职业IT人-IT人生活圈

 找回密码
 成为会员
搜索
查看: 640|回复: 0

你的个人隐私可能就这样泄露了

[复制链接]
qtmbmr 发表于 2014-12-11 15:24 | 显示全部楼层 |阅读模式
  一个丈夫要准备去上海出差,而他的前任女友就在离上海很近的江苏工作,妻子非常担心,一再警告丈夫要安分,记住自己是有家室的人。丈夫出门的时候信誓旦旦地保证自己只是去工作。但是还是顺道去见了前女友。一周后,丈夫回来了,妻子让丈夫交出手机,丈夫早预料到妻子会这样早早删掉了通话记录和短信,坦然的交出手机。一分钟后妻子勃然大怒,直接将手机摔丈夫身上,这时丈夫赫然看到手机短信有一条“江苏移动欢迎您……”
  说这则故事其实是想要引出今天的话题,随着时代的发展,我们是否还会有个人隐私。尤其是在如今信息爆炸的时代,互联网和移动通信将人与人之间的距离拉近,将信息的传播变得如此的容易。作为一个互联网安全从业者,我今天就希望来跟大家探讨下这个问题。在信息爆炸的时代我们的个人隐私何去何从,到底我们还能不能保护好自己的隐私,还是说将来我们必将赤裸裸的面对周遭的世界。
   个人隐私保护的缺失
  现在很多企业都会给员工一个福利——年度健康体检。每个城市都会有几家医院是作为企事业单位体检的地方。话说这是一项非常好的员工福利,能让员工每年都能够了解自己的身体状况,防范于蔚然,提早发现一些疾病,尽早治疗,利国利民。但是说实话,今年公司的体检我是真心的不敢去了。
  事情的起因是公司指定的这家医院,前些日子被黑客进行了攻击,直接入侵到医院网站的服务器。将医院服务器里的所有数据库都下载了。这里的数据就包括每一个体检者的姓名、身份证、联系电话,以及你的各项身体指标。
  
  

  可能你还无法体会到这些信息的价值,接下来我会跟你说说这些信息都可以怎么被利用。单一的数据源提供的数据的确是单一维度的,这些信息的价值就顶多相当于一个二维的图。若是数据来源丰富,则可以对一个人的了解从二维变为三维,一个人就赤裸裸暴漏在黑客面前。从360补天和乌云爆出的漏洞来看,好几家的快递公司快递单据泄露,就是大家接收快递时贴在外面的那张单子。那张小小的单子能够提供的信息包括个人姓名、电话、住址以及你买的东西。
  
  

  近日某招聘网站因为疑似被泄露了几十万份以及在招聘网站上的简历,导致被推到了风口浪尖。对于简历里面的信息大家应该都比较熟悉了吧。当然信息来源还有如政府学校等其他地方,这里就不一一列举了。通过信息汇集交叉,剔除冗余后,就能搭建成一个个人信息数据中心,也就是通常意义上的“社工库”。通过这个社工库就可以对一个人进行了大致的了解。例如这个人的基本信息(姓名、电话、住址等),身体状况(身高、体重、疾病史等),经济状况(购物历史、职业发展等)。
  这些信息有什么用呢?对于目前流行的短信欺诈团伙来说,有了这些信息后他们可以针对性的发送自己的欺骗信息,因为他们对你的了解,让你更容易相信他们所说的,上当也就成为了大概率事件。对于保险公司而言,他们在开出保单之前一定是希望降低风险的,降低风险就必须要提高对投保人的全方位了解,而往往投保人会处于追求利益最大化会隐匿掉一些重要的信息,比如身体疾病,工作不稳定等。当保险公司拿到这份数据后就可以降低他们的投保风险。甚至算命行业都会因为这个社工库而被颠覆。
  对于开头我们说到的那个故事,那位妻子其实可以有更直接实时的办法,若他的丈夫是iphone手机,开启它的find my iphone就可以实现手机定位,若不是,可以使用某些定位app。正因为这样,据说购买儿童手环之类的定位产品的妈妈会同时买两个,一个给小孩,一个给丈夫。
  
  

   信息时代下的隐私价值
  刚才说的那个例子,可能会让很多人想起这样一个场景,现在市面上的智能机,在你们要安装某一个软件APP的时候,都会问是否能够访问我的地址,是否能够使用你的通讯录。是的这些选项就是软件厂商希望能够通过你的手机来定位你的位置,为你推送本地的信息。例如一个团购app,当中午检测到你在某一个地方出现的时候,基于你往常的团购习惯,给你推送一个周围的餐馆,价格优惠,口味迎合你。我想你一定不会拒绝这样的好意的。对于使用你的通讯录就更好理解了,尤其是针对IM软件(即时通讯,例如微信),使用你的通讯录进行关联,向你推送你认识的好友微信号,你也一定会去添加。这两个例子都是在直接给你带来了便利,提升了产品的用户使用体验。甚至让你想不出拒绝的理由,对么?
  
  

  但是你想想,你的通讯录,你的地址是不是你的隐私,你这样就泄露了个人隐私,你怎么没生气呢?
  最近互联网金融变得非常的火热,笔者的一位朋友就在中国一家较大规模的互联网金融公司工作,据她透露,他们是根据用户平时的浏览记录,以及在互联网上的操作行为做依据来对这个人做信用评定,从而考虑给用户进行个人贷款。我们先不来深究这个做法的严谨性,我们单从这个思路出发,他们公司若是敢以用户在网络上的行为作为信用评定依据,一定是对用户的行为本身做了记录以及监控,进而通过一系列的算法,得出了这个人的信用,最后决定给这个人贷款。从市场上的反馈来看,这款产品得到了广大的互联网用户的拥护,我这位朋友的公司看起来目前也发展得很好,从现实来看,大家对于这种商业行为还是认可的。甚至大家是支持的!
   隐私该不该保护
  可能看到这里大家会很困顿,我到底是要抨击泄露个人隐私的行为还是要宣扬要利用个人的隐私去获利呢?
  在这里我要严肃的声明下立场,我是坚决反对任何有意泄露个人隐私的行为,以及利用他人个人隐私去进行交易的行为。但是在这里我们要首先给个人隐私做个范围界定。哪些是必须要保护的个人隐私,哪些是可以公开的。
  从上述我列举的几个例子来看,随着时代的发展,人与人之间的交互变得更加的密切不可分,因此人们也在享受着某些个人信息公开而带来的便利,比如个人从app得到个性化推荐,个人通过app的好友推荐,拉近与朋友间的距离。个人的地理位置、个人的喜好、个人的信用这一类属性公开将有利于融入这个信息化的世界。这一个趋势我觉得基本上不可逆,而公开的范围也将会越来越大。而个人想要阻止这种趋势,基本上是不可能的。因为你不是独立的生活于这个世界,你需要与其他人交流,需要信息的交换,一旦发生了交换你就需要付出个人的信息。甚至当社会绝大多数企业都趋向于更公开,更多信息化的时候,你会发现个人的力量是多么的势单力薄。
  说到企业,这里就是我今天最想要强调的地方。个人可以分享自己的部分信息去享受由之而来的免费福利,企业可以从他们的个性化推荐中获得利益。但是这就要求企业必须要做到保护好每一个用户的个人信息! 每一个政府、学校、企业等在利用用户个人信息去方便用户的同时,有义务也有责任去保护自己手中拥有的个人信息。而不会造成用户信息被用户未知的第三方所利用。更不能将自己拥有的用户信息买卖给第三方。这一看似理所应当的论证,今天看来大家做得远远不够!
  从补天漏洞响应平台发布数据来看,目前政府学校类的网站成为被脱数据库的重灾区,而学校政府类的网站往往又是数据量相对来说较大的地方。而且对于政府学校类的网站,绝大多数没有专门负责网站安全的人员,很多网站都是依托于第三方平台进行制作,后期的安全维护成为很大的一个问题。网站出了问题,建站公司也基本上不负责。这就造成了这类网站被脱裤千万遍,我依然“坦荡”如故的情况发生。
  
  

  那么如今就没有办法去制止这样的情况发生吗,难道我们的隐私保护在黑客面前就这么无力吗?
  我想说互联网安全远远还未到拼技术的时候,也就是说造成目前这种情况其实最根本的瓶颈在于国人的安全意识。想要根治这个问题,有两个关键的因素:一、国家 ;二、互联网安全从业人员。在中国这样的一个国家,很多东西必须要从政府层面去推动,加上相关的立法约束,这样才能提高各级政府的网络防护意识,安排专业的安全从业人员去对网站进行安全防护。
  很高兴,国家目前已经迈出了第一步,通过立法去提高公民对于个人隐私保护的意识。最新颁布的刑法修正案(九)(草案)第二百八十六条之一规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
  
  那么对于互联网安全工作者呢,这里有必要替广大的互联网安全工作者说几句话。在全国范围内专门从事互联网安全的人员相对来说不是很多,而这其中原因有可能:
  1、因为知识壁垒比较高。需要一整套完整的网络安全体系,而这些几乎很难在学校里完全通过课本学习到的。
  2、很难去体现个人价值。在做防护时候需要考虑很多方面,针对黑客每一个可能的攻击行为去进行防护,负责的网络没事就就是最好的消息。但这也有可能在外人看来这是没有作为的表现。而一旦网站出事故,甚至是因为业务人员的纰漏导致的,那第一个需要负责的还是网站安全负责人。
  3、就像开篇所说的,黑客利用手上的社工库以及其他手段,可以获得巨大利润,而作为一个安全工作者理论上应当比黑客更了解这些攻击手段,但从事着的工作收入却较低。
  那么安全工作者到底是在坚持些什么?这一群人中间,据我的了解,有的是从做黑产后良心过意不去,转而做白帽子的;有的是因为传统道德的约束以及家庭社会的压力,没有选择去做黑产;而更多的人我觉得他们就是纯粹的热爱着互联网安全,真心希望能够为互联网安全作出自己的一点贡献,与黑客,与地下黑色产业做斗争,只为了我们的互联网环境更加的干净,安全。
  他们不是傻,只是这么单纯的追求一种互联网安全的信念!
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

QQ|手机版|小黑屋|网站帮助|职业IT人-IT人生活圈 ( 粤ICP备12053935号-1 )|网站地图
本站文章版权归原发布者及原出处所有。内容为作者个人观点,并不代表本站赞同其观点和对其真实性负责,本站只提供参考并不构成任何投资及应用建议。本站是信息平台,网站上部分文章为转载,并不用于任何商业目的,我们已经尽可能的对作者和来源进行了通告,但是能力有限或疏忽造成漏登,请及时联系我们,我们将根据著作权人的要求立即更正或者删除有关内容。

GMT+8, 2024-3-28 18:29 , Processed in 0.144433 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表