在手機App中植入安全漏洞,再通過電腦端軟件操作,只需幾秒鐘,工作人員便可控制“千里之外”的手機攝像頭、揚聲器進行偷拍、竊聽,一場現(xiàn)實版“竊聽風(fēng)云”在2019年網(wǎng)絡(luò)安全宣傳周上的網(wǎng)絡(luò)安全博覽會互動體驗專區(qū)中上演。
在NFC銀行卡信息盜取演示項目中,工作人員當(dāng)了一回“通天大盜”。當(dāng)用戶的銀行卡貼近白色讀取設(shè)備時,銀行卡的卡片類型、卡號、持卡人姓名、身份證號和近期交易記錄都會在屏幕中展現(xiàn)。
當(dāng)個人信息網(wǎng)上“裸奔”,當(dāng)生物識別“不再唯一”,我們的信息如何得到保護?
個人信息依舊在網(wǎng)上“裸奔”
互聯(lián)網(wǎng)時代,網(wǎng)絡(luò)上遺留的個人信息,如發(fā)表評論、網(wǎng)上求職、購物記錄、填寫測試問卷等,以及隨意丟棄的紙質(zhì)單據(jù),如火車票、售后服務(wù)單、快遞單、證件復(fù)印件等,都容易被不法分子搜集利用。部分不法分子還假借“促銷”“中獎”“會員填表”等名義,誘使用戶填寫個人信息。
不僅如此,聊天記錄、消費記錄、出行住宿、行車線路等個人信息被各種服務(wù)類App掌握,過度索權(quán)、隱私條款不合規(guī)、強制授權(quán)、超范圍收集個人信息等App違法違規(guī)收集使用個人信息問題依然突出。
為解決這一問題,今年1月25日,中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,成立了App違法違規(guī)收集使用個人信息專項治理工作組。
據(jù)統(tǒng)計,我國境內(nèi)應(yīng)用商店數(shù)量已超過200家,上架應(yīng)用近500萬款,下載總量超過萬億次。中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局相關(guān)負(fù)責(zé)人稱,至今,針對App專項治理的舉報平臺已收到8000多條舉報信息,其中實名舉報占到近三分之一;將400余款下載量大、用戶常用App納入了評估,向100多家App運營企業(yè)發(fā)送了整改建議函。
個人信息與隱私泄露事件頻發(fā),與之相關(guān)的電信和網(wǎng)絡(luò)犯罪行為也成為社會的一大頑疾。據(jù)《2018年網(wǎng)民網(wǎng)絡(luò)安全感滿意度調(diào)查報告》顯示,過半網(wǎng)民認(rèn)為在購物、社交聊天時,個人信息泄露風(fēng)險更大;近四成網(wǎng)民認(rèn)為手機App、搜索信息對個人信息保護不夠安全。
公安部第一研究所專家表示,采集、存儲和管理個人信息及隱私數(shù)據(jù),并非相關(guān)企業(yè)開展互聯(lián)網(wǎng)業(yè)務(wù)的必要前提,卻成了個人信息犯罪難以遏止的“泛濫洪水”之源。
比如商家對收集來的用戶信息進行大數(shù)據(jù)分析,畫出用戶畫像,再進行精準(zhǔn)網(wǎng)絡(luò)營銷,就可以給每個用戶推薦特定新聞、購物和服務(wù)信息。還有一些公司,或者被動地被網(wǎng)絡(luò)黑客攻擊后泄露信息,或者主動地將用戶信息加工后轉(zhuǎn)賣,成為推銷電話或短信、詐騙電話、垃圾郵件的“工作對象”。
其中,“呼死你”電話、“短信炸彈”等騷擾模式成為不少民眾的困擾。據(jù)了解,截至2019年8月底,中國移動累計為約173萬用戶提供“呼死你”應(yīng)急防護服務(wù),共計攔截“呼死你”電話約19.7億次,并累計為110余萬用戶提供“短信炸彈”應(yīng)急防護服務(wù),攔截“短信炸彈”騷擾信息2億余條。
隨著竊取個人信息手段的技術(shù)不斷發(fā)展,個人生物識別信息逐漸成為信息泄露的新內(nèi)容。
個人生物識別信息是指直接采集于人體,體現(xiàn)人的生理特征,與個人身份識別具有唯一對應(yīng)性的個人信息,如指紋、虹膜、面部特征等。目前, 該技術(shù)已被廣泛運用到如居民身份證、手機、安全門禁、零售店支付以及銀行等領(lǐng)域。
近日,網(wǎng)絡(luò)安全專家稱拍照比“剪刀手”可能泄露指紋,在網(wǎng)上引起熱議。該消息稱,基本上1.5米內(nèi)拍攝的“剪刀手”照片能100%還原出被攝者的指紋,1.5米至3米內(nèi)拍攝的照片能還原出50%的指紋,超過3米拍攝的照片才難以提取其中的指紋。
據(jù)了解,早在2015年,歐洲的黑客聯(lián)盟“Chaos計算機俱樂部”就表示,只要使用“相機拍攝的標(biāo)準(zhǔn)照片”,就可以獲得某人的指紋;2017年,日本一家研究所也表示,將強光集中在照片中人像的指紋,指紋數(shù)據(jù)就可以再現(xiàn)。
除指紋信息外,被拍攝者的虹膜信息也可能成為不法分子在照片中的提取對象。1985年,美國攝影家史蒂夫·麥凱瑞拍攝的一張“阿富汗少女”照登上《國家地理》雜志封面,十多年后,為了尋找當(dāng)年的那個神秘少女,通過提取比對當(dāng)時照片中阿富汗少女的虹膜信息,麥凱瑞竟成功找到了當(dāng)事人。
北京理工大學(xué)光電學(xué)院副教授何玉青說,那是30多年前的相機拍攝的照片,已經(jīng)能夠清楚分離出虹膜信息了,以現(xiàn)在攝影器材的能力,想要獲取某個人的虹膜信息并非難事。
無獨有偶,近日,一則“小學(xué)生發(fā)現(xiàn)刷臉取件漏洞”的消息引發(fā)網(wǎng)民熱議。有媒體報道,多位小學(xué)生通過打印取件人照片的方式,用照片“刷臉”就輕而易舉地打開快遞柜取件。
有媒體也對智能快遞柜“刷臉取件”做了實驗,結(jié)果發(fā)現(xiàn):用照片,一秒鐘時間識別成功,連續(xù)試了5次,其中4次成功打開,1次失敗是因為照片沒有拿穩(wěn)。而后,把正臉自拍照換成偷拍的照片進行測試,快遞柜又被打開了。
奇安信行業(yè)安全研究中心主任裴智勇說,僅就技術(shù)本身而言,生物識別具有防偽性能好、私密性強、隨身“攜帶”等優(yōu)點,是一種更安全的技術(shù)。但是所有的生物識別技術(shù)本質(zhì)上與數(shù)字密碼一樣,具有可復(fù)制的特性,因此生物密碼不適合單獨使用。目前生物識別和身份認(rèn)證商用產(chǎn)品方案不僅僅依賴于靜態(tài)的指紋信息、人臉圖像,還應(yīng)附加活體檢測技術(shù)、多因子認(rèn)證技術(shù)或基于風(fēng)控的隱式認(rèn)證技術(shù),來保證“我就是我”。
個人生物識別信息泄露后,還有可能被偽造甚至破解高級安全防護。奇安信集團副總裁何新飛說,人臉、指紋、聲紋的偽造,比如,微信驗證可以用聲紋驗證,如若通過錄音來獲取用戶聲音后,可以輕松打開微信。
為個人信息穿上“安全服”
個人信息泄露背后,是我國個人數(shù)據(jù)保護立法尚不完善。公安部第三研究所相關(guān)專家認(rèn)為,2017年個人信息保護雖已寫入《網(wǎng)絡(luò)安全法》,個人數(shù)據(jù)保護力度大大提升,但仍存在立法分散、可操作性不強等問題。專家建議,需盡快推進專門的個人信息保護法規(guī)的制定和出臺,為個人信息提供系統(tǒng)性、體系化的保護。
據(jù)《2019全國網(wǎng)民網(wǎng)絡(luò)安全感滿意度調(diào)查統(tǒng)計報告》顯示,37.4%網(wǎng)民認(rèn)為網(wǎng)絡(luò)個人信息泄露非常多和比較多,58.75%的公眾網(wǎng)民表示曾遇到個人信息被侵犯。
報告稱,網(wǎng)民要求加強法治建設(shè),個人信息保護和網(wǎng)絡(luò)平臺責(zé)任為亟待加強立法的內(nèi)容,其中82.61%的網(wǎng)民要求對個人信息保護立法,對網(wǎng)絡(luò)平臺責(zé)任的立法要求是73.36%。
來自國家相關(guān)監(jiān)管部門的專家說,要加強宣傳教育和個人信息保護,切實維護公民在網(wǎng)絡(luò)空間的合法權(quán)益。組織開展多種形式的宣傳、教育和培訓(xùn),提升全民網(wǎng)絡(luò)安全意識和防護技能。同時規(guī)范企業(yè)和機構(gòu)采集利用個人信息的行為,依法嚴(yán)厲打擊利用個人信息進行違法犯罪活動,切實保障個人信息安全。
此外,媒體、學(xué)?;?qū)I(yè)人士可以通過列舉大量實例進行講解,對日常生活中可能發(fā)生的信息泄露問題進行剖析,提醒大家做好個人信息保護。用戶也有必要逐步提高自身安全意識。就提升App個人信息保護水平而言,專家建議,用戶要選擇正規(guī)渠道下載App,并重視手機隱私權(quán)限管理,及時關(guān)閉不必要的App權(quán)限。
中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局的專家也表示,將從加強行業(yè)自律、推進標(biāo)準(zhǔn)先行、強化生態(tài)協(xié)同、加大宣傳力度等幾個方面,繼續(xù)推進相關(guān)工作的展開。
在此基礎(chǔ)上,專家表示,應(yīng)做到技術(shù)手段與行政監(jiān)管并重。“畢竟好的技術(shù)手段需要依托行政監(jiān)管落地,行政制度也需要技術(shù)手段來做支撐?!?/p>
專家表示,個人信息泄露問題需要立法者和執(zhí)法者共同尋求符合互聯(lián)網(wǎng)發(fā)展規(guī)律的破解之道,同時也需要平臺開發(fā)管理者規(guī)范行為、明示隱私條款,應(yīng)用商店也要認(rèn)真履行平臺審核責(zé)任,用戶個人提高安全意識,保護好個人信息。