发生了什么?
三年前还在街头发着传单的罗敏可能做梦都没有想到,三年后他和他的趣店会创造在美国纽约证券交易所上市进行IPO的“神话”。他可能更不会想到,因为用户信息泄露事件的发酵,本已颇具话题性的被定性为“披着互联网金融外衣的高利贷”的趣店,更进一步的被推向舆论的风口浪尖。
暂时不提趣店等公司的经营模式是否具有争议性,这也不是我今天想说的。在互联网大行其道的今天,保护好用户的个人隐私是每一个吃“互联网”饭、讨“网络用户”钱的企业必须要达到的一条底线。本应是理所应当的底线,却成了很多企业“可望而不可即”的大问题。不仅仅是一些缺人缺物的小企业、孵化中的初创公司会犯下将用户数据泄露的毛病,某些政府机关、上市公司甚至是互联网巨头,发生这种情况的也是屡见不鲜。到底是天灾还是人祸,或许只有这些公司自己和攻击者才知道。
有什么影响?
理论上说,从数据泄露到真正造成的对用户造成损失(一般的损失包括账号被盗用,因信息泄露造成的骚扰,财务损失等),中间还隔着很多环节。按照个人信息黑产处理最基本的三部曲“拖库”->“洗库”->“撞库”来看,数据泄露仅仅完成了第一步的拖库,后续似“沙里淘金”一般的洗库以及“大海捞针”一般的撞库依然对攻击者的算力以及耐心有着严苛的考验。可是偏偏每次新闻中爆出的某某网站、APP后台数据泄露消息都如此严重。难道真的攻击者们已经无孔不入了?
与其说攻击者们手法高明,不如说“猪一般的队友”到处都是。是的,很大程度上,正是一些服务提供商”有意“或无意的帮助了攻击者完成了后续诸如洗库和撞库的操作。用户的隐私数据就像是不设防的,一旦攻击者获取了服务提供商的网站SSL私钥(可能造成网络钓鱼)或者服务器操作权限(可能造成服务器存储被盗),敏感的信息将变得唾手可得。通常情况下,应该认为服务提供商的服务器是不安全的、随时都有可能被攻破的。为了应对这种情况,通常的解决方案是:将敏感用户数据放在用户本地或将用户数据安全加密后进行云端保存。限于设备兼容性和照顾跨平台设备的便捷性,敏感数据本地保存依然具有很大的局限性。因此,绝大多数网路服务提供商都会选择将用户数据加密后保存在云端服务器。
为什么发生?
问题来了,实现用户敏感数据的加密需要花费额外的算力和存储空间。在大规模的用户并发请求存储敏感信息的情况下,很多企业选择了妥协。加密策略简陋、甚至是明文存储。简单的数据保存手段让攻击花费的时间、计算成本大大降低;另一方面,数据存储后无人管理,甚至是内部人员蓄意泄露用户信息的情况屡见不鲜。网络服务提供商内部信息安全从业人员专业素质良莠不齐,无意泄露、蓄意盗用用户信息的违法成本偏低等等。多个原因一齐造成了当前个人网络信息安全形式的严峻情况。从前阵子的雅虎到最近的大疆、趣店,每一家都是响当当的互联网大厂,在做产品的同时却忽略了对用户数据最起码的保护。东窗事发后的一则声明,社交媒体上的一句道歉便将自己的过错一笔带过。对于广大用户而言,这是不公平的。真正受影响的用户在维权、索偿的过程中能发声的,真的很少很少。俗话说得好,“没有金刚钻,就别揽瓷器活”。在互联网实名制逐渐推行的大背景下,网络社会的虚拟性正在一步步的减弱,与之对应的是,普通用户的个人信息被越来越多的上传、提交至服务提供商那里。站在用户的角度大声的喊一句:“没有好好保护的能力,就请不要想法设法的搜集。”一次一次的数据泄露将对用户的信心和安全感造成不可逆转的伤害。
那该怎么办?
在目前的网络社会下,我们承认众多网络服务提供商给人们平时生活带来了极大的便捷和舒适。既然无法脱离网络服务,传统意义上的用户名-口令对的网络身份认证机制一时半会儿也无法完全被取代,不如设想一种方案,代替人力进行网络身份的自动验证、管理和辨别。密码管理器已然不是一个新生事物,代替用户注册、登录、管理自己的网络身份的密码管理器在国外正在悄然兴起。密码集中托管、自动随机生成、定期更新、账号与账号之间的“去关联化”。在现有用户名、密码暂时不能被替代的今天,在不依靠复杂、不便的第三方硬件设备的情况下,一个能集中保管用户隐私并将之碎片化处理的策略或许已经足够优秀。
反观国内,一定客观原因和国内用户薄弱的网络信息安全意识限制了同类密码管理产品在国内的发展。对个人信息安全的保护是一个大趋势,虽然短时间内密码管理器不一定可以盛行,但是从长远来看,除非有能完全代替用户名-密码的新型认证策略横空出世,否则密码管理器依然是网络社会中,保护普通人信息安全的一个重要手段。当然,我们国家也已经意识到公民信息安全的重要性,前阵子公安部力推的eID似乎距离落地也已经不再遥远。黎明不再遥远,黑暗只是暂时。套用今天人民日报文章《为隐私保护多上一把锁》中的话:
“个人信息,恐怕还是‘犹抱琵琶半遮面’的好”。
