今天小編分享的社會經驗:“開盒”風波後百度解答疑慮:任何職級都觸碰不到用户數據,歡迎閲讀。
3 月 20 日,針對日前卷入 " 開盒 " 風波後外界產生的信息安全疑慮,百度在媒體溝通會上進行了釋疑:此次 " 開盒 " 數據的源頭是海外社工庫,并非來自百度。百度經過反復排查,排除了公司副總裁謝廣軍泄露嫌疑。
随着事件發酵,黑灰產對數據治理與數據安全的挑戰也暴露在大眾面前。百度方面呼籲,在相關政府主管部門的指導下成立 " 反開盒 " 聯盟,并提醒廣大用户注意隐私信息保護。
百度:" 任何職級都觸碰不到用户數據 "
百度安全負責人陳洋表示,相關 " 開盒 " 信息源于當事人通過海外社交平台從社工庫獲取,并非在百度工作的當事人父親為其提供," 在百度任何職級的員工及高管均無權限觸碰用户數據。"
因開盒網友事件中當事人百度副總裁之女的特殊身份,此次事件引發了外界廣泛關注。百度高管是否會利用工作便利為家人提供用户的私人信息——這成了網友和媒體集中關注的問題。
在陳洋的現場演示中,當普通用户 " 張三 " 注冊了一個百度賬号,系統首先會對其進行假名化處理,用户的真實姓名不會被直接存儲在數據庫裏,而是以一串數字代碼組成的 " 假名 " 代替,并形成密鑰來鎖住相應的信息。除了身份數據,用户在使用產品過程中形成的產品數據也會進行類似的加密處理,且身份信息、產品信息會分别擁有一把獨立的 " 加密鑰匙 "。
" 所有用户敏感信息都會進行加密處理。即便有人拿到了數據庫中的部分數據,這些數據也無法使用,因為它們不僅被加密,并且‘鑰匙’存放在其他地方,由不同的部門掌管。" 陳洋説。他表示,基于業務部門、安全部門、稽核與内部審計三道防線,在一系列安全機制之下,在百度,任何職級的員工無權觸碰用户數據。
随意 " 開盒 " 隐私信息,海外社工庫黑灰產猖獗
" 開盒 " 事件中,網友信息到底從何而來?3 月 19 日晚百度發布的公告中稱,經過調查,涉事高管女兒獲得的開盒信息來自海外的社工庫——一個通過非法手段收集個人隐私信息的數據庫,而連接這個社工庫是海外社交平台 Telegram。
陳洋介紹,當公司調查團隊通過 Telegram 進入當事人獲取相關信息的 " 天網社工庫 " 後,復現了其獲取網民數據的過程,并對相關調查過程進行了公證。陳洋還在現場展示了北京市精誠公證處的公證原件。因此次事件曝光後,目前," 天網社工庫 " 對外暫時關閉了服務。
據悉,在這些非法收集個人信息的 " 社工庫 " 信息群裏,只需要輸入一個身份證号,就可以查到與其關聯的 QQ 号、微博、郵箱、常用密碼、手機号關聯的地址,甚至開户開房記錄、全家户籍、名下銀行卡等大量隐私信息,就能被輕易 " 開盒 "。
記者發現,這些一個個以群組形式出現的社工庫信息群裏,幾乎每秒鍾都有新的 " 開盒 " 信息被發送出來,如同一個車水馬龍的交易市場。而當這些個人信息被 " 開盒 " 之後,相關信息就如同草芥一般被随意展示在各個信息群裏,任何加入群組的人都能看到這些隐私信息。
" 開盒 " 行為令個人隐私暴露無遺,開盒的門檻卻極低。為何一個 13 歲的小女孩就能輕易進行 " 開盒 "?陳洋説,涉事女孩在國外上學,當其在國外查詢 " 免費查人 " 後,就獲得了推薦其下載 Telegram 的搜索結果。她通過外網可以毫無限制地使用 Telegram,就完成了開盒。至于網上流傳的 " 當事人承認家長給她數據庫 " 的截圖,百度相關負責人表示内容為不實信息,已經對此報案。
一位從業十餘年的網絡安全工程師透露,在 Telegram 上,人們 " 開盒 " 的門檻越來越低,過去想要通過這種模式查詢隐私信息的成本為幾元到幾百元一次不等,而如今,這類黑灰產也借鑑了互聯網產品的免費模式,用户每天可以免費查詢也就是 " 開盒 "2 次他人信息,還能通過籤到獲取積分等方式獲取更多的免費 " 開盒 " 機會。
建議普通用户謹慎分享個人信息
社工庫裏海量的個人信息,從何而來?用户在各種網站上的信息,又為何會被 " 社工庫 " 拿到?
陳洋分析,這些個人隐私信息通常有三種泄露渠道,一是黑客入侵網站漏洞後抓取,二是黑灰產人士通過爬蟲爬取,三是通過數據交易被獲取。
陳洋稱,從 2014 年起,百度就啓動了漏洞獎勵計劃,通過漏洞收集及應急響應平台公開懸賞安全和隐私漏洞。
面對灰黑產帶來的隐私泄露困境,普通用户如何保護自己的隐私?陳洋建議,普通用户在社交媒體等平台上要謹慎分享個人信息,并避免授予不必要的權限。同時,他建議大家不要訪問未知網站,在不同平台盡量使用不同的賬户名和密碼,警惕不明來源的問卷、抽獎活動等,避免因貪小便宜而泄露個人信息。
