|
上周,網易郵箱密碼泄漏的事情讓不少人嚇了一跳����。當時我沒湊這個熱鬧。現在事件熱點過去了��,可以來聊聊除了“嚇一跳”之外的事情了。
記憶中����,國內大規(guī)模的密碼和信息泄漏的事情發(fā)生了很多次,比如4年前的CSDN密碼泄漏��,那一次泄漏的還是明文�����,再之后還有開房數據泄漏事件���。每次發(fā)生這種事件��,總會有人寫文章說��,你們這些信息是不值錢的���,不用擔心,都是黑產行業(yè)玩剩下才流入公眾視野的�。
這個說法對不對?某種意義它是正確的����,這些信息確實是被玩剩下的��,但是用戶應該不擔心嗎�?當然不應該�,用戶不僅應該擔心,而且應該非常擔心���,非常緊張���。事實上,當這些數據在黑產行業(yè)(可以稱之為專業(yè)領域)流傳的時候��,它反而對普通用戶真正的傷害不大�。真正能對用戶造成嚴重傷害,是從這些數據進入日常公眾領域那一刻開始的��。專業(yè)人士更在乎可持續(xù)發(fā)展��,不太可能真正拿用戶信息做太糟糕的事情����,那是自毀財富���。如果不引人注意的拿用戶信息去刷個注冊用戶數量�����,沖個榜之類���,慢慢賺錢�����,可以賺很久��,用戶壓根不知道這些事����。但等到了公眾領域�����,就有不知好歹的小朋友直接進入人家銀行賬號��,把錢搬空了���,錢少了用戶自然立馬就發(fā)現了��,最后新聞一報道�,最后警方一介入,大家都玩不成了�����。
而另外一方面��,這些信息是被玩剩下的這個觀點又非常正確��。因為實際上信息的泄漏程度遠遠超過普通人的感知�,每個人都有不知道多少自認為“隱私”的數據,早就在地下的圈子里面四處流行了���。
在信息時代之前����,數據的泄漏和傳播比今天難的多��。傳統(tǒng)的紙質文檔很難被復制和傳播����,對比一下早年的'手抄本'�����,很容易就能理解,在信息可以被數字化之前����,就算要刻意傳播一份信息,也需要巨大的成本和時間���, 那時候生產信息和傳播的權利基本是被壟斷的�����。
到了現在���,一份存儲在聯網設備中的數據,可以瞬間被復制到世界各處����。這從根本改變了傳播的方式,也使得保密變得無比困難�。這種低成本、速度極快的傳播特性����,造成了'不可撤回'的特性��,即一份數據���,一旦流傳進公共領域,就幾乎無法被撤回或銷毀�,進入公共領域之后的數據,就相當于永遠存在在互聯網上了�����。用任何現實世界的東西來比喻信息傳播��,都不恰當?,F實世界的存在物體,無法被復制����,我拿走你的東西你就沒有了。信息可以被無限復制��,被復制者并不會失去原有的信息�,甚至很多時候被復制者并不知道自己的信息已經被復制過了。
在這種狀況下�����,應該默認凡是以數字化形式存在的數據����,都早晚會進入公共領域泄密。唯一的區(qū)別只在于泄密的時間早晚不同�����。所以��,正確的心態(tài)是默認凡是被數字化的數據都已經是公開的�����。這樣你就可以提前做好準備�����,當泄密真的出現的時候�,可以不那么慌亂。密碼泄漏只是所有信息泄漏中的一小部分�,它看起來非常嚇人,確實也會造成很多嚴重后果����,但密碼只是個人數據的第一關�����。實際上�,人們暴露在各處的和個人高度相關的數據比密碼本身多的多����。在中國的情況又特別嚴重。
再看一次標題上用的這張世界地圖�。這張圖上,根據世界各地區(qū)的用戶數據保護法律嚴格程度���,用4種顏色做了標記�。從法律角度看這個問題�,會對自己身處的環(huán)境有更深刻和清晰的認識。
-
法律要求最高的����,是歐洲大部分國家、加拿大���、韓國和香港��。
-
其次,是美國�����、澳洲��、新西蘭、日本之類��。
-
再其次�,是俄羅斯,墨西哥之類��。
-
最低的級別����,中國、印度�����、巴基斯坦��、土耳其����、巴西…
這些數據保護法律規(guī)定了什么呢���?各國具體內容不同,但大體是規(guī)定了服務方可以獲取用戶哪些信息�����,應該盡什么樣的信息保管義務���,以及一旦信息泄漏�����,如何懲罰�。從地圖上很容易看出來�����,中國用戶處在一個隱私保護法律極度落后的地方����。但同時,這又是一個公眾互聯網服務極其發(fā)達的國家����,同時具備這兩個條件的地方����,應該沒有第二個了��。嚴格的法律會讓企業(yè)傾向于少收集非必要信息���,以免承擔過重的責罰��,而寬松的法律下,能拿多少就拿多少�����,不要白不要��。
所以這就不難明白為什么很多中國公司會肆無忌憚的要求用戶提供更多信息���,為什么一個中國出產的app基本會把Android能要的權限都要到手�。最低級別的隱私保護法律�����,和極其發(fā)達的互聯網服務放在一起,使得企業(yè)有機會拿到更多的信息�,但又不用承擔什么法律責任,在這個環(huán)境下不去要更多信息���,顯然是吃虧的��,只有特別有節(jié)操的公司才會這么干��。想想中國有多少公司會讓用戶輸入身份證號�����?用戶通常覺得輸了也無所謂��,而在美國���,有多少服務商會讓人輸入SSN號碼?在加拿大���,敢于讓用戶輸入SIN號碼或者駕照號碼的公司簡直是罕見���,少見的必須輸入的,也是確實業(yè)務依賴于此��,比如Uber會需要駕照和SIN號碼,是因為要審核司機駕駛資質和納稅����,大部分不涉及錢的服務,是不可能讓用戶提交這些信息的����。
種種原因和現實環(huán)境,導致中國政府和公司對于用戶數據極度渴望是絕無僅有的���。在中國現實世界被收集起來的數據往往高于實際需要����?�?纯锤鞣N創(chuàng)業(yè)公司的商業(yè)計劃書����,里面要不提到“我們的用戶數據未來可以做某某用途”之類的大數據相關忽悠���,那簡直就不能算是一份合格的計劃書����。但他們收集到的這些數據,能保證安全嗎���?大公司投入巨大人力物力希望保證這些信息的安全����,結果還是往往難以避免�,小公司能做到什么地步呢?這些數據都像一個個定時炸彈����。它們早晚會爆炸,只是現在還沒到時候而已��。而且這些和個人相關的行為數據�����,實際傷害比簡單的密碼大多了�����。
因為有較高級別的隱私法律�����,在美國很多事情是沒法做的。有人說中國互聯網創(chuàng)業(yè)環(huán)境好于美國��,從這個角度看�,我還真要承認這個看法有道理。但這對普通用戶這算不算好消息�?那就要看每個人自己的判斷了。
包含密碼數據在內的隱私數據泄漏事件�,都算是典型的黑天鵝事件,這個說法來自一本叫做《黑天鵝》的書�����,大意是這類事件在發(fā)生前誰都不覺得會怎么樣��,但在某個時間點一定會出現并造成重大損失的事件�����。在今天這個時代���,因為信息已經傳遞的足夠快,黑天鵝事件會更加頻繁的出現�。這類事件,沒什么避免的方法�����,除了清醒的知道自己在做什么之外,唯一能做的就是增強想象力��,盡量多想一些可能性��。
清醒知道自己在做什么����,就是在填寫個人信息(包括但不限于密碼)的時候你是否考慮過這些信息會被用于哪里,對方是否有能力保護其安全��。以前在上海的時候����,有一天居委會跑來要登記個人信息,我要求對方出示這樣做的法律依據和保密方法���,對方拿不出來���,我就客氣的請對方走人了,對方也沒多說什么����。大部分企業(yè)是根本沒有安全審計流程的�。所以千萬別太相信他們的保密承諾�,就算他們真的想保密,是不是有這個能力也得打個問號��。
增強想象力�,就是要多考慮一些可能性,比如�,在大規(guī)模密碼泄漏事件發(fā)生之前,如果你曾經想到過某個網站用戶庫在將來可能會被明文放在網上供人瀏覽�����,那么你就不會在不同網站用一樣的密碼��。這時候也就不用慌亂一團四處修改密碼���。順便說一句��,現在大家已經知道了����,出了密碼泄漏事件之后���,要去改密碼�。而在你慌亂一團修改密碼時�,如果你所在的網絡環(huán)境不安全...后果更糟糕。有朋友曾經說過��,如何能騙到更多密碼呢����?去做一個“輸入你密碼來查詢是否泄漏”的網站,結果會騙來一堆新密碼�。
在《黑天鵝》這本書出現之前,沒人體系化概括這種現象��,但類似的看法倒是一直存在�,比如地球同步衛(wèi)星理論發(fā)明人兼科幻小說家AC克拉克有個說法,大意是:如果一個德高望重的科學家說某個事情'不可能'通常他是錯的�����,如果他說'可能'那么通常他是對的�����。所以應該把'我們不知道'這種態(tài)度做為面對事情的常態(tài)���,盡量多相信一些可能性��。比如�����,當你準備輸入任何信息的時候�,都先想一下“如果我現在提交的這些信息肯定被其他人拿到,結果會怎么樣���,我會怎么做�?”�����。當你這么想的時候��,會發(fā)現世界和以前略微有點區(qū)別�����,比如說�,你會開始逐漸明白,一些免費的東西并不是真正免費的�,它讓你付出的東西其實很多。
我年初寫過一篇文章,叫做《開源軟件和OpenSSL的真實故事》�,里面提到了更多開源軟件的現實情況��。這些是構成我們目前互聯網世界的基礎��。但實際上��,這些基礎四處都是漏洞���,實際的軟件環(huán)境���,人員對安全的漠不關心,急于發(fā)展的各種創(chuàng)業(yè)公司們�,會讓這些情況變得更加嚴重。而用戶��,每一次隱私數據泄漏發(fā)生之后��,人們都會先嚇一跳��,媒體寫一堆文章��。但一周之后���,大家都忘了這件事了�����。之后�����,更多的信息被收集起來����,等待著下一次隱私泄漏事件發(fā)生�。
參考備注:
本文來自霍炬的微信公共賬號“歪理邪說”�,用微信添加 wxieshuo 公眾號,即可訂閱�����。轉載必須保留作者����、公共賬號信息�����,必須與本文嚴格一致�,不得修改/替換/增減本文包含的任何文字和圖片,不得擅自增加小標題���、引語���、摘要等。除特別聲明和單獨授權,本公眾號一切內容禁止包括但不限于轉載�����、摘編的任何應用和衍生��。
程序員想換工作了�?猛擊 閱 讀 原 文 ,去100offer找個好工作����。
|
