这是老王的第 118 讲
中国人对隐私问题的态度更开放,也相对来说没那么敏感。”
——李彦宏
8月28日,暗网中文论坛曝出大消息:出售大概1.3亿人的开房信息。
泄露的信息来自华住酒店集团,几乎覆盖华住从高端到大众所有品牌:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。
在看到这件事时,媒体的反应大多数是这样的:开房记录泄露,又要拆散多少情侣;不专业的程序员会造成怎样的后果……然后到今天,大家的视线又被其他新闻夺走了,涉及1.3亿用户的隐私,轻如鸿毛……
1、暗网交易的数据
2013年11月,“2000万开房数据”在网上疯传。“当事人”正是华住的前身——汉庭。
事实上,这些数据在2013年的5、6月期间就已被人获取并开始在地下传播,“获取并传播这组数据的人是谁?”,“这人是如何获取组数据的?”到今天,依然不得而知。
在那次泄露中,没有亲历的人大多数可能只知道,有男子因为被查到开房记录而婚事告吹。但事实上,还有更多收到诈骗电话骚扰的人,上海的王金龙更是不得不到派出所改姓来逃过这一个又一个的骚扰诈骗电话。
这组“2000W开房数据”在网上出现后,以每天近4万次的频率被人们疯狂下载。还有人重新贴标签、归类,比如,“18-30岁mm开房数据”。
我能接受精准营销,但是难道我还要接受精准诈骗么?
2015年,漏洞盒子平台安全报告,后来被华住收购的桔子酒店存在严重安全漏洞,房客姓名、电话等开房信息一览无余,甚至还可以对酒店订单进行修改和取消。
都说事不过三,华住这硬生生是凑够了3次。吃一堑也没长一智,每一次都是更大的漏洞和疏忽。
这一次此次泄露的数据大约5亿条:
1、华住官网注册资料(crm.txt),包括姓名、手机号、邮箱、身份证号、登录密码等信息,共53 G,大约 1.23 亿条记录;
2、酒店入住登记的身份信息(cusinfo),包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,大约 1.3 亿人身份证信息;
3、酒店开房记录(history),包括内部 ID 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 ID 号、房间号、消费金额等信息,共 66.2 G,大约2.4 亿条记录。
根据 IBM Security 和 Ponemon Institute 的一项研究,数据泄露的平均成本为 386 万美元。像这次华住集团的事故属于“超大型泄露行为”的范畴,造成的直接损失至少在 5 亿美元以上。
5亿美元这个数字有多大,你我可能都无法想象。但这样一个场景却是我们能想象的:有人拿着我们身份证正反面及手持身份证的照片注册了一些非法平台,比对了我们的账户密码,劫持了我们手机的验证码并成功登陆网银、或是支付宝,侵占我们财产的同时,还利用我们的身份做了违法的事……
2、无形中被获取的数据
8月27日,一篇名为《滴滴出行,请开发票给我》的微信文章在网上流传,矛头指向滴滴于今年7月升级后,强制向用户调取通讯录等多项隐私权限,否则不能使用该应用。
与滴滴在保护车主信息时的层层关卡不同,泄露用户信息这事儿做的真不少。滴滴回应说调取通讯录的权限是用于“代人叫车”与“紧急联系人”功能,调取前需用户二次确认。如不同意,消费者亦可选择手动输入号码。
但事实上,在登录滴滴时,用户就必须同意“滴滴法律条款及隐私政策”,其中就已经包括调用通讯录,如果不同意,就无法使用滴滴。
而滴滴隐私条款的第6.1.6条则写到,“为维护用户合法权益,在协助处理与您有关的交易纷争或争议时,我们可能向您的交易相对方或存在利害关系的第三方提供解决交易纷争或争议所必需的信息。”这个条款,或许正是司机能够在订单结束后仍能联系客户的原因之一。
同样的情况也出现在这两天格外火爆的子弹短信,登录后通讯录即授权。
但子弹短信的用户泄露可能更不止如此。和华住的“账号:root,密码:123456”一样低级的安全问题,用户个人信息可以通过网页浏览器查看,这个网址后的ID就代表着用户信息,按照数字顺序添加,就可以查看所有用户信息,这些用户信息除了子弹短信ID和网名,还可以看到是否激活子弹短信、所在地、对应的微博、微信、QQ……甚至是你通讯录里未注册好友的账号。
用户信息的获取和加密如此简单,都不用黑客解密破解,任何一个有一点编程基础的,随便写个for循环就能获取了。
而在《子弹短信用户协议》中,有条款称:“快如科技将尽可能保障安全,但是不能完全避免安全信息泄漏的风险,所以我们无法做出任何确定性的保证或承诺。由于各种原因(包括但不限于自行泄露主密码、不可抗力或第三方原因)导致用户的密码泄漏带来的损失,快如科技不承担责任。”
在信息安全方面的表述上,过于“简单粗暴”了。
3、数据大战下夹缝中的用户
2010年11月3日,腾讯以QQ弹窗的方式发表了著名的“致全国 QQ 用户的一封信”声明,以“在装有 360 软件的电脑上停止运行 QQ 软件”为威胁,向上亿 QQ 用户发出最后通牒。
而在此前半个月中,腾讯和360有着更精彩的争执。
腾讯采用了大规模后台静默安装的手段,神不知鬼不觉地装进用户电脑。为了应对,360隐私保护器上线,对“任何第三方程序凡是名字被修改为‘QQ.exe’后,都会被提示窥视隐私”。
10 月 29 日马化腾 40 岁的生日当天,周鸿祎更是送上了精心准备的贺礼——360 扣扣保镖。这款“贴身保镖”不仅能保护隐私、防盗号、还能过滤广告。
腾讯的广告收入被切断,那还得了,声明一发,这场史无前例的、中国互联网的“二选一”事件,由此发酵到了顶点。360又败下阵来,装机量急转直下。
1天之后,360主动示弱,主动下线“360 扣扣保镖”,并通过弹窗公告请求用户卸载,以此让步缓和对抗。
11 月 5 日,工信部、中国互联网协会通过行政命令的方式要求 360 与腾讯双方不要再争执。
11月10日,360 宣布 QQ 与 360 恢复兼容。至此,这场3Q大战落下帷幕。
将近1个月时间的数据大战,360和腾讯之间火花四溅,而作为吃瓜群众的我们,绝大多数都没有意识到自己的数据成了两方企业相争的战场。
这两者,谁不是深度、遍历(Traversal) 、完整地“摸”了我们电脑内所有的数据呢?
4、裸奔中前行的我们
信息泄露不仅仅是在我国,全世界都有。2018年,像是信息泄露爆炸年,光上半年全球曝光出的超大信息泄露事件就抵过去年一年的总和:
2018年1月3日,WhatsApp上匿名卖家提供的一项出售登录凭证的服务,通过这项服务,记者可以输入任何一个Aadhaar号码(印度身份证号)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息,甚至可以打印。损害了在印度注册的11亿公民的个人信息。
2018年3月17日,Cambridge Analytica收集了Facebook的8700万用户数据,而Nametests.com更是收集了1.2亿用户信息。
2018年4月2日,Panera Bread泄露数据3700万。
2018年4月3日安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。
2018年5月25日,有人未经授权访问了MyFitnessPal平台,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。
2018年5月31日安全研究员Oliver Hough发现了健身应用程序PumpUp的一台暴露在互联网上的后端服务器,600万用户全部的数据全部可查。
2018年6月4日,在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址遭泄露,共计9200万条。
2018年6月7日,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。
2018年6月7日,黑客劫持了Ticketfly网站,替换了它的主页,在遭到支付赎金拒绝后,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。
2018年6月26日,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括4亿多美国人和企业的详细信息。……
在这些信息泄露事件中,除非是像Facebook这样利用数据操控大选,或是信用卡被盗用,造成严重危害的,平台会受到惩罚或用户获得赔偿,其他也就轻飘飘地过去了。
你说这些大佬难道不懂数据安全的重要性吗?但有时候确实“选择性忽略”了。资本是逐利的,当风险在他们眼中只是一个比例时,那一些用户的牺牲,对他们来说并不算什么。
而我们这些被数据操控的用户,或许,也只能继续裸奔……
p.s.你对信息泄露怎么看,欢迎留下你的评论。
后天聊一聊电竞行业,公众号后台回复 电竞 ,提前获得资料包。
我是老王,专注于
投资、理财和金融的知识传播
置顶我,每晚十点,
我们“老王必修课”见。