種地方安置小型隱蔽攝像頭,公司高層稱這樣做是為了減少犯罪。它還想往小朋友體內植入芯片,稱這樣能避免誘拐。
圓圈可以在幾分鐘內找到任何人的下落,議員也需要佩戴微型攝像頭,以便全世界都能看清他們的一舉一動。拒絕配合的人會成為懷疑對象——他們肯定有什么不可告人的事情。
因為在新的世界里,“秘密是撒謊,分享是關懷,隱私是偷竊。”
3.危機后的世界
值得警醒的是,特殊時期的部分措施,在危機消失后也可能被保留,因慣性而成為生活常態。
正如有媒體同樣發出疑問,你做好一直使用“健康碼”的準備了嗎?
這是危機本身所具有的歷史塑造能力,歷史中也早有先例。
911事件之后,美國總統小布什簽署了《愛國者法案》。此法案規定美國國家安全機關可在全球范圍搜集電話、郵件、醫療、金融等各類記錄,允許其從美國互聯網公司提取音頻、視頻、圖片、郵件和文檔記錄;甚至允許使用“黑客”手段,入侵、破壞、竊取國外的數據情報。
這是史無前例的一項舉措。2002年,美國國會又通過《國土安全法》,允許對美國公民個人信息進行“數據挖掘”。這兩部法案讓美國多年構建的公民隱私權體系幾乎蕩然無存。
2001年10月,小布什簽署愛國者法案
以色列在1948年的獨立戰爭期間進入緊急狀態后,也采取了包括新聞審查、沒收土地、食品工業原料嚴格配給等措施,也包括緊急布丁法令(以色列在1950年宣布的關于布丁原材料、包裝及銷售的法規)等特殊規定。獨立戰爭勝利后,以色列卻從未宣布過結束緊急狀態,并且也沒有廢除1948年的諸多“臨時”措施,緊急布丁法令也直至2011年才被廢除。
值得慶幸的是,各種減少未來風險的努力也在發生。人們也早已學會不再對未來單單充滿激情,開始用反烏托邦的眼光來看待科技的社會影響。
不少國家與地區在通過立法規制政府與公司對新技術的使用。
2018年5月,經過多年討論的歐盟《一般數據保護條例》(General Data Protection Regulation,簡稱GDPR)開始生效。這一條例被稱為人類歷史上第一部“數據憲法”,條例對數據使用的透明度、身份數據的保存期限、企業和組織在對個人數據的操作流程均有限制,以及規定包括“臉紋”在內的生物信息屬于其所有者。
違反GDPR的企業,可能面臨巨額罰款。2019年7月,英國航空公司因為違反《一般數據保護條例》,被罰1.8339億英鎊,約合人民幣15.8億元。
GDPR為保護公民隱私開了個好頭。2020 年1月1日,美國加州正式實施消費者隱私法案(CCPA),類似于歐盟的法案,CCPA 將對所有和美國加州居民有業務的數據商業行為進行監管。此前,舊金山和奧克蘭等城市及加州已禁止政府使用人臉識別執法。
中國目前還沒有一部數據方面的綜合性法律,據媒體報道,中國正在制定《個人信息保護法》和《數據安全法》。公眾對信息保護更為重視,2019年11月,因不愿意使用人臉識別,一名教授將杭州野生動物園告上了法庭,這被稱為中國人臉識別第一案。
科技公司關于數據安全的投入成本也在增加,隱私安全成為產品賣點。在美國消費者隱私法案正式實施之前,根據加州發布的一份報告表明,預計科技公司將花費約 550 億美元來實現合規性。
意識到新冠肺炎帶來的患者隱私威脅后,CynergisTek在3月13日宣布他們已發布了患者隱私監控服務解決方案,來識別醫院內部的未授權訪問。
Zoom近期也為付費用戶提供了保障隱私的新功能。付費用戶可自主選擇Zoom線上會議的數據中心。其會議數據將僅會通過該數據中心進行傳輸,避免信息泄漏。
可以預見,數據和信息安全市場的規模將進一步提升。安全能力,這個以往不直接帶來利潤的能力,也日益成為偉大公司的必備核心能力。
不過,解鈴還需系鈴人,問題并不單單是由技術造成的,解決方案也需要技術之外的努力。
我們總是花很短的時間去選擇,卻用很長的時間去承受。
做好準備,數據泄露與安全防護的漫長博弈才剛剛開始。
京公網安備 11010502049343號