誰偷了你的資料?
投中網(https://www.chinaventure.com.cn) 報道:在現實生活中,資料洩露已經成為了無法迴避的社會難題。
作者:Stephanie.Zhang 編輯:張麗娟 來源:投中網-CV智識
鐵路12306平臺60萬資料價格為20美元,陌陌3000萬資料價格為50美元,華住集團旗下酒店近5億條資料價格為8比特幣(時價37萬元)……就連3-20歲未成年人的就診記錄也不能倖免於難……
在“黑色產業圈”,這早就已經是廣為流傳的公開“祕密”了。而拖庫與“脫褲”發音接近,還被暗喻為廣大被竊取隱私資訊的使用者已經被扒得“一絲不掛”。
至於相關的企業來說,甚至有人表示,全世界的企業可以分為兩種,一種是資料已經洩露的企業,一種是資料即將要洩露的企業。
舉例來說,近期網路安全公司Adversis發現數十家公司因員工而導致敏感資料洩露;軟體製造商Citrix自爆公司遭國際黑客攻擊被竊取了6TB至10TB的商業檔案;
抖音海外版TIK TOK直接在美國被控侵犯兒童隱私遭到FTC開出的570萬美元罰單;某AI安防企業發生大規模資料洩露事件,超250萬人資料可被獲取,680萬條記錄洩露……
據CV智識瞭解,相關不完全統計顯示,僅2018年全球的公開資料洩露量達到了50億條。
上述這些事件也只是資料洩露的冰山一角,在現實生活中,資料洩露已經成為了無法迴避的社會難題。
防不勝防的資料洩露
事實上,作為每時每刻都在創造資料的我們,反而容易對自己所產生的資料熟視無睹。
以最廣泛使用的終端裝置智慧手機為例,公開資料顯示,在智慧手機使用者中,平均每人會下載大約70個APP,這其中絕大部分APP都會讓使用者選擇用手機號碼進行登入,這就是背後企業獲取使用者個人基本資料資訊的第一步。
知道創宇404實驗室副總監隋剛就直言,現在的手機APP對於我們資料的獲取是非常霸道、非常過分的。
由於國內法律沒有明顯界定哪些資訊是不可碰的,所以大多數APP會盡可能多的去獲取我們的資訊,比如姓名,性別,電話號碼,身份證,位置資訊等。
圖:騰訊安全相關報告中2018年暗網資料交易情況
一位安全從業人員就曾對CV智識談到,他對於自己的身份資訊很敏感,幾乎不給別人可乘之機。但是在2007年左右,他曾經註冊過一個如家快捷酒店的會員,然後他不經意在黑產庫裡查資訊的時候,就發現了自己的個人資訊在裡面。
這件事讓他心裡一驚,因為他沒想到自己這樣通過正規渠道輸入的資訊,竟然還能被盜取,被販賣。
數字聯盟CEO楊從安也補充道,不同於歐洲和美洲使用者用郵箱註冊APP的方式,在我國大部門手機APP是通過手機登入的。
兩者的差別在於,用郵箱註冊登入就從根本上將自己的一些敏感資訊與APP進行了隔離,但是用手機號註冊登入的話,黑客很容易追蹤到我們的個人身份資訊。
對於這一環節,隋剛表示,現在資料是洩露我們個人資料的出口,要想從根源上防止自己資訊被洩露,那使用者能做到的最好的方式是許可權最小化。
他也指出,國內廠商通過APP對個人隱私資料要的許可權非常多,而在實際應用中我們會發現很多許可權對使用者而言並無太大用處。
以共享單車為例,在最開始商家採用了砸錢促銷的方式來推廣APP,許多使用者為其誘惑,爭相下載。
然而使用者一旦下載APP,那也就意味著,這個平臺將會收集到的電話話碼,上下班行程,日常定位等等。
當然,如果這些資料用於公司本身運營無可非議。
但是共享單車陷入了大規模的倒閉潮,在他們自顧不暇的這個階段,原來的使用者資料的最終流向我們不得而知,那這種情況相當於堰塞湖,不知道什麼時候這些隱私資料會暴漏出來。
除此之外,我們在路上行走時攝像頭記錄下的人臉資訊,上下班打卡用到的指紋資訊,快遞公司獲取的個人資訊,甚至日常使用的智慧音箱收錄的語音資訊也都在被收集著。
有位受訪者就這樣對CV智識抱怨道,自從2018年年底註冊了一家新公司,各種陌生電話就不間斷地接踵而至,既有推銷業務的,也有問是否招聘相關人員的,這種頻次甚至高達一天一次,讓其不勝其煩。
當然,這些都只是資料洩露中的最細小的個例,而更廣泛的資料洩露細節則隱藏在案例之後。
行業觀察人員對CV智識介紹到,我們產生的資料流向和歸宿主要分為三種:
一種是新興業務和基礎資料也就是我們日常產生的大部分資料會通過公有網路存放在公有云上;
另一種則是金融單位和政府行業會將核心資料通過專有網路存放在私有云上,這樣一來,使用者的敏感資訊就通過物理隔離進行了兩層保護。
最後一種,則是像BAT這樣的資料大廠會根據業務量資料的大小和敏感程度,搭配公有云和私有云使用。
綜合來看近一年發生的資料洩露事件,很容易發現,在資料儲存環節被洩露的情況最為常見,而這是由於許多黑客會有目的的去攻擊一些資料庫,但是由於資料的巨大龐雜,黑客能夠攻破資料庫,造成大規模資料洩露的事件純屬運氣所致。
外因還是內鬼?
在接受CV智識採訪時,隋剛表示,資料洩露的途徑主要分為兩種,即由內而外和由外而內。
具體而言,“由內而外”指的是程式設計師、運維工作人員等擁有使用者資料訪問許可權 的相關工作人員,由於利益驅使等因素有意地向外匯出資料;
而“由外而內”則是資料管理者在管理資料時,沒有做好許可權設定,漏洞更新不到位,使得防護系統不紮實,進而遭到黑客攻擊。
比如,3月7日,貝貝網被爆出存在嚴重的資訊保安隱患,使用者在貝貝網消費後,個人姓名、電話、收貨地址、消費金額以及交易時間等詳細資訊便遭到洩露,更有部分使用者接連線到詐騙簡訊和詐騙電話。
據報道,截止目前已經有不少消費者遭遇了不同程度的財產損失,受騙金額從幾百元到十幾萬元不等,整體損失金額或達上百萬元。
對此貝貝網迴應稱是第三方合作伙伴存在系統漏洞,導致的資料洩露。
當然,在楊從安看來,對於現在的資料儲存中,資料量巨大,而且沒有進行相關的分類處理,幾百TB的資料儲存在一起,黑客很難獲取到想要的關鍵資訊。
所以目前來看,由於資料管理方管理不當,保護意識不強和內部人員造成的資料洩露事件比較多。
就拿最近最受關注的AI安防企業資料洩露事件來說,事後,不止一位安防工作人員跟CV智識說,該公司連最為基本的防火牆和加密都沒有設定,而是直接把客戶資訊放到了大眾面前,這樣的公司根本沒有資格做安防。
這其中,語氣充滿了恨鐵不成鋼的氣憤。而這也被安防人員視為安防領域的一大恥辱。
同時,他們也強調,這樣的公司只是個例,國內大多數從事安防的公司都是非常專業的,希望大眾不要因為深網視界這樣一家公司,就對我國安防領域失去信心。
與此同時,CV智識找到了分別在海康威視和大華做技術的員工,他們均表示,深網視界這種資料洩露情況是絕對不會發生在專業的安防公司的。
業內人士也介紹道,現在整個社會的資料規模巨大,形象點來講,社會現有的資料用1000M頻寬的光纖來拷貝的話,至少需要兩個月的時間。
所以即使是黑客也很難從大量資料中找到自己的目標資料,更何況黑客攻破資料中心後最多1個小時就能被發現。
該人士進一步指出,這樣一來,除非是內部能夠接觸到資料,處理出結果的人能直接找到目標資料,否則黑客是幾乎沒辦法找出目標資料的。
眾所周知,目前人工智慧的應用主要以深度學習為主,而模型訓練對於有效資料的依賴性非常高。
行業內也一直流傳著一句話“得資料者得天下”,也就是說大資料的保管方可以將我們的資料用來作為演算法學習的基礎。
這樣一來,我們所創造的資料就又多了一重資料洩露的風險。
CV智識從專業人士處瞭解到,資料在被用來跑演算法時也有造成資料洩露的風險,不過這種風險大多來自內部人員。
楊從安談到,目前深度學習基本上就是利用資料、結合自有的演算法,進而來增強學習能力,演算法在這個過程中只是工具。
換言之,演算法在用資料模型訓練前是一套演算法,在模型訓練後輸出的是一種結果,所以演算法脫離模型環境後不會帶走任何資料資訊。
一位安防技術人員也表示,在安防領域,基於應用場景的特殊化,訓練演算法會有兩種方式。
一種是在自己的研究大廠採集的自有資料資訊進行學習,學習後立即刪除;另一種是和公安部門合作,獲取合規的正常資料進行學習。
同樣,在這個過程中造成資料洩露的唯一關鍵點是內部人,資料洩露與否與程式設計師是否對資料有安全防護意識。
綜上,移動網際網路行業目前存在資料安全的問題不可避免,但是,行業的安全體系還是專業到位的,公眾場合下資料洩露的可能性很小。
隱私與技術互相成就
隨著資料洩露事件的頻發,不管是資料安全從業者還是普通大眾,都對資料給予了越來越高的重視度。
但是重視資料安全並不是完全地禁止外界獲取大眾的資料,完全的資料保護會造成技術的停滯甚至倒退。
以頭條的推送機制為例,使用者在使用這個APP的時候,會被獲取行為習慣,然後頭條會通過他們的演算法機制做出精準的內容推薦。
在這個過程中,使用者可能認為被獲取的行為習慣資料是隱私,但是頭條並不認為那是隱私,而是本該獲取的資料。
所以,在這個過程中,使用者和企業如何定義隱私顯得尤為重要。
只是,有一個不爭的事實是,手機裡的絕大多數APP都是免費的,而我們接受並使用這個產品,就意味著已經接受了它獲得你的隱私,併為自己所用的事實。
業內人士指出,在現在的法律條款下,我們應用平臺方的免費服務,同時以默認同意平臺方獲取並使用自己的資料為交換,這之中並無問題。
但是如果使用者把廣告追蹤關掉,拒絕平臺方拿資料進行推送,但平臺依然給使用者進行推送、獲取使用者資料,那就應該受到相應的懲罰。
楊從安也對CV智識提出,平臺方應該有允許使用者想刪除自己的資料的權利,使用者擁有要求資料的擁有者接受刪除停止的權利。普通使用者要明白平臺抓的是什麼,且要求不可以建立某些資料之間的相關性。
其實,現在歐盟的GDPR隱私法已經明確提出希望資料透明,這也就意味著你拿什麼資料我要知道。作為消費者,我要知道我的東西被拿了,同時我有權要求你刪掉。
而對於使用者而言,社會還需要對終端使用者進行知識培養和教育,讓使用者知道自己付出的成本。
相關報告顯示,高達96.6%的安卓應用會獲取使用者手機隱私權,蘋果iOS系統應用的這一比例也接近70%。
所以,蘋果裝置在涉及到使用者的隱私方面比安卓系統設定了許多保護,目前情況下,保護隱私只能自己抬高成本。
除了使用者層和平臺層需要做出改變外,在隋剛看來,國家層面或政府相關部門,可以牽頭做一些資料分類管理的工作。
比如高敏感度的資訊由國家專門進行管理,而不涉及個人使用者的基礎資訊或者IoT產生的一些資料可以有企業管理,進而形成資料分級的金字塔等級。
凡事講究一個度,當下最為重要的問題是找到兩者的平衡點,彼此牽制,彼此成就。
立法還是自律?
此次兩會期間,多名全國政協委員對數字經濟時代個人資訊保護存在法律缺位問題提出意見建議,焦點在於資料的權屬及監管使用等方面。
全國政協委員、公安部原副部長陳智敏對媒體表示,在數字經濟時代,無數公民無償提供的資料,被極少數人在無形中控制,這很危險。現在急需要在立法上明確資料的權屬問題。
陳智敏還指出,現在企業如微信、滴滴打車、外賣等用很小的一點便利,收集了大量的個人資料。公民一開始不覺得,但後來所有的資料都被平臺控制,這會給社會帶來很多問題。
隨著資料保護意識的增強,使用者需要擁有要求平臺線上儲存的不許有使用者的身份證號、手機號等的敏感資訊不許做關聯的權利,而這種權利只有明確法律來規定,沒有規定的話,那麼平臺方就什麼都抓。
在3月4日十三屆全國人大二次會議新聞釋出會上,大會發言人張業遂介紹,全國人大常委會已將制定個人資訊保護法列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出臺。
全國政協委員、中科院院士、通訊網路技術專家尹浩就指出,“安全界有一種說法:三分技術,七分管理。我們要通過管理手段讓非法獲得和使用資訊的人承受很大的代價,嚴厲打擊盜用網際網路使用者資訊的非法行為。”
現在很多個人資訊洩露都是內部人員為之,拿使用者資料去做交易,必須對這種情況加大打擊力度。
一位行業從業者談到,平臺作為資料的管理者和使用者,有義務保護保密這個資料。
每個人都知道谷歌拿使用者的資料賣廣告,但是谷歌不能把原始資料轉賣給第三方、第四方……在一定程度上制定一個最嚴格的法律沒有意義,應該制定符合大多數人需求的的法律法規。
此外,隨著5G和IoT時代的來臨,資料量會成百上千倍的增長,未來網路生態架構將會是人機物共融和萬物互聯的,所以大資料的安全保護和合法利用的需求將更加迫切。
需要指出的是,對於人工智慧公司對資料安全立法保護的立場時,業內人士對CV智識表示,人工智慧公司估計不希望國家限制資料,而是希望能通過他們的技術來顛覆很多的行業。
他們更渴望拿到資料,如果有立法,會對他們產生一些影響。不過,可以考慮最好是給他們建立一個數據交流的方式,能讓這類公司也可以有起步的基礎。
所以當下單就人工智慧這一領域來講,我們需要用一個正常的手段或規範,讓有技術的人和有資料的人有效結合。比如第三方提供資料的公司,給自動駕駛的工具提供資料。
結語
人為刀俎,我為魚肉。
數字時代,我們的資料隨時隨地都在被收集著,個人資訊的保護也越發不可控,隱私被偷窺,資料被洩露,身份被公開,似乎充斥在生活的各個環節。
不過,樂觀的是,我們的社會已經開始關注資料安全,並啟動了相應的立法程式,可以預見,隨著法律的完善,當下的資料安全現狀終將被改變。
(編輯:冉一方)