回顧過去的2018年諸多熱點輿情事件,支付寶賬單預設勾選、Facebook 8700萬使用者資料洩露、華住旗下酒店1.3億使用者資料洩露、常州大學生個人資訊洩露“被入職”、花總曝光酒店亂象導致個人資訊洩露等備受關注。
在近日舉辦的2018個人資訊保安大會暨“啄木鳥安全獎”頒獎典禮上,南方都市報個人資訊保護研究中心釋出的《2018個人資訊保護年度報告》,對購物、金融、交通、社交等十大行業的1000款常用App隱私政策進行測評,顯示只有13款達到隱私政策透明度高的層級;透明度“不及格”的App數量超七成,透明度低的App高達538款……
一線安全領域從業者反詐騙和使用者隱私防護現狀如何?網際網路企業隱私政策改版過程中,如何實現應用合規與隱私設計的平衡?
騙子為什麼這麼“努力”?原來他們的PKI指標這麼細
最近有統計顯示,中國網路安全產值不到500億,但網路黑灰產一年產值已達上千億。當在網際網路另一端的詐騙分子比你還“努力”,反詐騙如何修成正果?
“大家有沒有想過詐騙分子如何工作?怎麼樣才算一個‘好’的騙子?是每天電話打得最多,還是騙到人最多,或是詐騙手法最新穎?”知道創宇反詐騙技術專家潘少華丟擲了一系列疑問。
他舉例說,之前有一個境外詐騙團伙,專門打著IT公司名義,在武漢招聘應屆生,並稱直接派出國培訓。畢業生開始都覺得高大上,結果出國後發現是讓員工每天編寫詐騙劇本,而且有嚴格的管理指標、相互之間需要競爭,最終要看團伙的實際“產出”。
“有些不法分子文案寫得不錯,接電話的人很多,但個人精力有限,一分鐘只能接一個單,與一百個人深度交流後只騙到了一兩個人;有的只聊了兩三個人聊,但每一單都轉化了。”兩者相比,誰更厲害?潘定華坦言,詐騙團伙很直接,只有騙到錢才算,所以更關注具體指標,“騙子的PKI指標做的很細,指標高會給給發房、發車,這可能是直接的驅動力。”
另外,潘少華提到,早些年他們曾協助某單位破獲的一起大型犯罪團伙,成員有數百人,分工嚴密、按績效考核,涉案金額數十億,分為劇本組、技術組、電話組等。
其中,劇本組負責根據手頭資源集思廣益,設計各類場景,比如,冒充公檢法、機票改簽、電商退貨等;技術組負責在黑市採購公民隱私資料、購買作案裝備、開發部署詐騙網站和App、傳送詐騙簡訊等;電話組根據業務分組每天撥打海量電話。
“所以大家不要覺得騙子怎麼那麼傻,電話裡有那麼濃的口音,其實只是為了快速把你過濾掉,每個聽起來‘傻傻’的騙子,背後都有一個團隊拿著使用者資料在研究怎麼突破你的心理防線。”潘定華說。
魔高一尺,道高一丈。詐騙分子這麼拼,反詐騙人員也很拼。
“電話反詐騙有一個尷尬的地方,出於多種因素考慮,不能直接在運營商裡攔截阻斷詐騙電話。”潘定華說,很多時候詐騙分子會讓受害人一直不掛機,直到完成打錢操作。這種情況下,公安民警就沒辦法即時通知受害人,甚至警察上門後,人們也還以為警察是壞人,因為騙子已通過整套話術進行了洗腦。
在潘定華等網路安全一線從業者看來,希望在詐騙案剛在發生時,甚至還沒有發生時,就能及時地阻斷。“近兩年,我們在根據既有案件和大資料平臺情報,進行建模訓練。比如,可以配合相關機構進到黑灰產後臺,看他們已騙了哪些使用者、哪些資料,也能掌握嫌疑人的一些公共資訊”。
資料不上傳就不會洩露?未必!還有大資料探勘測算
多年從事資訊保安工作的楊更,創業之前曾在亞馬遜(中國)、美團、小米等擔任過首席安全官。“人們沒聽說過我,是一件好事,說明我服務過的公司都沒出現過重大安全事件。”在楊更看來,網路安全防禦領域沒有訊息,其實是最好的訊息。
“從業18年得到了一個略有‘悲哀’結果:使用者的所有線上資訊都會洩露。如果擔心洩露,‘小祕密’就不上傳,也不行,因為現在有了大資料探勘。”楊更舉例,Facebook早在2007年就能根據使用者社交關係測算使用者性傾向;去年紐約大學研究員也發現,靠點贊也能測算出使用者性傾向。“也就是說,你根本沒上傳過資訊,靠大資料探勘,也都可以被挖出來”。
對使用者而言,最重要的資料是什麼?“可能你覺得是密碼,因為這是開啟其他資料大門的鑰匙。可當你還在為自己的密碼規則沾沾自喜時,你的郵箱、iCloud、銀行卡等密碼可能早已洩漏,當黑客攻擊你時、詐騙集團忽悠你時、廣告主騷擾你時,他們根本不關心你是誰,在他們眼裡,你只是一行資料。”
在楊更看來,以上種種,是日益增長的個人隱私保護需求和不平衡、不充分的個人隱私保護能力之間的矛盾。“普通網民與擁有大資料能力的攻擊者完全不是一個對等的存在,這是網際網路世界的‘降維打擊’,也是隱私洩露時代的‘黑暗森林’。”
作為網路安全工程師,楊更自己一直嚴格管理個人密碼管理器,所有攝像頭全部用黑塑料遮擋,用時才開啟,但顯然對於多數人來說,很難做到。“要想改變隱私保護的現狀,光靠技術手段遠遠不夠。需要法律圈、媒體圈、技術圈、投資圈,特別是使用者圈,形成一股對隱私高度重視的力量。”楊更認為,如果有更多使用者注重隱私保護,就會有勇敢的投資者進入這個賽道,從而吸引更多創業者,打造出隱私保護行業的良性生態。
隱私細則不是越長越好,使用者體驗與資料合規已不再是“二選一”
在過去的2018年,使用者隱私政策法規相較前一年嚴格了不少,這次南方都市報個人資訊保護研究中心測評顯示,被測App的隱私政策透明度大幅躍升,還有不少App開始嘗試視訊、圖文、表格、摘要等創新性的隱私設計,騰訊和百度還上線了隱私保護平臺,詳解旗下多款熱門產品的隱私設計。
其實,對於很多網際網路企業而言,移動應用的隱私政策多是從0到1,尤其在隱私政策剛開始出現時,多是簡短的一段話且內容含糊。讓知乎法務部門一帆記憶猶新的是,2018年4月知乎隱私政策修改時,曾一度引爆輿論、差評如潮;8月底接到知乎進入隱私政策評審名單的通知,需要在10月底前完成修改。
“當時首先考慮的是產品特性,沒考慮不同平臺對資料資訊的使用、管理、收集的特性。”在門一帆等人看來,知乎首先是內容平臺,並不需要那麼多使用者資訊,也沒有收集那麼多資訊。
最後,他們設計了兩個彈窗,先做隱私保護指引概要,讓使用者選擇同意或不同意;當使用者勾選不同意時,再給使用者第二次選擇權,如還需要用知乎,就進入僅瀏覽模式。
事實上,10月底上線的這個版本,是門一帆等修改的第20次稿。這裡面到底寫了哪些內容?
“第一版不到6000字,第二版16000字,還不包括Cookie指引和對難懂政策的解釋。”門一帆解釋說,一是個人資訊保護的要求提高了,產品需要給使用者更多權利,也需要把權利說明白;二是產品功能變複雜了,小產品、小功能會有上百個,且之間還會相互交叉、資訊共用。
“實際上16000字還沒寫完,但已經不能再寫了,不要說使用者看了會很痛苦,我們自己看都很痛苦。”在她看來,應用的隱私政策越來越長的趨勢是不對的,需要思考,是否可以通過其他方式改進。
使用者體驗和資料合規是不是必須“二選一”,魚和熊掌能不能兼得?如果放在一年前,門一帆可能會說“是”,但經過這一年資料合規的風暴後,她坦言:“資料合規已成為了使用者體驗的一部分,而且是至關重要的一部分。”
讓她感受深刻地是,現在法務也要站在“前臺”,引領產品的合規,有權利、有機會與技術部門站在一線。“法務首先應當尊重技術、關注技術。既要意識到技術的重要性,也要理解技術的侷限性,法律可以用來指引技術,但是不能替代技術,也無法突破當下技術水平的限制。”
在不少業界人士看來,個人資訊洩露事件已經成了“高空拋物”,高樓扔下來東西后,怎麼去追責?樓上每個居民都要證明那天不在家或窗戶封死了。“個人資訊洩露如果是一個木桶的話,中間各個環節都要爭當長板,這樣個人資訊才會更安全”。
來源:光明網
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊: