cnBigger.COM
因为逼格儿 更有逼格

2018年,我们的隐私数据是如何被泄露和滥用的?

现如今,就连三明治连锁店都有可能泄露你的数据。

编者按:数据泄露无处不在,从社交媒体,到健身app,甚至街边的三明治店也不安全。本文作者 Michael Grothaus,原文标题How Our Data Got Hacked, Scandalized, and Abused in 2018。


来源:Oleksandr Chaban/iStock/Getty Images Plus

今年,科技巨头、政府甚至不起眼的三明治连锁店都证明了我们不能把个人数据托付给任何人。因为这些公司和机构对保护我们的数据安全准备不足,让我们暴露在隐私被侵犯的危险之中。

关于2018年的各种丑闻和数据泄露,唯一的好消息是欧盟的数据保护法规(GDPR)以及它为受数据泄露影响的消费者提供的保护。由于GDPR,企业现在必须及时披露数据泄露情况,否则将面临巨额罚款。然而美国人无法享受任何这类保护——即使网络攻击还在加剧。

更令人沮丧的是,我们在这里强调的数据丑闻和漏洞只是冰山一角,我们的数据在过去一年中一直被滥用。根据DarkReading的数据,仅在2018年的前9个月,就估计有3676起数据泄露事件。这使美国有望成为一年内报告数据泄露次数第二多的国家。因此,虽然大多数年终总结都是积极的,但我还是不惮给大家敲一记警钟。

Facebook的数据泄露丑闻

毫无疑问,这是2018年最大的数据丑闻,尽管严格说来,这件事很早就发生了。2018年3月17日,《卫报》和《纽约时报》披露称,英国政治咨询公司Cambridge Analytica在未经同意和告知的情况下通过一款问答app窃取了至少8700万Facebook用户的数据,然后把这些数据卖给特朗普的竞选团队,以使其得以在2016年总统大选中向Facebook用户实现消息精准投放。

这款问答app最大的问题是,参加问答测试的人根本没有8700万人之多——最多几十万人吧。这款app暴露了Facebook的一个漏洞,即它不仅可以获取测试用户的数据,还可以获取他们所有朋友的数据——这些人甚至从未参加过测试,也从未与这款app有过任何互动。(顺便说一句,帮助开发这款app的一名学术研究人员在2015年被Facebook聘用,但在9月解雇他之前,该公司还没有回答对其职位了解多少的问题。)

2014年,Alex Kogan在给Cambridge Analytica公司的Christopher Wylie的一封电子邮件中描述了自己可以从Facebook数据中预测出的用户特征。来源:纽约时报

虽然没有多少证据表明Facebook或者Cambridge Analytica公司在本次丑闻中获得的数据影响了特朗普的选举,但它表明Facebook对用户数据的所谓“隐私保护”是多么不屑一顾。即便是现在,我们也不知道这些数据后来到底怎么样了:Cambridge Analytica公司声称自己删除了这些文件,但任何数量的副本都可能被复制。更重要的是,这起丑闻作为“分水岭时刻”让公众意识到自己数据蕴藏的力量,以及自己的数据可以被用来操纵他们。

而Facebook今年还发生了另一次重大数据泄露事件。今年9月披露的信息显示,一次网络攻击影响了至少3000万Facebook用户,黑客们窃取了用户住所、出生时间、人际关系甚至部分用户近来的搜索数据。

健身app Polar曝光了美国军方和安全人员的个人信息

对Polar来说,今年并不是一个好年头。Polar是一款颇受欢迎的健身app,很多军方、美国国家安全局(NSA)和特勤局(Secret Service)人员都是它的用户。但Polar在数据安全方面做得非常差劲,研究人员可以很容易地追踪到该app的军事和安全领域用户在基地周围的活动。不仅如此,该app几乎不存在数据保护功能,差不多任何人都可以看到军方和安全官员的姓名、心率,甚至他们的住所。

据《华盛顿邮报》报道,当研究人员公布他们的研究结果时,他们已经获得了6460多名美国军事和安全人员的个人信息,其中包括驻扎在海外军事基地——如关塔那摩湾海军基地和吉布提的莱蒙尼尔军营——的人员。

Exactis让2.3亿美国人的数据“大白于天下”

让我们的一小部分军事人员陷入困境的数据泄露已经够糟糕的了。但是让2.3亿美国公民和1.1亿美国企业面临风险的数据泄露又如何呢?因为今年6月,佛罗里达州一家名为Exactis的营销公司被发现将3.4亿人和企业的记录保存在一个任何人都可以访问的公共服务器上,对,你没有看错,任何人都可以访问。

Exactis泄露的个人和企业信息多达2TB。这些信息不仅仅是公民姓名和电子邮件(虽然这些也包括在内),还包括数百条包括其个人特征、是否吸烟或养宠物、宗教信仰、是否有孩子以及兴趣爱好等数据。

Aadhaar系统泄露了几乎每个印度人的信息

不过,跟有着11亿人口的印度相比,2.3亿美国人的数据泄露就是小巫见大巫了。印度政府运营的Aadhaar是世界上最大的生物识别识别系统,涵盖了照片、指纹、家庭住址和几乎每个印度公民的其他个人信息。

当一名调查记者发现WhatsApp上的人在出售Aadhaar系统的登录信息时,你认为印度政府会有多震惊?Aadhaar系统允许用户输入任何人的Aadhaar号码,以访问此人储存在系统中的所有数据。而登录信息的价格只有区区7美元。

但说出来你可能不信,印度官员似乎对揭露事实的调查记者更为愤怒,并以“错误报道”为由对她提起刑事诉讼。今年3月,一名安全研究员向ZDNet表示,该系统很容易受到攻击,但印度政府再次否认了。

万豪集团遭黑客攻击,近5亿住户数据泄露

万豪集团于2018年11月30日披露了这起黑客攻击事件,泄露的住户数据涵盖了集团旗下的喜达屋酒店(Starwood properties)、W Hotels、St. Regis、喜来登(Sheraton)、威斯汀(Westin)等。

有将近5亿住户的信息遭到泄露,包括他们的名称、地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别、航班抵达和起飞信息、预约日期、沟通偏好、支付卡号和日期等等。

三明治店都不安全了?

话说回来,现如今就连三明治连锁店都有可能泄露你的数据。今年4月,一名安全研究人员发现,广受欢迎的三明治连锁店Panera Bread的网站以明文形式泄露了顾客的记录,其中包括姓名、电子邮件、地址、生日以及顾客信用卡号码的最后四位数字。

最让人恼火的是,安全研究人员与花了8个月的时间联系Panera Bread。以及,虽然在该研究人员联系Panera一周后,该公司就表示漏洞已经得到修复,但该研究人员还可以继续通过漏洞访问顾客数据。直到这个时候,Panera才将其网站下线以修复漏洞,同时此前一直保持缄默。虽然受影响的人数尚不清楚,但安全研究人员表示,可能高达3700万人。

Google+先是泄露了50万用户的数据,然后又泄露了5250万用户的

最后还有谷歌。去年10月,《华尔街日报》报道称,谷歌在今年早些时候发现了其社交网络Google+可能存在的漏洞,但这一漏洞自2015年以来可能已经泄露了多达50万名用户的私人数据。这些数据包括Google+用户的姓名、电子邮件、年龄、性别和职业。

但同样,就像Panera一样,谷歌在发现这一潜在数据泄露事件后的近七个月都没有向公众告知此事,担心这样做会损害公众对公司的看法。去年12月,该公司在Google+中发现了又另一个漏洞,导致5250万Google+用户的姓名、邮件地址、职业和年龄数据泄露。这次谷歌等了将近一个月才通知用户。

从谷歌和Panera对它们数据泄露的反应你就可以一窥端倪了——在被抓到之前,它们是不会告诉公众数据泄露和漏洞的存在的。换句话说,这也表明美国需要一套更为强有力的隐私保护措施,可以从欧盟的GDPR中借鉴经验。

尽管我们在2018年失去了很多东西,但至少这一年告诉我们,对于数据隐私和保护,不管那些公司和机构说得多么天花乱坠,我们谁也不能信。

赞(0) 打赏
分享到: 更多 (0)

评论 抢沙发

觉得文章有用就打赏一下博主吧

支付宝扫一扫打赏

微信扫一扫打赏