时间:2022-07-08作者:佚名
你在互联网上是“透明”的吗?
7月6日,据报道,B站用户信息疑似泄露,其中包含用户账号(UID)和手机号共2.2亿余条。在网传截图中,一名黑客在暗网上将这些数据以0.5比特币或17.72以太币的价格出售。
截至发稿,1比特币价格为138,255.77元,这代表2.2亿余条数据仅被叫卖69127.5元。
无独有偶,近日,学习通App疑数据泄露也引起了强烈关注,其中疑似泄露的数据达1亿7273万条,#学习通数据库疑发生信息泄露#话题一度冲上热搜。
“按照《个人信息保护法》,数据泄露一旦发生,可能造成危害,企业有责任第一时间告知用户。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲指出。何延哲曾参与国家标准《个人信息安全规范》、《个人信息安全影响评估指南》等的起草。
近年来,数据安全事件层出不穷。据国盛证券研报,自2021年7月开始,滴滴、货拉拉、知网等多家知名互联网企业均被卷入数据安全事件中。
事实上,自2021年以来,《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律法规密集发布并实施。据Gartner预测,到2023年全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规。
数据安全问题为何频出?是否“避无可避”?数据泄露对个人而言有哪些潜在风险?用户如何保护自己的信息安全?
在何延哲看来,没有绝对的安全。他认为,安全是一个概率问题,其投入也不会立竿见影,企业容易产生一种侥幸心理,“企业一定是要投入的,不投入肯定会出事。”
何延哲认为,个人信息涉及的环节比较多,从数据的生命周期来看,从收集到存储到使用,还有对外传输,都有泄露的可能。一旦发生泄露事故,个人需要保持警惕、及时修改名下账户密码。
“当然,对于合理的数据收取,也不必谈‘数’色变。为了安全风控,用户是需要适当出让一些信息的。”何延哲进一步指出,目前,科普工作做得远远不够,相互不信任阻碍了安全行业的发展。“不要悲观地认为人们是在‘裸奔’。”
“没有绝对的安全”
记者:在大数据时代,数据安全问题频发,是否避无可避?
何延哲:说实话,确实没有绝对的安全,如果我是公司的CTO(首席技术官),都不敢说自己有充足的信心可以保证安全问题百分百可控。
有时候企业往往有一种观念,认为信息安全的投入“差不多就行了”,效果不能被看见。有时候企业在安全防护上投资了很多,确实没有出现安全问题,会认为“是不是不投也不会出事”,但如果投资了还出现了安全问题,可能又会认为“投了钱也出事,我还不如不投”。
记者:这是一种侥幸心理吗?
何延哲:是的,但是我们知道安全它是一个概率问题。
投入了、重视了,虽然不能保证万无一失,但是概率一定是低的,所以我们希望用更科学的眼光来看待。
记者:那数据安全隐患容易出现在哪些环节?企业应该如何避免?
何延哲:个人信息涉及的环节比较多。从数据的生命周期来看,从收集到存储到使用,还有对外传输,都有数据泄露的可能。
第一,收集。数据收集之时可能就会有泄露,如果收集的链路不安全,或者收集端本身已经被嵌入了木马,那相当于是“小偷”和正常的收集端在一起,“小偷”把正常收集的信息全都拿走了。之前也有过一些案例,收集的同时把相关的信息直接发送到了另一家公司,导致了个人的银行卡和身份证号泄露。
第二,保存。数据收集上去之后往往会保存在数据库里,数据库就像更庞大、更复杂、数据量也更多的表单。如果数据库本身不安全,或者说被外部黑客恶意破解了,后果就会非常严重。我们有一个词叫“拖库”,类似于把数据库里的个人信息全拖下来、把数据库里的数据全拿走,这种泄露的影响非常大。
对于数据“拖库”的安全措施,企业自身应该具备一些数据库防泄露的技术能力。如果是自身能力不足,也有责任用相关的安全产品来保障安全。不能敷衍了事,看似采取了安全措施,但是简直就像拿小学生的方法来防社会上的“流氓”。
第三,使用。这个阶段比较复杂,不光涉及到数据收集的企业,还有使用环节中的各个角色。比如健康码的数据泄露,有时候不一定是源头有问题,可能是工作人员在使用过程中出现人为的泄密或滥用。这种安全措施主要靠访问控制,通俗说就是“一把钥匙开一把锁”,明确审计和控制每一个操作的人员。
第四,共享。企业间的数据共享,其关键在于数据接口的安全。大量数据的传输不像简单的聊天发送信息,而是靠数据接口(简称API)来传输数据,这非常关键。
最后一个数据公开的环节,主要是管理的问题,简单来说就是不能把需要保密的公开。这个案例比较多,比如企业需要公布一批名单,结果把身份证号泄露出去了,这就属于隐私的泄露。
用户需保持警惕,不要成为“易骗人群”
记者:对于用户自身,得知自己使用的app发生数据泄露后需要做什么?
何延哲:我们当然要以防万一。例如,学习通被爆出来了,如果自己有学习通的账号,那就先登录自己的账户查看是否有异常,比如说异地登录、聊天记录、浏览记录等。发现这些异常就立即修改密码,一段时间内不要充值,尽量少用账户里的功能,避免损失。
还有很重要的一点是,如果其他的账户和被泄露账户有同样的密码,也要检查并及时修改密码。因为如果黑客拿到了一批数据,一般是不会只针对一个系统,而是会用已知的账户去试探其他的网站,以实现更大的“变现”,尤其是有金额储存或者贷款的账户。
记者:有的网友可能觉得数据泄露的后果无非就是接到几个诈骗电话,自己多注意就好了,其实这背后有没有更大的风险?
何延哲:主要怕账户被拿去贷款,这就危害比较大了。如果黑客用窃取来的个人信息到一些互联网小平台去贷款,相当于用个人信用去套现,最后有嘴都说不清,这是比较严重的一种风险。
还有一种情况是亲友诈骗,这种和简单的接到电话诈骗不同,既可以和亲友沟通,又能掌握到比较丰富的生活信息,这种损失一般也会比较大。
诈骗分子其实是很狡猾的,他们可以很容易地判断“易骗人群”,有时候我们接到的诈骗电话并不是为了直接地骗我们,而是诈骗分子在做名单的筛选,一些警惕性比较高的人群他们就直接排除了。
记者:这是不是也提醒我们接到电话就要保持警惕,不要让自己成为“易骗名单”里的人?
何延哲:是的,但是我们更要保护和关心那些可能会被纳入“易骗名单”的人,要靠监管部门力量,或者是反诈中心的一些措施,让这些人得到保护。
保持合理的隐私期待,不必谈“数”色变
记者:目前各大网络平台陆续上线显示“IP属地”功能,有的网友会觉得好像让自己更加“透明”了,这会有风险吗?
何延哲:可能是会让用户更“透明”,但这种透明度尚且还构不成对隐私的侵害。这个IP属地也只是把原有的信息展现了出来,而不是说多收集了信息。
从网络安全的角度,对个人其实也是有益的,就像人们一般看到境外的电话就不会接一样,在网络上可以看到IP属地也有助于老百姓去判断和规避风险。
记者:前面提到数据安全落地比较困难,现在也催生了一些数据安全行业,你认为攻克的难点是什么?
何延哲:难点有很多,我就说一个:科普。
从个人信息保护这个角度来说,科普工作是做得远远不够的。一方面导致用户无法更好地利用法规来保护自己;另一方面导致用户、企业、监管部门之间的割裂非常严重,大家的这种相互不信任会大大阻碍安全行业的发展。
举个例子,APP的安全风控也是需要收取用户信息的,比去APP要判断用户的账户有没有异常、异地登录、异常转账等等,都需要一定的用户数据才能加以判断。但是由于用户对相关机制的不了解和对企业的不信任,会第一时间想到拒绝。其实,数据在安全保护上也是有利用价值的,一味地阻止企业少收数据,对用户的安全保护也不一定会有正面影响,不必谈“数”色变。
记者:但是对于用户个人来说,是不是也需要一定的判断门槛,才能判断出哪些是合理的信息收取、哪些是过度的?
何延哲:是的,所以企业也需要明确地告知用户。
以前很多企业收这类信息的时候,可能不会说清楚信息的用途,认为少说几句还能避免用户的疑心,但《个人信息保护法》要求企业必须清晰地披露信息收取的用途。对于监管部门来说,在过度收取信息这方面也会监管地更加严格。企业也需要更合规,才能让风险在可控范围内。
用户自身也需要有一个合理的隐私期待,掌握信息安全的知识和技能,放平心态,可以在自己期待的范围内提供信息,享受互联网带来的便捷。
人们不能悲观地认定大数据时代就是在“裸奔”,而是要积极寻求隐私保护和数据应用之间的平衡。