【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

每年的3月15日是「國際消費者權益日」 (World Consumer Rights Day) ,由國際消費者聯盟組織於1983年確定。

中國大陸有專門的部門負責這項議題,就是工商管理局。

315打假是年度盛事,專門揭發一些造假的公司。

以下是網站首頁截圖。

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

  中國315全民活動,這天網站、商家、媒體、公關都很忙(附微博消費者態度榜)。

本文來源:IT時報(微信id:vittimes)

記者:孫妍、李蘊坤

315晚會的巔峰,《IT時報》的日常。

央視315一整年憋足了勁兒,就等這一天揚眉吐氣。

今年晚會把目光放在了用戶數據和隱私上:探針盒子探取用戶信息、APP過度收集用戶信息、大數據用戶畫像、精準營銷推送、銀聯閃付功能存隱患…

只是沒料到,一條新聞剛放出開頭,《IT時報》的編輯群就猜中了結尾,小編也是一口辣條吃進去,如鯁在喉。

這央視忙活了一年的選題,在科技互聯網通信等方面,本報無一例外,全部詳細調查報導過。

當然,這並非影射央視「抄題」,而是央視在晚會中沒說出口的、不好說出口的,時報記者都要繼續追查。

我們的隱私如何成了別人的商品?

為什麼手機裏的App就像串通好了似的,我在A搜了什麼,B就會給我推薦什麼廣告?

為什麼沒授權通訊錄,卻抖音裏看到了失散多年的老同學?

關於探針盒子,我們曾報導《公共場所請關掉WIFi,有人正在「監聽」!》,WIFi探針儘管不是什麼高超的駭客工具,但簡單粗暴的方式讓人屢試不爽。

一台探針盒子,不管你的WIFi是否連接,它都能獲得手機的MAC地址,然後匹配手機號,性別年齡、微博感興趣話題,手機50天搜索關鍵詞等。

更可拍的是WIFi探針下,你的手機會自動連上WIFi,你在手機登錄賬號密碼時,信息還會明文傳遞在對方電腦上,如果你的密碼是多個賬號同時使用,對方通過撞庫還能獲取你更多隱私信息。

目前普通用戶能做的就是盡量在公關場所關閉WIFi開關,如果使用了免密WIFi,就要定時進行管理,把相關WIFi刪除,降低被攻擊的風險。

怕自己銀行卡有閃付功能被盜刷怎麽辦?我們曾報導《銀行卡真能被隔空盜刷,快把「小額免密支付」功能關了》,提示用戶銀聯閃付免密功能存在隱患,容易被人隔空盜刷。這些都是預設開通「小額免密支付」功能以及管理混亂的POS機惹得禍。

或許你會說,「我沒有開通過免密支付,盜刷與我無關」,事實上這一功能是預設開通的,如果想要關閉,需要到銀行線下網點或在官網操作。

不知道哪些APP過度收集用戶信息?我們曾報導《在中國,數億人親手簽下「隱私賣身契」》,實測支付寶、微信、百度等近20款主流APP,並將這些APP所需要的許可權一一列出,告訴大家在享受大數據時代帶來便利的同時,你的信息也被互聯網公司過度使用。

其實除了,上述個人隱私,不經意之間,你的生物隱私信息也正在互聯網上「漫天飛舞」,《政協委員拒用人臉識別,一旦泄露,你無法再有第二張臉》告訴你,身份證號、手機號、銀行卡號之外,你可能是最後的個人隱私也正接受挑戰。

這些曝光只是滄海一粟,人們在網絡「裸奔」的景象,讓人觸目驚心。

到底是誰把用戶隱私賣給了那些廣告商?

是誰讓你我成為透明人?

他們是通過怎樣的鏈條,向你推薦一條精準互聯網廣告的?

315晚會謝幕了,《IT時報》記者還沒完……

  媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?
  【我知道你昨天晚上都幹了啥】監控你的手機很容易,安裝淘寶app就行
  用戶留在知名汽車媒體【汽車之家】的電話號碼,五年來被賣了人民幣96億

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

 一個「爬蟲」一個介面讓用戶裸奔

App是否在偷看我?

施先生是常常出差的「空中飛人」,不管吃飯還是住宿,都要開發票,也經常復制黏貼發票抬頭。

有一天,今日頭條向他推送了「如何在霍爾果斯註冊公司」的廣告,精準匹配了施先生公司的發票抬頭「霍爾果斯某某公司」,施先生開始懷疑,「今日頭條是不是在偷看我的剪貼板?」

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

KEEN公司GeekPwn實驗室宋宇昊認為,蘋果手機的系統設計允許任何App訪問剪貼板,如果用戶將一些數據放到剪貼板,再去打開其他App,那麽其他App自然而然就會讀取剪貼板的內容。

比較典型的應用是,如果在微信裏要訪問淘寶中的某個商品,復制一個淘口令,再打開淘寶的時候會自動導向某個商品。

一位文本數據處理技術專家向《IT時報》記者解釋了另一種可能,如今提供免費開票功能的第三方服務公司越來越多,他們如何賺錢?就是通過搜集用戶信息、用戶行為形成畫像。

通過公司地址定位到你處於哪個商圈,就會認為你經常在這個商圈點外賣,這個商圈白領最常點的外賣是哪幾家,然後外賣平台給你推薦這些商家。

「截圖、照片裏如果涉及敏感信息,比如身份證、銀行卡、簽字單據等,都可以被提取出其中的文字信息,如果被別有用心的人拿到,影響不可估量。」他強調。

從技術上來說,用戶的信息是如何被獲取的?

該技術專家解釋,PC端的網站之間共享信息,通常是通過「爬蟲」技術。

所謂「爬蟲」是指通過技術嵌入進行跨站追蹤,比如A在B的網站中加一段代碼,用戶在B網站的賬戶信息、行為信息、設備信息等都會實時傳回到A。由於不同網站之間需要收集更多的信息完成用戶畫像,同時A會回饋相應的廣告利益給B,因此這種方式因「互惠互利」而在大多數網站間流行。

上海市軟件評測中心技術人員向《IT時報》記者解釋,App之間的數據共享方式有兩種,一種是用同一個SDK(Software Development Kit,軟件開發工具包)開發的App之間,可以進行數據共享,當用戶登錄App時,會向第三方SDK發送數據包,這些數據包裏包含了用戶的各類信息。

另一種是雙方開放數據介面,從而實現數據共享。

一個「爬蟲」,一個SDK共享介面,就讓用戶的信息裸奔在互聯網上。

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

一個手機設備號,廣告聯盟就能追蹤你

抖音找回了失散多年的同學

「自從下載了抖音,我竟然找回了失散多年的同學。」陳先生在刷抖音的過程中,無意中發現,抖音竟然向他推送了多位老同學發布的短視頻。

驚訝之余,陳先生感到自己的隱私被嚴重侵犯了,他從未在抖音上註冊,一直是以遊客的身份在刷抖音,而且,也並未與這幾位老同學在微信、QQ等社交媒體上建立聯系,唯一的聯系就是那個躺在通訊錄裏、多年未打的電話號碼。

那麽,抖音又是通過什麼方式獲取了陳先生的通訊錄呢?

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

「手機設備號是最基礎的,具有唯一性的標識,就算不註冊不登錄App,也可以辨別你是誰。」

「A只要拿著陳先生的設備號與B、C、D的資料庫一碰,就可以建立關聯關係,知道你是誰。」

一位安全專家向《IT時報》記者解釋,現在很多App都加入了不同的廣告聯盟,只要你向這個聯盟裏的App開放過通訊錄許可權,那麽A也能拿到你的通訊錄,這就是所謂的數據共享。

一個手機設備號,就可以辨別你是誰,這個信息單元成了各大廣告聯盟之間進行用戶數據追蹤的籌碼。

殷鳴(化名)曾就職於百度廣告部,他向《IT時報》記者還原了互聯網廣告聯盟的基礎鏈條:

在一個廣告聯盟裏,BAT往往是廣告「盟主」,互聯網巨頭利用龐大的生態圈收集各種類型的原始數據,為用戶打上標簽,從而形成一張全面精準的用戶畫像,幫助廣告主精準匹配目標用戶。

當然BAT等大「盟主」沒有那麽多精力為每個廣告主量身定制方案,在這條產業鏈上便衍生出數據分析公司、廣告分發公司、數據監測工具等。

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

以阿里系為例,Tanx ADX平台是阿里媽媽開發的產品,買家可以在這個平台找到推廣目標客戶的數據,實時競價,拍下眾多互聯網站點的推廣資源,ADX平台提供「挖包服務」,廣告主可以通過這一項服務精準地查詢到自己想要投放廣告的目標人群。

此外,阿里系還擁有一家大數據服務提供商友盟 ,根據天眼查顯示,友盟 是由阿里巴巴(中國)網絡技術有限公司100%控股。

「挖包功能是免費的,幫廣告主定制好想要的人群之後,他們直接針對這個數據包去投放就可以了,不用再篩選後台的那些基礎屬性。」騰訊社交廣告銷售人士告訴《IT時報》記者。

儘管如此,根據騰訊社交廣告高潛客戶服務權益價目表,使用人群定制服務的起始充值金額為20萬元。

數據包可以永久存在於廣告主的後台,但這些數據只適用於騰訊生態圈,無法在其他媒體平台使用,而且對用戶的隱私信息都進行了脫敏處理。

不過,也只有騰訊系敢直接承諾所有的數據使用不出「騰訊系」,其他App基本都在大聯盟的範圍內彼此共享用戶信息。

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

一次同意,你的信息就被出賣了

貸款超市的暴利生意一幅借貸人畫像50元

近年來,互聯網金融領域競爭激烈,拉新費用高達每位100-200元,互聯網金融公司也成了廣告公司競相追逐的「金主爸爸」,但是,這個領域也被安全界認為是最混亂的大數據交易市場。

往往,用戶在A平台上申請一項分期服務,其他分期平台就會立刻推送註冊廣告給用戶。

LOCKet為多家互聯網金融平台提供大數據安全服務,其技術負責人陳榮通過簡單操作,便推演出這場數據交易中的「嫌疑人」:

他將A平台的用戶信息進行加密,從而規避了內鬼泄露或駭客拖庫的風險,那麽,導流的貸款超市、第三方風控平台、簡訊驗證碼服務商就成為「嫌疑人」。

最大的「嫌疑人」貸款超市表面做著為小貸公司引流的生意,實則在圈借貸人的數據,背後是一項門檻並不高的暴利生意。

融360是貸款超市領域的頭部玩家,在它的招股書裏,「推薦費」是第一大收入,輕鬆年入過億。

2015年,融360的「推薦費」收入就已過億,為1.17億元,2016年翻了一倍,飆升為2.39億元,2017年上半年,就完成了3.14億元的「推薦費」收入。

【到底是誰出賣了你的隱私】315打假晚會沒說的,我們說

《IT時報》記者曾報導過,借貸人一旦在貸款超市上註冊,個人信息就會被轉賣給N個小貸公司,「借點錢」平台的商務經理就向《IT時報》記者透露,由公積金、微信余額、淘寶購物記錄、通話記錄等數據畫成的借貸人「畫像」只賣50元。

當數據池越滾越大後,這些「貸款超市」又做起了大數據風控,杭州魔蠍科技公司的產品經理給《IT時報》提供的產品報價表顯示,有近50項數據可以提供,包括運營商、支付寶、京東、滴滴、壽險保單、網銀賬單等,還可以通過法院失信情況、QQ群風險(有多少個借貸群、分期群等)、貸後行為等信息來進行大數據風控。

如此詳盡的數據,價格卻低得驚人,運營商數據0.1元/次、淘寶支付寶數據0.3元/次,最貴的淘寶賣家數據2元/次。

這些公司都向《IT時報》記者表示,公積金數據是利用爬蟲技術從公積金網站上抓取的,運營商數據是由合作的數據公司提供的。當然,他們也強調這些數據是經過用戶授權拿到的。

當用戶點擊「同意」註冊協議時,就預設將這些數據提供給貸款超市,並授權其提供給第三方小貸平台使用。

記者手記:我的數據被賣了,誰是元兇?

鐵路12306平台3000萬實名數據售價為10比特幣(時價超4萬元人民幣),華住集團酒店近5億條實名數據售價為5比特幣⋯⋯據360安全團隊不完全統計,2018年1月到10月,共有86.5億條數據泄露。

到底是誰在暗網上買數據?

根據360安全發布的《2018政企機構數據泄露形勢分析報告》,保健品、保險、理財、房地產中介是數據的主要購買者,他們最喜歡買老人和學生的實名信息,老人的信息經常會被相關公司用來推銷保健品,而學生的信息則被一些教育機構用來招生宣傳。

精準營銷,成了這些暗網交易數據最常見的用途。

誰是信息泄露的元兇?

眾所周知,網絡攻擊、內鬼竊取,是數據泄露的兩大元兇,但是,另一個更大範圍的元兇正在悄無聲息地蠶食我們的手機裏的信息,那就是過度授權和悄悄調用隱私許可權。

根據艾媒諮詢發布的《2018中國手機App隱私許可權測評報告》,App讀取通話記錄許可權不是大部分應用日常運行的必要許可權,疑似越界,侵犯用戶隱私。

移動工具、網購及理財類App讀取通話記錄占比較大,其中,天貓、QQ、飛豬等App都有讀取通話記錄的許可權。

此外,聯系人讀取已經成為隱私侵犯的重災區,移動視頻、網購、社交等六類App讀取聯系人許可權占比超過50%。

近日,QQ音樂等18款App疑似存在過度收集簡訊、通訊錄、位置、錄音等用戶敏感信息,萬能看等9款App疑似存在未經用戶同意收集使用用戶個人信息的情況,被要求整改。

中央網信辦、工信部、公安部、市場監管局四部門聯合發聲,表示這兩種情況或被視為違法違規。

2018年,國內「大數據行業第一股」數據堂(北京)科技股份有限公司踩了紅線,涉及侵犯個人信息,公司兩名實際控制人被檢方提起公訴。

有11家公司牽涉其中,涉案公司日均傳輸公民個人信息1.3億條,累計傳輸達百億條,數據量龐大。

以精準推薦為目的的數據共享,界限到底在哪裡?

360首席安全專家裴智勇提出了三點原則:索取用戶信息許可權時要遵守最小必要原則,App不應在用戶不知情的情況下調取未經授權的許可權,這是用戶知情原則,App收集了大量用戶數據後必須遵循必要保護原則。

值得注意的是,《網絡安全法》一個重要原則是,過失殺人也是殺人。

亞信副總武源文認為,數據共享普遍存在的在於數據壟斷,互聯網公司認為,我為IT系統、信息存儲計算等付出了成本,我便有數據所有權。

互聯網開放和個人隱私保護本就是一對矛盾體,需要找一個動態平衡。

如果區塊鏈技術被應用於大規模認證,用戶認證時可以匿名,但當隱私遭到侵犯後,數據可以溯源,也解決了數據壟斷給用戶帶來的無奈與恐慌。

  媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?
  【我知道你昨天晚上都幹了啥】監控你的手機很容易,安裝淘寶app就行
  用戶留在知名汽車媒體【汽車之家】的電話號碼,五年來被賣了人民幣96億
熱門書籍》美、中開戰的起點: 既有的強權,應該如何對面崛起中的強權?川普時代的美國,應該對中國採取什麼樣的態度?中國與美國,是否終需一戰?