零、前言
隐私是一个很宽泛的概念,在互联网高速发展的今天人们才逐渐关注起来,很多互联网厂商喜欢收集用户数据,其中有一部分也就是大家所说的隐私。那么为什么要收集这些数据呢,我们从网络安全角度讨论一下。
一、攻击溯源
一个互联网公司,如果安全监控设备建设到位的的话,每天可以收到大量的攻击告警。其中大多数告警级别较低可以自动化的处理掉,另有一部分经过层层筛选确定为高危漏洞或高级别攻击后,会首先进行应急处理,最后一定要经过攻击溯源,定位真正的攻击者。这里主要是通过日志实现,业务日志会根据需求不同记录用户的访问数据,比如实名认证的信息、浏览器特征、提交的数据等。
这个日志保存并不是企业“私心”,而是《网络安全法》第二十一条(三)项规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。如果不按照规定保存,反而可能受到处罚。
二、黑灰产对抗
根据日志溯源实际上是安全跟着业务走,业务有什么数据,安全就根据什么数据分析,有时并不一定能达到目的。而黑灰产对抗则是安全主动收集信息应用于安全建设,通常就是风控部门。
举个例子,某APP发布新的购物活动,每个用户可领取一张100元优惠券,购买任意商品。原则上每个用户指的是生物上的每个人,但实际上黑产团伙可能伪造出一群人,然后领取优惠券再二次出售。现在用户一般就是使用手机号注册,那么怎么伪造出一群人呢,这里有几个关键的设备,比如猫池、手机群控系统。猫池设备可以插入多张手机卡,模拟多个手机用户;手机群控系统则是更高级的使用真正的手机组件的集群系统。
猫池
手机群控系统
对于后端APP而言,这些虚拟的账户就想真正的用户一样,但它们只是一群薅羊毛的吸血鬼。公司中的风控部门则会负责识别其中的真假用户,主要的判别依据就是用户的各种特征。比如手机型号、MAC地址、产品序列号、登陆地点等,甚至是手指滑动轨迹、APP浏览时间等,这些都是区分真假用户的重要特征。
因此,从安全的角度,一些用户数据的收集是为了更好地保护用户。
三、隐私保护建议
对于一个公司而言,对用户数据的珍视程度可能比用户本身还高。因为不明原因的用户数据(隐私)泄露,对企业品牌是巨大的损失,会造成直接的经济影响。
facebook信息泄露事件
所以在使用使用软件或网络服务时,我们都要尽可能地选择大企业或大公司,因为他们更有能力保护我们的数据。另外在隐私保护上有几个好的习惯可以分享一下:
1、密码策略
不同的APP和网站不要使用同一个密码之。这里可以分享一个小技巧,大家在记忆密码的时候不要记特定的字符串,而是记一个规律/算法/密钥,当你需要在登录某应用的时候,密码实时算出来的,而不是背出来的。
2、备用手机号
很多应用都是用手机号注册的,但很多不明觉厉的应用看着就不放心,一般这种情况可以用自己的小号来注册,很多运营商都有副号服务,比如移动的和多号,一个月5块钱随时换。
3、APP权限控制
很多APP默认并没有读取用户各种数据的权限,这是《网络安全法》的要求,称之为隐私合规。但是APP可以申请权限,也就是在使用的时候会弹框,比如申请摄像头、相册、麦克风等使用权限,允许的时候一定要遵循“最小权限原则”,比如仅在APP打开的时候允许。
