数据泄露与安全防护的漫长博弈

2020-04-21 21:38:23 admin 65

最近,暗网上的产品又多了一项——53万个Zoom账号。

据Bleeping Computer消息,2020年4月14日,53万Zoom账号密码在暗网被黑客以白菜价出售,换算成人民币,1块钱能买7000个。而Zoom的会员账号价格为每月19.99美元(140元人民币)。

这是4月初以来,视频会议赛道头部公司Zoom出现的重大安全漏洞的余波——早在3月底,就有专业人士指出Zoom的视频和电话通信并未完全采用端到端的加密方式,存在暴露用户登录凭据的风险;有安全研究员发现云存储上至少有1.5万个Zoom会议视频,其中大量会议视频还被上传到YouTube等视频平台。

这一丑闻令Zoom的股价如同经历过山车——本来,由于疫情带来的“在线办公”利好, Zoom的股价在2月-4月间涨了约75%,最高时一度达164美元;但现在,其股价已回落至150美元,在4月8日直播道歉之前更是跌至117美元,相比高峰期下降28%。

面对质疑,Zoom创始人袁征分别通过博客和YouTube公开道歉,称将动用全部工程师资源解决问题。

其实,此次事件只是Zoom公司发展史中一个不大不小的波澜,放至整个科技领域看也只是很快会被其他信息淹没的昨日热点。

但它很好地注释了我们当下所处的大环境:随着数字化越来越发达,数据和安全风险也愈演愈烈。

如今疫情更是助推了这一趋势,它极可能在人类并无充分准备的情况下,就大大加速数字化的进程。

一个抉择已跳至眼前:我们要不加抵抗地用包含隐私信息的数据换取便捷或安全吗?

1. 风险自负,不仅是Zoom

不仅是Zoom,近年来,数据安全问题已成科技领域的高频事件和重要议题。各大科技公司都在获取数据的过程中捅过篓子,道歉和罚款是家常便饭。

2019年7月,美国联邦贸易委员会(FTC)宣布已与Facebook就一项隐私案调查达成和解,后者同意支付50亿美元的罚款。这是美国有史以来政府开出的最高金额罚单之一,相当于Facebook年收入的9%。

调查源于2018年3月,媒体曝光英国政治咨询公司“剑桥分析”(CambridgeAnalytica)未获用户授权,获取了8700万Facebook用户的个人信息,并将数据用于对美国选民定向推送政治信息。

实际上这并非首次。早在2010年4月,Facebook启用第一版Graph API时就存在向第三方泄漏用户数据的情况。Facebook通过弹窗征求用户对app获取其特定数据的同意,而未经直接同意,用户好友的信息却可以一并被获取。

在欧洲,Google、Facebook、苹果、亚马逊等科技巨头一直都是审查清单上的“常客”;在中国,科技公司因可能侵犯用户个人隐私受到日益激烈的抨击。2019年,换脸App“ZAO”因违规收集人脸信息被约谈;继人脸识别进校园后,有小学用AI头环监测学生是否走神也一度引热议。

硅谷文化崇尚的高效便利似乎与隐私保护背道而驰。《纽约时报》2019年7月发布的一篇文章概括了科技公司处理用户隐私问题的几个阶段:公司推出备受欢迎的产品,被曝出不道德行为后澄清、道歉并承诺改正,一段时间后人们淡忘了,再之后大家发现问题并没真正解决。

几乎无处可逃。从购物刷脸支付、门禁人脸识别、实时记录位置的地图软件、街头巷尾的摄像头,再到Google眼镜等可穿戴设备、智能家居,从生活至工作,你的一举一动被信息工具记录,越来越透明。

一切皆被记录的后果是什么?人们的行为与观点不仅可以被预测,且可被操纵。掌握数据的组织可以兜售他们想要的任何东西,无论是产品还是政治观点。

信息泄露也造成了一些极端案例。

2015年8月24日,美国新奥尔良神学院的一名教授兼牧师约翰·吉布森在家中自杀。5天之前,黑客把370万个“偷情社交网站”Ashley Madison的帐户信息放到网上,吉布森的名字位列其中。羞愧与舆论压力之下,吉布森举枪结束了自己的生命。

看似一切有迹可循、公开透明的数字化世界,实际存在着信息利用权力的不平等。

2019年12月,《纽约时报》发布了一个关于隐私的重磅调查。《纽约时报》从1200多万人的电话记录中获得了超过500亿个位置的数据集。但借助公开信息,研究人员仅用了几分钟就对位置信息数据完成了反匿名处理,并获得了特朗普一天的行踪记录,白宫、五角大楼、FBI等政府机构人员的行踪也不在话下。这在社交网络上引起热议:特朗普的信息安全都不能保证,更何况普通公民?

必须让渡部分隐私几乎成了现代科技生活的宿命。而问题背后是当今社会越来越突出的伦理悖论:社会治理和公民隐私之间的平衡。

早在疫情之前,组织扩张管理权限和个人自由权利之间就存在异常旷日持久的拉锯。而在信息社会到来之后,拉锯双方实力愈发悬殊。

随着上世纪50年代以来信息技术的蓬勃发展,和上世纪80年代以来互联网的逐渐普及,个人的信息支配权已被大型跨国企业和政府大大削弱,博弈的天平早已失衡。

究其原因,这是因为在信息社会和现在正到来的数字社会里,“数据”已成为和土地、资本、劳动力并列的“生产要素”,而个人身份和行为信息正是这些数据生产要素的重要组成部分。

无论是互联网的商业模式还是人工智能算法,都建立在这个重要的新生产要素上。于是,包含了个人隐私的数据被商品化。当下的消费行为不仅仅需要交出货币,同样意味着要交出隐私。

可以预料的是,未来这种冲突只增不减。

2.疫情之下,危机的塑造力

而现在,冠状病毒疫情正在让高度数字化的未来提前到来。

人类社会可能会在危机压力之下做出一些非理性或者说无奈的决策——对高程度监控手段的快速接受,以及对隐私保护轻易放弃。

《人类简史》作者尤瓦尔·赫拉利在近日发表的文章中谈到,冠状病毒蔓延之下,不成熟的、甚至危险的技术被赶鸭子上架,因为什么都不做的风险更大。整个国家都成了大型社会实验中的小白鼠。

毕竟相比生命安全,隐私安全的优先级远不能及。于是不知不觉中,世界各国都在没遇到什么阻碍的情况下,上马了史上最严的公民监控体系。

当Zoom焦头烂额的处理这安全漏洞时,更值得关注却被忽视的,正是这些快速席卷世界、正顺畅运转的系统。

一个例子是在疫情最早爆发的中国已广泛使用的健康码。

健康码要求使用者自行填报户籍、居住地、旅游史与健康状况等问题,系统基于回答生成专属二维码。“绿码”代表可以自由通行;“黄码”和“红码”均需进行相应时间的隔离,在连续健康申报打卡之后转为绿码。

相似的工具还有三大运营商的行踪轨迹查询,中国16亿手机用户均可通过短信方式查询14天内停留4小时以上的到访地。在许多公共场合,行踪码被当做入场凭证使用。

韩国、新加坡、意大利、以色列等国家也陆续上线公民行踪追踪手段:

韩国政府有关机构对确诊者的信用卡和地理位置进行监测,以追踪冠状病毒患者在过去几周内的行踪;意大利伦巴第政府通过分析手机定位数据追踪市民行走距离,来确定有多少人老实遵守了封锁令;以色列内务安全部门同样使用了手机定位数据追踪患者,这种措施以往被用于反恐行动。

英国等西欧国家也正在考虑利用新科技追踪感染源,以阻止病毒蔓延。

在跨国公司话语权巨大的美国,病毒甚至撮合了老死不相往来的商业宿敌:iOS和Android两大生态已牵手合作,组团抗疫:

4月10日,苹果CEO库克与谷歌CEO皮猜在推特上互相@,宣布两家公司将合作推出“美国版健康码”。

这一联盟的覆盖范围占全球智能手机市场的99%,约30亿用户,即全球三分之一人口。

疫情让防疫的正当性在短时间内压倒了其他事务——它使此前抵抗大规模监视工具的政府和组织也开始让步,对新的数据获取权限和手段投出赞成票。

这些选择在和平时期需反复论证、测试,而危机状态缩短了这个进程,特殊时期人们往往也愿意交出数据或者让渡一些权利。

德国近期一项民调得出结论,70%的受访者表示为遏制疫情,他们愿意向公共防疫机构提供体温等个人健康、行动数据以及社会关系等信息。英国一项民调中同样有三分之二的受访者愿意让有关部门使用自己的信用卡信息、电话数据和闭路电视来监控病毒的传播轨迹。

一些超出必要的数据、信息暴露风险开始出现:

近几日被当做笑料的“哈尔滨啪啪啪”导致群体感染的事件就是其中一例,在有关该事件的各种报道中,披露了大量和防疫并无直接关系的邻里间私生活信息,其中的主要人员都有名有姓,有年龄、身份。

对大部分人来说,相似的新闻不过疫情期间的笑谈,对当事人则是真切的伤害。

技术是中性的,越来越方便的信息获取和传播技术则会带来越来越多的风险。

技术对人的侵犯更直接的表现则是其本身的“bug”,比如不透明的算法。

以健康码为例,个体并不知道健康码打通了多少平台、共享了多少数据,这让人无法推测健康码变红的原因,也申诉无门。不少被大数据和机器支配的红牌持有者,生活出行已受到限制。


免费试用