戴文奎 李学成
摘 要:随着物联网、大数据、云计算技术方式的使用,个人信息的价值不断地被挖掘、使用。从积极的一方面来看,企业通过收集用户信息,对用户的喜好进行深度分析,构造了一幅幅用户画像,给用户推送他们感兴趣的信息,大大地增加了用户对此的粘性。另一方面,用户的隐私信息是否能够充分得到保护成为摆在众人面前的难题。如若用户的隐私信息被不法分子利用,将造成难以估计的后果。该文通过分析着重对个人隐私信息泄露的途径及危害进行分析并对如何防范隐私泄露给予相关建议。
关键词: 个人隐私; 信息安全; 网络安全; 大数据;信息泄露
中图分类号:TP309 文献标識码:A
文章编号:1009-3044(2021)25-0057-03
Abstract:With the use of the Internet of Things,big dataand cloud computing technology methods,the value of personal information is constantly being tapped and used. On the positive side,by collecting users' information,enterprises can deeply analyze users' preferences,construct a user portraitand push users the information they are interested in,which greatly increases the stickiness of users to this.On the other hand,whether users' privacy information can be adequately protected has become a problem in front of everyone. If users' private information is exploited by unscrupulous elements,it will cause incalculable consequences. In this paper,we focus on the ways and hazards of personal privacy information leakage and give suggestions on how to prevent privacy leakage.
Key words:personal privacy; information security; network security; big data; information leakage
1引言
随着互联网科技的迅速发展,在我们看不到的地方,网络信息安全正悄无声息地窥视着我们,随时向我们伸来罪恶之手。如何保护个人隐私信息安全,不仅是一个技术命题,更是一个制度命题。隐私保护永远是一场博弈,当你保护的越全面,也会牺牲越大的便利性体验。如何平衡体验和隐私这杆秤,成为当今社会深刻探讨的话题。
2个人隐私信息安全简述
个人信息是指以电子或者其他方式记录的能够识别自然人个人身份的各种信息,包括但不限于的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。在符合法律的情况下,个人所存在、持有、产生、经历的归属于个人的数据、思维、物品及信息,都属于个人隐私信息的范畴。
3个人隐私信息泄露的危害
3.1 被用于非法用途
2016年震惊全国的徐玉玉案。被告人杜天禹通过使用反序列化漏洞攻击方式,非法入侵了山东省2016年普通高等教育学校招生考试平台的网站。窃取了2016年山东省高考考生大量个人信息,出售获利。徐玉玉的信息遭到暴露之后,被不法分子通过电信诈骗的手段将其9900元的大学费用全部骗走,徐玉玉因此伤心欲绝,最终导致心脏骤停,不幸离世。
3.2 监控用户
2021年的“315”晚会上,科勒卫浴被曝在全国数千家门店安装了人脸识别摄像头。消费者只要进了其中一家店,摄像头就会在其不知情的情况下抓取人脸信息并自动生成一个编号。在未来,顾客去了哪一家店,去了多少次都会被科勒卫浴所得知。除此之外,商家可以手动向系统捕获的客户添加各种信息,甚至将一些特殊的人也可以被列入黑名单。可以通过手动模式做一个标签,比如说像同行、记者之类的。一旦贴上这个标签,就非常准确了,一目了然。尽管法律明确规定未经允许不得随意获取人脸识别信息。然而在我们周围,偷偷获取涉及我们隐私,财产安全的人脸识别摄像头数量惊人。甚至这些核心的生物识别信息已经被和我们毫无关系的第三方公司所掌握。人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。
4 个人隐私泄露的途径
4.1 泄露密码导致的“撞库”攻击
“撞库”在网络安全中是一个古老的概念,按中文的字面意思解读,就是“碰撞数据库”的意思。“碰撞”意味着碰运气,即不一定能成功。而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手机号、身份证号等个人隐私信息。所谓“撞库”,是一种针对数据库的攻击方式,是黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户账号。也可以理解为,若用户在不同网站使用相同密码,当某一网站被攻陷时。使用其相同密码的网站将面临内容泄露风险。
4.2 人脸信息伪造
人脸信息泄露不仅可被用来监控用户,而且还可以伪造人脸识别信息。2020年的GeekPwn大会上,有一项挑战为“AI变脸口罩挑战赛”。在比赛中,参数队员需要戴上口罩,伪装成别人的人脸信息,绕过机器的验证识别。舞台上有改装后的自动售货机和ATM机,这两台机器都装有人脸识别系统,选手的目的就是伪装指定的人脸信息,达成相应的目标。有队伍两次挑战成功,不仅成功取得了货物,而且还用口罩,成功取得了“美金”。这就是突破了自动售货机和ATM机的人脸识别验证。事实上,近年来人工智能换脸成功的案例不断出现,而且确实有犯罪分子绕过金融应用的风险控制机制的案例。在这样的情况下,个人隐私的信息问题面临的挑战也更多。