大規模資料洩漏事件背後：初創公司安全防護幾近裸奔

企業資料洩漏事件頻發

今日，抖音海外版抖音TIK TOK在美國被控侵犯兒童隱私，遭FTC開出570萬美元罰單，源於TIK TOK運營的musicaly被指控非法收集兒童資訊，這是FTC在美國兒童隱私案件中做出的一筆最大民事罰款。

2月，東方網力旗下子公司深網視界(SenseNets)發生大規模資料洩露事件。超過250萬人的資料可被獲取，680萬條記錄洩露，其中包括身份證資訊、人臉識別影像及捕捉地點等。

爆料此事的程式設計師還在TIWWTER上指出：這家公司從從2018年7月開始就處於任何人都可以訪問的狀態。通過這些資料可以得知道誰不在家，可能出現盜竊行為。

時隔一天，京東金融被指私自收集使用者敏感截圖用以優化產品。微博使用者“瘦出的肋骨已經消失的大俠阿木”在微博上爆料，京東金融APP在使用者非主動傳送的情況下私自讀取相簿截圖，涉嫌違規。

一直以來，接連不斷的資料洩漏事件已經讓人麻木。作為掌握海量兼具廣度和深度的資料的中心化平臺，在享受使用者增長紅利的同時，並沒有足夠的意識去保護使用者隱私。

李彥宏曾在公共場合表示：“中國使用者在個人隱私方面更加開放，一定程度上願用隱私換方便和效率。”

然而用隱私換方便和效率的並不止百度。

搜狐科技統計了近年來大規模隱私洩漏事件，發現無論是電商巨頭還是科技獨角獸，都曾陷入到資料洩漏的風波之中：

2012年3月，噹噹網賬戶集體被盜，餘額被用於購買電子產品，金銀首飾等大額商品。

2013年3月，網友爆料支付寶出現重大漏洞，稱使用谷歌可以搜尋出大量的支付寶交易記錄，包括首付款賬戶，姓名和日期等等。

2013年11月，騰訊承認7000多萬QQ群遭洩漏，根據QQ號可以查詢到社交關係網伸甚至從業經歷等大量隱私。

2014年3月，攜程使用者姓名，身份證號以及銀行卡號, cvv碼出現洩漏，且上述資訊可能被黑客讀取。

2017年，京東員工堅守自盜，與黑客互相勾結，為黑客入攻網站提供重要資訊，洩漏的資訊包括物流資訊，交易資訊和個人身份資訊等等。

2017年，小紅書有50名使用者接到加客服電話後上當受騙，受騙總金額達88萬元人民幣。

2018年4月，百度外賣等多家外賣平臺的使用者資訊發生洩漏，有商家專門出售客戶資訊，每條售價不到0.1元。

在2017年施行的《網路安全法》中，明確提出了“誰收集、誰負責”的原則，也就是說資訊收集方要承擔起保障資料安全的義務，但至今國內尚無讓廣大公司意識到資料安全嚴峻性的標誌性案件出現。

誰在濫用你的人臉資料

資料洩露的背後，是網路黑產的猖獗。

首先是資料被留轉到暗網上拍賣，暗網通常是指那些儲存在網路資料庫裡、但不能通過超連結訪問而需要通過動態網頁技術訪問的資源集合，不屬於那些可以被標準搜尋引擎索引的表面網路。暗網裡的交易沒有第三方擔保，一切行為責任均自負。

搜狐科技在暗網上發現的許多網路黑產交易, 這些資訊洩露於電商，P2P平臺以及各種社交平臺和視訊網站，每個打包的資料量級均在千萬以上，一般用比特幣和美金進行交易。

這些資料已經不是一手資料，大都經過反覆倒賣。例如，優酷2016年被拖庫的資料，以及陌陌曾被洩露的3000萬使用者資訊，仍然在暗網上被叫價售賣，單價只要10美元，另外還贈送100份手持身份證照片。

由於價格並不昂貴，使用者資訊被多次轉手洩漏，對個人造成反覆性的永久性傷害，而這並不會影響平臺的利益。

據中國企業家雜誌報導，截至2017年年中，中國網路黑產從業人員已超過150萬，市場規模高達千億。

除了黑產行業，企業也想方設法獲取使用者資料攫取利益。

一家叫做劍橋分析(Cambridge Analytica)的資料公司，非法竊取5000萬Facebook使用者資料後用演算法進行大資料分析，預測他們的政治傾向，進行個性化的新聞推送，然後在不知不覺中影響他們的選票。

而收集資料的平臺方，則直接利用平臺殺熟，很多攜程使用者表示，同樣的房間，不同的手機下單價格並不相同。同樣，也有網友反映，在滴滴上叫車，老使用者也要支付比新使用者更多的車費。

初創公司安全防護幾近裸奔

據IDC報告顯示，我國資訊保安投入佔IT整體投入的比重較低，僅為1%-2%，遠低於歐美市場8%-12%的比例。

反映到企業本身，不僅是企業安全團隊配置的匱乏，還有資料管理與採集的混亂。

360網路安全中心一位負責人告訴搜狐科技：“ 初創公司在產品上線初期雖然都號稱很安全，但在資料保護上幾近裸奔，沒有投入。”

一位資深開發也表達了相同的觀點。去年，他入職了一家在風口上的明星公司。但工作不久後，他便發現公司在安全防護方面上的支出幾乎為零，就連購買基本的雲服務都無法做到。

而拿資料採集來說，許多初創公司則對資料採集呈現出無比飢渴的狀態，APP隱私協議形同虛設。

前日，上海網路資訊辦公室在對1號店、拼多多等23個上海本地最常用移動網際網路應用程式（App）使用者許可權的整改情況做了複測後發現，截至1月中旬，相關App共整改158了個不合理許可權和98個“合理但存在風險”的許可權。其中墨跡天氣被指出上傳wifi資訊，進行隱私跟蹤。

在安裝一個新APP時，通常被要求訪問通訊錄、地理位置等資訊，但訪問的目的、時間和方式等，幾乎沒有企業會給出明確解釋。

去年1月，支付寶釋出年度賬單，最下方的《芝麻服務協議》預設打勾。協議聲稱，支付寶可以直接向第三方提供使用者相關資訊，並且可以進行分析、推送給合作機構，以及有權不支援使用者撤銷第三方的資訊查詢授權。

一名專注網路黑產調查的自媒體人士則透露，“有些APP甚至會聯合共用採集到的使用者資訊做畫像，指望APP保護個人隱私幾乎是不可能的。”

除了過度採集，即便使用者登出賬號後，企業仍會儲存使用者隱私資訊。

“過去企業會因為預算問題，定期刪掉伺服器上的一些資料，現在即便短期用不到，企業也會保留資料。” 一家資料雲服務平臺表示。

目前，相比國外在資料上的監管，很多公司並沒有為他們過度收集和洩漏使用者隱私的行為付出代價。根據歐洲去年5月釋出的《通用資料保護條例》（GDPR），違反資料保護條例的公司可能面臨最高2300萬美元或佔其全球年收入的4%的罰款。

總部位於都柏林的Facebook，差點因為資料洩漏而面臨16億美元的罰款。

而出海不久的抖音海外版，已經嚐到苦頭，其收購的Musical.ly由於在未徵得父母同意之前非法收集了13歲以下兒童的姓名、電子郵件地址和其他資訊，支付了近3812萬人民幣的和解金。

在這種情況下，使用者更應格外留意自身隱私的保護。網經社電子商務研究中心法律權益部姚建芳建議：“ 使用者在使用產品時，應當留意其獲取的授權包括哪些、開啟僅在使用期間獲取功能、及時關閉不需要的授權。”

來源：搜狐科技/袁夢