“零隐私”时代,你能做些什么?

privacy-key.jpg

这是一篇科普文。

在2018年3月26日的中国发展高层论坛上,百度的CEO李彦宏说过一句话:

“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。但我们要遵循一定的原则,如果数据会使用者收益,他也愿意,我们就会去做,这是我们的基本原则,这就是什么该做的,什么不该做。”

此言一出,很多人发出疑问:

  • 用户真的“愿意”吗?真的不在乎自己隐私吗?
  • 用户除了点“确认”,还有其他选择吗?

然而,本文想探讨的是:隐私问题最根本的一点问题,是信息的极度不对称。如果一个普通用户不熟悉相关学科知识,很难弄明白:

  • 自己被采集了哪些隐私信息?
  • 这些信息是如何被采集的、流向了哪里?
  • 这些信息被用来做什么了?
  • 如何防止隐私信息被采集?

信息不对称

从李彦宏这句话所引发的社会反响来看,大多数用户是在乎自己的隐私的。但问题的关键在于,互联网隐私是看不见的,正因为看不见,所以造成一种信息不对称,往往得不到人们重视,认为自己隐私泄露的概率很低。很多人认为,自己作为一个普通老百姓,没有什么被窥探的价值。然而,事实果真是如此吗?这里讲个近年的经典案例:

Google:一天追踪你340次

2018年8月,美国范德堡大学计算机科学教授 Douglas C. Schmidt 出具了一份长达53页的报告《Google Data Collection》,这篇报告揭露了谷歌对用户没有底线的数据收集行为。

为了写这篇报告,Douglas 新建了一个 Google 用户,并给她起名为 Jane。在一天内,尽管 Jane 的安卓设备未被使用,处于休眠状态,仍然被谷歌被动追踪了340次地理位置,占所有与谷歌通讯数据样本数量的35%。实验进一步表明,在使用安卓设备于谷歌服务时,三分之二的信息由谷歌通过被动方式,并在24小时内,就准确地锁定了用户兴趣。

google-activity.jpg

这些收集分析得来的用户数据都将被谷歌的核心广告营销业务 Google Ads、Google Analytics 和 Google Ad Manager 所利用,进而提供给商家,向用户精准地投放广告。

2019年1月21日,由于谷歌的用户协议违反欧盟于2018年推出的《一般数据保护条例》,即GDPR,法国政府对谷歌母公司罚款 5000 万欧元。即使这是GDPR推出以来开具的最高罚金,仍然只占谷歌2018年总盈利的0.0045%。

究竟是欧盟把谷歌当做“提款机”,还是谷歌“作恶”太多?看完这篇报告,你或许会有不同的看法。

认知偏差

隐私问题的第二个关键问题在于普通用户对隐私与安全问题的认知偏差。在网上搜索“如何保护互联网隐私”,各种琳琅满目的教程一应俱全:使用密码管理器生成强密码、定期清理cookies、避免连接公共无线网络…… 然而,为何用户往往对易于操作的、且让自己大有益处的信息视而不见呢?

很大程度上,人们普遍对自己的网络安全抱有“幸存者偏差”。其谬论形式为:幸存过程B的个体A有特性C,因此任何个体幸存过程B需要有特性C。反之亦然:隔壁小王的QQ被盗,是因为他上了色情网站,而我从来不上色情网站,所以我的QQ不会被盗——不做亏心事,不怕鬼敲门!

果真如此吗?这里举一些常见的例子。

脱裤

“脱裤”这个名词大家可能听说过:黑客将攻击所得的数据库拖了,业内便形象地称为“脱裤”。例如铁道部12306订票系统、网易邮箱、如家酒店、Linkedin等等,都曾遭遇过“脱裤”事件,泄露数以千万计的用户隐私数据。然而,在大众视野里的脱裤事件,可能不到其中的1%。通常,在事件曝光之前,这些用户数据就已经在暗网中交易数次。而此时的用户可能仍然毫无感知,全然不知自己的安全早已沦陷。

某开房社工库截图:

kaifang.png

撞库

与之有关的另一个名词称为“撞库”,即批量使用网站A所泄露的用户账号与密码,尝试登陆网站B。这时,如果用户在网站A和网站B上使用了相同的密码,“撞库”就算是成功了。

公共WIFI抓包

早在2015年,央视3·15晚会上就演示了公共WIFI存在的风险。例如,黑客可以建立伪造WIFI热点、在路由器上设置DNS劫持、抓包监听手机流量获取明文密码、通过暴露端口进行攻击等各种方式,获取你的信息。

我能做些什么?

说了这么多,我们该如何保护自己的网络隐私呢?

使用习惯

  • 使用密码管理器(如LastPass),将所有网站账号的密码更改为随机生成的强密码
  • 使用浏览器隐私保护插件(如uBlock Origin),屏蔽网站的追踪脚本
  • 尽量不连接公共WIFI,有连接需求时挂上VPN
  • 有二步验证的网站(如Google)就开通二步验证
  • 登录重要网站时,检查网站的域名地址是否正确
  • 如果网站地址以 http 开头而不是 https 开头,尽量不输入重要信息
  • 尽量避免使用国产软件(如360、百度系列等)
  • 避免使用盗版软件,避免软件后门
  • 无线路由器采用安全的加密方式(WPA2)并设置强密码
  • 不要使用免费的VPN、代理软件、浏览器代理插件(如免费翻墙等)
  • ...

浏览器隐私保护插件

uBlock Origin:是一款开源、跨平台的内容过滤浏览器扩展,包含广告屏蔽功能,可屏蔽绝大多数网站的追踪器,试用于Chrome、Firefox、Microsoft Edge、Safari浏览器。

HTTPS Everywhere:该扩展将自动将每个网站请求从全开HTTP重新配置为加密HTTPS,减少网页信息泄露的可能性。

密码管理器

1Password:是知名度最高的密码管理器。在你注册网站时可以帮你生成随机的高强度密码,并储存在密码管理器中,有效防止撞库。该软件可在你的电脑、手机、平板等多个设备间跨平台使用。仅首月免费。

LastPass:与 1Password 功能相似,不同的是,LastPass 提供免费版。个人觉得 LastPass 的免费版已经够用了。

lastpass.png

VPN

ProtonVPN:ProtonVPN 是由瑞士公司 ProtonVPN AG 运营的虚拟专用网络(VPN)服务提供商。ProtonVPN 在“完全隔离的基础设施”上运行。目前 ProtonVPN 提供免费账户。付费账户有中转节点功能(类似Tor)。

OutlineVPN:注意这不是一项VPN服务,而是一个免费的开源工具,可供用户在自己的云服务器上部署Shadowsocks服务器。该软件套件还包括用于多个平台的客户端软件。 Outline由Jigsaw开发,Jigsaw是由Google创建的技术孵化器。

TOR Browser 洋葱路由浏览器:Tor是一个免费的开源软件,用于高度匿名的通信活动。Tor通过一个免费的全球志愿者覆盖网络中转访问流量,该网络由超过七千个中继组成,以隐藏用户在进行网络监控或流量分析时的位置和使用情况。(一些地区禁止使用,包括中国大陆。)

vpn.jpg

加密邮件

ProtonMail:一个端到端的加密电子邮件服务,于2014年在CERN研究机构成立。ProtonMail在瑞士注册成立,所有的服务器都在瑞士。这意味着所有用户数据都受到严格的瑞士隐私法律的保护。

Tutanota:与前者类似,也是一个端到端的加密电子邮件服务。

加密即时通讯

Signal:一款端到端的加密聊天软件,适用于Android和iOS的加密通信应用程序。桌面版也可用于Linux,Windows和macOS。它可以加密发送一对一和群组消息,其中包括文件,语音消息,图像和视频,以及进行一对一的语音和视频呼叫。

Telegram:知名度最高的、最易用的云端的加密聊天软件。需要设置后才可以使用端到端加密,默认不开启端到端加密。

signal.jpg

发表新评论