信息时代的安全防护(二)——隐私即安全

在上篇文章《信息时代的安全防护(一)——密码安全》中,我们探讨了保障密码安全的重要性与方法。密码安全的核心原则就是密码的随机性和唯一性,也就是为每一个网站设置单独且无规律的密码。这样即使其中一个网站被黑客攻陷,你的其余网站的信息也不会被泄露。其实仔细想想,我们做的所有的安全防护,包括密码安全,都是为了保护我们的隐私不被未授权的人知道。有人可能会说,这样做太麻烦,我就注册一个论坛,没有什么需要隐藏的,被盗了也没什么事吧?也有人会说,现在互联网社会,已经没有什么隐私可言了,别人知道我的名字电话也没什么大不了的吧。

其实不然,在信息社会,个人隐私的价值不可估量,和信息安全密不可分,它是我们在这个时代最宝贵的财产。原因有三。

第一,个人隐私是信息时代各种基础服务的认证基础。例如,办理手机号,只需知道个人姓名、住址和身份证号就行。办理银行卡只需知道个人姓名、住址、身份证号和手机号就行。在澳洲,要携号转网,只需知道个人姓名、出生日期和手机号就行。目前很多业务都已经能通过电话或网络办理。知道这些个人信息,不法分子就能盗用你的身份进行各种违法活动。知道的信息越多越全面,仿冒的可信度也就越高。

第二,个人隐私是建立身份信任的重要方式。我们大家每天都会收到各种各样的垃圾邮件,有时甚至是钓鱼邮件。一般来讲,这些邮件很容易分辨,因为一看就和我们没有任何关系,比如说失散的阿拉伯亲属,或是拥有巨额遗产的远房亲戚。这些骗局容易被拆穿的根源是太过遥远。但以下这种邮件就比较难分辨了:

你好,我是亚马逊的客服xxx,你在2018年11月11日购买的xxx产品因缺货而无法发出,请确认以下身份信息,以帮助我们退款:

姓名:XXX

电话:XXX

地址:XXX

点击这里进入退款流程

……

在这种情况下,如果所有信息都属实,将大大增加邮件的可信度。很多情况下,我们都会相信那些掌握我们私人信息的人,因为我们潜意识里相信,只有官方人员才能知道这些信息。

第三,以个人隐私为基础建立的大数据心理模型,可以更准确地预测每个人的行为。如果被滥用,使我们更易受到广告的影响。随着硬件和算法的发展,机器学习在这几年进步飞速。若给予合适的数据,机器能准确判定一个人的性格和心理情况,了解他容易受到哪些影响。基于这些模型而进行的个性化推广,往往非常有效,对此已经有很多的研究。但并不是所有广告对我们都是有益的。例如,香烟厂可以根据心理模型,找到那些最有可能染上烟瘾的人群,然后对其进行广告宣传。这些人可能本身就生活在压力很大的环境中,容易焦虑和疲劳,更容易被香烟的广告吸引。再比如,一些私人小医院(如莆田系)如果掌握了人们的医疗资料以及心理模型,则可以找到最容易上当受骗又病得不轻的患者,对其进行针对性推广。人都是有心理弱点的,而基于个人隐私的大数据模型,则能更高效地挖掘这些隐藏的弱点。

由此可见,个人隐私无小事,保护隐私不被滥用,是关系到我们人身安全的重要部分。但随着信息技术的不断发展,信息追踪技术和隐私收集手段也日新月异。

现代的隐私收集方式主要有以下几个方面。

第一,网络爬虫。这是最传统的信息收集方式,类似搜索引擎。网络上有很多的爬虫,不分昼夜地扫描所有网络上的信息。有些爬虫专门收集社交网站的公开信息,例如twitter或instagram。有些爬虫则收集各大论坛的信息。这些信息本身就在网络公开,所以很容易能获取到。

第二,个人数据分享和买卖,分成两种。一种是用户知晓并许可的分享,另一种是背地里的数据买卖。2018年,Facebook被发现在用户不知情的情况下与60多家设备制造商达成数据共享协议。这些商家能直接访问我们的个人资料和发表的内容,一时间舆论哗然。事实上,这些只是当今互联网数据分享和买卖的冰山一角。你在A网站发布和记录的信息,很可能同时被B网站立刻知晓。

第三,追踪技术。Cookie已经算是互联网时代的老古董了。它本来是用来存储一些网站所需的临时数据,在现在却被用来追踪用户的浏览习惯。各大网站上面往往挂了很多广告商的广告。这些广告商的广告不仅展示给用户,还被用来写入Cookie。这样,用户访问其他带有同样广告商广告的网站,其行为也会被记录,并与之前的记录合并。所以看似两个完全不同的网站,却会知道你就是你。除了Cookie,现在还有基于Chrome插件的追踪技术,更加隐蔽,覆盖范围更广。

第四,盗取。由于个人隐私的重要价值,针对个人隐私信息的黑客活动也越来越频繁和专业。很多购物网站不仅存储了用户的姓名、电话,还存储了地址、电邮、甚至信用卡号码。这些购物网站一旦被黑客攻破,大量的隐私信息则会被盗用。

今年5月,欧盟的GDPR法案正式开始实施。这项法案的宗旨是让用户知晓到底服务商会收集哪些信息,以及这些信息将会如何被使用。这项法案对于规范互联网时代的隐私信息收集和应用有很大意义,但它仍有很多局限。大多数普通用户可能并不会阅读那些复杂的隐私声明,而该项法案也不能避免诸如盗取和网络爬虫等第三方隐私信息访问。

保护个人隐私,归根到底是用户对自己负责。由于我们无法控制我们发布的信息将被如何储存和利用,最好的方法是减少个人信息的暴露。以下是几种最简单常见的做法。

  1. 只注册必需的网站。对于一些浏览类型的网站,能不注册就不注册。
  2. 只提供必需的个人信息。提供的信息越少,能被盗取和滥用的信息就越少。有些网站要求提供电话、住址等信息,但实际上并没有实际用途,可以用不存在的地址和电话来代替。
  3. 谨慎使用社交网站,避免公开发布太个人的信息。社交网站是黑客和爬虫最重要的目标,数据泄露风险更高。
  4. 使用Paypal、Apple Pay等付款平台,而不要在网站存储信用卡号码。
  5. 使用去广告插件和App。这些插件不仅能去除恼人的可见广告,还能一并阻止很多网络追踪手段。
  6. 尽量减少使用浏览器插件,仅使用必需且信任的插件。
  7. 如有可能,可以注册一个邮局的PO Box,用于平常的快递和通信。很少服务需要真正用到用户的真实地址。
  8. 检查手机App的各项权限,特别是地理位置的权限。许多App并不是一定要地理位置权限才能正常运行。不必要的权限应该尽量禁止。
  9. 不要使用公共WiFi (即使是密码保护的),除非连接VPN服务访问互联网。

除了以上几种常见的防护方法,还有几种更加激进的做法,仅供参考。

  1. 全程使用VPN。VPN能保护网络活动不被网络运营商和中间人获取,但VPN的服务商有可能获取和记录你的活动。所以选择VPN服务商需要很慎重。
  2. 为每个网站使用唯一且随机的email地址。例如,gmail邮箱可以使用username+[random string]@gmail.com。域名邮箱可以使用Catch-all mail rule。这样即使黑客攻破了一个网站,也完全不知道你所有其他网站的用户名,更谈不上攻击。这样做还有一个好处。如果有一个网站暗中泄露或买卖了你的资料,你可以通过垃圾邮件的email地址来追踪源头。使用这种方法的前提是使用密码管理软件,否则这些邮箱地址是无法记住的。

虽然个人能做的很有限,但如果从源头控制了流出的个人信息,也就能减少个人隐私被盗用的几率。毕竟,保护隐私,就是保护我们自己的安全。