隐私空间app,创业加油站APP 隐私

透视网络黑产系列之“个人信息泄露”
光明网采访人员 李政葳
回顾过去2018年的诸多热点舆情事件 , 支付宝账单被默认查 , 脸书8700万用户数据泄露 , 酒店1.3亿用户数据泄露 , 常州大学生个人信息泄露“受聘” , 宗华曝光酒店乱象导致个人信息泄露 。
在近日举行的2018个人信息安全大会暨“啄木鸟安全奖”颁奖典礼上 , 南方都市报个人信息保护研究中心发布了《2018个人信息保护年度报告》 , 对购物、金融、交通、社交等十大行业常用的1000款App隐私政策进行了测评 。说明只有13款达到了隐私政策的高透明程度;透明度“失败”的应用数量超过70% , 透明度低的应用数量高达538个.
一线安全领域的反欺诈和用户隐私保护现状如何?互联网企业隐私政策修订过程中如何平衡应用合规性和隐私设计?
骗子为什么这么“努力”?原来他们的KPI指标这么细
近期统计显示 , 我国网络安全产值不到500亿 , 但网络黑灰生产年产值已达到上千亿 。当互联网另一端的诈骗者比你“更努力”的时候 , 反诈骗怎么可能奏效?
“你想过欺诈者是如何工作的吗?如何做一个“好”的骗子?是你每天打电话次数最多 , 还是你骗的人最多 , 还是你诈骗的创新性最强?”熟悉于闯反欺诈技术的专家潘华少提出了一系列问题 。
比如他说某海外诈骗团伙以IT公司名义在武汉招应届毕业生 , 说是直接送海外培训 。毕业生一开始觉得个子高 , 但出国后发现员工天天写诈骗脚本 , 管理指标严格 , 需要互相竞争 , 最终还是要看帮派的实际“输出” 。

隐私空间app,创业加油站APP 隐私

文章插图
网络黑白制作中使用的猫池工具 , 可同时接受多个用户的拨号连接(李正雨摄)
“有些不法分子写得不错 , 接电话的人也不少 , 但个人精力有限 。他们一分钟只能接一个订单 。和一百个人深入交流后 , 只骗了一两个人;有的只和两三个人聊过 , 但每个顺序都被转化了 。”两者相比 , 谁更厉害?潘鼎华承认 , 诈骗团伙很直接 , 只有骗钱的时候才更注重具体指标 。“骗子的KPI指标非常详细 , 产房和离职都会给出很高的指标 , 可能是直接驱动力 。”
此外 , 潘提到 , 早年曾帮助某单位破获一个大型犯罪团伙 , 成员数百人 , 分工严格 , 绩效考核 , 涉案金额数十亿美元 , 分剧本组、技术组、电话组 。
其中剧本组负责根据手头的资源集思广益 , 设计各种场景 , 比如冒充公安稽查法、换票、电商退货等 。技术团队负责购买公民隐私数据 , 购买犯罪装备 , 开发部署诈骗网站和应用 , 在黑市发送诈骗短信;电话组根据业务组每天打大量电话 。
“所以不要认为骗子那么愚蠢 。电话里有这么浓的口音 。其实只是为了快速过滤掉你 。每个听起来‘傻’的骗子背后都有一个团队 , 研究如何突破你的心理防线 。”潘鼎华说 。
魔高一尺 , 路高一尺 。诈骗犯这样打 , 反诈骗的人也这样打 。
x;">“电话反诈骗有一个尴尬的地方 , 出于多种因素考虑 , 不能直接在运营商里拦截阻断诈骗电话 。”潘定华说 , 很多时候诈骗分子会让受害人一直不挂机 , 直到完成打钱操作 。这种情况下 , 公安民警就没办法即时通知受害人 , 甚至警察上门后 , 人们也还以为警察是坏人 , 因为骗子已通过整套话术进行了洗脑 。
在潘定华等网络安全一线从业者看来 , 希望在诈骗案刚在发生时 , 甚至还没有发生时 , 就能及时地阻断 。“近两年 , 我们在根据既有案件和大数据平台情报 , 进行建模训练 。比如 , 可以配合相关机构进到黑灰产后台 , 看他们已骗了哪些用户、哪些数据 , 也能掌握嫌疑人的一些公共信息” 。

隐私空间app,创业加油站APP 隐私

文章插图
(图片来源于网络)
数据不上传就不会泄露?未必!还有大数据挖掘测算
多年从事信息安全工作的杨更 , 创业之前曾在亚马逊(中国)、美团、小米等担任过首席安全官 。“人们没听说过我 , 是一件好事 , 说明我服务过的公司都没出现过重大安全事件 。”在杨更看来 , 网络安全防御领域没有消息 , 其实是最好的消息 。
“从业18年得到了一个略有‘悲哀’结果:用户的所有线上信息都会泄露 。如果担心泄露 , ‘小秘密’就不上传 , 也不行 , 因为现在有了大数据挖掘 。”杨更举例 , Facebook早在2007年就能根据用户社交关系测算用户性倾向;去年纽约大学研究员也发现 , 靠点赞也能测算出用户性倾向 。“也就是说 , 你根本没上传过信息 , 靠大数据挖掘 , 也都可以被挖出来” 。
对用户而言 , 最重要的数据是什么?“可能你觉得是密码 , 因为这是打开其他数据大门的钥匙 。可当你还在为自己的密码规则沾沾自喜时 , 你的邮箱、iCloud、银行卡等密码可能早已泄漏 , 当黑客攻击你时、诈骗集团忽悠你时、广告主骚扰你时 , 他们根本不关心你是谁 , 在他们眼里 , 你只是一行数据 。”
在杨更看来 , 以上种种 , 是日益增长的个人隐私保护需求和不平衡、不充分的个人隐私保护能力之间的矛盾 。“普通网民与拥有大数据能力的攻击者完全不是一个对等的存在 , 这是互联网世界的‘降维打击’ , 也是隐私泄露时代的‘黑暗森林’ 。”
作为网络安全工程师 , 杨更自己一直严格管理个人密码管理器 , 所有摄像头全部用黑塑料遮挡 , 用时才打开 , 但显然对于多数人来说 , 很难做到 。“要想改变隐私保护的现状 , 光靠技术手段远远不够 。需要法律圈、媒体圈、技术圈、投资圈 , 特别是用户圈 , 形成一股对隐私高度重视的力量 。”杨更认为 , 如果有更多用户注重隐私保护 , 就会有勇敢的投资者进入这个赛道 , 从而吸引更多创业者 , 打造出隐私保护行业的良性生态 。

隐私空间app,创业加油站APP 隐私

文章插图
(图片来源于网络)
隐私细则不是越长越好 , 用户体验与数据合规已不再是“二选一”
在过去的2018年 , 用户隐私政策法规相较前一年严格了不少 , 这次南方都市报个人信息保护研究中心测评显示 , 被测App的隐私政策透明度大幅跃升 , 还有不少App开始尝试视频、图文、表格、摘要等创新性的隐私设计 , 腾讯和百度还上线了隐私保护平台 , 详解旗下多款热门产品的隐私设计 。
其实 , 对于很多互联网企业而言 , 移动应用的隐私政策多是从0到1 , 尤其在隐私政策刚开始出现时 , 多是简短的一段话且内容含糊 。让知乎法务部门一帆记忆犹新的是 , 2018年4月知乎隐私政策修改时 , 曾一度引爆舆论、差评如潮;8月底接到知乎进入隐私政策评审名单的通知 , 需要在10月底前完成修改 。
“当时首先考虑的是产品特性 , 没考虑不同平台对数据信息的使用、管理、收集的特性 。”在门一帆等人看来 , 知乎首先是内容平台 , 并不需要那么多用户信息 , 也没有收集那么多信息 。
最后 , 他们设计了两个弹窗 , 先做隐私保护指引概要 , 让用户选择同意或不同意;当用户勾选不同意时 , 再给用户第二次选择权 , 如还需要用知乎 , 就进入仅浏览模式 。
事实上 , 10月底上线的这个版本 , 是门一帆等修改的第20次稿 。这里面到底写了哪些内容?
“第一版不到6000字 , 第二版16000字 , 还不包括Cookie指引和对难懂政策的解释 。”门一帆解释说 , 一是个人信息保护的要求提高了 , 产品需要给用户更多权利 , 也需要把权利说明白;二是产品功能变复杂了 , 小产品、小功能会有上百个 , 且之间还会相互交叉、信息共用 。
“实际上16000字还没写完 , 但已经不能再写了 , 不要说用户看了会很痛苦 , 我们自己看都很痛苦 。”在她看来 , 应用的隐私政策越来越长的趋势是不对的 , 需要思考 , 是否可以通过其他方式改进 。
用户体验和数据合规是不是必须“二选一” , 鱼和熊掌能不能兼得?如果放在一年前 , 门一帆可能会说“是” , 但经过这一年数据合规的风暴后 , 她坦言:“数据合规已成为了用户体验的一部分 , 而且是至关重要的一部分 。”
让她感受深刻地是 , 现在法务也要站在“前台” , 引领产品的合规 , 有权利、有机会与技术部门站在一线 。“法务首先应当尊重技术、关注技术 。既要意识到技术的重要性 , 也要理解技术的局限性 , 法律可以用来指引技术 , 但是不能替代技术 , 也无法突破当下技术水平的限制 。”
【隐私空间app,创业加油站APP 隐私】在不少业界人士看来 , 个人信息泄露事件已经成了“高空抛物” , 高楼扔下来东西后 , 怎么去追责?楼上每个居民都要证明那天不在家或窗户封死了 。“个人信息泄露如果是一个木桶的话 , 中间各个环节都要争当长板 , 这样个人信息才会更安全” 。