论文部分内容阅读
敌敌畏养海参,汉堡偷工减料,垃圾原料制作毛巾,没完没了的变速箱故障,精装修还是“惊”装修,套路推销,插翅难逃。趣头条广告藏猫腻,嗨学网退费为何这么难?
“吃了汉堡王,来碗孟婆汤,还有窃贼小软件看我的信息板!”
尽管因为疫情,315晚会拖了数月,但保护消费者权益从来不晚!虽然播出后,大家觉得这次的315晚会不如往年那么「猛」了,但该披露的还是得披露。总结了一下今年315晚会曝光的九大乱象,囊括了衣食住行用等方方面面:
·敌敌畏海参,过期汉堡王
·故障变速箱,骗费嗨学网
·霉毛巾高阳,万科漏水房
·窃贼小软件,套路美容院
·还有趣头条违广
衣 霉毛巾高阳
标签印着国家标准,店家却声称无法保证每一条毛巾都检测合格;
下脚料(旧衣服:包括毛衣、外套、秋衣秋裤,甚至穿过的内衣、袜子等)不消毒,直接处理就成了“再生棉”。
产品包装上,没有任何警示标志;
而“这种不合格的毛巾,贴着符合国标的标签,通过中小超市、批发市场、电商等销往全国各地。”一年的销售额大概能卖到五千万元……
目前,曝光中涉及到的“永亮”、“金浩阳”毛巾,在各大电商平台搜索关键词发现,已经搜不到相关商品,被全网下架了。
食 敌敌畏海参
山东省青岛市即墨区的海参养殖户向池塘里投放农药敌敌畏或抗生素等兽药原粉,污水排回大海:
用麦芽糊精腌泡海参3天就加工成了干海参,用料更“省”:
在海参收购过程中,海参苗会被收购到南方养殖,养成后再送回北方市场加工、销售,甚至冒充北方海参售卖。
从此世界上除了“候鸟”之外,多了一个“候参”的物种。
食 过期汉堡王
汉堡王因食品偷工减料和过期问题,立刻登上了微博热搜第一。
据315晚会曝光,江西南昌的汉堡王门店制作汉堡时西红柿、芝士只放一片,该丢弃的食物继续售卖,过期面包更换标签当新鲜面包出售。
标准员工心里都清楚,但真正做起来却又是另外一套……
食品安全一直以来都是人民日常生活的重中之重。这几天,消费保刚报道了伊蒙牛奶标准事件、小龙坎地沟油事件,315晚会又有敌敌畏海参,过期汉堡王。食品安全乱象何时休!?
在消费保平台上,关于食品安全的投诉也是常常发生,食物不新鲜、吃出异物、三无产品、发霉变质等都是投诉“重灾区”!
其中,关于汉堡王的投诉,就包括吃出异物,退款不及时,订单漏送等问题。
住 万科漏水房
吃的海参大不了以后不买了,但房子作为大额消费品,不是你说退就能退的。
据曝光,购买广东万科、杭州春秋华庭精装房的业主,尽管付了每平米几千上万的装修款,但这些“精装修”的房子存在煤气泄漏、房顶漏水、插座滴水等诸多安全隐患;
而开发商给出的方案是边验房、边收房、边维修的“强制收房”……
在消费保平台,关于精装房质量问题的投诉也不少,涉及的房企开发商有保利地产、华润置地、融创、中海地产、恒大等。
行 故障变速箱
朋友圈很会「玩」的五菱,这次也没「玩」过自己的变速箱故障!
宝骏560,一度被车主们戏称为“神车”,变速箱却屡屡出现问题。
尽管全程4s店保养,但更换变速箱后过一段时间依然会出问题,安全风险极大,上市三年即停产,退车还要求收取高额折旧费。
在消費保平台,宝骏汽车的投诉不少,除了车辆质量问题,还有故障频发、售后难等问题。
因为“变速箱故障”被投诉的不止宝骏汽车,还有吉利汽车、上汽大众、上汽通用、长安铃木、一汽大众等诸多车企。
学 骗费嗨学网
嗨学网套路网课,虚假宣传:
销售肆意承诺,声称无参与考试资格照样能报名,当面说一套,协议背后签一套;
但到了报名的环节,却出现问题,学员退款难……
根据消费保平台显示,嗨学网的投诉有952件,目前解决的有272件,主要涉及的问题也是虚假宣传、退费难等问题。
用 趣头条违广
“趣头条”屡现违规广告,“套户”黑产业链浮出水面。
虚假广告想要登上趣头条,不仅不用提供资质,还可以精准选择地区投放;
这些都有“代理商”帮你一步到位,甚至可以通过网赚的噱头投放网络赌博广告。
消费保平台上,虚假广告也是趣头条被投诉多的问题。还有消费者投诉:趣头条广告上购买的商品质量问题、无法退货。
在消费保处理过程中,我们发现这些广告背后的商家无法联系,消费者购买的产品没有保障,售后无门!
用 窃贼小软件
SDK插件或许大家不知道,但它却暗藏玄机,可以窃取我们的手机中的一些资料隐私。
“它会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。”
还会悄悄地将数据传送到指定的服务器存储起来!
国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机APP涉及其中。
手机APP过多地侵犯用户隐私已经不是第一次了。上周,工信部公布了2020年第二批侵害用户权益行为的App名单。在被点名的15个App中,有13个都涉及个人信息的过度收集,包括“私自收集个人信息”“超范围收集个人信息”“私自共享给第三方”等等。 个人信息安全保护依旧是当下大家都关心的问题!
用 套路美容院
美容院以免费体验作诱饵,连环套路诱导消费办卡;通过偷听和美容师打配合,激发消费欲望,甚至诱导其借网贷消费;还以格式条款签合同,拒绝退款。
在消费保平台上,众多消费者都没有逃过美容院的这些“套路”,强制消费、诱导消费、预付费退款难、产品质量问题等。
与其事后道歉,不如功夫下在平时
在315晚会曝光后,这些上了“黑名单”的企业纷纷道歉、整改、下架,更甚者有趣头条和嗨学网在还没播出之前。已经通过官方微博火速回应!
随后,相关企业都做出了回应,相关部门也下发紧急通知、责令整改。
汉堡王回应:已立即成立工作组并对相关餐厅进行停业整顿
山东青岛即墨回应:已组织联合执法,将严惩涉事者
高阳县回应对涉事企业连夜查封,永亮毛巾致歉
万科致歉,回应称诚恳接受舆论监督和批评
宝骏汽车致歉,已成立专项工作组展开调查
可诺丹婷回应已要求涉事门店停业整顿并成立专项工作小组跟进此事
道歉永远是最简单也是最基本的一步,这些被敲打的企业及所在行业,会做出哪些整改和调整,才是这场晚会最根本的价值所在。
当然,露出水面的冰山,它仅仅是冰山一角!
315晚会也只是一次集中曝光,如何365天维护消费安全才是重点!
一直以来,消费保都保持初心,365天全年守护在消费者身边!保护消费者权益,我们义不容辞。
多个手机SDK插件窃取用户隐私,暴露了哪些问题?
SDK是非常常见的插件,全称software development kit,它们是用来做什么的呢?简单来说,就是在某个软件1中融合了另一个软件2(包),用来帮助软件1完成某项工作。
举个简单的例子,当你打开国货之光瑞幸咖啡,准备点一杯咖啡的时候,查看地图你会发现,瑞幸的地图下方有个小角标,是的,瑞幸并不会自己专门去开发一个地图,瑞幸(软件1)就是调用了高德地图提供的sdk(软件2)。
这个sdk是怎么工作的呢?
在瑞幸这个例子中,当该程序启动的时候,会给高德地图sdk发送一条指令,高德地图sdk接收到指令后,会检查用户当前的位置及搜索门店的位置,当发现地点后,就会返回一条结果给瑞幸,瑞幸接到结果显示出来,我们就可以看到位置信息了。
这是一个很简单的sdk的案例,实际上,在真实的app开发中,为了尽量降低开发成本,很多app都会使用sdk,例如瑞幸根本没必要去开发一款地图产品,这对团队而言成本太高,还没啥收益,非常不划算,而且提供sdk的厂商大多也都是拥有成熟技术的能力方,他们不仅给某一个产品提供sdk,大多数情况下都是给某一类甚至全品类产品提供统一的sdk。
就好比一家电商公司,能拥有自己的物流系统固然好,但外包会更轻松。所以当工程师需要实现一个功能,又没条件重复开发的情况下,使用sdk是最快捷最高效的方法。
为什么sdk和信息泄露会有关?
这里需要先了解一个新的名词,api(appli cation program interface),应用程序接口,其实sdk可以理解成是某个系统为了方便别的系统对接他们的api而提供的一系列软件开发工具包。而api的目的是为了能够让两个需要通讯和共享数据的系统/平台,以双方都可理解,认可的方式,收发彼此信息。
这时候,问题就来了。由于很多第三方sdk会被接入到不同的APP中,所以这些提供sdk的第三方就可以从各种各样的APP中收集到用户的信息碎片。经年累月,这些收集来的信息自然而然被用于进行数据分析并出售。
而当一个APP获取了用户某类权限,它采集到的数据会通过sdk传给sdk的提供方。很多sdk偷偷采集蓝牙信息、移动设备内的APP列表、程序任务信息、用户账户信息、电话号码、通讯录等等。它们不仅可以采集,更可以将这些收集来的信息上传到某个指定的服务器。这些信息一旦被它使用,则很有可能会造成严重的后果。
当然,现在部分应用商店对采集数据指标有着比较严苛的规定,不过也有个别第三方sdk会通过别的方式对信息进行采集,比如执行shell获取移动设备上已安装app信息,这种跨过系统接口采集用户隐私数据的行为非常可耻。
如何避开这样的隐私曝光侵害?
APP应用开发者
·APP应用开发者应遵循合理、必要和最小化原则选择第三方SDK。对必须使用的SDK包加大审核力度,对第三方SDK进行全面的安全评估,特别警惕具有后台云控功能控制代码的SDK;
·开发者应从自身角度履行责任,保障用户的信息安全。在软件开发过程中,需明确所开发APP对个人信息的采集与利用,个人信息存储及保护制度,个人信息的处理制度,未成年信息保护制度等,切实保护用户个人信息及隐私。
作为软件分发平台的应用市场,可以直接触达到客户,也需要充分发挥企业责任感。
应用市场
·各级应用市场应加强管理,增强对恶意SDK的识别、检测和防范能力。可参考一些应用分发平台采用的“恶意行为检测”+“隐私泄露检查”+“安全漏洞扫描”+“人工实名复检”四重检测体系,以多样安全审核措施保障上架应用的安全合规;
·应用市場应履行自身责任,在对APP进行检测后,对合规、安全、稳定的APP进行标识,便于用户在下载软件过程中进行适当的选择。而对于不合规的APP,应用市场应及时进行下架处理。
用户
·避免在非官方应用市场下载APP,不要通过扫描二维码、点击链接的方式下载软件; ·下载软件后要对其进行权限设置,在不影响使用的情况下尽量关闭应用内与“隐私相关”或与“资费相关”的权限;
·忌在非官方渠道填写自己的银行账号及密码等信息,填写任何个人信息都要三思而后行,仔细核查平台的合法性;
·如果遇见泄漏用户隐私或者其他违规行为的APP,及时通过中国互联网违法和不良信息举报中心的网址http:∥www.12377.cn进行举报或在消费保官网上进行投诉。
个人信息泄露已经严重到了什么地步?
如果说,大部分人在互联网面前都是“毫无保留”的,你会相信吗?
信息泄漏的事情时时刻刻在发生,你认为安全的分享,平台认为安全的数据,不过就是一层薄薄的窗户纸,一捅即破。
大多数大家觉得足够信任的网站,可能已经被攻破,相关信息在暗网上被明码标价出售。比如Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币。
从暗网买家展示的数据截图来看,包含的信息很丰富,地址,电话,性别等等。
一些私密小圈子的间谍木马软件源码,包含ios,安卓,wp,黑莓平台,当时标价12比特币。
很多数据最初从暗网上被标价后,进而慢慢被一些团体释放到互联网上,这中间的时间间隔可能长达数月甚至数年。
个人信息泄露对普通人的生活有多大的影响?
简单说,可轻可重。如果落入诈骗团伙手里,就重一些,但如果自己足够警觉有基本的防护意识,那也没事,如果落入推销人员手里,基本也没太大关系,无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里,那就有点倒霉了。
简单举几个比较广泛的诈骗例子:
·某女士的手機上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名,且航班信息也准确无误,曾女士便以为是航空公司发来的短信,随即拨打了短信中的电话进行改签。经过“客服”的指导,曾女士在ATM取款机上被骗走了29500元钱。
·小李说,前两天,在淘宝商城一家店看中了一件短裤,价值39.2元,下了订单后不到20分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:“李××您好,您是不是今天下午6点半买了一件39.2元的短裤?由于支付宝系统升级,您提交的订单异常,资金被冻结,所以需要您重新登录并确认购买,并且暂时不要登录淘宝和阿里旺旺,您登录QQ吧,我教您怎么操作。”接到电话后,小李说对方知道她的姓名和电话,所说的信息都很准确,所以她就信以为真。登录QQ并加为好友后,“客服”又说了一系列教小李同学怎么操作的话,由于着急去上自习,小李也不清楚“客服”讲的那些怎么操作。此时,“客服”说帮小李用QQ远程操作,可没想到最后“客服”在骗取她的钱财。-在小李的电脑被远程控制后,“客服”又让她输入支付宝账户动态密码,以确认支付。输入后“客服”又让小李确认账户有多少金额,她说自己卡上有六七百元钱。退出远程控制,小丁看到确认支付界面上显示已支付-0.01元,她以为支付错误就重新支付了。与此同时,她的手机收到了短信提示,账户被扣了627元。由于急着去上课,小丁关了电脑赶紧去教室,也没有注意到手机上的信息。晚上九点半下自习后,小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问,网店客服人员告诉她没有这件事情。
上述两种其实都是类似的手法,通过截取到的用户订单信息,获得用户信任后实施诈骗,这里用户订单信息获取方式,很多是利用系统漏洞,也有部分是伙同公司内部员工获取。对普通用户来说,核实发短信和打电话是否是官方电话尤为重要,此外需要杜绝离开平台的交易,比如离开淘宝自有退款流程,不走支付宝进行退款。
总之,大家需要有一些基本防护意识,这样就很难被骗,也不需要过于担心。
大数据时代下,如何进行隐私保护?
首要因素是从心理和行为上重视数据的重要性,具体细节包括但不限于:
·不要在不明底细的网站上实名;
·所有网站都用不同、且长度足够的密码(做不到一次一密,可以一处一密);
·不要用过多个性化推送服务:
·对所有涉及个人数据的选项/纸张都谨慎处理,不能别人要什么就给什么。
同时建议从国家层面仿照欧盟隐私保护法(GDPR)出台相应法律,保护用户从企业手里夺得隐私数据链路的控制权。其实(数据)隐私这个概念,在信息学里和在大众眼中并不相同:
1、现代社会下,数据是基于事件收集的,而隐私约等于事件要素合集
这是个人可以参考的隐私保护思路。
虽然隐私(privacy)这个概念是Warrian在1890年左右的《隐私权》里提出并广为流传,但是大多数人往往只是明白它的法律和社会学含义,即「隐私」=「用户认为自身敏感、且不愿意公开的信息」。在信息技术方面,我们讨论的隐私往往聚焦在数据上。数据需要在特定的情景或者事件下,才会被收集/产生。
换句话说,广义上的数据隐私往往需要符合事件四要素:
数据=人物(Who)+/or时间(When)+/or地点(Where)+/or事件(What)。
也正是因为这四要素,学术界就出现了一种折衷思想:如果我们采取某种手段保护其中一部分,那么在大多场景下也就等价于保护数据隐私。
比如:
·如果我们去除人物在某个地点的活动数据,是位置隐私(location privacy)保护;
·如果我们去除「人物」要素,包含个人的出生年月等基本信息,那么就是身份隐私(identity privacy)保护;
·如果我们去除「人物」、「时间」、「地点」的关系,那么就是去除了「数据足迹」,也就是在行为隐私(activity privacy)保护。 实际上,现实世界里很多人就是这么做的。
一些明星在出门时往往喜欢带口罩甚至全副武装,这就是在保护身份隐私,从而保护数据隐私。明星的全副武装,其实算是从个人角度、在真实世界里能做到的极限了,对于隐私非常看重的同学推荐学习。
但即使如此,大家可能不知道的是,如果只局限于去除某些要素(比如身份信息),數据(事件)关联性分析依然很容易反推出原始信息。
有两个非常典型的案例:
·很多人的隐私泄露其实是因为大多数人都会图省事,在很多网站采用同样的密码,那么如果一个网站被攻破,简单的数据库碰撞就可以得到这个人在网上的全部信息(甚至是支付信息);
·又比如明星出轨里,众多吃瓜网友能通过不同时间、地点佩戴的相同耳环,联想到出轨事件。
当然,如果我们把上述四个要素全都进行保护,即出门蒙面,互联网上完全不实名,或者在访问互联网的时候采用Tor等匿名服务,删掉/禁用一切缓存/推送服务,只用纸币,那么确实可以花费巨大代价像中本聪一样从互联网隐身,即完美的匿名。
但是这种方式带来的时间和经济成本都非常可观,我也相信大多数人用不到。对于大多数人来讲,对隐私的忧虑其实并不是隐私技术本身是不是够强,而是一种对未知情况下信息失控风险的担心。
2、我们不能让自身信息传播链路失控
正如我们之前所说,隐私其实不可能被完美保护,它往往只能被限制在一个小范围内,这种角度来说,我们也能认为隐私最大的问题还是信息泄露。如为了推断一个用户的身份或者行为信息,没有授权的第三方可能会从不同的社会数据中整合其他数据,并进行推断。
从这个角度来讲,现代社会很多人担心自己的隐私问题,本质上是在担心自身信息的传播链路失控。
但是现在毫无疑问已经失控了。
每当用户使用网络的时候,网络服务商往往会在用户不能预见的多种途径、多种维度上收集信息,用户甚至对此完全不知情。当然某种程度上,这种收集是有好处的,因为会便利用户的日常数据使用。目前大家都面临的问题其实相通:
·作为用户,不能控制自己的隐私数据,社会网络的提供商可以全权访问用户数据;
·作为用户,只能粗粒度的修改自己的隐私数据,但是这也对日常数据没有太大意义。
因此,正确的做法是,我们应该得到合理的处理自身信息的权利,比如在特定商家自查数据的权利,有权要求自身数据的公开范围(细节到某些服务),有权要求放弃个性化推送等服务。
在集体诉讼缺失,导致个人司法弱势的当下,这也是未来立法应该做到的事。