论文部分内容阅读
年轻的技术公司通常都会有一张条目繁多的待办事项表,其中获得注册用户和融资往往是列表的前两项。接下来是什么呢?是数据安全。最近,对数据安全的忽视又有卷土重来之势,刺痛了不少热门应用和网页服务以及它们的用户。因此,这些应用和服务不得不在发现破坏行为或漏洞之后,紧急进行产品升级。
受欢迎的约会软件Tinder在2014年2月承认其软件存在缺陷,黑客可以查到该服务使用者的精确位置。众筹网站Kickstarter同样也在该月表示黑客已可以获得包括密码和电话号码在内的用户数据。
2014年2月,移动即时通讯服务WhatsApp以190亿美元被Facebook收购,仅仅几天之后,安全研究人士就指出,尽管公司极力否认,但是该软件的加密技术非常粗糙,对400多万用户个人信息的保护也并不严密。
“大家都太关注吸引用户和提供产品及服务,所以安全在他们脑中并没有被排在重要的位置。”硅谷的风险投资公司August Capital的合伙人之一特里普·琼斯(Tripp Jones)说,“对很多公司来说,在某些情况下,遭到安全攻击是一个好问题,至少这说明它拥有足够多的用户来引起别人注意。”
很多公司,比如Kickstarter和Tinder,都在发现遭到攻击后迅速提高应用程序的整体安全性。Snapchat也曾多次收到会导致上百万用户姓名和电话号码暴露的数据泄露警报,却没有采取措施,但最终还是承认了软件漏洞,并挖来Google工程主管彼得·马格努森(Peter Magnusson)帮助公司提高安全性。尽管如此,随着用户越来越多,Snapchat吸引的垃圾邮件散播者也越来越多了,他们通过这一服务散播恶意广告和链接。
Facebook发言人之一杰伊·南卡罗(Jay Nancarrow)表示在完成WhatsApp的收购交易后,Facebook的首要任务之一就是对WhatsApp及其信息服务进行一次严格的安全审核。“我们在收购一家公司后,都会进行全面的安全审核,并分享安全资源。”南卡罗说,“对我们来说,安全总是第一位的。”
虽然像Facebook这样规模较大、较成熟的技术公司通常有专门针对安全的条款,但它们也并不是对漏洞完全免疫。例如,2014年2月底,苹果承认其操作系统存在一个漏洞,会使黑客可以获得邮件和其他本应该加密的通讯记录里的信息。
当一款新的移动应用推出时,它通常都非常脆弱。分析人士表示,在重大漏洞或风险被发现之前,技术创业者通常都会为了快速创造产品而忽略可能的安全风险。更严格的密码要求和加密方式对用户量增长、便利性和功能说明都会起到阻碍作用。
近期发展很快的移动应用和服务与之前的桌面软件技术所面临的安全挑战非常不同。移动设备上面临风险的信息往往比固定设备上的更私密,因为移动设备上现在已经包括了数字钱包应用、位置追踪及推送服务和照片聊天应用。
政府官员表示,某些年轻的创业公司网络上往来的数据量堪比政府自己收集的数据量。他们认为,这样的危险在于政府部门没有权利来保护这些数据,甚至没有能力与这些公司分享机密的威胁信息,保护个人信息不受网络犯罪和其他国家侵犯的责任完全落在了创业公司身上。
iSEC Partners的安全研究员艾伦·格拉塔费奥里(Aaron Grattafiori)表示,创业公司通常不能预测出它们潜在的安全漏洞。
“和过去相比,现在手机上的用户信息多了很多。”格拉塔费奥里说,“创业公司经常在自己还没有意识到的时候就已经陷入了风险。”
除此之外,创业公司所获得的个人信息也越来越多了。女性内衣公司ThirdLove通过一个使用iPhone摄像头的手机应用来测量女性内衣尺寸。注册这个应用后,用户给自己照一张头部以下、穿着紧身背心的照片,并发送到ThirdLove公司,公司将通过虚拟尺寸算法来确定用户的内衣尺寸。公司表示已经进行了大范围的安全审核来保护敏感信息,而且该公司创始人之一海蒂·扎克(Heidi Zak)表示,公司使用的是最高级别的加密方式。
“没有人可以看到或得到这些照片,”扎克说,“大部分女性都穿着背心,而且她们的头部也被去掉了。”扎克拒绝透露这项服务的用户数,但表示85%的顾客都使用过这个免费的尺寸测量软件。
有些创业公司表示它们在成立之初就把安全作为优先考虑的内容。随着安全漏洞越来越普遍,把安全放在首位成了一个有力的营销工具。
比如,随着Snapchat的漏洞被发现,与之竞争的应用Wickr的注册用户迅速增加,很重要的一点就是Wickr使用了安全加密,而且不把用户信息储存在服务器上。前美国国土安全部网络安全专家阿米特·约伦(Amit Yoran)也是众多从WhatsApp转移到Wickr的用户之一,他表示转移是因为WhatsApp的安全与隐私政策缺乏透明度。
“我们在开始创造Wickr的时候,就假设我们可能被世界上最发达的国家攻击。”Wickr的联合创始人妮可·赛尔(Nico Sell)说,“现在,我认为每个公司都需要做这种假设。”
受欢迎的约会软件Tinder在2014年2月承认其软件存在缺陷,黑客可以查到该服务使用者的精确位置。众筹网站Kickstarter同样也在该月表示黑客已可以获得包括密码和电话号码在内的用户数据。
2014年2月,移动即时通讯服务WhatsApp以190亿美元被Facebook收购,仅仅几天之后,安全研究人士就指出,尽管公司极力否认,但是该软件的加密技术非常粗糙,对400多万用户个人信息的保护也并不严密。
“大家都太关注吸引用户和提供产品及服务,所以安全在他们脑中并没有被排在重要的位置。”硅谷的风险投资公司August Capital的合伙人之一特里普·琼斯(Tripp Jones)说,“对很多公司来说,在某些情况下,遭到安全攻击是一个好问题,至少这说明它拥有足够多的用户来引起别人注意。”
很多公司,比如Kickstarter和Tinder,都在发现遭到攻击后迅速提高应用程序的整体安全性。Snapchat也曾多次收到会导致上百万用户姓名和电话号码暴露的数据泄露警报,却没有采取措施,但最终还是承认了软件漏洞,并挖来Google工程主管彼得·马格努森(Peter Magnusson)帮助公司提高安全性。尽管如此,随着用户越来越多,Snapchat吸引的垃圾邮件散播者也越来越多了,他们通过这一服务散播恶意广告和链接。
Facebook发言人之一杰伊·南卡罗(Jay Nancarrow)表示在完成WhatsApp的收购交易后,Facebook的首要任务之一就是对WhatsApp及其信息服务进行一次严格的安全审核。“我们在收购一家公司后,都会进行全面的安全审核,并分享安全资源。”南卡罗说,“对我们来说,安全总是第一位的。”
虽然像Facebook这样规模较大、较成熟的技术公司通常有专门针对安全的条款,但它们也并不是对漏洞完全免疫。例如,2014年2月底,苹果承认其操作系统存在一个漏洞,会使黑客可以获得邮件和其他本应该加密的通讯记录里的信息。
当一款新的移动应用推出时,它通常都非常脆弱。分析人士表示,在重大漏洞或风险被发现之前,技术创业者通常都会为了快速创造产品而忽略可能的安全风险。更严格的密码要求和加密方式对用户量增长、便利性和功能说明都会起到阻碍作用。
近期发展很快的移动应用和服务与之前的桌面软件技术所面临的安全挑战非常不同。移动设备上面临风险的信息往往比固定设备上的更私密,因为移动设备上现在已经包括了数字钱包应用、位置追踪及推送服务和照片聊天应用。
政府官员表示,某些年轻的创业公司网络上往来的数据量堪比政府自己收集的数据量。他们认为,这样的危险在于政府部门没有权利来保护这些数据,甚至没有能力与这些公司分享机密的威胁信息,保护个人信息不受网络犯罪和其他国家侵犯的责任完全落在了创业公司身上。
iSEC Partners的安全研究员艾伦·格拉塔费奥里(Aaron Grattafiori)表示,创业公司通常不能预测出它们潜在的安全漏洞。
“和过去相比,现在手机上的用户信息多了很多。”格拉塔费奥里说,“创业公司经常在自己还没有意识到的时候就已经陷入了风险。”
除此之外,创业公司所获得的个人信息也越来越多了。女性内衣公司ThirdLove通过一个使用iPhone摄像头的手机应用来测量女性内衣尺寸。注册这个应用后,用户给自己照一张头部以下、穿着紧身背心的照片,并发送到ThirdLove公司,公司将通过虚拟尺寸算法来确定用户的内衣尺寸。公司表示已经进行了大范围的安全审核来保护敏感信息,而且该公司创始人之一海蒂·扎克(Heidi Zak)表示,公司使用的是最高级别的加密方式。
“没有人可以看到或得到这些照片,”扎克说,“大部分女性都穿着背心,而且她们的头部也被去掉了。”扎克拒绝透露这项服务的用户数,但表示85%的顾客都使用过这个免费的尺寸测量软件。
有些创业公司表示它们在成立之初就把安全作为优先考虑的内容。随着安全漏洞越来越普遍,把安全放在首位成了一个有力的营销工具。
比如,随着Snapchat的漏洞被发现,与之竞争的应用Wickr的注册用户迅速增加,很重要的一点就是Wickr使用了安全加密,而且不把用户信息储存在服务器上。前美国国土安全部网络安全专家阿米特·约伦(Amit Yoran)也是众多从WhatsApp转移到Wickr的用户之一,他表示转移是因为WhatsApp的安全与隐私政策缺乏透明度。
“我们在开始创造Wickr的时候,就假设我们可能被世界上最发达的国家攻击。”Wickr的联合创始人妮可·赛尔(Nico Sell)说,“现在,我认为每个公司都需要做这种假设。”