12月15日,Meta(原Facebook)宣布針對數據抓取問題,擴張2011年以來的「賞金計劃」。
他鼓勵研究人員報告兩種情況:一種是尋找漏洞,提高惡意抓取行為的成本和難度;另一種是查找「木已成舟」的抓取數據集,Meta將與相關公司合作刪除數據集或尋求法律手段。
這裡的數字抓取,指的是使用自動化工具從用戶資料中大量收集個人訊息,例如電子郵件地址、電話號碼、個人資料照片。儘管這些訊息多數並不保密,但爬蟲可將其更廣泛地公開,集中發布在可搜索的數據庫,快速觸達數百萬用戶。
Meta的條款不允許任何人自動訪問和收集數據。Meta安全工程經理Dan Gurfinkle指出:「我們正在尋找漏洞,這些漏洞使攻擊者能夠繞過抓取限制,以比我們最初預期的更大規模訪問數據。」
今年4月,超過5億Facebook用戶的個人資訊被發布在一個黑客論壇,更恐怖的是,實際的數據抓取發生在幾年前,儘管Meta已經在2019年8月補上了相關漏洞,可是當數據開始在網上傳播,它就無能為力了,只能提醒用戶小心垃圾郵件和詐騙訊息。
今年10月,超過260萬Instagram和TikTok用戶數據遭洩露。安全人員追溯後發現,洩露數據的是數據分析型公司IGBlade,他們的服務器及數據未加保護,導致爬取得來的數據洩露。雖然這次Instagram的數據洩露並非由Meta直接導致,但也說明了控制爬取行為的必要性。
此外,個人訊息的洩露,威脅的不僅是Facebook一個帳戶,Facebook ID和許多帳戶相關聯,牽一髮而動全身,這些帳號也不難找到。
每個漏洞或數據集可獲得至少500美元的獎勵。如果發現的是數據集,Meta會將獎金捐贈給研究人員選擇的慈善機構,以免研究人員「做賊喊捉賊」,先抓取數據再領取賞金;如果發現的是漏洞,Meta將發放金錢獎勵。
對於數據庫來說,研究人員將因發現「未受保護或公開的公共數據庫,其中包含至少10萬條獨特的Facebook用戶記錄」被獎勵,用戶記錄指個人身份訊息或敏感數據,例如電子郵件、電話號碼、實際地址、宗教或政治聯繫。
今年以來,Meta已向來自超過46個國家/地區的研究人員提供了超過230萬美元的資助,總共收到了大約25000份報告,對800多份報告進行了獎勵。
Meta自稱這是第一個專門針對數據抓取的賞金計劃,但它在隱私安全方面堪稱劣跡斑斑,除了用50億美元罰款達成和解的劍橋分析醜聞,還有大大小小的數據洩露前科。
2018年10月,Facebook遭黑客攻擊,暴露了2900萬用戶的私人訊息,其中的1400萬用戶訊息非常詳細,在常規資料外還包括關係狀態、宗教信仰、教育情況、工作情況、關注的人、最近搜索和登錄設備等等。
「監守自盜」的Facebook,自身也愛拿數據做文章,它收集和利用大量用戶數據,銷售有針對性的數字廣告。非盈利新聞機構ProPublica稱其為「監視資本主義」(surveillance capitalism)。
愛范兒曾寫過,《金融時報》的一項調查發現,自從今年4月蘋果開始實行新的隱私設置,Facebook等四大社交平台損失近百億美元。2020年12月,Facebook曾用整版報紙廣告批評這項隱私設置,認為它將傷害依賴個性化廣告的小型企業。
事實上,當涉及個性化廣告時,用戶才是社交平台上真正的產品。
2019年3月,祖克伯公佈了一項新的「以隱私為中心的願景」,他將旗下應用程式WhatsApp 的「端到端加密」模式作為榜樣,「端到端加密」指只有發送方和接收方能讀取消息,其他人甚至WhatsApp官方都無法查看。
目前,Meta旗下所有產品,僅有WhatsApp自稱實現了端到端加密。就算是WhatsApp,也依然需要人工或AI審查被用戶舉報的消息是否違規,他們還審查未加密的材料,包括有關發件人及其帳戶的數據。
WhatsApp在2020年向相關部門報告了40萬個可能的兒童剝削圖像。WhatsApp負責人Will Cathcart在接受澳大利亞智庫採訪時表示:「我認為我們絕對可以透過端到端加密,為人們提供安全保障,並與執法部門合作解決犯罪問題。」
總而言之,不論出於商業用途還是安全需要,幾乎沒有平台像我們期望的那樣私密,或許盡可能減少個人訊息曝光才是根本。
本文經授權轉載自:愛范兒ifanr
責任編輯:吳佩臻、錢玉紘
