这是一个众人裸奔的时代,你害怕吗!!!

生活在科技如此发达的今天,互联网上我们已经没有任何秘密可言。说这是一个「众人裸奔」的时代,其实一点也不过分。不错,皇帝的新衣,说的就是你,重点不在于你是皇帝,而在于「新衣」。不要以为别人说你没穿衣服,你不信,非得像我这么「纯真的小孩」说你在裸奔,你才相信。

Facebook 事件刚刚落下帷幕,Twitter 又搅和进来了。大数据的兴起,云服务的枝繁叶茂,云端数据的计算,让如今这个时代网络安全显的更为重要。

一、

昨天,Twitter 在其官方博客上表示,他们在应用内部发现了新的密码漏洞,“出于谨慎考虑”,建议 3.3 亿月活跃用户都能够修改下密码。

昨天早上,我一打开 Twitter ,推特就给我弹框提示,建议我修改密码。然后就看到了上面的新闻。Twitter 强调,此漏洞非人为导致、也不存在违反滥用的情况。其首席技术官 Parag Agrawal 表示,该漏洞是在散列处理(将密码转换成随机字符串的过程)中发现的,导致密码被以普通文本的形式存储在了 Twitter 内部日志中。

我去,我们的账号密码竟然被明文写在了内部的 Log 日志当中。我们作为程序员都知道,密码的存储一向都是以加密的形式存储在数据库中的,正常情况下,在用户登录填写密码的那一刻,在发送请求的时候就应该把密码加密了。而 Twitter 竟然在密码转换的时候把明文密码存储在日志中,犯了如此低级的错误。

当然,这次密码裸奔的原因不在于用户,而在于科技公司的失误导致。

二、

前天,我在浏览知乎的时候,看到了一个话题:《个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?》,有一个知乎网友的回答,看完之后,让我感觉,我们程序员(作为普通用户)自己也在犯一个很严重的错误。

这个知乎网友应该是一个程序员,他讲了一个自己发现的漏洞。

很多程序员都喜欢在 GitHub 上开源自己的代码,分享自己的成果。可是在分享代码的同时就把自己的密码给分享出来了。举个例子:比如你开源了一个客户端代码,里面有登录功能,可能为了模拟登录,你自己在代码中写了一个死密码,由于个人习惯原因,你可能写的测试账号的密码就是你经常用的账户密码。从此,你也开始裸奔了。

这是一个数据库连接的例子,用户用了自己真实的代码。

而知乎这个网友竟然用 Python 去爬虫 GitHub 上的开源代码,用正则表达式去匹配可能出现密码的地方,收集密码,果不其然,收到了很多密码,而 GitHub 上的账号名字是可见的,密码已有,账号也可见,所以,很多程序员也开始在 GitHub 上裸奔了。

当然,这次密码的裸奔是作为用户的我们自己造成的。作为程序员和实现技术的我们,都这么不在意密码,何况很多不懂技术的普通用户?

以上两个例子讲的是作为用户和科技公司在密码上不注意导致的裸奔,是网络安全中最常见的例子。我们作为用户防治裸奔最好的方法就是每个平台的账号中的密码最好不要设置一样的,一旦一个平台出现漏洞和密码泄露,不至于牵扯到更大的范围,造成更大的影响。如果你感觉密码太多不容易,那就用个比较安全的密码管理软件,把密码管理起来,我就不推荐了,省的万一推荐的管理密码软件不安全,岂不又让你们光着屁股满世界乱跑(开玩笑)?

三、

FaceBook 史上最大数据外泄事件更是让你对网络安全感到了担心。剑桥分析在未经用户同意的情况下,利用在 Facebook 上获得的 5000 万用户的个人资料数据,来创建档案,并在 2016 总统大选期间针对这些人进行定向宣传。有分析指特朗普在 2016 年的美国大选中胜出或与此次泄密门有着诸多联系,而且泄密门背后又有通俄门的阴影。

这就是典型的大数据分析,根据收集的用户信息,分析用户行为,对持反对态度的人,发送一些定向宣传,改变他们的看法,从而影响大选结果。

当然,这次用户的裸奔是由于 与 FaceBook 合作的第三方机构不靠谱,不正当使用数据造成的。但是你以为像 FaceBook 这样大的超级公司没有在分析你们的每个行为吗?大数据行为分析,用好了好,用不好,自己就去想吧!

四、

比如前一段时间,大约是过年期间,有网友在微博爆料,内容大概如下几条:

昨天,就是昨天晚上,我在京东 App 上搜索了“睡眠口罩”的商品后,就关闭了京东客户端,在打开今日头条的时候,第一条口罩就是我搜索的“睡眠口罩”的内容。是不是感觉很神奇?App 之间竟然还有「裙带」关系,他们之间难道还有合作?数据还有互通吗?还是头条和输入法有合作,进行文字的分析?

不管上述操作是如何实现的,我相信大家都多多少少会遇到上面的那种例子和情况。

当然,上述的大数据行为分析肯定是厂商或者科技公司自己做的,让我们如此方便的裸奔,不知道是该喜还是该忧?这种大数据分析,针对性的推送确实可能在某些方便非常的方便用户,但是也有点可怕。

就像如果是我在今日头条搜索了某个关键字,你就给我老推送这个关键字相关的信息,没问题,美其名曰「算法推荐」。但是这种跨应用和厂商之间的数据互通就有点侵犯隐私了。

五、总结

说大家每天都在裸奔,是不是一点也不过分?各种皇帝,我们简直就是穿着透明的衣服在掩耳盗铃的感觉啊!

这个时代我们确实毫无隐私可言,就差把马路上的摄像头按到我们的卧室里了。可是各种科技设备和软件,就像是隐藏在屋里的摄像头,就差给你拍裸体视频了。

如何防范这种大数据分析带来的侵犯隐私?这跟密码泄露不太一样的是,这种大数据分析你是避免不了的,除非你什么都不用。我们只能祈求科技公司把这些大数据分析用到正确的地方,而不作恶(Google 的座右铭)。

原文发布于微信公众号 - 非著名程序员(non-famous-coder)

原文发表时间:2018-05-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

【盘点】无人机六种动力驱动及常见接口

无人机的出现为人们的生活提供了许多便利,现已被广泛应用到社会的各行各业。但其过短的续航时间一直是研究人员头疼的问题,目前无人机主要依靠6种动力完成复杂的工作。 ...

35650
来自专栏安恒信息

手机隐私保护不再难——密信助力移动信息安全通信加密

7月,央视曝光了苹果iPhone收集用户位置信息,泄漏用户隐私。在国人开始更换国产手机来规避信息泄露风险的时候,小米也陷入“个人隐私泄露”泥淖。8月,...

426100
来自专栏ThoughtWorks

技术雷达的安全实践|洞见

安全事故 2014年乌云网发布了某旅行网站(以下简称X网站)的安全支付漏洞,X网站因长时间打开支付服务调试接口,导致用户信用卡信息面临泄露风险;在针对其进行进一...

36780
来自专栏小石不识月

自主权身份简介

2017 年 5 月,印度互联网与社会研究中心(Centre for Internet and Society)发布了一份报告,其中详细说明了印度国家身份数据库...

405110
来自专栏NComputing

桌面虚拟化终端方案提高企业办公软件源代码的安全性

软件开发型的公司,主要的资源就是开发工程师的源代码,而如何提高设计的源代码,而如何提高设计的源代码的安全是很多研发公司考虑的重点问题之一。而现在我...

26050
来自专栏网络安全防护

最常见的十种网络攻击行为,你能防住几个?

随着互联网的快速发展,给我们的生活带来了很多便利,5G网络的即将来临,将带我们进入一个万物互联的时代。然而在网络快速发展的同时,网络安全威胁也越来越严重,网络攻...

1.1K00
来自专栏云鼎实验室的专栏

【黑客浅析】像黑客一样思考

用句带有点哲学的话,成为黑客,只有成为黑客,像黑客一样思考,你才能知道从哪去防御黑客;很俗的一句话,但很实在!

1.8K100
来自专栏云基础安全

Web应用安全:腾讯云网站管家WAF

腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营...

85500
来自专栏顶级程序员

新华社点名批评!有些 App 太贪婪了。开发者如何应对?

源 / 新华网 文 / 颜之宏/汪奥娜/周蕊/李黔渝 一款普通的手机浏览器,不开启定位权限就无法正常使用;一个普通的手机输入法,拒绝它收集你的信用卡号...

40850
来自专栏FreeBuf

从恶意流量看2018十大互联网安全趋势

「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「...

23620

扫码关注云+社区

领取腾讯云代金券