数据泄露与安全防护的漫长博弈,才刚刚开始. 2020-06-02
如同互联网的黑市,在游离于道德与法律之外的暗网,据说可以买到你想买的一切:枪支、毒品,各种来路不明的物品与明码标价的“服务”。
而最近,暗网上的产品又多了一项——53万个Zoom账号。
据Bleeping Computer消息,2020年4月14日,53万Zoom账号密码在暗网被黑客以白菜价出售,换算成人民币,1块钱能买7000个。而Zoom的会员账号价格为每月19.99美元(140元人民币)。
这是4月初以来,视频会议赛道头部公司Zoom出现的重大安全漏洞的余波——早在3月底,就有专业人士指出Zoom的视频和电话通信并未完全采用端到端的加密方式,存在暴露用户登录凭据的风险;有安全研究员发现云存储上至少有1.5万个Zoom会议视频,其中大量会议视频还被上传到YouTube等视频平台。
这一丑闻令Zoom的股价如同经历过山车——本来,由于疫情带来的“在线办公”利好, Zoom的股价在2月-4月间涨了约75%,最高时一度达164美元;但现在,其股价已回落至150美元,在4月8日直播道歉之前更是跌至117美元,相比高峰期下降28%。
面对质疑,Zoom创始人袁征分别通过博客和YouTube公开道歉,称将动用全部工程师资源解决问题。
其实,此次事件只是Zoom公司发展史中一个不大不小的波澜,放至整个科技领域看也只是很快会被其他信息淹没的昨日热点。
但它很好地注释了我们当下所处的大环境:随着数字化越来越发达,数据和安全风险也愈演愈烈。
如今疫情更是助推了这一趋势,它极可能在人类并无充分准备的情况下,就大大加速数字化的进程。
一个抉择已跳至眼前:我们要不加抵抗地用包含隐私信息的数据换取便捷或安全吗?
1. 风险自负,不仅是Zoom
不仅是Zoom,近年来,数据安全问题已成科技领域的高频事件和重要议题。各大科技公司都在获取数据的过程中捅过篓子,道歉和罚款是家常便饭。
2019年7月,美国联邦贸易委员会(FTC)宣布已与Facebook就一项隐私案调查达成和解,后者同意支付50亿美元的罚款。这是美国有史以来政府开出的最高金额罚单之一,相当于Facebook年收入的9%。
调查源于2018年3月,媒体曝光英国政治咨询公司“剑桥分析”(CambridgeAnalytica)未获用户授权,获取了8700万Facebook用户的个人信息,并将数据用于对美国选民定向推送政治信息。
实际上这并非首次。早在2010年4月,Facebook启用第一版Graph API时就存在向第三方泄漏用户数据的情况。Facebook通过弹窗征求用户对app获取其特定数据的同意,而未经直接同意,用户好友的信息却可以一并被获取。
在欧洲,Google、Facebook、苹果、亚马逊等科技巨头一直都是审查清单上的“常客”;在中国,科技公司因可能侵犯用户个人隐私受到日益激烈的抨击。2019年,换脸App“ZAO”因违规收集人脸信息被约谈;继人脸识别进校园后,有小学用AI头环监测学生是否走神也一度引热议。
硅谷文化崇尚的高效便利似乎与隐私保护背道而驰。《纽约时报》2019年7月发布的一篇文章概括了科技公司处理用户隐私问题的几个阶段:公司推出备受欢迎的产品,被曝出不道德行为后澄清、道歉并承诺改正,一段时间后人们淡忘了,再之后大家发现问题并没真正解决。
几乎无处可逃。从购物刷脸支付、门禁人脸识别、实时记录位置的地图软件、街头巷尾的摄像头,再到Google眼镜等可穿戴设备、智能家居,从生活至工作,你的一举一动被信息工具记录,越来越透明。
一切皆被记录的后果是什么?人们的行为与观点不仅可以被预测,且可被操纵。掌握数据的组织可以兜售他们想要的任何东西,无论是产品还是政治观点。
信息泄露也造成了一些极端案例。
2015年8月24日,美国新奥尔良神学院的一名教授兼牧师约翰·吉布森在家中自杀。5天之前,黑客把370万个“偷情社交网站”Ashley Madison的帐户信息放到网上,吉布森的名字位列其中。羞愧与舆论压力之下,吉布森举枪结束了自己的生命。
看似一切有迹可循、公开透明的数字化世界,实际存在着信息利用权力的不平等。
2019年12月,《纽约时报》发布了一个关于隐私的重磅调查。《纽约时报》从1200多万人的电话记录中获得了超过500亿个位置的数据集。但借助公开信息,研究人员仅用了几分钟就对位置信息数据完成了反匿名处理,并获得了特朗普一天的行踪记录,白宫、五角大楼、FBI等政府机构人员的行踪也不在话下。这在社交网络上引起热议:特朗普的信息安全都不能保证,更何况普通公民?
必须让渡部分隐私几乎成了现代科技生活的宿命。而问题背后是当今社会越来越突出的伦理悖论:社会治理和公民隐私之间的平衡。
早在疫情之前,组织扩张管理权限和个人自由权利之间就存在异常旷日持久的拉锯。而在信息社会到来之后,拉锯双方实力愈发悬殊。
随着上世纪50年代以来信息技术的蓬勃发展,和上世纪80年代以来互联网的逐渐普及,个人的信息支配权已被大型跨国企业和政府大大削弱,博弈的天平早已失衡。
究其原因,这是因为在信息社会和现在正到来的数字社会里,“数据”已成为和土地、资本、劳动力并列的“生产要素”,而个人身份和行为信息正是这些数据生产要素的重要组成部分。
无论是互联网的商业模式还是人工智能算法,都建立在这个重要的新生产要素上。于是,包含了个人隐私的数据被商品化。当下的消费行为不仅仅需要交出货币,同样意味着要交出隐私。
可以预料的是,未来这种冲突只增不减。
2.疫情之下,危机的塑造力
而现在,冠状病毒疫情正在让高度数字化的未来提前到来。
人类社会可能会在危机压力之下做出一些非理性或者说无奈的决策——对高程度监控手段的快速接受,以及对隐私保护轻易放弃。
《人类简史》作者尤瓦尔·赫拉利在近日发表的文章中谈到,冠状病毒蔓延之下,不成熟的、甚至危险的技术被赶鸭子上架,因为什么都不做的风险更大。整个国家都成了大型社会实验中的小白鼠。
毕竟相比生命安全,隐私安全的优先级远不能及。于是不知不觉中,世界各国都在没遇到什么阻碍的情况下,上马了史上最严的公民监控体系。
当Zoom焦头烂额的处理这安全漏洞时,更值得关注却被忽视的,正是这些快速席卷世界、正顺畅运转的系统。
一个例子是在疫情最早爆发的中国已广泛使用的健康码。
健康码要求使用者自行填报户籍、居住地、旅游史与健康状况等问题,系统基于回答生成专属二维码。“绿码”代表可以自由通行;“黄码”和“红码”均需进行相应时间的隔离,在连续健康申报打卡之后转为绿码。
相似的工具还有三大运营商的行踪轨迹查询,中国16亿手机用户均可通过短信方式查询14天内停留4小时以上的到访地。在许多公共场合,行踪码被当做入场凭证使用。
韩国、新加坡、意大利、以色列等国家也陆续上线公民行踪追踪手段:
韩国政府有关机构对确诊者的信用卡和地理位置进行监测,以追踪冠状病毒患者在过去几周内的行踪;意大利伦巴第政府通过分析手机定位数据追踪市民行走距离,来确定有多少人老实遵守了封锁令;以色列内务安全部门同样使用了手机定位数据追踪患者,这种措施以往被用于反恐行动。
英国等西欧国家也正在考虑利用新科技追踪感染源,以阻止病毒蔓延。
在跨国公司话语权巨大的美国,病毒甚至撮合了老死不相往来的商业宿敌:iOS和Android两大生态已牵手合作,组团抗疫:
4月10日,苹果CEO库克与谷歌CEO皮猜在推特上互相@,宣布两家公司将合作推出“美国版健康码”。
这一联盟的覆盖范围占全球智能手机市场的99%,约30亿用户,即全球三分之一人口。
疫情让防疫的正当性在短时间内压倒了其他事务——它使此前抵抗大规模监视工具的政府和组织也开始让步,对新的数据获取权限和手段投出赞成票。
这些选择在和平时期需反复论证、测试,而危机状态缩短了这个进程,特殊时期人们往往也愿意交出数据或者让渡一些权利。
德国近期一项民调得出结论,70%的受访者表示为遏制疫情,他们愿意向公共防疫机构提供体温等个人健康、行动数据以及社会关系等信息。英国一项民调中同样有三分之二的受访者愿意让有关部门使用自己的信用卡信息、电话数据和闭路电视来监控病毒的传播轨迹。
一些超出必要的数据、信息暴露风险开始出现:
近几日被当做笑料的“哈尔滨啪啪啪”导致群体感染的事件就是其中一例,在有关该事件的各种报道中,披露了大量和防疫并无直接关系的邻里间私生活信息,其中的主要人员都有名有姓,有年龄、身份。
对大部分人来说,相似的新闻不过疫情期间的笑谈,对当事人则是真切的伤害。
技术是中性的,越来越方便的信息获取和传播技术则会带来越来越多的风险。
技术对人的侵犯更直接的表现则是其本身的“bug”,比如不透明的算法。
以健康码为例,个体并不知道健康码打通了多少平台、共享了多少数据,这让人无法推测健康码变红的原因,也申诉无门。不少被大数据和机器支配的红牌持有者,生活出行已受到限制。
极致的“无隐私”状态是怎样的?
科幻作品已经不止一次敲响警钟。美国科幻作家埃格斯(Dave Eggers)在其小说《圆圈》(The Circle)中设想了一个未来世界。在那里,规则被颠倒,保护隐私会遭到唾弃甚至交给法律制裁。
所有人的信息和个人数据,全都掌握在名为圆圈的一个硅谷公司手里。圆圈会在各种地方安置小型隐蔽摄像头,公司高层称这样做是为了减少犯罪。它还想往小朋友体内植入芯片,称这样能避免诱拐。
圆圈可以在几分钟内找到任何人的下落,议员也需要佩戴微型摄像头,以便全世界都能看清他们的一举一动。拒绝配合的人会成为怀疑对象——他们肯定有什么不可告人的事情。
因为在新的世界里,“秘密是撒谎,分享是关怀,隐私是偷窃。”
3.危机后的世界
值得警醒的是,特殊时期的部分措施,在危机消失后也可能被保留,因惯性而成为生活常态。
正如有媒体同样发出疑问,你做好一直使用“健康码”的准备了吗?
这是危机本身所具有的历史塑造能力,历史中也早有先例。
911事件之后,美国总统小布什签署了《爱国者法案》。此法案规定美国国家安全机关可在全球范围搜集电话、邮件、医疗、金融等各类记录,允许其从美国互联网公司提取音频、视频、图片、邮件和文档记录;甚至允许使用“黑客”手段,入侵、破坏、窃取国外的数据情报。
这是史无前例的一项举措。2002年,美国国会又通过《国土安全法》,允许对美国公民个人信息进行“数据挖掘”。这两部法案让美国多年构建的公民隐私权体系几乎荡然无存。
2001年10月,小布什签署爱国者法案
以色列在1948年的独立战争期间进入紧急状态后,也采取了包括新闻审查、没收土地、食品工业原料严格配给等措施,也包括紧急布丁法令(以色列在1950年宣布的关于布丁原材料、包装及销售的法规)等特殊规定。独立战争胜利后,以色列却从未宣布过结束紧急状态,并且也没有废除1948年的诸多“临时”措施,紧急布丁法令也直至2011年才被废除。
值得庆幸的是,各种减少未来风险的努力也在发生。人们也早已学会不再对未来单单充满激情,开始用反乌托邦的眼光来看待科技的社会影响。
不少国家与地区在通过立法规制政府与公司对新技术的使用。
2018年5月,经过多年讨论的欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)开始生效。这一条例被称为人类历史上第一部“数据宪法”,条例对数据使用的透明度、身份数据的保存期限、企业和组织在对个人数据的操作流程均有限制,以及规定包括“脸纹”在内的生物信息属于其所有者。
违反GDPR的企业,可能面临巨额罚款。2019年7月,英国航空公司因为违反《一般数据保护条例》,被罚1.8339亿英镑,约合人民币15.8亿元。
GDPR为保护公民隐私开了个好头。2020 年1月1日,美国加州正式实施消费者隐私法案(CCPA),类似于欧盟的法案,CCPA 将对所有和美国加州居民有业务的数据商业行为进行监管。此前,旧金山和奥克兰等城市及加州已禁止政府使用人脸识别执法。
中国目前还没有一部数据方面的综合性法律,据媒体报道,中国正在制定《个人信息保护法》和《数据安全法》。公众对信息保护更为重视,2019年11月,因不愿意使用人脸识别,一名教授将杭州野生动物园告上了法庭,这被称为中国人脸识别第一案。
科技公司关于数据安全的投入成本也在增加,隐私安全成为产品卖点。在美国消费者隐私法案正式实施之前,根据加州发布的一份报告表明,预计科技公司将花费约 550 亿美元来实现合规性。
意识到新冠肺炎带来的患者隐私威胁后,CynergisTek在3月13日宣布他们已发布了患者隐私监控服务解决方案,来识别医院内部的未授权访问。
Zoom近期也为付费用户提供了保障隐私的新功能。付费用户可自主选择Zoom线上会议的数据中心。其会议数据将仅会通过该数据中心进行传输,避免信息泄漏。
可以预见,数据和信息安全市场的规模将进一步提升。安全能力,这个以往不直接带来利润的能力,也日益成为伟大公司的必备核心能力。
不过,解铃还需系铃人,问题并不单单是由技术造成的,解决方案也需要技术之外的努力。
我们总是花很短的时间去选择,却用很长的时间去承受。
做好准备,数据泄露与安全防护的漫长博弈才刚刚开始。
转自亿欧网