4月10日,G胖对Steam 用户的账户隐私设置做出调整,任何用户信息可以自定义关闭或隐藏。这无疑砸了一些靠Steam“大数据”吃饭的第三方服务商的饭碗,其中影响最大的就是游戏销售数据网站Steam Spy,面临着倒闭的危机。 看上去是不是有些小题大做?但你真的了解用户隐私这一块水有多深吗?作者 | 豪猪,未经授权请勿转载最近一段时间里,围绕隐私泄露问题发生了不少事。2月,众多创作者声讨快视频涉嫌盗传B站稿件,甚至有部分网友还可以直接使用B站的账号登陆360快视频,引发舆论对隐私泄露问题的担忧;3月,百度董事长李彦宏在中国发展高层论坛上表示中国用户在个人隐私方面更加开放,一定程度上愿用隐私换方便和效率,再度引发舆论的不满。无独有偶,国外社交媒体FACEBOOK也爆出丑闻,超5000万用户数据泄露并被利用,从而帮助特朗普赢得2016年美国大选。在网购领域个人隐私泄露问题同样严重,甚至连正规企业也开始明目张胆的借此牟利——近期有媒体指出包括京东、滴滴在内多家互联网企业存在“大数据杀熟”的情况,针对老用户的价格歧视频频发生。对普通人而言,看似无关紧要的隐私到底有多重要?在日常生活中,互联网企业薅了用户多少“羊毛”?今天我们就来谈谈这个话题。搜集隐私这事儿,做得好了叫“大数据”这几年,“大数据”一词相当火爆。所谓大数据,讲白了就是通过收集用户的信息,从而分析出某个用户群体甚至特定用户的行为特征。我们耳熟能详的网络暴力,某种程度上也算的上是大数据应用的典范。问题是,这些数据都算是隐私。作为用户,我们当然不希望自己的一举一动都暴露在别人的目光下。可惜,在互联网时代想保护隐私已经是件不可能的事。尤其在中国,在我们习惯于免费的互联网服务时,鲜有人想到这些提供服务的企业是如何生存的。在一开始,绝大多数企业收集用户隐私的行为还是比较克制的,或者说就算有些企业想不要脸的收集,也不知该怎么做。的确,在那个年代,用户的隐私很难收集,无论对广告商还是门户网站,他们也搞不清楚坐在电脑面前新闻的人到底是什么样的。毕竟除用户上网IP外,其他信息都依赖于用户“主动提供”,考虑到IP地址还可以伪装(而且存在相当数量的内网共享IP用户),所以通过这种方式收集到用户信息实在少的可怜。可以想象,那个时期的广告只能选择“无差别”的投放,最多加入网站流量的考量——在这种模式下,除了个别大型门户网站外,90%的网站都无法存活。当年,只有新浪这样的综合门户网站才能靠广告与“高估值”烧钱维持生存很快,一些专业向的网站开始出现了:虽然不知道看新闻的都是些什么人,但是我们完全可以通过不同版块分类来筛选甄别嘛。比如女性网站当然以女性用户居多,游戏网站自然年轻偏男性用户群体,汽车网站肯定是有车一族或者是潜在的购车群体会关注,体育网站不用说,运动品牌类广告投这准没错。可是,一个人的兴趣往往是广泛且多样的,用户可能既爱玩游戏又爱运动又有钱有闲折腾汽车。在这种情况下,单一纬度的网站显然无法完整的挖掘出这些用户的“潜在价值”。这时候,就轮到搜索引擎出场了。搜索引擎在挖掘用户隐私方面明显强大的多,毕竟用户是主动将自己的隐私与需求交出来的。在这种情况下,搜索引擎对用户的需求图谱显然知道的更多更准。所以,包括谷歌及百度在内的多个搜索引擎一经推出就确定了明确的商业模式:根据用户搜索结果进行广告推送。这种广告投放效果有多好呢?一组数据可以说明问题:谷歌2017年获得超过700亿美元的广告收入,一家独占全球数字广告市场33%的份额。国内的竞争企业百度也不甘示弱,虽然在体量上无法与谷歌匹敌,但在如何赚钱上要比谷歌“强”得多——比如臭名昭著的竞价排名,百度甚至允许某些热门关键字的首页搜索结果全是广告。这块蛋糕是如此丰厚,让互联网企业眼红不已。在国外,就有多家企业进军搜索引擎市场,只不过受限于准入门槛,目前只有微软的必应“苟延残喘”。在国内情况则不同,由于山中无老虎(谷歌),所以众多动物对那位称王的猴子(百度)十分不满。于是,腾讯搜狐等一众互联网企业都开始涉足这个领域。前文提及的丑闻主角之一的360在搜索引擎的竞争中表现十分亮眼,凭借捆绑自家一系列高装机量的桌面软件,从而推动了360搜索市场占有率的一路攀升。360已经习惯性的滥用用户隐私牟利,比如其旗下的水滴直播就未经用户许可下放出大量隐私视频只不过,这种方式还是有很多不足,依然无法挖掘用户的深层次需求,小米手机的崛起就是个中典型:2011年的智能手机市场充斥各种高价低配的产品,在2000元左右价位上用户几乎无法找到一部能流畅运行的手机。事实上,在那个时期一些手机社群已经出现了不少中低端智能机刷机的讨论(例如2010年中兴推出的中低端手机V880就曾被称为“神机”),可对于任意一家互联网公司(或者手机公司)而言,它们既不知道这些用户规模到底有多大,也不清楚他们能承受的价格底线,更没想到市场潜力会有如此之大。最终,名不见经传的小米也是通过MIUI(刷机ROM)为切入点,在收集足够数据(用户量)后才确定了市场的“风口”所在,最终崛起。移动互联网的兴起,则为互联网企业获取用户隐私提供了更大的便利,对用户“隐私”的挖掘也从“被动接收”朝着“主动挖掘”的方向发展。试想,还有比手机这个载体更便捷的了解用户隐私的设备吗?绑定了手机号码,意味着用户的归属地可以定位;允许定位用户所在位置,意味着更精确的地域划分;读取手机型号特征码,可以大致了解其收入状况和消费偏好(用的是什么品牌手机);读取用户通讯录、通话记录及短信则可以分析他的关系网;更丧心病狂一点的APP甚至能通过扫描手机里其他APP来确定用户的行为特征(玩游戏、看资讯、学习),更不用说记录用户的上网浏览记录,使用过的搜索关键字了。有些APP干脆挑明了自己会收集用户隐私但保证“不乱用”,有些就是私底下偷偷乱来了,特别是在安卓系统上,不仅各APP都在收集用户的隐私,连我们使用的手机操作系统,也在收集。就拿上月百度李彦宏的发言来说,虽然他在演讲中强调不会在用户不允许的情况下滥用隐私,可问题在于你要用百度搜索,就得同意它的用户协议。而这份协议基本内容用一句话就可以概括:“百度能收集你任何隐私而且可以随便使用如果用户因此导致利益受损也与百度无关”。某浏览器的用户协议,摆明着就是要用户交出隐私同时,网购的便捷化意味着看似不值钱的隐私具备了有效的“变现”渠道,而这也成为企业获取用户隐私的关键动力。我们的隐私有多值钱?我们以广告为例。从宏观的层面上讲,不同年龄层的网民有不同的喜爱与偏好,比如青少年可能更喜欢动漫、游戏、中老年可能更关注时政新闻、男性可能更关注数码产品,女性可能会关注娱乐或者化妆品。这里面可能会出现一些“反常规”的个例,但在足够多的数据支持下,不同年龄段的人群脸谱大致还是有特征的。当然,光有这些还不够,该如何获得网民的身份特征呢?就算知道了他/她的身份喜好,又如何得知他/她在现阶段最需要购买什么呢?这就需要收集用户上网的过程中的行为,这些看似不重要的隐私被收集汇总后,就会形成特定人群的喜好偏向——比如发达地区与欠发达地区用户的上网喜好,沿海省份与内陆省份用户的区别,男性或女性,单身狗与否,你的收入情况及所处阶层等等。有了这些数据,企业就知道自己产品针对的用户群体到底集中在哪些地域,哪些广告平台能覆盖最多的用户,哪些目标用户群体需要特定的广告投放策略。以游戏为关键字,搜索引擎可以给出简略的用户需求图谱,当然更高级的需要付费购买具体到微观层面,相信诸位就更有体会了。我们平时在网购时可能会注意到一个现象:当我们开始频繁的搜索某类商品后不久,我们就会陆续的在各种软件弹窗或者网站的广告页面看到这些商品的促销信息。如果我们在某些信贷或投资平台注册帐号,我们的手机可能很快就会收到各种其他平台金融产品的短信广告。同样,无论是买房买车找工作,只要你在网络上有相应的搜索行为,相关的广告信息就会接踵而至。笔者登录淘宝网站的截图,里面就有笔者曾经搜索过的商品推送当然,你完全可以反驳说“老子买东西向来货比三家,而且事前翻阅相关材料,阅尽各种相关网站,翻遍论坛,所以那些广告根本影响不了我。”试问,中国数亿的网民有几个有这样的水平和意识?就算是有,谁能保证对各行各业的各种商品门儿清?对某些商品而言(比如汽车),可能这个行业里所有的企业都花费巨资组建了公关团队,你所能接触到的信息都是经过筛选过滤甚至是虚假的,这又该如何分辨?比如近期某媒体公布的某国产SUV油耗大数据就引发了舆论的“激烈”争论——结果所有人都把目光聚焦到车辆的油耗上,车子存在的其他问题反而被忽略了——这其中厂商的水军出了多少力你知道吗?更何况,对价值昂贵的商品你可能愿意付出大量时间和学习成本,可如果购买的商品价格不过区区百来块甚至只有几块钱的时候,你还会耗费大量时间精力去了解这类商品的具体情况吗?这就是我们隐私的价值所在,哪怕一个只有几块钱的小玩意,只要能精准的把广告推送到数以万计的用户面前,它所产生的规模利润就无比可观。更让人不爽的是,你说这些企业收集用户隐私就算了,谁让我们要用你们的产品呢?可偏偏不少企业安全措施实在让人不放心,不光黑产盯着这些数据库,甚至一些看似正规,技术实力更强的企业也干着这些勾当,你说这如何防范?比如上文的360快视频,面对舆论对其“盗取B站视频数据库”的质疑,快视频的回应是部分用户模仿盗传。可问题是,模仿盗传黄旭东、敖厂长、暴走漫画等知名度高的创作者视频也就罢了,可为什么连共青团中央也要冒充身份并盗传?这可是国家党群机关哦!共青团中央的视频内容虽不算差,但比起那些“当红”的视频创作者还是有不小的差距吧,为了这么点蝇头小利,有谁吃饱撑着冒坐牢的风险干这个?有趣的是,在众多创作者声讨后,360快视频“精确的”删除了所有B站的盗传视频,而盗传自微博秒拍等视频站的视频则依然保留——既然是用户私自盗传,360又怎么这么快的知道哪些属于B站呢呢?共青团中央的帐号也冒充?哪位网友这么大胆?明眼人都知道是怎么回事,无非是我们水平有限证据不足拿不到实锤罢了。因此,现阶段我们所面临的问题已经不是该如何防范隐私泄露,而是该如何提高自己的风险防范意识,确保泄露的隐私不会对自己及自己身边的亲人造成伤害了。我们的隐私是怎么被卖的?但凡玩网络游戏的玩家,对“盗号”可谓深恶痛绝,资深一点的玩家或多或少都有中过招,甚至有玩家在安全措施防范严密的情况下仍然被盗号,这不由的让人浮想联翩。尤其是一些游戏的大规模盗号事件,不由得不让人怀疑有游戏公司“内鬼”参与。在这里笔者想说的是,互联网企业的内鬼肯定是有,但不至于为了一点蝇头小利而暴露自己。事实上,绝大多数盗号都是由用户隐私的“不经意”泄露导致——无论是有意还是无意——2014年国服的《DNF(地下城与勇士)》就发生过一件非常典型的盗号事件。当时号称国服第一狂战的玩家“旭旭宝宝”遭遇盗号,几十万的材料装备被洗劫一空。蹊跷的是,该玩家平时游戏习惯良好,也比较注意帐号安全防范。最后发现被盗的原因:居然是该玩家曾和盗号者有过一次交易,从而被对方知晓了QQ号码(游戏帐号一般和QQ绑定),随后盗号者通过这名玩家的QQ空间找到了其他好友,并通过小号欺骗的方式诱骗苦主好友向腾讯并申诉并获得了游戏的帐号密码。最后这起盗号案的破获,还是“旭旭宝宝”自己锲而不舍的往返奔波近半年后才发现线索,并协助公安机关抓获盗号者。而更多的盗号事件都因为虚拟财产价值难以界定,所以几乎无法立案,这也是黑色产业猖獗的一个原因。连美国中情局局长约翰·布伦南的邮箱都被黑了,作案者是两个高中生,通过冒充邮件服务商、CIA工作人员、手机运营商等“社会工程学”的方式重置了局长的邮箱密码。另一个容易泄露帐号的渠道恐怕很多人没有注意到:在多数情况下,为了方便记忆,我们往往把不同网站的帐号密码设置雷同。大网站还好,主要是小网站的安全防护措施相对较差,这就给了盗号者以可趁之机。在攻破这些网站的数据库获得用户帐号密码后,盗号者们往往使用“撞库”的方式把这些帐号密码导入特定软件里,并开始批量的登录各大网站/游戏。如果玩家的游戏帐号没有额外的保护手段(比如安全令),那么恭喜你,你的帐号十有八九要遭殃了。即便是大的互联网企业也未必万无一失,2016年京东就曝出过大规模的数据泄露事件。由于数据库的漏洞被黑客利用,导致多达数千万条的用户信息被窃取,这些信息涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度。更让人毛骨悚然的是,根据京东的说法,这些数据早在2013年就已经被窃取——这意味着,京东在明知道用户帐号被盗的情况下,居然能隐瞒3年之久。至于这些数据,有网络传言其一开始打包售价一度超过百万,尔后在反复转手中价格一路下跌,从几十万到几万一直到最后几百块……你以为这样的就完了?别急!只要你的隐私被泄露过,你的身份就将被永远的留在互联网的黑色产业中。为了更方便的利用这些数据牟利,黑客团伙们建立了大大小小规模不等的“社工库”(社会工程学数据库),任何人只要付费就可以自由的查询社工库里泄露的用户隐私。而且,这些社工库里用户隐私数据还会定期更新维护,甚至还可以为特定的用户建立更详细的“用户画像”——比如你的身份证(甚至有照片),出生日期,手机号码,家庭住址,工作单位,看了什么电影,在哪开过房,买过去哪的火车票,手机通讯录里都有什么人,这些人是干什么的,聊天记录是什么……源自网络一张黑色产业链分工图,可以看到社工库其实是黑产团伙确定作案目标的重要工具可能有玩家会问,总不至于所有互联网企业的数据库都泄露吧?总有安全的不是?嘿嘿,笔者要说的是几乎没有。哪怕这家企业数据安全防御的天衣无缝,防火墙的软硬件再给力,可操作它们的毕竟是人啊。面对这么诱人的利益,这时候就轮到内鬼登场了。这里我们还要拿倒霉催的京东举例:2017年公安部破获了一起特大窃取贩卖公民个人信息案,有位黑产团伙成员以网络工程师名义入职多家公司,并里应外合的提供数据库漏洞给团伙其他成员,光是从京东这一家公司,该黑客就窃取了50亿条公民信息!请注意,这里值得注意的不光是京东泄露的50亿条,这位黑产成员在入职的“其他公司”里恐怕盗取的更多。事实上,隐私泄露已经是互联网的常态,区别在于有没有被媒体报道。那些被企业“公关”而没有被报道的泄露事件,甚至有些因为泄露规模太小导致根本没人理会的事件数量恐怕远超我们的想象。比如笔者注册的STEAM帐号就多次收到异地登录提醒,有些帐号笔者只登录过一两次而已——现在回想起来,估计是笔者将这些临时性的帐号设置了曾经弃用的旧密码,因此遭到“撞库”。讲到这里,可能有玩家会产生“这个世界好危险,我要远离互联网”的感觉,其实大可不必如此。一来,真要有骗子获得我们的隐私,可毕竟不是直接从我们口袋掏钱,哪怕你个人信息被泄露的一干二净,它们不还得操着半生不熟的普通话来骗你不是?二来,隐私泄露不是一个人的事,而是全中国乃至全世界面临的问题。况且对黑产团伙而言,要在数以百亿计的信息里筛选出有价值的对象可不是件容易的事,只要你不是个头最大最明显的那个,跟着几十亿人裸奔其实也不那么起眼……真要有说话标准,分工明确,骗术周密的犯罪团伙盯上你,那只能说明你的身家值得他们如此大动干戈,对此我只能说:认命吧。爱玩荐读:这部改编自80年代街机游戏的电影,给所有“同类”指了条明路
本文出自快速备案,转载时请注明出处及相应链接。