Skip to main content

黑客和隐私(五)大数据时代的隐私泄露更可怕

很久没写这方面的文章了,毕竟网络注册已经实名制了(手机实名制,网络账号强制关联手机号),涉及到隐私泄露的事件必然越来越多。毕竟,三大运营商的员工理论上都可以很方便地知道机主姓名。

联通员工23万人(2015年公开数据),不含外包业务人员。
移动员工近50万人(公开数据),不含外包业务人员。
电信员工67万人(2011年公开数据),不含外包业务人员。

也就是说,140万人可能很方便地获取用户隐私。当然了,我相信三大运营商绝不会承认这一点,一定会表述自己有严格的制度和隐私保护。

事实上,在几年前就流行一种方法,获取用户姓名给手机号充值最少金额即可。就这么简单。而且这种方法网络上都是公开的。

最近我经常接到这类骚扰电话,直呼你的名字(不含姓),然后装熟人推销理财股票保险什么的。他们是怎么知道你的名字呢?为何不喊全称?

因为支付宝屏蔽了姓氏。

图虽然老,但是支付宝的安全机制更看重
错误转账风险。所以2019年还是可行的。

但是问题来了,我们通常怎么都会提供一个姓氏以便公开,这个查询途径太多了。所以网络上对于隐私的屏蔽一般是这样的:

银行:直接姓名全称,小恐龙
支付宝:*恐龙
其他家:小**(先生/女士)
也有的:小*龙

反正一般智商都是可以组合出完整姓名的。

事实上,姓名和手机号这些信息,多数只是骚扰和诈骗电话的用途。毕竟三大运营商只是100多万员工。但是,有一个行业,员工数量更多,相比通讯行业平均学历(不敢说素质)更低。

《2018快递员群体洞察报告》显示,中国快递员总数量已经达到300万。 他们掌握着大量的姓名、地址、身份证号码。对,寄件人必须提供身份证,海淘收件人也是必须提供真实姓名和身份证资料。 曾有某快递员把存有N多寄件人身份证照片的手机展示给我。

网购这么发达,又不可能不退换货,你越觉得自己会运用新时代科技产品,信息泄露的越多。怪不得百度李彦宏说,“国人更愿意用隐私换便利”。

如果说这些隐私是人们懵懂地自愿,那么下面这些就是无耻的作恶:

京东金融,基于金融领域的规范和安全性,这是一款要求提供“姓名、身份信息、银行账号、实人认证”的APP,近日爆发了“盗取用户手机图片和照片”的丑闻。


据该网友上传的视频显示,其先打开京东金融App,并让其在后台运行。然后打开手机上的银行应用,然后截图。随后打开文件管理器,找到京东金融的文件目录,在此目录下,出现了刚刚的银行应用截图。
不仅如此,该网友后续又发微博称,“京东金融不止偷截图,还会偷照片。”同时又附上一个视频说明,视频显示同样先打开京东金融App,并让其在后台运行。然后打开一个美颜相机App,用该App拍一张图片,之后会在京东金融的文件目录中找到该图片。
不少网友在该网友的微博下面评论称,自己也复现成功了,并且是不管图片还是照片都会获取。值得一提的是,该网友称京东会上传这些图片,但视频并没有给予证实,只能证明京东金融App获取了这些图片。


以下为京东金融客服声明全文:

1、安全技术团队对所有版本的京东金融App进行排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复 ……

有人说,我不安装这类APP,我甚至都不用智能手机,也不网络购物,我干脆没有电话。那么就安全吗?

2019年2月曝光, GDI基金会的荷兰安全研究员Victor Gevers ,发现我国
深圳公司深网视界(SenseNets)对于其人脸识别数据库没有密码保护,直接暴露在网上。被暴露的数据库包含有 2,565,724 名用户的信息,以及仍在飞速增长的 GPS 位置记录。

Victor Gevers 的 Twitter 内容

Gevers表示,该公司所掌握的数百万人的跟踪数据可供任何人访问,其中包含超过256万人的个人信息,例如身份证号码、身份证发行日期、性别、国家、住址、生日、照片、雇主和过去24小时内的位置,大约有668万条记录。
此外,该数据还包含一系列“监控器”以及与之相关的 GPS 位置记录,每个摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。“根据该公司的网站,这些监控器似乎是公共摄像机的位置,通过该摄像机进行视频拍摄和分析。”
如“酒店”、“警察”、“网吧”、“餐馆”等,都是对“监控器”等相关 GPS 位置的描述。在过去的 24 小时内,已经有 670 万 GPS 位置数据被记录下来。
14日,Gevers发现,深网视界的数据库已由防火墙保护起来,“至少现在外部人员没有办法获取这些数据了”。
北京时间15日晚,上海澎湃新闻电话联系深网视界,该公司工作人员对数据库泄露事件表示不知情,称不方便对外透露。
早先有媒体报道,GDI基金会已向深网视界发出警告,告知其数据库自7月以来都处于公开状态。深网视界没有对GDI基金会做出回应。

—–摘自《侨报网》

这家公司为何有这么牛逼的资料,又为何如此弱智的对待隐私资料呢?我们利用网络公开信息扒一扒(以下所有资料均为网络公开查询途径获取):

天眼查免费信息

深圳市深网视界科技有限公司, 2015年09月09日在深圳市市场监督管理局南山局登记成立。 法定代表人:高军,总经理: 万定锐。

注册地址: 深圳市南山区粤海街道高新南四道18号创维半导体设计大厦东座8层。

经营范围:
技术开发、技术转让、技术咨询、技术服务、技术推广;计算机系统服务;销售软件、安全技术防范产品;计算机系统集成、图形图像识别和处理系统的设计;安防电子产品及其辅助设备、智能硬件电子产品、计算机软硬件的技术开发与销售;经营进出口业务(以上法律、行政法规、国务院决定规定在登记前须经批准的项目除外,限制的项目须取得许可后方可经营)

这家公司之前的股东是港澳台独资“商汤科技”(2018年7月退股,占股比例35%)。

商汤科技为多个超大型企业提供图形识别技术,包括美国麻省理工学院、高通、英伟达、本田、阿里巴巴、苏宁、中国移动、银联、万达、华为、小米、OPPO、vivo、微博等。

另一家股东则是上市企业“东方网力”,在商汤科技退股后,占股比例高达70%。

东方网力科技股份有限公司(简称“东方网力”)成立于2000年9月,作为北京地区首家上市的安防企业,公司上市一年后市值即突破百亿,增幅达10倍之多,成为中国安防行业公司市值增长最快、最具投资价值的企业之一。东方网力便针对上海“金盾工程”开发了PVG网络视频管理平台系统,成功并率先实现了城市级视频监控联网,确立了国内视频监控管理平台技术领先的地位。

简单说吧,东方网力和商汤科技入资的这家公司,商汤科技出技术,东方网力出人脉,合力拿下了不少地区公安系统的安防业务。所以这家公司的官网(目前已无法访问)显示自己的合作伙伴包括: 连云港市公安局、上海市公安局、绵阳市公安局、兰州银行、上海第十人民医院。

深网视界原官网宣传图片

深网视界官网介绍了这些数据起到的能力:

采集人脸和二代证人脸进行比对,实现无人值守监管场景下,实名人员身份核验,满足各类自助服务行业对人脸实名验证的市场需求。
能够通过非接触形式对目标人员进行捕捉、比对、识别与监控。对社会治安管理、刑侦分析、反恐维稳起到积极作用。

商汤科技2018年7月退股, 而GDI基金会说其数据库自7月以来都处于公开状态 。时间点很微妙,所以,2019年2月15日商汤科技称,在参与深网视界经营阶段,主要通过派出技术人员为其提供底层算法的模式参与对方产品研发,未接触对方的系统层和业务层。

目前深网视界采取了防火墙的策略保护数据库, 很显然,这个数据库的安全策略仅仅依靠防火墙并不安全。 也只是保证了数据不再继续向公众暴露。 因为这个数据库截止曝光前没有密码,数据不加密, 白名单和防火墙内用户也是可以正常获取的。

我们能预见的是这个公司要倒霉,但是无法预见到哪个人的隐私可能导致什么样的泄露结果。对于那个可能无辜的个体来说,你和数码产品有无关联并不重要,这真是“出门逛马路,祸从电杆出 ” 。


相关阅读:


黑客和隐私(四)隐私泄露和垃圾短信
黑客和隐私(三) 富豪们被公布的身份证和住址
黑客和隐私(二)社工库里马化腾的密码
黑客和隐私(一)前言

发表评论

电子邮件地址不会被公开。 必填项已用*标注