個人資訊的洩露到底嚴重到了什麼地步？

 

在文章開始之前，先介紹下背景。

在安全領域，大家都在追求3個最小化，即服務最小化、功能最小化、許可權最小化，因為越簡單的組合，意味著更安全。

但是物聯網時代的到來改變了這一點，人與物、物與物、人與人之間的連線數量超乎你想想，你的空調、電視、智慧窗簾、音響等等裝置都在和你進行互動，連結也從此前相對孤立的系統，成為環環相連的系統，資料被黑和洩露的風險也以幾何量級的概率增加。

簡單來說，以前你家就是一個平方，一扇門+一扇窗戶；如今你家是三層小別墅，每一層都有窗戶，每一層還有門，樓頂還有煙囪，車庫旁邊還有狗洞，這樣暴露出來的安全問題肯定非常多。

如果說原來洩露的個人資訊無非是郵箱、訂閱欄目、姓名、電話等等，那如今洩露的資訊將可以還原一個真實的你，你的職業資訊、公司地點、日常出行路徑、購買偏好、你的朋友關係等等一系列資訊，這就是執行在軟體服務之上的個人資訊的全面度的提高。

以上為背景，下面開始正文。

如今，個人資訊的洩露到底嚴重到了什麼地步？

先來個比較平常的，大家覺得靠譜的大型網站，早已經被攻破，相關的資訊也在暗網被明碼標價出售。一下排名不分先後。1.Linkedin早期洩露的資料，在暗網上最早被明碼標價5個比特幣。

2.CSDN六百萬使用者資料外洩

3.facebook超過8700萬使用者資料洩露

4.acfun超過800萬使用者資料洩露

5.Uber超過5700萬使用者資料洩露

6.網易郵箱大量使用者密碼資料洩露

7.百萬12306使用者資訊洩露

…….

這樣的例子實在是太多太多了。看多了這樣的例子，現在我是不會相信任何網站單方面承諾的，因為這種承諾本身就很脆弱。

但是在這樣的背景下，很多人根本就沒有意識到事情的嚴重性，要問為何，只因為大家並不知道資料洩露將對他的生活有多大的影響！

資料洩露的影響可輕可重，一般我們比較常見的就是落入推銷人員手裡，這是比較輕的，可能就是一條騷擾廣告；但如果落入到詐騙團伙手裡，那就有點嚴重了，舉幾個網上搜到的。

精準退票詐騙簡訊

市民張先生日前從昆明坐飛機回長沙時，收到一條簡訊“您乘坐的航班XXXX因故障取消航班，請及時退票。”，隨後一時心急的張先生急忙撥打電話，在“客服”的幫助下，落入詐騙的陷阱。

至於騙子是如何取得張哲的航班資訊，這一點有待商榷。

精準淘寶訂單退款詐騙

市民劉小姐在網上購買了一個價值19元的收納盒。第二天早晨9點左右，劉小姐接到了一個自稱是“售後客服”的電話。

對方準確地說出了自己的姓名、所支付的訂單、價格等詳細資訊。緊接著，“客服”告訴她，她訂購的貨物目前沒貨，現在將貨款退回給她。騙子設法套取劉小姐的銀行卡號、密碼和簡訊驗證碼，結果劉小姐卡上8000多元被騙子轉走。

具體分析：上面兩個案例都用了比較類似的手法，通過獲得使用者的訂單資訊後，騙取被害者信任，從而成功實施詐騙。至於使用者資訊是如何洩露出去的，原因無外乎兩種可能，一種是通過平臺漏洞，從而偷取使用者資訊，另一種就是通過內部員工獲得（比如淘寶，大部分訂單資訊都掌握在商家手裡）。

有人可能會疑問，如此簡單的招式，只要稍微注意，怎麼可能被騙，實則不然。

如果你去算命，算命先生讓你報上姓名，然後精準的說出你今年XX歲，家裡有三室一廳，還有個孩子，你或許不會相信他；緊接著算命先生說出你的床是什麼顏色，床的朝向等細節時，你肯定會動搖。

我們常常以為自己是理性的，我們以為自己的一舉一動都是有其道理的。但事實上，我們的絕大多數日常行為，都是一些我們自己根本無法瞭解的隱蔽動機的結果。

上面的資料洩露都是小打小鬧，下面這個事件才給我們敲醒了警鐘。

祖克伯一直把Facebook形容為一種簡單的社交工具，作為工具應該是中立的，不應該牽扯到政治。然而事實證明，工具還可以操縱美國大選。

2018年3月18日，一家名叫“劍橋分析”的資料分析公司，通過竊取5000萬facebook使用者資料，根據每個使用者的日常喜好、性格特點、教育水平，預測他們的政治傾向，進行新聞的精準推送，達到洗腦的目的，間接促成了川普的當選。

可能有人會好奇，一個簡單的資料洩露，如何能操縱美國大選呢，我們來舉個例子：老梅是美國的一位選民，喜歡在facebook瀏覽有關槍支的內容，進行點贊互動，通過機器學習學習可以把你歸類到喜愛槍支這一欄。下面就該facebook登場了，就像我們平常觀看的微信廣告一樣，劍橋分析公司會通過精準的廣告在facebook投放“希拉蕊要禁搶”的內容，通過長期的廣告投放，選民會潛移默化的牴觸希拉蕊，從心理上更加傾向於選擇川普。

facebook作為中心化的傳播平臺，控制著你每天能看的內容，就像抖音控制著你觀看的視訊內容一樣，這些中心化平臺掌握著海量兼具廣度和深度的資料，能夠全方面的剖析你的全部。

這些資料被極少數“精英”所掌控，微博熱搜、抖音紅人，他們對普通人的意識形態的輸出和控制，社會觀念和熱點的控制，都開始變得易如反掌。其實這一點數千年間其實都未曾變過，只不過到了網際網路時代，“控制”變得更加簡單高效。

法國社會心理學家勒龐在<<烏合之眾>>一書裡提到，“我們始終有一種錯覺，以為我們的感情源自於我們自己的內心。”殊不知這種感情是別人通過精準營銷，丟給你的。

影響民眾想象力的，並不是事實本身，而是它們發生和引起注意的方式。面對這種情況，歐盟已經率先行動，於今年5月通過一條法案《通用資料保護條例》，目的就是遏制個人資訊被濫用，保護個人隱私。就像自由權一樣，資料也有自己的權利——資料人權。

資料人權包含以下部分：

查閱權：資料的擁有者可以質詢企業，自己的資料是否被處理和使用，使用的目的是什麼，以及收集的資料都包含哪些。總之，有關自己的資料內容，他可以查閱任何方面。

被遺忘權：資料的擁有者有權利要求企業將他的資料刪除，如果資料被第三方獲取，使用者可以繼續要求第三方進行刪除。顯然，國內能夠提供登出賬號資訊的廠商並不多。

限制使用權：如果資料擁有者不想刪除自己的資料，但又不想讓企業使用自己的個人資料（比如推送各種精準的廣告），那麼可以要求限制企業使用自己的個人資料。

資料移植權：當使用者從一個APP轉到另一個APP時，可以要求將自己的資料資訊一起帶過去。就像某個使用者開始使用網易雲音樂，後來去了QQ音樂，使用者有權將自己的資訊一起遷移過去。

這份法案的頒佈，堪稱史上最嚴資料安全的法律。大資料+演算法的時代，使用者資料對於網際網路公司的價值不言而喻。於是乎，很多公司直接遮蔽了歐盟地區；有些則直接上線了極為簡陋的網站版本；還有一些企業直接耍無賴，如果不接受“功能cookie”，就禁止使用者瀏覽任何內容，直到使用者改變主意。

可以預見的是，觸動了大企業乳酪的資料安全之路並不好走，但羅馬不是一天建成的，古有商鞅變法，管仲變法為鑑，每一次改革都會觸動上層階級的利益，但只要維護了最廣大人民的根本利益，就是正確的改革。

可惜大眾沒有真正渴求過真理，面對那些不合口味的證據，他們會充耳不聞；凡是能向他們提供幻覺的，都可以很容易地成為他們的主人。

你要成為“資料人權”的喚醒者嗎？