NEWS

大规模数据泄漏事件背后:初创公司安全防护几近裸奔. 2019-10-16


企业数据泄漏事件频发

 

今日,抖音海外版抖音TIK TOK在美国被控侵犯儿童隐私,遭FTC开出570万美元罚单,源于TIK TOK运营的musicaly被指控非法收集儿童信息,这是FTC在美国儿童隐私案件中做出的一笔最大民事罚款。

2月,东方网力旗下子公司深网视界(SenseNets)发生大规模数据泄露事件。超过250万人的数据可被获取,680万条记录泄露,其中包括身份证信息、人脸识别图像及捕捉地点等。

爆料此事的程序员还在TIWWTER上指出:这家公司从从2018年7月开始就处于任何人都可以访问的状态。通过这些数据可以得知道谁不在家,可能出现盗窃行为。

时隔一天,京东金融被指私自收集用户敏感截图用以优化产品。微博用户“瘦出的肋骨已经消失的大侠阿木”在微博上爆料,京东金融APP在用户非主动发送的情况下私自读取相册截图,涉嫌违规。

一直以来,接连不断的数据泄漏事件已经让人麻木。作为掌握海量兼具广度和深度的数据的中心化平台,在享受用户增长红利的同时,并没有足够的意识去保护用户隐私。

李彦宏曾在公共场合表示:“中国用户在个人隐私方面更加开放,一定程度上愿用隐私换方便和效率。”

然而用隐私换方便和效率的并不止百度。

搜狐科技统计了近年来大规模隐私泄漏事件,发现无论是电商巨头还是科技独角兽,都曾陷入到数据泄漏的风波之中:

  • 2012年3月,当当网账户集体被盗,余额被用于购买电子产品,金银首饰等大额商品。

  • 2013年3月,网友爆料支付宝出现重大漏洞,称使用谷歌可以搜索出大量的支付宝交易记录,包括首付款账户,姓名和日期等等。

  • 2013年11月,承认7000多万QQ群遭泄漏,根据QQ号可以查询到社交关系网伸甚至从业经历等大量隐私。

  • 2014年3月,携程用户姓名,身份证号以及银行卡号, cvv码出现泄漏,且上述信息可能被黑客读取。

  • 2017年,京东员工坚守自盗,与黑客互相勾结,为黑客入攻提供重要信息,泄漏的信息包括物流信息,交易信息和个人身份信息等等。

  • 2017年,小红书有50名用户接到加客服电话后上当受骗,受骗总金额达88万元人民币。

  • 2018年4月,百度外卖等多家外卖平台的用户信息发生泄漏,有商家专门出售客户信息,每条售价不到0.1元。

在2017年施行的《网络安全法》中,明确提出了“谁收集、谁负责”的原则,也就是说信息收集方要承担起保障数据安全的义务,但至今国内尚无让广大公司意识到数据安全严峻性的标志性案件出现。

谁在滥用你的人脸数据

数据泄露的背后,是网络黑产的猖獗。

首先是数据被留转到暗网上拍卖,暗网通常是指那些存储在网络里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。暗网里的交易没有第三方担保,一切行为责任均自负。

搜狐科技在暗网上发现的许多网络黑产交易, 这些信息泄露于电商,P2P平台以及各种社交平台和网站,每个打包的数据量级均在千万以上,一般用比特币和美金进行交易。

这些数据已经不是一手数据,大都经过反复倒卖。例如,优酷2016年被拖库的数据,以及陌陌曾被泄露的3000万用户信息,仍然在暗网上被叫价售卖,单价只要10美元,另外还赠送100份手持身份证照片。

由于价格并不昂贵,用户信息被多次转手泄漏,对个人造成反复性的永久性伤害,而这并不会影响平台的利益。

据中国企业家杂志报道,截至2017年年中,中国网络黑产从业人员已超过150万,市场规模高达千亿。

除了黑产行业,企业也想方设法获取用户数据攫取利益。

一家叫做剑桥分析(Cambridge Analytica)的数据公司,非法窃取5000万Facebook用户资料后用算法进行大数据分析,预测他们的政治倾向,进行个性化的新闻推送,然后在不知不觉中影响他们的选票。

而收集数据的平台方,则直接利用平台杀熟,很多携程用户表示,同样的房间,不同的手机下单价格并不相同。同样,也有网友反映,在滴滴上打车,老用户也要支付比新用户更多的车费。

初创公司安全防护几近裸奔

据IDC报告显示,我国信息安全投入占IT整体投入的比重较低,仅为1%-2%,远低于欧美市场8%-12%的比例。

反映到企业本身,不仅是企业安全团队配置的匮乏,还有数据管理与采集的混乱。

360网络安全中心一位负责人告诉搜狐科技:“ 初创公司在产品上线初期虽然都号称很安全,但在数据保护上几近裸奔,没有投入。”

一位资深也表达了相同的观点。去年,他入职了一家在风口上的明星公司。但工作不久后,他便发现公司在安全防护方面上的支出几乎为零,就连购买基本的云服务都无法做到。

而拿数据采集来说,许多初创公司则对数据采集呈现出无比饥渴的状态,APP隐私协议形同虚设。

前日,上海网络信息办公室在对1号店、拼多多等23个上海本地最常用移动互联网应用程序(App)用户权限的整改情况做了复测后发现,截至1月中旬相关App共整改158了个不合理权限和98个“合理但存在风险”的权限。其中墨迹天气被指出上传wifi信息,进行隐私跟踪。

在安装一个新APP时,通常被要求访问通讯录、地理位置等信息,但访问的目的、时间和方式等,几乎没有企业会给出明确解释。

去年1月,支付宝发布年度账单,最下方的《芝麻服务协议》默认打勾。协议声称,支付宝可以直接向第三方提供用户相关信息,并且可以进行分析、推送给合作机构,以及有权不支持用户撤销第三方的信息查询授权。

一名专注网络黑产调查的自媒体人士则透露,“有些APP甚至会联合共用采集到的用户信息做画像,指望APP保护个人隐私几乎是不可能的。”

除了过度采集,即便用户注销账号后,企业仍会保存用户隐私信息。

“过去企业会因为预算问题,定期删掉服务器上的一些数据,现在即便短期用不到,企业也会保留数据。” 一家数据云服务平台表示。

目前,相比国外在数据上的监管,很多公司并没有为他们过度收集和泄漏用户隐私的行为付出代价。根据欧洲去年5月发布的《通用数据保护条例》(GDPR),违反数据保护条例的公司可能面临最高2300万美元或占其全球年收入的4%的罚款。

总部位于都柏林的Facebook,差点因为数据泄漏而面临16亿美元的罚款。

而出海不久的抖音海外版,已经尝到苦头,其收购的Musical.ly由于在未征得父母同意之前非法收集了13岁以下儿童的姓名、电子邮件地址和其他信息,支付了近3812万人民币的和解金。

在这种情况下,用户更应格外留意自身隐私的保护。网经社电子商务研究中心法律权益部姚建芳建议:“ 用户在使用产品时,应当留意其获取的授权包括哪些、开启仅在使用期间获取功能、及时关闭不需要的授权。”

 

 

转自搜狐科技



上一篇:企业感染勒索病毒怎么办,三种应对勒索病毒的备份最佳实践的实现
下一篇:物联网时代来临,网络安全问题日益严重