黑客和隐私(五)大数据时代的隐私泄露更可怕

很久没写这方面的文章了，毕竟网络注册已经实名制了（手机实名制，网络账号强制关联手机号），涉及到隐私泄露的事件必然越来越多。毕竟，三大运营商的员工理论上都可以很方便地知道机主姓名。

联通员工23万人（2015年公开数据），不含外包业务人员。
移动员工近50万人（公开数据），不含外包业务人员。
电信员工67万人（2011年公开数据），不含外包业务人员。

也就是说，140万人可能很方便地获取用户隐私。当然了，我相信三大运营商绝不会承认这一点，一定会表述自己有严格的制度和隐私保护。

—-2019年5月14增订: 5月10日新闻,移动员工售卖用户隐私获刑三年。

事实上，在几年前就流行一种方法，获取用户姓名给手机号充值最少金额即可。就这么简单。而且这种方法网络上都是公开的。

最近我经常接到这类骚扰电话，直呼你的名字（不含姓），然后装熟人推销理财股票保险什么的。他们是怎么知道你的名字呢？为何不喊全称？

因为支付宝屏蔽了姓氏。

但是问题来了，我们通常怎么都会提供一个姓氏以便公开，这个查询途径太多了。所以网络上对于隐私的屏蔽一般是这样的：

银行：直接姓名全称，小恐龙
支付宝：*恐龙
其他家：小**（先生/女士）
也有的：小*龙

反正一般智商都是可以组合出完整姓名的。

事实上，姓名和手机号这些信息，多数只是骚扰和诈骗电话的用途。毕竟三大运营商只是100多万员工。但是，有一个行业，员工数量更多，相比通讯行业平均学历（不敢说素质）更低。

《2018快递员群体洞察报告》显示，中国快递员总数量已经达到300万。他们掌握着大量的姓名、地址、身份证号码。对，寄件人必须提供身份证，海淘收件人也是必须提供真实姓名和身份证资料。曾有某快递员把存有N多寄件人身份证照片的手机展示给我。

网购这么发达，又不可能不退换货，你越觉得自己会运用新时代科技产品，信息泄露的越多。怪不得百度李彦宏说，“国人更愿意用隐私换便利”。

如果说这些隐私是人们懵懂地自愿，那么下面这些就是无耻的作恶：

京东金融，基于金融领域的规范和安全性，这是一款要求提供“姓名、身份信息、银行账号、实人认证”的APP，近日爆发了“盗取用户手机图片和照片”的丑闻。

据该网友上传的视频显示，其先打开京东金融App，并让其在后台运行。然后打开手机上的银行应用，然后截图。随后打开文件管理器，找到京东金融的文件目录，在此目录下，出现了刚刚的银行应用截图。
不仅如此，该网友后续又发微博称，“京东金融不止偷截图，还会偷照片。”同时又附上一个视频说明，视频显示同样先打开京东金融App，并让其在后台运行。然后打开一个美颜相机App，用该App拍一张图片，之后会在京东金融的文件目录中找到该图片。
不少网友在该网友的微博下面评论称，自己也复现成功了，并且是不管图片还是照片都会获取。值得一提的是，该网友称京东会上传这些图片，但视频并没有给予证实，只能证明京东金融App获取了这些图片。

以下为京东金融客服声明全文：

1、安全技术团队对所有版本的京东金融App进行排查后，发现安卓系统上的App5.0.5以后的版本存在该问题，并已定位问题且下线修复 ……

有人说，我不安装这类APP，我甚至都不用智能手机，也不网络购物，我干脆没有电话。那么就安全吗？

2019年2月曝光， GDI基金会的荷兰安全研究员Victor Gevers ，发现我国
深圳公司深网视界（SenseNets）对于其人脸识别数据库没有密码保护，直接暴露在网上。被暴露的数据库包含有 2,565,724 名用户的信息，以及仍在飞速增长的 GPS 位置记录。

Gevers表示，该公司所掌握的数百万人的跟踪数据可供任何人访问，其中包含超过256万人的个人信息，例如身份证号码、身份证发行日期、性别、国家、住址、生日、照片、雇主和过去24小时内的位置，大约有668万条记录。
此外，该数据还包含一系列“监控器”以及与之相关的 GPS 位置记录，每个摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。“根据该公司的网站，这些监控器似乎是公共摄像机的位置，通过该摄像机进行视频拍摄和分析。”
如“酒店”、“警察”、“网吧”、“餐馆”等，都是对“监控器”等相关 GPS 位置的描述。在过去的 24 小时内，已经有 670 万 GPS 位置数据被记录下来。
14日，Gevers发现，深网视界的数据库已由防火墙保护起来，“至少现在外部人员没有办法获取这些数据了”。
北京时间15日晚，上海澎湃新闻电话联系深网视界，该公司工作人员对数据库泄露事件表示不知情，称不方便对外透露。
早先有媒体报道，GDI基金会已向深网视界发出警告，告知其数据库自7月以来都处于公开状态。深网视界没有对GDI基金会做出回应。
—–摘自《侨报网》

这家公司为何有这么牛逼的资料，又为何如此弱智的对待隐私资料呢？我们利用网络公开信息扒一扒（以下所有资料均为网络公开查询途径获取）：

天眼查免费信息：

深圳市深网视界科技有限公司， 2015年09月09日在深圳市市场监督管理局南山局登记成立。法定代表人：高军，总经理：万定锐。

注册地址：深圳市南山区粤海街道高新南四道18号创维半导体设计大厦东座8层。

经营范围：
技术开发、技术转让、技术咨询、技术服务、技术推广；计算机系统服务；销售软件、安全技术防范产品；计算机系统集成、图形图像识别和处理系统的设计；安防电子产品及其辅助设备、智能硬件电子产品、计算机软硬件的技术开发与销售；经营进出口业务（以上法律、行政法规、国务院决定规定在登记前须经批准的项目除外，限制的项目须取得许可后方可经营）

这家公司之前的股东是港澳台独资“商汤科技”（2018年7月退股，占股比例35%）。

商汤科技为多个超大型企业提供图形识别技术，包括美国麻省理工学院、高通、英伟达、本田、阿里巴巴、苏宁、中国移动、银联、万达、华为、小米、OPPO、vivo、微博等。

另一家股东则是上市企业“东方网力”，在商汤科技退股后，占股比例高达70%。

东方网力科技股份有限公司（简称“东方网力”）成立于2000年9月，作为北京地区首家上市的安防企业，公司上市一年后市值即突破百亿，增幅达10倍之多，成为中国安防行业公司市值增长最快、最具投资价值的企业之一。东方网力便针对上海“金盾工程”开发了PVG网络视频管理平台系统，成功并率先实现了城市级视频监控联网，确立了国内视频监控管理平台技术领先的地位。

简单说吧，东方网力和商汤科技入资的这家公司，商汤科技出技术，东方网力出人脉，合力拿下了不少地区公安系统的安防业务。所以这家公司的官网（目前已无法访问）显示自己的合作伙伴包括： 连云港市公安局、上海市公安局、绵阳市公安局、兰州银行、上海第十人民医院。

深网视界官网介绍了这些数据起到的能力：

采集人脸和二代证人脸进行比对，实现无人值守监管场景下，实名人员身份核验，满足各类自助服务行业对人脸实名验证的市场需求。
能够通过非接触形式对目标人员进行捕捉、比对、识别与监控。对社会治安管理、刑侦分析、反恐维稳起到积极作用。

商汤科技2018年7月退股，而GDI基金会说其数据库自7月以来都处于公开状态。时间点很微妙，所以，2019年2月15日商汤科技称，在参与深网视界经营阶段，主要通过派出技术人员为其提供底层算法的模式参与对方产品研发，未接触对方的系统层和业务层。

目前深网视界采取了防火墙的策略保护数据库，很显然，这个数据库的安全策略仅仅依靠防火墙并不安全。也只是保证了数据不再继续向公众暴露。 因为这个数据库截止曝光前没有密码，数据不加密， 白名单和防火墙内用户也是可以正常获取的。

我们能预见的是这个公司要倒霉，但是无法预见到哪个人的隐私可能导致什么样的泄露结果。对于那个可能无辜的个体来说，你和数码产品有无关联并不重要，这真是“出门逛马路，祸从电杆出 ” 。

发表回复 取消回复

发表回复取消回复