论文部分内容阅读
王思聪的大众点评账号居然被盗了。
10月10日,王思聪连发两条微博怒斥大众点评“恰烂钱”,称自己的大众点评账号莫名其妙被别人改绑手机,并质疑大众点评,“这就是上万亿市值公司的安全系统吗?”
随后,有网友证实,只要提供原手机号码和生日日期,就可以顺利换绑大众点评账号。
大众点评为美团旗下公司,博主@轩宁轩sir 在微博发布视频演示了在美团上更换手机账号的过程:该博主以“手机无法接收短信”为由,申请换绑手机号,其间只提供了原手机号、生日日期和新手机号码,就成功換绑了手机。换绑后,原账号的订单信息也一览无遗。
原来,想要偷我们的美团账号,竟然这么容易?
问题还远远不止这些。
美团接连被爆信息安全问题
在王思聪爆料后,大众点评在王思聪微博评论区回应称,“相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步。”
南都周刊记者从美团平台了解到,在@轩宁轩sir发布视频后,目前在美团上,“无法接收验证码”的手机想要换绑,已经修改为只限于6个月内曾修改过绑定手机号的用户操作。
就王思聪的情况和用户对账号安全的担忧,南都周刊记者向美团了解情况,美团方面表示以王思聪评论区的回应为准,其他的暂无进一步回应。
记者测试了多个主流应用软件了解到,目前QQ、淘宝在换绑手机时需要接受人脸验证,微信则需要微信好友交叉认证,京东则需要提交本人银行卡和银行卡绑定手机进行交叉验证。
一位不愿具名的头部互联网公司软件开发人员告诉记者,人脸验证成本较高,现在很多软件只要能证明“你是你自己”就可以找回账号。美团在验证用户的个人信息时,确实过于简单,但这跟厂商收集用户信息应该没有什么关系,更有可能是获得了王思聪个人信息的“熟人”作案。
在王思聪爆料前,10月9日,#“美团App连续24小时定位”登上微博热搜榜。前述博主@轩宁轩sir 发博称,在升级苹果手机ios15后,通过安装某隐私记录软件后发现,美团在后台连续24小时进行定位。
美团App一位技术工程师告诉南都周刊记者,这是因为这类隐私记录软件在单方面读取系统操作日志后,进行了选择性展示。经测试,在相关权限开启且App后台仍处于活跃状态时,大部分主流App均会被该软件检测出频繁读取用户信息,且监测结果高度相似。
上述美团工程师透露,最早发微博的用户拒绝提供更多信息,因此也无法确认该用户截取数据时的状态,不过根据系统分析来看,美团App定位之中,该用户应该发生过大范围移动。
你的相册,也不安全
除了美团,近日,微信也因为信息安全问题被推上风口浪尖。
10月8日,网友@Hackl0us 在微博爆料称,微信在用户未主动激活App的情况下,在后台数次读取用户相册,每次读取时间为40秒至1分钟不等。
当天,微信回应称,在用户授权微信可以读取“系统相册权限”的前提下,为方便用户在微信聊天中按“+”时可以快速发图,微信使用了IOS系统提供的相册更新通知标准能力,使用户发送图片体验更快速流畅。
目前,微信针对此事作出紧急修复,向苹果手机用户推送了8.0.15新版本,新版本安装之后系统监控不再有微信读取相册的记录。
尽管微信反应迅速,网友们对它偷偷收集“个人相册”更新信息仍然感到疑惑和担忧。
对此,中国互联网协会研究中心副主任、北京师范大学法学院网络法治国际中心执行主任吴沈括向南都周刊记者解释说,“相册更新,它在技术上表示是否有新增图片的信息,不涉及个人信息的图片本身。目前来看,这应该不属于个人信息的范畴,它只是表示是否有新增的情况,不涉及个人身份的识别问题。”
有关个人信息的范畴,11月1日即将实施的《中华人民共和国个人信息保护法》(下称“个保法”)有了明确规定,根据第一章第四条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲告诉记者,微信没有把“读取相册更新信息”告知用户,可能它认为不重要,它也不收集,只是在本地使用,可能也不会造成什么伤害,这也是一种用户体验。如果事事告知,如何平衡用户体验也是个难题,隐私政策变得更长,用户也不一定会去读。如果对个人评估没有什么影响时,是否还需要用非常明显的方式去提示用户呢?个人保护法实施后,恐怕App在“同意”这个环节会发生较大的变化,届时有待进一步观察告知的过程和用户体验之间大家的态度。
上述某头部互联网公司的软件开发人员指出,故意收集个人信息在大平台属于严重违规,如果发生这种事,公司内部从程序员到领导再到上级领导都要被抓出来复盘,“做了这种事情的程序员今年的绩效就完蛋了。”在他看来,这更可能是系统bug,平台主观故意的可能性比较低。
为什么我们如此害怕?
尽管微信和美团作出澄清,许多用户还是第一时间关闭了微信读取相册的权限,关闭了美团的定位权限。
用户的担忧与过去App过度索取权限、信息遭受泄露不无关系。以前,手机的手电筒需要获得通讯录、照片、录音、位置、读取修改文件的权限;小说软件需要定位权限;美颜相机需要通讯录权限……许多App索取的权限远超出实际需求,有些App甚至不给权限就不让用。
中国消费者协会在2018年曾发布过一份测评报告,该报告显示,在调查的100款App中,多达91款App存在过度收集用户个人信息的问题。在100款App中,59款App涉嫌过度收集了“位置信息”,28款App涉嫌过度收集“通讯录信息”。 2019年1月,网信办等四部门在全国成立App违法违规收集使用个人信息专项治理工作组。今年以来,工信部多次下架多款应用软件。就在8月25日,工信部又下架了67个应用软件,主要涉及违规收集个人信息。
何延哲告诉记者,以前企业滥收数据的行为确实存在,现在有了监管,App强制索取权限已经得到了大幅改善。但还有一些很细节的问题没有彻底解决好,比如,App收集的权限获得用户同意打开,但是它没有在合适时机、合适场景去采集,或者采集频率过高。
尽管情况得到改善,但是,经历过被手机App过度索权的用户,看着手机上各个App过于精准的推送,接到一个又一个的骚扰短信、电话,始终难以对App真正放心。特别是这两年,还有不少用户怀疑手机App在进行窃听。
有豆瓣网友发帖称,在跟同事讨论了苹果手机后,打开某电商平台,立马看到相关产品的推送;还有网友发帖称,跟朋友闲聊时提起整形医生建议她做耳软骨隆鼻,结果就在微博上看到隆鼻的相关微博……在这些帖子下方,许多网友分享被疑似窃听的经历。
对此,何延哲指出,理论上说,窃听从技术角度是可能的。但是,手机也不允许App24小时偷听,只要锁了屏、退出之后,录音录像的权限就不能调用了,本身24小时偷听不具备条件。
在何延哲看来,“窃听”更有可能是大数据下广告的精準定位。他指出,互联网公司为了追求广告更加的高效、更加个性化,让用户画像变得越来越精准,精准到无所不知。企业的数据积累越多,确确实实真的可能做到很了解你的程度。
何延哲进一步指出,“企业也要自律,一味追求精准,效率如何难说,但是对用户安全感的破坏也会对产业发展不利。‘解铃还须系铃人’,没有人愿意生活在这种焦虑中,除了持续科普以外,企业恐怕要用更大的诚意、更多的付出来赢回用户。”
11月起个人信息保护法开始实施
值得期待的是,下个月开始,App的过度索取权限现象有望得到进一步改善。11月1日,《中华人民共和国个人信息保护法》将开始施行,这是我国首部完整规定个人信息处理规则的法律。
根据个保法,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
除了个保法中规定的特殊情形,手机App要处理个人信息需要取得个人同意。用户同意App处理个人信息,今后也有权撤回其同意,而App不得以撤回同意为由,拒绝提供产品或者服务。
过去,手机App获得用户同意的方式,通常会以一揽子的用户协议条款告知。吴沈括指出,从个保法规定来看,告知是以一种清晰易懂的方式来予以告知的,目前监管机关公开的一些表示当中,这种特别冗长的个人信息协议告知方式肯定是要改的,有一些App已经在改变过程当中。
此外,App处理个人敏感信息还需要获得个人单独同意。个人敏感信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。
新规实施后,手机App违反个保法规定处理个人信息,拒不改正的,将被并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
何延哲透露,现在很多企业在加班加点改造产品的形态以迎合法律要求。“个保法实施后,大家都把个人信息保护放在第一位。态度摆正后,隐私保护工作就有了更多实质性的动作。虽然不能依靠一部法律就能立马彻底解决问题,但是一定会有一个变化,这个变化是大家都希望能够通过法律约束企业的行为来重建对隐私保护的信任。只有重建信任,互联网产品才能用得更舒心、省心。”
而在用户层面,针对维权难问题,个保法明确了用户维权的路径。吴沈括表示,个人信息泄露之后,将主要有三种维权方式:通过消费者保护组织等权益保护类协会和机构进行维权;通过举报、投诉等行政监管的方式,通过行政执法机关来获得维权;通过司法诉讼的方式向法院提起侵权诉讼,取得司法保护。
未来,也许我们不用再担心自己是手机上的透明人了。