English  简体中文
   

Facebook数据泄露门持续发酵 全球数据安全再敲警钟

2018-04-26      


莫迪领导的印度人民党则通过推特表示,这些数据仅仅被用作相关分析,从而为用户提供“最相关的内容”,且指责Gandhi是在转移公众视线,因印度人民党此前已指控印度国大党与Facebook数据泄露事件的另一主角剑桥分析存在关联。

Facebook社交网CEO马克·扎克伯格(下称扎克伯格)最近有点烦:数据泄漏事件爆发以来,Facebook股价已从高位下跌了约20%,在周日(3月25日)于包括《泰晤士报》、《纽约时报》和《华尔街日报》等在内的英美主要媒体刊登了“致歉信”之后,还被美国官员要求出席于4月10日举行的关于数据隐私的听证会。

此前,3月17日,多家外媒同时报道称,自2014年6月起剑桥学者Kogan就以心理学研究为名获取、收集Facebook用户数据。随后,多达5000万用户的数据被Kogan转交到政治咨询机构剑桥分析手中,而后者又被指出曾受雇于美国总统特朗普的竞选团队和推动英国脱欧的“脱欧派”乃至多国政党的竞选团队。

当地时间3月26日,美国联邦贸易委员会(Federal Trade Commission,FTC)证实,已对Facebook展开调查,参议院司法委员会则要求Facebook首席执行官扎克伯格出庭作证,对用户数据的处理方式作出说明。

Facebook数据泄漏的丑闻不仅在美国持续发酵,欧洲多国政府以及欧盟官员也对Facebook关于用户隐私使用的问题提出质疑,同时更严的法规约束和因侵犯隐私的严厉惩罚也“在路上”。

近日,印度政府官员也曾表态并对Facebook发出“警告”,不过随后却“后院起火”:其国民身份证计划和印度总理莫迪的官方app接连被爆出存在数据泄露。数据安全的警钟正在全球范围内敲响。

脸书“屋漏偏逢连绵雨”,数据泄漏事件愈演愈烈。

另一社交平台Twitter上发起了一个名为“#deleteface”的话题,以表示对Facebook破坏信任的不满。当有网友在该话题下@特斯拉创始人埃隆·马斯克时,马斯克直接回了一句“啥子是Facebook?(What’s Facebook?)”。马斯克不仅在3月23日将个人Facebook账户页面撤下,还将旗下公司的主页一并删除,高调地加入“反Facebook大军”。

一位名为Dylan McKay的用户也在申请永久删除账户时发现,从Facebook下载下来的数据副本中,“从2016年10月到2017年7月,它的日志包含‘我所做的每个(手机)通话的数据,包括时间和持续时间”以及“我收到或发送的每条短信的数据”。甚至不在Facebook联系人名录中,而是保存在手机中的联系人号码也在该数据副本之中。

这一系列事情使得人们对Facebook的不满加深。在路透/IPSOS周末的一份对社交网络用户的调查中,只有41%的受访者表示,相信Facebook公司遵循美国隐私法律,这一数据远远低于亚马逊、谷歌母公司Alphabet以及微软的支持率。

一名不愿透露具体姓名的外资资管公司人士对21世纪经济报道记者表示,Facebook自上市以来股价表现非常好,六年来大约涨了5倍,被纳入“FANG”组合之中,但是这个时代可能已经过去了。

该人士表示,由于Facebook采取的是同股不同权的架构,使得扎克伯格在公司内的话语权很强,这从公司的人事任免情况也可以看出,如果扎克伯格还是以目前的姿态道歉而不是真正采取改变的措施,他的失误很可能将Facebook带入危机之中。

似乎感受到了用户们的强烈不满,以及监管层带来的压力,3月25日,扎克伯格在多家英美主要媒体上刊登了整版致歉信,信中表示“我们有责任保护你的信息,如果我们不能,就不配为你服务。”

但各国政府并不愿意卖扎克伯格这个面子。美国众议院能源和商业委员会在一份声明中表示,“有关Facebook用户数据使用和安全的最新披露引发了许多严重的消费者保护问题,委员会工作人员在接到Facebook管理层的通报后,认为许多问题仍没有得到解答。”

Facebook的数据泄漏事件让监管者和业内人士认为,强化监管或许是必要的。德国司法部长卡塔琳娜·巴利(Katarina Barley)在当地时间3月26日时表示,Facebook处理私人数据的行为“不可容忍”,目前公司的承诺远远不够,“未来我们不得不更严格地管理像Facebook这样的公司。”

英国数码、文化和媒体秘书马特·汉考克也在接受《泰晤士报》采访时表示,本来英国议会正在考虑制定一项数据保护法,让政府在科技公司在客户数据处理不当时,施加巨额罚款,事件发生后,英国还将要求科技公司简化消费者数据管理使用条例,“以让消费者能够一眼明白他们正在注册的是什么。”汉考克透露称,英国政府已经召集包括Facebook、Google和Twitter在内的多家科技公司高管,将会在4月召开对数据管理的具体讨论会。

苹果首席执行官蒂姆·库克(Tim Cook)也在3月25日的中国发展高层论坛2018年会上表示,“我个人不是监管的狂热粉丝,因为监管有时会产生一些意想不到的后果”,“但是这种情况(指Facebook数据泄漏事件)非常可怕,而且愈演愈烈,以至于可能需要一些精心设计的法规(来应对)”。

印度接连被曝数据“泄露”丑闻

Facebook正在全球范围遭遇着前所未有的危机,印度官员也不忘“火上浇油”一把。据印度媒体消息,3月21日,印度信息通信部长Ravi Shankar Prasad就“数据泄露”事件对包括Facebook在内的社交网络公司发出了警告。“我们不接受也不会容忍任何或明或暗、通过包括Facebook在内的社交网络进行的、试图影响印度选举进程的不受欢迎的企图。”Prasad表示,“如果有必要,我们将采取严厉的应对措施。”

该官员甚至对Facebook CEO发出了警告。“马克·扎克伯格先生,你最好注意到印度IT部门的监管。印度欢迎Facebook,但是我们不会容忍任何因Facebook系统而导致的数据失窃。我们的IT法案有着严格的执行力度,包括将你传唤至印度。”

不过就在2天后,由印度国民身份认证局(UIDAI)运营的印度国民身份证计划(Aadhaar)也被曝存在系统数据泄露漏洞。3月23日,科技商业媒体ZDNet表示,Aadhaar计划数据库因安全漏洞遭到攻击,几乎所有印度公民均将遭受影响。

据ZDNet介绍,一家印度国营公共事业公司失误地允许任何访问者下载Aadhaar计划数据,包括公民姓名、12位身份证件号码以及相关的银行信息等私人信息,目前已有超过11亿印度公民参与该计划进行了注册与信息采集。

ZDNet表示,驻地位于新德里的安全研究员Karan Saini首先发现了该漏洞端口,但印度政府在长达数周的时间中没有进行任何补救措施。而在文章发布后仅仅数小时,该漏洞端口就已被封闭。

随后,UIDAI在24日发表声明对此进行了否定。其表示,相关报道并不真实,正在考虑对ZDNet采取法律行动。ZDNet对此进行了还击,其全球总编辑Larry Dignan在25日对路透社记者表示仍坚持此前报道,其团队曾花费数周时间收集整理相关证据并进行事实核查。

“屋漏偏逢连绵雨”。3月24日,一位ID为Elliot Alderson的推特用户称印度总理莫迪的官方app在未经许可的情况下,将用户个人信息数据发送至了一个指向一家美国公司的第三方域名。这些信息包括手机系统、网络类型、运营商等设备信息,以及电子邮件、照片、性别、姓名等个人信息。

这一爆料引燃了原已因Facebook丑闻而高度敏感的部分印度网民的情绪。反对党印度国大党主席Rahul Gandhi在25日发推调侃称:“嗨!我叫莫迪,印度总理。当你注册我的官方app的时候,我会把你的所有信息都交给我的美国公司朋友。”

莫迪领导的印度人民党则通过推特表示,这些数据仅仅被用作相关分析,从而为用户提供“最相关的内容”,且指责Gandhi是在转移公众视线,因印度人民党此前已指控印度国大党与Facebook数据泄露事件的另一主角剑桥分析存在关联。

全球数据安全再敲警钟

360企业安全研究院院长裴智勇对21世纪经济报道记者指出,通常大规模数据泄露主要是因遭遇黑客攻击,或是内部员工进行数据倒卖,但近期发生的数次事件则开始呈现出数据泄露的另一种类,即相关机构在用户未知情的情况下获取了必要数据,且未能尽到保密义务,使得这些数据在使用中遭到泄露。

“一是机构可能自己内部使用的时候不慎造成泄露,再就是它和第三方合作。现在很多机构,特别是互联网企业,收集了很多用户数据,为最大化其商业价值,他们或多或少都会把数据和第三方进行分享。”他表示,“在这个过程当中,方式不对,或是没有安全保护意识,就会造成用户信息泄露。”

裴智勇指出,互联网公司通过对用户的数据挖掘,可以进行更精准的定位,而这也是拉开企业之间服务质量差距的门槛,数据已相当于一个高价值资产。

“我们都遇到过,在网上搜了什么,用到另外一个和之前的搜索引擎没有任何关系的app的时候,刚搜索过的东西也会被以相关广告推送。这其实就是数据在不同企业之间共享,业内称作‘广告联盟’,很多大型互联网企业都会有。”裴智勇介绍说,“Facebook其实也是类似。”

裴智勇表示,作为企业,在收集用户数据的时候应当遵循“最小必要”、“用户知情和授权”、“必要保护”三个原则,而从实践来说,这还需要执法和监管机构去进行控制和保障。

“在互联网时代,普通人几乎是完全没有能力保护个人信息的。”裴智勇指出,“互联网服务商向你要求信息,你几乎是无法抗拒的。”因而,从用户的角度来说,应当对这一现实有着清醒的认识,对待可能存在的泄露心存警惕。

“现在,我国有关部门也在研究相关技术,比如‘同态加密’,以用于企业之间的共享数据。”裴智勇介绍说,“但目前这些技术还不是很成熟,离广泛应用还有差距。”

平安科技总经理助理兼首席产品官区海鹰则对21世纪经济报道记者表示:“数据泄漏核 心在于没把数据安全放在首位及数据管理体制不完善,没能有效预防数据泄露。科技公司的数据管理应该受到监管,例如流程、技术方案、防范措施等,这样才能更好保障客户信息安全。”

近日,有分析称区块链+社交媒体的组合或许能够在未来解决数据使用透明度,对此,区海鹰表示:“区块链是解决方案一部分,单靠技术不能完全保障数据安全,需要制度、体制等全方位完善。”

https://finance.qq.com/a/20180328/002782.htm
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4