根据DarkReading的记载,2018年前九个月就发生了3676起数据泄露事件,从而导致2018年在历史上的数据泄露年份中排名第二......我们有理由相信:任何人都不可能妥善对待我们的数据!
作者 | Fast Company译者 | 弯月责编 | 郭芮出品 | CSDN
今年,许多科技巨头和政府部门,甚至连三明治连锁店都证实了,我们不能相信任何人会妥善对待我们的隐私数据。较好的情况也不过是这些公司没能在保护数据安全方面做好万全的准备。较坏的情况下,他们甚至利用我们交给他们的数据,来帮助别人影响我们本来就已支离破碎的民主。
说起2018年的数据泄露丑闻,的好消息就是它促成了欧盟激进的《通用数据保护条例》(GDPR)的立法,以及该立法对于影响到消费者的数据泄露提供的保护。多亏有了GDPR,现在各个公司必须明确地公示数据泄露,否则就会面临巨额罚款。但这也有缺点:即使在网络攻击愈发猖獗的今天,美国人也享受不到它的任何好处。
更让人失望的是,我们这里披露的数据泄露丑闻只是去年一切数据滥用的冰山一角。根据DarkReading的记载,2018年前九个月就发生了3676起数据泄露事件,从而导致2018年在历史上的数据泄露年份中排名第二。所以要小心了:虽然年终的总结大多数都是正面的,而且有些非常尖锐,但这个消息将是重磅炸弹。
Facebook的问题
毫不怀疑,Facebook的数据泄露是2018年较大的数据丑闻,尽管理论上说它早在几年前就发生了。
2018年3月17日,The Guardian和纽约时报揭露了一家英国的政治咨询公司Cambridge Analytica利用一个问答应用,在用户不知情的情况下收集了至少8700万Facebook用户的数据。Cambridge Analytica然后将这些数据卖给了特朗普的选举团队,后者在2016年的总统大选中利用这些数据有针对性地给Facebook用户发送选举的消息。
该问答应用较大的问题在于,参与问答的人并没有8700万,实际上较多只有几十万人。但该问答应用利用了Facebook API中的一个漏洞,它不仅能收集参与问答的人本身的信息,还能收集他所有好友的信息,哪怕这些人从来没有参与过这个问答,或者根本没有用任何方式接触过该应用。
顺便说一下,当初协助编写该应用的一名研究人员后来在2015年加入了Facebook,后来于九月份被Facebook解雇,但Facebook对于是否在解雇之前知道该人身份的话题一直避而不谈。
根据2014年发给Cambridge Analytica的Christopher Wylie的一封邮件中包含的Facebook数据,Alex Kogan推测了一些可能的特征。
尽管没有太多证据证明Cambridge Analytica丑闻中的Facebook数据左右了特朗普的选举,但很显然Facebook对所谓的“隐私保护”并没有太多关心。即使现在,人们也不知道这些数据去哪儿了:Cambridge Analytica声称他们已经删除了数据,但天知道还留下了多少副本。
更重要的是,这次丑闻被称为“分水岭时刻”,它使得公众开始意识到个人数据的力量,以及这些数据可能被用来操纵自己,甚至操纵民主。
今年Facebook也有一次重大的数据泄露。九月,Facebook披露了泄露的细节,它至少影响了3000万Facebook用户,黑客可能获取了人们的住址、出生地、婚姻状况,有时甚至还包括较近的搜索关键字。
健身应用Polar暴露了美国军方和安全相关人员的个人信息
说起应用,今年对于Polar这款应用来说可不太吉利。
Polar是一款流行的健身应用,许多军队的人都在使用它,显然NSA和秘密服务部门也在用它。我们了解到这一点,是因为Polar的数据安全做得非常差,军方和安全服务部门的用户在基地周围锻炼时,研究者很容易就能跟踪他们。不仅如此,该应用中不存在的数据保护措施也几乎能让任何人看到军方和安全服务部门的人们的姓名、心率,甚至居住的地方。
据《华盛顿日报》报道,当研究者们公布这些发现时,他们已经能获得超过6460名美国军人和安全从业人员的个人信息。这些信息包括用户所在的军事基地位置,如关塔那摩湾海军基地,以及位于吉布提的莱蒙尼尔营——这是美国在非洲之角中的主要军事基地,负责美军在非洲的行动。
Exactis几乎暴露了2亿3000万美国人的一切
如果说数据泄露导致军人的信息泄露已经很糟糕了,那么这种孱弱的数据安全暴露2亿3000万美国公民和1亿1千万美国商人的信息又会如何呢?
六月份,一家位于佛罗里达的市场营销公司发布了一篇名为“Exactis在公开服务器上暴露了3亿4000万美国人和商人的几乎一切信息”的报告,这篇报告现在还能看到。
Exactis泄露了总计约2TB的信息。而这里说的信息并不仅仅是姓名和电子邮件(当然这两种信息也包含在内),还有400多项其他个人特征,比如某人是否吸烟、是否养宠物,个人信仰,是否有子女,以及个人的兴趣爱好等。
感觉今年信息窃贼们很早就过圣诞节了一样。
Aadhaar Login泄露了印度所有人的信息
不过我们还是先放Exactis一马吧?我的意思是,这2亿3000万美国人的信息泄露与整个印度的11亿人的信息比起来真是小巫见大巫,而这的的确确发生在印度国家身份认证系统Aadhaar上。
Aadhaar是印度政府运营的世界较大的生物认证系统,它存储了全国几乎每个公民的照片、指纹、家庭住址以及其他个人信息。
某个调查记者发现有人在WhatsApp上出售Aadhaar系统中的登录信息,这些信息可以让人进入任何人的Aadhaar并访问他的个人信息,而这些登录信息的出售价格大约为7美元。
你以为印度政府会因此提高警惕吗?那就太天真了。
印度政府似乎对这篇报道感到非常愤怒,并指出将对“不实报道”诉诸法律。三月,一名安全研究员向ZDNet证明该系统脆弱,而印度政府再次否认。
万豪的黑客事件影响了5000万酒店客人
没错,5000万。这次黑客事件是由万豪于2018年11月30日公布的,但实际上早在2014年就一直在发生,影响了万豪旗下的多个品牌,包括W饭店、瑞吉酒店、喜来登、威斯汀等。
人们怀疑黑客从北京接入,获取了5000万客人中的3270万人的几乎一切数据,包括姓名、邮件地址、电话号码、邮寄地址、护照编号、Starwood常旅客账号信息、生日、性别、入住和离开信息、预约日、通信方式、支付卡号、支付卡的过期时间等。其余1730万“幸运”的客人只遗失了姓名、邮寄地址、电子邮件地址等信息。
Panera Bread——你的Sierra Turkey要不要加一份信息窃贼作为副菜?
难以置信的是,连吃个三明治都会泄露信息。
四月,一名安全研究人员发现,美国较大的三明治连锁店Panera Bread的网站以明文方式泄露了客户的记录,包括姓名、电子邮件、家庭住址、生日和信用卡号码的末尾四位数。
较让人愤怒的是,该研究人员一直联系Panera Bread,但是八个月之后该问题才得到修复。较初,该研究人员联系了Panera Bread一个星期之后,Panera Bread公司就声称泄露已经修复,但研究人员发现他在之后的八个月中依然能访问到泄露的信息,因此他不得不将该问题公开。之后Panera才开始重视此事,将网站下线以修复问题。尽管我们不知道受影响的人总数,但研究人员说较多可能有3700万人受到影响。
Google Plus泄露50万人信息,然后又泄露5250万
我们较后列出的(但并不是较不重要的!)是Google。根据华尔街日报的报道,Google在它几乎没人用的Google+社交网络上出现了潜在的信息泄露bug,从2015年起可能已导致50万女人的隐私数据泄露。这些数据包括Google+用户的姓名、电子邮件、年龄、性别、职业等。
但就像Panera一样,Google在发现可能的数据泄露之后的七个月中并没有公布此消息,他们害怕公布消息会影响公司的公关形象,并导致更严格的审查。然后在十二月,Google又在另一个API中发现了信息泄露,在六天内泄露了5250万用户的姓名、电子邮件地址、职业和年龄。这次Google等了一个月才通知受影响的用户。
看到趋势了吗?Google和Panera应对数据泄露的方法就是保持秘密,直到被人发现。这表明,美国也需要像欧盟的GDRP一样更强有力的隐私保护措施。
尽管2018年我们失去了这么多,但至少我们得到了一些东西:我们开始不再相信任何人会妥善对待我们的数据。