Meta(原 Facebook)15 日宣布针对数据取得问题,扩张 2011 年以来“赏金计划”。鼓励研究人员报告两种情况,一是寻找漏洞,提高恶意行为成本和难度;另一种是查找“木已成舟”的数据外泄,Meta 将与相关公司合作删除或寻求法律手段。
数位抓取指的是使用自动化工具从用户资料大量收集个资,如信箱、电话号码、个人资料照片。尽管这些资讯多数不保密,但爬虫可广泛公开,集中传至可搜寻的数据库,快速触及数百万使用者。
Meta 条款不允许任何人自动存取和收集数据。Meta 安全工程经理 Dan Gurfinkle 指出:“我们正在寻找漏洞,漏洞使攻击者绕过限制,比我们预期更大量存取数据。”
今年 4 月,超过 5 亿 Facebook 使用者个资出现在某骇客论坛,更恐怖的是,实际数据抓取几年前就开始,尽管 Meta 已在 2019 年 8 月补好漏洞,可是当数据开始传播就无能为力了,只能提醒使用者小心垃圾信件和诈骗。
10 月超过 260 万 Instagram 和 TikTok 用户数据遭泄露。安全人员追溯发现,泄露数据的是数据分析公司 IGBlade,服务器及数据未加保护,导致数据外泄。 虽然这次 Instagram 数据泄露并非 Meta 导致,但也说明控制爬取行为的必要性。此外个资外泄威胁不仅 Facebook 账户,Facebook ID 和许多账户联动,牵一发动全身,其他账号就不难找到。
每个漏洞或数据集可获得至少 500 美元奖励,如果发现数据集,Meta 会将奖金捐赠给研究人员选择的慈善机构,以免研究人员“做贼的喊抓贼”,先抓取数据再领赏金;如果发现漏洞,Meta 将发放奖金。
对数据库来说,研究人员将因发现“未受保护或公开的公共数据库,含至少 10 万条独特 Facebook 用户纪录”给奖金,用户纪录指个人身份资讯或敏感数据,如信箱、电话号码、实际位址、宗教或政治资料。
今年 Meta 已向超过 46 国研究人员提供超过 230 万美元资助,共约 25,000 份报告,800 多份报告收到奖金。Meta 自称这是第一个专门针对数据抓取的赏金计划,但隐私安全堪称劣迹斑斑,除了 50 亿美元罚款和解的剑桥分析丑闻,还有大大小小数据外泄前科。
2018 年 10 月 Facebook 遭骇客攻击,曝光 2,900 万使用者的私人资讯,1,400 万使用者资讯非常详细,通常资料外还有关系状态、宗教信仰、教育情况、工作情况、关注的人、最近搜寻和登录装置等。
“监守自盗”的 Facebook 也爱拿数据做文章,收集利用大量用户数据,销售有针对性的数位广告。非营利新闻机构 ProPublica 称为“监视资本主义”(surveillance capitalism)。
《金融时报》调查发现,从今年 4 月苹果开始执行新隐私设定,Facebook 等四大社交平台损失近百亿美元。2020 年 12 月,Facebook 曾用整版报纸广告批评新隐私设定,认为伤害依赖个人化广告的小型企业。
当涉及个人化广告时,使用者才是社群平台的产品。
2019 年 3 月,祖克柏公布新“以隐私为中心的愿景”,将旗下 WhatsApp“点到点加密”模式当作榜样。“点到点加密”指只有发送方和接收方能读取,其他人甚至 WhatsApp 官方都无法查看。目前 Meta 旗下所有产品,仅 WhatsApp 自称点到点加密,但就算 WhatsApp,也需要人工或 AI 审查用户举报是否违规,还审查未加密材料,包括寄件者及账户数据。
WhatsApp 在 2020 年向相关部门报告 40 万张可能的儿童剥削图像。WhatsApp 负责人 Will Cathcart 接受澳洲智库采访时表示:“我认为绝对可透过点到点加密为人们提供安全保障,并与执法部门合作解决犯罪问题。”
总而言之,不论出于商业用途还是安全需要,几乎没有平台像每人期望的私密,或许尽可能减少个资曝光才是根本。
(本文由 爱范儿 授权转载;首图来源:Meta)
