回顾过去的2018年诸多热点舆情事件,支付宝账单默认勾选、Facebook 8700万用户数据泄露、华住旗下酒店1.3亿用户数据泄露、常州大学生个人信息泄露“被入职”、花总曝光酒店乱象导致个人信息泄露等备受关注。
在近日举办的2018个人信息安全大会暨“啄木鸟安全奖”颁奖典礼上,南方都市报个人信息保护研究中心发布的《2018个人信息保护年度报告》,对购物、金融、交通、社交等十大行业的1000款常用App隐私政策进行测评,显示只有13款达到隐私政策透明度高的层级;透明度“不及格”的App数量超七成,透明度低的App高达538款……
一线安全领域从业者反诈骗和用户隐私防护现状如何?互联网企业隐私政策改版过程中,如何实现应用合规与隐私设计的平衡?
骗子为什么这么“努力”?原来他们的KPI指标这么细
最近有统计显示,中国网络安全产值不到500亿,但网络黑灰产一年产值已达上千亿。当在互联网另一端的诈骗分子比你还“努力”,反诈骗如何修成正果?
“大家有没有想过诈骗分子如何工作?怎么样才算一个‘好’的骗子?是每天电话打得最多,还是骗到人最多,或是诈骗手法最新颖?”知道创宇反诈骗技术专家潘少华抛出了一系列疑问。
他举例说,之前有一个境外诈骗团伙,专门打着IT公司名义,在武汉招聘应届生,并称直接派出国培训。毕业生开始都觉得高大上,结果出国后发现是让员工每天编写诈骗剧本,而且有严格的管理指标、相互之间需要竞争,最终要看团伙的实际“产出”。
“有些不法分子文案写得不错,接电话的人很多,但个人精力有限,一分钟只能接一个单,与一百个人深度交流后只骗到了一两个人;有的只聊了两三个人聊,但每一单都转化了。”两者相比,谁更厉害?潘定华坦言,诈骗团伙很直接,只有骗到钱才算,所以更关注具体指标,“骗子的KPI指标做的很细,指标高会给给发房、发车,这可能是直接的驱动力。”
另外,潘少华提到,早些年他们曾协助某单位破获的一起大型犯罪团伙,成员有数百人,分工严密、按绩效考核,涉案金额数十亿,分为剧本组、技术组、电话组等。
其中,剧本组负责根据手头资源集思广益,设计各类场景,比如,冒充公检法、机票改签、电商退货等;技术组负责在黑市采购公民隐私数据、购买作案装备、开发部署诈骗网站和App、发送诈骗短信等;电话组根据业务分组每天拨打海量电话。
“所以大家不要觉得骗子怎么那么傻,电话里有那么浓的口音,其实只是为了快速把你过滤掉,每个听起来‘傻傻’的骗子,背后都有一个团队拿着用户资料在研究怎么突破你的心理防线。”潘定华说。
魔高一尺,道高一丈。诈骗分子这么拼,反诈骗人员也很拼。
“电话反诈骗有一个尴尬的地方,出于多种因素考虑,不能直接在运营商里拦截阻断诈骗电话。”潘定华说,很多时候诈骗分子会让受害人一直不挂机,直到完成打钱操作。这种情况下,公安民警就没办法即时通知受害人,甚至警察上门后,人们也还以为警察是坏人,因为骗子已通过整套话术进行了洗脑。
在潘定华等网络安全一线从业者看来,希望在诈骗案刚在发生时,甚至还没有发生时,就能及时地阻断。“近两年,我们在根据既有案件和大数据平台情报,进行建模训练。比如,可以配合相关机构进到黑灰产后台,看他们已骗了哪些用户、哪些数据,也能掌握嫌疑人的一些公共信息”。
数据不上传就不会泄露?未必!还有大数据挖掘测算
多年从事信息安全工作的杨更,创业之前曾在亚马逊(中国)、美团、小米等担任过首席安全官。“人们没听说过我,是一件好事,说明我服务过的公司都没出现过重大安全事件。”在杨更看来,网络安全防御领域没有消息,其实是最好的消息。
“从业18年得到了一个略有‘悲哀’结果:用户的所有线上信息都会泄露。如果担心泄露,‘小秘密’就不上传,也不行,因为现在有了大数据挖掘。”杨更举例,Facebook早在2007年就能根据用户社交关系测算用户性倾向;去年纽约大学研究员也发现,靠点赞也能测算出用户性倾向。“也就是说,你根本没上传过信息,靠大数据挖掘,也都可以被挖出来”。
对用户而言,最重要的数据是什么?“可能你觉得是密码,因为这是打开其他数据大门的钥匙。可当你还在为自己的密码规则沾沾自喜时,你的邮箱、iCloud、银行卡等密码可能早已泄漏,当黑客攻击你时、诈骗集团忽悠你时、广告主骚扰你时,他们根本不关心你是谁,在他们眼里,你只是一行数据。”
在杨更看来,以上种种,是日益增长的个人隐私保护需求和不平衡、不充分的个人隐私保护能力之间的矛盾。“普通网民与拥有大数据能力的攻击者完全不是一个对等的存在,这是互联网世界的‘降维打击’,也是隐私泄露时代的‘黑暗森林’。”
作为网络安全工程师,杨更自己一直严格管理个人密码管理器,所有摄像头全部用黑塑料遮挡,用时才打开,但显然对于多数人来说,很难做到。“要想改变隐私保护的现状,光靠技术手段远远不够。需要法律圈、媒体圈、技术圈、投资圈,特别是用户圈,形成一股对隐私高度重视的力量。”杨更认为,如果有更多用户注重隐私保护,就会有勇敢的投资者进入这个赛道,从而吸引更多创业者,打造出隐私保护行业的良性生态。
隐私细则不是越长越好,用户体验与数据合规已不再是“二选一”
在过去的2018年,用户隐私政策法规相较前一年严格了不少,这次南方都市报个人信息保护研究中心测评显示,被测App的隐私政策透明度大幅跃升,还有不少App开始尝试视频、图文、表格、摘要等创新性的隐私设计,腾讯和百度还上线了隐私保护平台,详解旗下多款热门产品的隐私设计。
其实,对于很多互联网企业而言,移动应用的隐私政策多是从0到1,尤其在隐私政策刚开始出现时,多是简短的一段话且内容含糊。让知乎法务部门一帆记忆犹新的是,2018年4月知乎隐私政策修改时,曾一度引爆舆论、差评如潮;8月底接到知乎进入隐私政策评审名单的通知,需要在10月底前完成修改。
“当时首先考虑的是产品特性,没考虑不同平台对数据信息的使用、管理、收集的特性。”在门一帆等人看来,知乎首先是内容平台,并不需要那么多用户信息,也没有收集那么多信息。
最后,他们设计了两个弹窗,先做隐私保护指引概要,让用户选择同意或不同意;当用户勾选不同意时,再给用户第二次选择权,如还需要用知乎,就进入仅浏览模式。
事实上,10月底上线的这个版本,是门一帆等修改的第20次稿。这里面到底写了哪些内容?
“第一版不到6000字,第二版16000字,还不包括Cookie指引和对难懂政策的解释。”门一帆解释说,一是个人信息保护的要求提高了,产品需要给用户更多权利,也需要把权利说明白;二是产品功能变复杂了,小产品、小功能会有上百个,且之间还会相互交叉、信息共用。
“实际上16000字还没写完,但已经不能再写了,不要说用户看了会很痛苦,我们自己看都很痛苦。”在她看来,应用的隐私政策越来越长的趋势是不对的,需要思考,是否可以通过其他方式改进。
用户体验和数据合规是不是必须“二选一”,鱼和熊掌不能兼得?如果放在一年前,门一帆的回答可能会说“是”,但经过这一年数据合规的风暴后,她坦言:“数据合规已成了用户体验的一部分,而且是至关重要的一部分。”
让她感受深刻地是,现在法务也要站在“前台”,引领产品的合规,有权利、有机会与技术部门站在一线。“法务首先应当尊重技术、关注技术。既要意识到技术的重要性,也要理解技术的局限性,法律可以用来指引技术,但是不能替代技术,也无法突破当下技术水平的限制。”
在不少业界人士看来,个人信息泄露事件已经成了“高空抛物”,高楼扔下来东西后,怎么去追责?楼上每个居民都要证明那天不在家或窗户封死了。“个人信息泄露如果是一个木桶的话,中间各个环节都要争当长板,这样个人信息才会更安全”。