多年来,数据泄露和数字安全问题已成为值得关注的新闻报道。 一旦公开宣布它们,新信息似乎总是浮出水面,从而将其新闻价值延长了数年。
雅虎已经发布了有关其2013年数据泄露事件的新信息,宣布所有30亿账户均遭到入侵。 最近,对Equifax违规行为的法医调查显示,受影响的人数比以前宣布的多250万人,并且可能发生了一些内幕交易。
尽管最近的Equifax违规行为很严重,因为它暴露了数百万个人的社会保障号码,但政府已经制定了一些计划来帮助应对身份盗用。 当数据比9个数字的随机字符串更为敏感和私密时,会发生什么?
如果暴露出5000万人口的Tinder个人资料并将其带入公众视野,将会发生什么? 他们对我们有哪些信息?我们将如何应对这些信息的发布? 从上述实例来看,它很可能成为新闻周期的焦点。
日复一日- 多年 。
火种是令人尴尬的数据泄露等待发生
《卫报》的记者朱迪思·杜波特盖尔(Judith Duportail)在此根据欧盟数据保护法向Tinder请求用户数据。 她收到的是惊人的。 标题本身似乎就像是点击诱饵,恐慌不已-直到您真正阅读本文为止。 她仔细浏览了800页的聊天记录,位置,Facebook喜欢的消息,甚至从她的社交媒体资料中删除了信息。
翻阅一堆纸,看看她在不知不觉中自愿披露了多少信息,这使她充满了压倒性的罪恶感。 正如达特茅斯大学(Dartmouth University)数字技术社会学家卢克·斯塔克(Luke Stark)所说:“诸如Tinder之类的应用程序正在利用一种简单的情感现象。 我们感觉不到数据。 这就是为什么看到所有印刷品都能打动您的原因。”
Duportail并非唯一成为该现象受害者的人。 2017年7月的一项研究表明,在线约会网站的用户的个人身份识别泄露率很高。
哦,顺便说一下,开发人员Zaid Daba’een能够在15分钟内从世界上最受欢迎的约会应用程序之一中窃取受限制的个人信息。 而且他甚至都不是黑客。
可以公开哪些个人信息?
Tinder可以连接到Facebook,Spotify和Instagram-导入您通过这些服务公开的内容。 您输入的信息用于个人资料和个人简介。 您的所有聊天和消息中也有匹配的内容,范围从“嘿”到不合适的深夜闲逛。
从表面上看,所有上述数据都很容易理解,并且很麻烦。 除此之外,还有所谓的“二级隐式公开信息”,它是您在应用程序中的行为的惯用名。 这些数据是Tinder作为一家公司的价值; 从大量数据中推断趋势并找到将其货币化的方法。 但是,如果要公开这些数据,挑衅者可以创建工具来轻松筛选,并允许窥探我们周围每个人的内在细节。
甚至匿名数据也可能不像名称中所暗示的那样匿名。 另一位欧洲新闻记者和数据科学家二人组能够在他们购买的匿名数据池中为人们提供真实身份。 他们花费了大量的手工工作,但是有了正确的动机,很多过程都可以自动化。
在研究此片段时,我发现另一组研究人员刚刚发布发现,发现每个主要的移动约会应用程序中都存在严重漏洞。 漏洞包括:查明某人的位置的能力,使用公开的生物信息在社交媒体上定位某人的能力,使用在应用程序和服务器之间传递的未加密数据,发送消息的功能以及访问Facebook授权令牌的能力。 这些漏洞有望很快得到修复,但是它们的工作方式相对比较业余。 因此,可能还有其他更严重的漏洞尚未发现。
我们是怎么来到这里的?
通过我们社会的领导人为促进我们的社会福祉所做的努力,我们实现了一些令人难以置信的技术壮举。 我们创建了已成为日常生活中依赖项的系统和应用程序。 亿万富翁花了大把钱烧掉的这些技术迅速发展,使这些伟大的事物得以发展。 但是,我们对这些破坏性技术(例如互联网和手机)的依赖使我们习惯于释放内容,精心设计的UI和“有效”的东西。这是以普通用户无法完全理解的代价为代价的。
API的世界
应用程序接口(API)使在没有完全集成的情况下在不同平台之间来回移动数据块变得容易。 当程序或应用程序推销其功能以“正常工作”时,通常是通过使用API。
例如,当新的约会应用程序想要启用无缝注册过程(*咳嗽* Tinder,Bumble等。*咳嗽*)时,它们可能会让您“继续使用Facebook”,而不是从头开始创建帐户。 他们可能会让您使用Spotify登录并炫耀您喜欢的所有晦涩的印度乐队。 也许,您可以登录Instagram来炫耀您完全不时髦的“审美”。
安全性,功能性和可用性三合一
当涉及交互式应用程序设计时,工程师必须平衡安全性,功能性和可用性。 这是一个权衡取舍的三角形(SFU Triad),您可以在其中接近一个,而远离另一个。 为了获得单点登录的易用性(可用性),您将失去一些安全性和功能控制。
下次您听到新应用的消息时,您的朋友说您只是*必须*尝试一下,评估您的风险。 如果您连接了帐户,但其中一个帐户遭到入侵,则它们都已遭到入侵。 如果某个神秘的黑客组织找到了一种可利用的访问帐户数据的方法,那么泄漏大量此类数据就不成问题了。
在您说“这些工具是安全的,我们已经使用它们多年没有问题”之前,请查看一下WPA2和RSA密钥加密中最近发现的缺陷。
从您的互联网词汇中删除“删除”
不断提醒我们,但我们拒绝承认,我们在互联网上发布的内容将永远保留在那里-即使我们尝试删除它。 即使当您在应用程序中“删除”您的Tinder配置文件时,数据仍可能存在于未知位置的某些建筑物中的某些服务器上。 公司允许访问的任何人均可访问。 或任何努力的人。
查看Tinder自己的隐私政策:
“如果您关闭帐户,我们将保留某些数据用于分析目的和记录保存完整性”
您的数据现在在那里。 您可以尝试删除您的帐户,而Tinder可能会说它已被删除,但您永远无法确定。 即使从服务器上删除它,直到多次写入,从理论上讲也可以恢复它。 我们可以做的最好的事情就是了解我们如何到达这里,以及如何更好地保护我们的非关键性但尚未公开的个人信息。
再次访问Tinder的隐私政策:
“您不应期望自己的个人信息,聊天或其他通讯将始终保持安全。”
变得更好或更糟
在研究这篇文章时,我发现Tinder发布了一个工具,可让您下载Tinder收集到的数据的副本。 对于该工具能为您提供的内容没有真正的解释,或者与Duportail接收的数据类型是否相同,但这至少是一个开始。 我下载了我的,虽然没有一个令人惊讶,但我认为它并不包含他们收集的行为数据。
我们是否被浮华的流行语和下一个社交网络所吸引,以至于我们愿意将我们最亲密的信息竞标? 还是数字的下一个趋势会夺回隐私? 一方面,我们有论坛来交换色情图片,以获取虚假的互联网积分;另一方面,我们开发了分散式加密货币,以使我们的资金远离政府和银行家。
