這是一個眾人裸奔的時代,你害怕嗎!!!
生活在科技如此發(fā)達的今天,互聯(lián)網(wǎng)上我們已經(jīng)沒有任何秘密可言。說這是一個「眾人裸奔」的時代,其實一點也不過分。不錯,皇帝的新衣,說的就是你,重點不在于你是皇帝,而在于「新衣」。不要以為別人說你沒穿衣服,你不信,非得像我這么「純真的小孩」說你在裸奔,你才相信。
Facebook 事件剛剛落下帷幕,Twitter 又攪和進來了。大數(shù)據(jù)的興起,云服務的枝繁葉茂,云端數(shù)據(jù)的計算,讓如今這個時代網(wǎng)絡安全顯的更為重要。
一
昨天,Twitter 在其官方博客上表示,他們在應用內(nèi)部發(fā)現(xiàn)了新的密碼漏洞,“出于謹慎考慮”,建議 3.3 億月活躍用戶都能夠修改下密碼。
昨天早上,我一打開 Twitter ,推特就給我彈框提示,建議我修改密碼。然后就看到了上面的新聞。Twitter 強調(diào),此漏洞非人為導致、也不存在違反濫用的情況。其首席技術官 Parag Agrawal 表示,該漏洞是在散列處理(將密碼轉換成隨機字符串的過程)中發(fā)現(xiàn)的,導致密碼被以普通文本的形式存儲在了 Twitter 內(nèi)部日志中。
我去,我們的賬號密碼竟然被明文寫在了內(nèi)部的 Log 日志當中。我們作為程序員都知道,密碼的存儲一向都是以加密的形式存儲在數(shù)據(jù)庫中的,正常情況下,在用戶登錄填寫密碼的那一刻,在發(fā)送請求的時候就應該把密碼加密了。而 Twitter 竟然在密碼轉換的時候把明文密碼存儲在日志中,犯了如此低級的錯誤。
當然,這次密碼裸奔的原因不在于用戶,而在于科技公司的失誤導致。
二
前天,我在瀏覽知乎的時候,看到了一個話題:《個人信息的泄露在今天已經(jīng)嚴重到了什么地步?對普通人的生活有多大的影響?》,有一個知乎網(wǎng)友的回答,看完之后,讓我感覺,我們程序員(作為普通用戶)自己也在犯一個很嚴重的錯誤。
這個知乎網(wǎng)友應該是一個程序員,他講了一個自己發(fā)現(xiàn)的漏洞。
很多程序員都喜歡在 GitHub 上開源自己的代碼,分享自己的成果。可是在分享代碼的同時就把自己的密碼給分享出來了。舉個例子:比如你開源了一個客戶端代碼,里面有登錄功能,可能為了模擬登錄,你自己在代碼中寫了一個死密碼,由于個人習慣原因,你可能寫的測試賬號的密碼就是你經(jīng)常用的賬戶密碼。從此,你也開始裸奔了。
這是一個數(shù)據(jù)庫連接的例子,用戶用了自己真實的代碼。
而知乎這個網(wǎng)友竟然用 Python 去爬蟲 GitHub 上的開源代碼,用正則表達式去匹配可能出現(xiàn)密碼的地方,收集密碼,果不其然,收到了很多密碼,而 GitHub 上的賬號名字是可見的,密碼已有,賬號也可見,所以,很多程序員也開始在 GitHub 上裸奔了。
當然,這次密碼的裸奔是作為用戶的我們自己造成的。作為程序員和實現(xiàn)技術的我們,都這么不在意密碼,何況很多不懂技術的普通用戶?
以上兩個例子講的是作為用戶和科技公司在密碼上不注意導致的裸奔,是網(wǎng)絡安全中最常見的例子。我們作為用戶防治裸奔最好的方法就是每個平臺的賬號中的密碼最好不要設置一樣的,一旦一個平臺出現(xiàn)漏洞和密碼泄露,不至于牽扯到更大的范圍,造成更大的影響。如果你感覺密碼太多不容易,那就用個比較安全的密碼管理軟件,把密碼管理起來,我就不推薦了,省的萬一推薦的管理密碼軟件不安全,豈不又讓你們光著屁股滿世界亂跑(開玩笑)?
三
FaceBook 史上最大數(shù)據(jù)外泄事件更是讓你對網(wǎng)絡安全感到了擔心。劍橋分析在未經(jīng)用戶同意的情況下,利用在 Facebook 上獲得的 5000 萬用戶的個人資料數(shù)據(jù),來創(chuàng)建檔案,并在 2016 總統(tǒng)大選期間針對這些人進行定向宣傳。有分析指特朗普在 2016 年的美國大選中勝出或與此次泄密門有著諸多聯(lián)系,而且泄密門背后又有通俄門的陰影。
這就是典型的大數(shù)據(jù)分析,根據(jù)收集的用戶信息,分析用戶行為,對持反對態(tài)度的人,發(fā)送一些定向宣傳,改變他們的看法,從而影響大選結果。
當然,這次用戶的裸奔是由于 與 FaceBook 合作的第三方機構不靠譜,不正當使用數(shù)據(jù)造成的。但是你以為像 FaceBook 這樣大的超級公司沒有在分析你們的每個行為嗎?大數(shù)據(jù)行為分析,用好了好,用不好,自己就去想吧!
四
比如前一段時間,大約是過年期間,有網(wǎng)友在微博爆料,內(nèi)容大概如下幾條:
昨天,就是昨天晚上,我在京東 App 上搜索了“睡眠口罩”的商品后,就關閉了京東客戶端,在打開今日頭條的時候,第一條口罩就是我搜索的“睡眠口罩”的內(nèi)容。是不是感覺很神奇?App 之間竟然還有「裙帶」關系,他們之間難道還有合作?數(shù)據(jù)還有互通嗎?還是頭條和輸入法有合作,進行文字的分析?
不管上述操作是如何實現(xiàn)的,我相信大家都多多少少會遇到上面的那種例子和情況。
當然,上述的大數(shù)據(jù)行為分析肯定是廠商或者科技公司自己做的,讓我們?nèi)绱朔奖愕穆惚迹恢朗窃撓策€是該憂?這種大數(shù)據(jù)分析,針對性的推送確實可能在某些方便非常的方便用戶,但是也有點可怕。
就像如果是我在今日頭條搜索了某個關鍵字,你就給我老推送這個關鍵字相關的信息,沒問題,美其名曰「算法推薦」。但是這種跨應用和廠商之間的數(shù)據(jù)互通就有點侵犯隱私了。
五、總結
說大家每天都在裸奔,是不是一點也不過分?各種皇帝,我們簡直就是穿著透明的衣服在掩耳盜鈴的感覺啊!
這個時代我們確實毫無隱私可言,就差把馬路上的攝像頭按到我們的臥室里了。可是各種科技設備和軟件,就像是隱藏在屋里的攝像頭,就差給你拍裸體視頻了。
如何防范這種大數(shù)據(jù)分析帶來的侵犯隱私?這跟密碼泄露不太一樣的是,這種大數(shù)據(jù)分析你是避免不了的,除非你什么都不用。我們只能祈求科技公司把這些大數(shù)據(jù)分析用到正確的地方,而不作惡(Google 的座右銘)。
