人肉搜索 vs 個人隱私
來自專欄姽嫿429 人贊了文章
昨天朋友圈被一張圖刷屏了
如果消息屬實,這應該是近幾年最嚴重的一起信息泄露事件,在行業內引發了軒然大波;不知道除了IT行業外,大家會關心這些數據泄露嗎?能意識到這些數據能產生的危害有多大嗎?
網站被黑了,你不知道;
數據被拖了,你不知道;
數據被賣了,你不知道;
數據被利用了,你不知道;
直到有一天,你被人攻擊了,你才會知道你的信息早就被人挖的一乾二淨了。
月初收到@當下頻道節目的邀請,讓我聊下數據安全與個人隱私,然後給了我一個微博,希望我能演示下。這種送上門的素材,我當然不會拒絕,女生名叫lucia,微博地址是http://weibo.com/thejetlagger
之前的回答提到了一些人肉搜索的概念
如何防止自己被人肉搜索到?當你在知乎上說「有本事來人肉我啊」,你已經是不安全的了,因為知乎需要綁定手機號才能發言,說明你的設備、IP、個人信息都是已知的,總有人能夠知道。
在普通人的視角里,默認自己是安全的,所以有恃無恐;而在安全工程師的角度,默認一切都是不安全的,然後去挖掘其中的漏洞。一定要記住,一切輸入都是不可信的。
好了,開始我們的搜索之旅:
從微博賬號開始,只需搜索公開信息,無需使用任何技術。這裡就不展開講了,在以前的文章里都寫過。記住這4個關鍵點,加上耐心和細心。
1.網路痕迹
2.映射關係
3.泄露數據
4.交叉驗證
光從Lucia的微博,就能找到非常多的關聯信息,具體就不展開了。看到這裡大家可能會慌,覺得自己的信息在網上是透明的。雖然你的確是透明的,但是這裡需要一定的技術門檻,之前出了個題發在想法里
目前只有1人加群,看來有社工庫的人很少,有新數據的人更少,懂得挖掘數據價值的就更更更少了。
上述應該就是大家理解中的人肉搜索,下面來講解一些新的概念。
在傳統觀念中,人肉搜索的核心是人-通過人群對信息的搜集,用來查找人物或事件真相。人工的介入在人肉搜索中扮演著關鍵角色,人越多,能獲得的信息也就越多。人肉搜索最早起源於貓撲、天涯、貼吧,每次都能引發網路熱門新聞。不過隨著這些網路社區的衰落,人肉搜索的傳統也逐漸式微。
另一方面,信息安全問題開始步入人們的視野。大數據時代同時帶來了嚴重的數據泄露問題,買賣數據的問題屢見不鮮。個人郵箱和手機號被販賣,用來做推銷、垃圾廣告,已經影響到每個人的生活。從2011年CSDN用戶資料庫泄露事件開始,國內大大小小的網站幾乎都爆出過數據泄露事件,網上曾經有很多可以公開查詢的「社工庫」系統,每個人都可以查詢到別人的姓名、郵箱、密碼、QQ號、開房數據等,隨著《網路安全法》的完善,這些網站都從消失了,表面上看信息泄露的問題是看不見了。而在地下,數據安全情況變得更加撲朔迷離,數據依然在地下世界流動著。
有時大家會看到「社會工程學」這個詞,在研究網路安全時,人對於安全因素的影響是很關鍵的。我們可以把人看做OSI七層模型之外的第八層-人工層,那麼社會工程學就是針對人工層的攻擊方式,比各種web技術更複雜,會涉及各種人性的漏洞。
從圖中可以看出,人的感情是可以利用。疏忽、好奇、恐懼、慾望、懷疑、移情、天真都能用來做用來詐騙。看來社會工程學變成了欺騙的藝術,除了騙人還是騙人。不過這些對於用戶來說是有感知的,當你看到奇怪的人,收到奇怪的信息,打開奇怪的鏈接時,都應該有點安全意識,默認一切都是不可信的。
另一方面,網上有很多可以公開查詢信息的網站,這些信息對於用戶來說是無感知的,有人在搜你賬號密碼你也不可能知道。這叫公開資源情報計劃(OSINT),是一種常規的情報搜集手段,從各種公開的信息資源中尋找和獲取有價值的情報。
國外有很多網站可以查詢公開信息,國內的基本被和諧了,即使這樣我們還是可以從公開網站獲得一些信息:
- 從網站登錄介面判斷用戶是否註冊該網站
- 從手機聯繫人判斷用戶是否使用該app
- 從社交網站獲得用戶好友關係
- 從支付寶轉賬猜測用戶真實姓名
- 從點評網評價了解去過的酒店飯店
- 從新浪微博判斷用戶是否在線
- 從知乎回答了解用戶過去經歷(很多人喜歡寫故事)
- 從照片EXIF獲得地理位置
- 從身份證查詢介面獲得身份證照片
- 從文字內容判斷一個人性格和傾向性
- 從評論內容做文本分析(比如分析某男生經常給哪些女生評論)
嚴格來說,這些數據並不是隱私,但是和個人信息關聯,算是個人可識別信息(Personally Identifiable Information)。這樣一來,你的現實身份和網路身份就關聯起來了。加上各種隱私主動、被動泄露,安全風險就非常高了。
大家都對個人隱私十分敏感,害怕隱私泄露,然而安全-成本-方便三個因素是對立的,永遠不可能同時滿足。有人會問,有沒有絕對的隱私安全呢?
當然有,需要各種偽裝欺騙技術和較高的反偵察意識。如果有一天,你消失了,沒有任何人能找到你,甚至不知道你的任何聯繫方式和特徵,你就做到了真正的隱私安全(彷彿是個逃犯)。
最後希望大家不要用技術來做壞事,因為你們技術太弱,做壞事肯定會被發現的。要我查數據、查人、查IP的私信一律不會理,有技術問題可以交流。
推薦閱讀:
※厲國剛 | 網路「人肉」時代,「座霸」會消失嗎
※被人肉,被威脅了。
※承德保潔員拾得24萬元巨款「人肉搜索」找到失主
※如何最大可能人肉出一個人所有信息?
※「全江琦」事件的聲明