• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

为了让数据更难抓,Meta 计划招募「赏金猎人」

公司

2021-12-16 21:05

12 月 15 日,Meta(原 Facebook)宣布针对数据抓取问题,扩张 2011 年以来的「赏金计划」

它鼓励研究人员报告两种情况,一种是寻找漏洞,提高恶意抓取行为的成本和难度;另一种是查找「木已成舟」的抓取数据集,Meta 将与相关公司合作删除数据集或寻求法律手段。

这里的数字抓取,指的是使用自动化工具从用户资料中大量收集个人信息,例如电子邮件地址、电话号码、个人资料照片。尽管这些信息多数并不保密,但爬虫可将其更广泛地公开,集中发布在可搜索的数据库,快速触达数百万用户。

▲ 图片来自:Meta

Meta 的条款不允许任何人自动访问和收集数据。Meta 安全工程经理 Dan Gurfinkle 指出:「我们正在寻找漏洞,这些漏洞使攻击者能够绕过抓取限制,以比我们最初预期的更大规模访问数据。」

今年 4 月,超过 5 亿 Facebook 用户的个人信息被发布在一个黑客论坛,更恐怖的是,实际的数据抓取发生在几年前,尽管 Meta 已经在 2019 年 8 月补上了相关漏洞,可是当数据开始在网上传播,它就无能为力了,只能提醒用户小心垃圾邮件和诈骗信息。

▲ 图片来自:engadget

今年 10 月,超过 260 万 Instagram 和 TikTok 用户数据遭泄露。安全人员追溯后发现,泄露数据的是数据分析型公司 IGBlade,他们的服务器及数据未加保护,导致爬取得来的数据泄露。虽然这次 Instagram 的数据泄露并非由 Meta 直接导致,但也说明了控制爬取行为的必要性。

此外,个人信息的泄露,威胁的不仅是 Facebook 一个账户,Facebook ID 和许多帐户相关联,牵一发而动全身,这些账号也不难找到。

▲ 图片来自:Unsplash

每个漏洞或数据集可获得至少 500 美元的奖励。如果发现的是数据集,Meta 会将奖金捐赠给研究人员选择的慈善机构,以免研究人员「贼喊捉贼」,先抓取数据再领取赏金;如果发现的是漏洞,Meta 将发放金钱奖励。

对于数据库来说,研究人员将因发现「未受保护或公开的公共数据库,其中包含至少 10 万条独特的 Facebook 用户记录」被奖励,用户记录指个人身份信息或敏感数据,例如电子邮件、电话号码、实际地址、宗教或政治联系。

今年以来,Meta 已向来自超过 46 个国家/地区的研究人员提供了超过 230 万美元的资助,总共收到了大约 25000 份报告,对 800 多份报告进行了奖励。

▲ 扎克伯格在国会作证.

Meta 自称这是第一个专门针对数据抓取的赏金计划,但它在隐私安全方面堪称劣迹斑斑,除了用 50 亿美元罚款达成和解的剑桥分析丑闻,还有大大小小的数据泄露前科。

2018 年 10 月,Facebook 遭黑客攻击,暴露了 2900 万用户的私人信息,其中的 1400 万用户信息非常详细,在常规资料外还包括关系状态、宗教信仰、教育情况、工作情况、关注的人、最近搜索和登录设备等等。

▲ 图片来自:Unsplash

「监守自盗」的 Facebook,自身也爱拿数据做文章,它收集和利用大量用户数据,销售有针对性的数字广告。非盈利新闻机构 ProPublica 称其为「监视资本主义」(surveillance capitalism)。

爱范儿曾写过,《金融时报》的一项调查发现,自从今年 4 月苹果开始实行新的隐私设置,Facebook 等四大社交平台损失近百亿美元。2020 年 12 月,Facebook 曾用整版报纸广告批评这项隐私设置,认为它将伤害依赖个性化广告的小型企业。

事实上,当涉及个性化广告时,用户才是社交平台上真正的产品。

2019 年 3 月,扎克伯格公布了一项新的「以隐私为中心的愿景」,他将旗下消息应用程序 WhatsApp 的「端到端加密」模式作为榜样,「端到端加密」指只有发送方和接收方能读取消息,其他人甚至 WhatsApp 官方都无法查看。

目前,Meta 旗下所有产品,有且仅有 WhatsApp 自称实现了端到端加密。就算是 WhatsApp,也依然需要人工或 AI 审查被用户举报的消息是否违规,他们还审查未加密的材料,包括有关发件人及其帐户的数据。

▲ 图片来自:ProPublica

WhatsApp 在 2020 年向相关部门报告了 40 万个可能的儿童剥削图像。WhatsApp 负责人 Will Cathcart 在接受一个澳大利亚智库采访时表示:「我认为我们绝对可以通过端到端加密为人们提供安全保障,并与执法部门合作解决犯罪问题。」

总而言之,不论出于商业用途还是安全需要,几乎没有平台像我们期望的那样私密,或许尽可能减少个人信息曝光才是根本。

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中