原标题(ti):“开盒”风(feng)波再次引发信息安全疑虑
数据(ju)黑灰(hui)产挑战公众隐私安全防线
近日(ri),13岁女孩“开盒”(指通过违规手(shou)段获(huo)取并公开他人个人信息的行(xing)为)网友的事件将百(bai)度企业卷(juan)入舆论风(feng)波。昨天(20日(ri)),针对“开盒”事件后外(wai)界产生的信息安全疑虑,百(bai)度在媒体沟通会上表示,此次“开盒”数据(ju)的源头是海(hai)外(wai)社工库,并非(fei)来自(zi)百(bai)度,企业经过反复排查,排除了企业副总裁(cai)谢广军泄露嫌疑。
随着事件发酵,黑灰(hui)产对数据(ju)治理与(yu)数据(ju)安全的挑战也暴露在大众面前。百(bai)度方面呼吁在相关(guan)政府主管部门的引导下成立“反开盒”联盟,并提(ti)醒广大用户注意(yi)隐私信息保(bao)护。
百(bai)度表示
“开盒”信息并非(fei)百(bai)度副总提(ti)供
一名13岁的女孩,动动手(shou)指就能(neng)获(huo)得其他网友的个人信息,并将之公之于众——因事件中当事人百(bai)度副总裁(cai)之女的特殊身份,此次“开盒”事件近日(ri)引发外(wai)界广泛关(guan)注。百(bai)度高管是否会利用工作便(bian)利为家(jia)人提(ti)供用户的私人信息——这成了网友和媒体集中关(guan)注的问题(ti)。
百(bai)度安全负责人陈洋昨天表示,相关(guan)“开盒”信息源于当事人通过海(hai)外(wai)社交平台从社工库获(huo)取,并非(fei)在百(bai)度工作的当事人父亲(qin)为其提(ti)供,“在百(bai)度任何职级(ji)的员工及高管均(jun)无权限触(chu)碰用户数据(ju)。”
在陈洋的现场(chang)演示中,当普通用户“张三”注册了一个百(bai)度账(zhang)号,系统首先会对其进行(xing)假(jia)名化处理,用户的真实姓(xing)名不会被直接存储(chu)在数据(ju)库里,而是以一串数字代码(ma)组成的“假(jia)名”代替,并形成密钥来锁住相应的信息。除了身份数据(ju),用户在使用产品过程中形成的产品数据(ju)也会进行(xing)类(lei)似的加密处理,且身份信息、产品信息会分别(bie)拥有一把独立的“加密钥匙”。
“所有用户敏感信息都会进行(xing)加密处理。即便(bian)有人拿到了数据(ju)库中的部分数据(ju),这些数据(ju)也无法使用,因为它们不仅被加密,并且‘钥匙’存放在其他地方,由不同(tong)的部门掌管。”陈洋说。他表示,基于业务部门、安全部门、稽核与(yu)内部审计三道防线,在一系列安全机制之下,员工无权触(chu)碰用户数据(ju)。
海(hai)外(wai)社工库
身份证号可查大量隐私信息
“开盒”事件中,网友信息到底(di)从何而来?3月19日(ri)晚百(bai)度发布的公告中称,经过调(diao)查,涉事高管女儿获(huo)得的开盒信息来自(zi)海(hai)外(wai)的社工库——一个通过非(fei)法手(shou)段收集个人隐私信息的数据(ju)库,而连接这个社工库的是海(hai)外(wai)社交平台Telegram。
陈洋先容(shao),当企业调(diao)查团队通过Telegram进入当事人获(huo)取相关(guan)信息的“天网社工库”后,复现了其获(huo)取网民数据(ju)的过程,并对相关(guan)调(diao)查过程进行(xing)了公证。陈洋还在现场(chang)展示了北京市精(jing)诚公证处的公证原件。此次事件曝(pu)光后,目前,“天网社工库”对外(wai)暂时关(guan)闭了服务。
据(ju)悉,在这些非(fei)法收集个人信息的“社工库”信息群里,只需要输(shu)入一个身份证号,就可以查到与(yu)其关(guan)联的QQ号、微博、邮(you)箱、常用密码(ma)、手(shou)机号关(guan)联的地址,甚至开户开房记录、全家(jia)户籍、名下银行(xing)卡(ka)等大量隐私信息,就能(neng)被轻(qing)易“开盒”。
记者发现,这些一个个以群组形式出现的社工库信息群里,几乎每秒钟都有新的“开盒”信息被发送出来,如同(tong)一个车水马龙的交易市场(chang)。而当这些个人信息被“开盒”之后,相关(guan)信息就如同(tong)草芥一般被随意(yi)展示在各个信息群里,任何加入群组的人都能(neng)看到这些隐私信息。
“开盒”行(xing)为令个人隐私暴露无遗,开盒的门槛却极低。为何一个13岁的小女孩就能(neng)轻(qing)易进行(xing)“开盒”?陈洋说,涉事女孩在国外(wai)上学,当其在国外(wai)查询“免费查人”后,就获(huo)得了推荐其下载Telegram的搜索结果。她通过外(wai)网可以毫无限制地使用Telegram,从而完成了开盒。至于网上流传的“当事人承认家(jia)长给她数据(ju)库”的截图,百(bai)度相关(guan)负责人表示内容为不实信息,已(yi)经对此报(bao)案。
一位从业十余年的网络安全工程师透露,在Telegram上,人们“开盒”的门槛越(yue)来越(yue)低,过去想要通过这种模式查询隐私信息的成本为几元到几百(bai)元一次不等,而如今,这类(lei)黑灰(hui)产也借鉴了互联网产品的免费模式,用户每天可以免费查询也就是“开盒”2次他人信息,还能(neng)通过签(qian)到获(huo)取积分等方式得到更多的免费“开盒”机会。
专(zhuan)家(jia)建议
普通用户谨慎分享个人信息
社工库里海(hai)量的个人信息,从何而来?用户在各种网站(zhan)上的信息,又为何会被“社工库”拿到?陈洋分析,这些个人隐私信息通常有三种泄露渠(qu)道,一是黑客入侵网站(zhan)漏洞后抓(zhua)取,二(er)是黑灰(hui)产人士通过爬虫爬取,三是通过数据(ju)交易被获(huo)取。
陈洋称,从2014年起,百(bai)度就启动了漏洞奖励(li)计划,通过漏洞收集及应急响(xiang)应平台公开悬赏安全和隐私漏洞。
面对灰(hui)黑产带来的隐私泄露困境(jing),普通用户如何保(bao)护自(zi)己的隐私?陈洋建议,用户在社交媒体等平台上要谨慎分享个人信息,并避免授予不必要的权限。同(tong)时,他建议大家(jia)不要访问未知网站(zhan),在不同(tong)平台尽量使用不同(tong)的账(zhang)户名和密码(ma),警惕不明来源的问卷(juan)、抽奖活动等,避免因贪小便(bian)宜而泄露个人信息。