随身设备泄密：女孩带手环啪啪啪 被推测出详细体位

黑奇士ID:hqssima

业界首个安全自媒体，关注黑客、黑产和黑幕。

这个也能推算出来？是的，这就是大数据带来的负面作用。

看题目进来的同学，脑袋里是不是在想，“黑奇士要写啥少儿不宜的东西吗”？

今天，我会用一个手环数据外泄（用户主动披露）的案例开篇，来讲述如下结论：当你们所认为的不重要数据发生大量外泄，会出现怎样严重的后果。

Jess是一名女生，她在跟男友做羞羞事情的时候，戴上了自己的Fitbit手环。两人的激烈动作坚持了8分59秒，她随后把这段时间手环的数据截图传到了Reddit上，引起巨大轰动。

在她贴出的手环数据截图中，包括了心率、脂肪消耗比率等数据。在她的帖子之下，有吃瓜群众根据这些数据推算了她和男友的爱爱体位，结果惊人的一致！

这件事引起轰动，在Reddit上有180万阅读，和1760个评论，晋身网红大V。（这要是在知乎，还不得破十万赞）

（英文好的同学，可以查一下那些单词啥意思）

事情发生之后，尽管Jess骄傲的表示，“享受爱是女人的天生权力，你们无权对我指手画脚”，但估计这种事只能发生在海外，如果在国内发生的话，那就不太好玩了。

谁能想到记录健身数据的小手环，能带来这么巨大的危险呢。

事实上，虽然有专家对隐私数据外泄可能带来的危险早有预警（例如手机、手环），但在普通网民中，能深刻认识到其危险的很少。

2017年11月，健身软件Strava发布了一个全球热力图，它把用户的健身位置坐标，与全球地图对应起来：

结果，有细心网友对地图进行放大，居然找到了赫尔曼美军基地的坐标：

原来，在贫穷的阿富汗，只有富裕的美军士兵才会佩戴Fitbit手环，手环记录的运动轨迹，不但能描绘出美军基地的轮廓，甚至可以看到巡逻路线、后勤运输路线等敏感信息，细想起来真是让人不寒而栗。

大数据双刃剑：可用于反欺诈 也可用来侵犯隐私

在于业内同行交流时，黑奇士了解到，除了广为人知的cookie、鼠标轨迹等数据之外，越来越多的用户数据被用于精准广告、广告反欺诈等领域。

例如：有公司在做鼠标轨迹热力图，把所有鼠标在广告页的移动轨迹做成一张图，如果某些ip、设备、账户的点击轨迹与他人迥然不同，就打上标签“这是广告欺诈”，据说对虚假点击的过滤效果能达到95%以上。

类似的安卓App申请众多权限的情况存在已久，很多人认为这些权限申请是无意义的对隐私的掠夺。

其实在业内，很多隐私数据都会用于广告点击的数据纠正，以及对广告精准度的进一步校准。

例如：在进行业内交流的时候，有某精准广告公司表示，可以用陀螺仪的偏振数据，来揪出一些虚拟设备点击。陀螺仪是用于计步功能的手机原件，通常用于健身APP的数据提供。但如果某个设备缺乏日常运动轨迹（上下班、日常运动、爬楼），却被用户画像称之为“白领用户”，那这个用户的真实性无疑是有问题的。

当然，这些数据如果被用于正当用途，对于网络广告业的发展是有利的。但如果这些隐私数据被用于恶性用途，其危害性也不容低估（稍微举个例子，婚内出轨，点到为止，不敢多说）。

普通用户如何应对？专家支招

对于普通用户来讲，适当了解一些隐私相关知识，非常有必要。

黑奇士综合专家意见，提醒用户：

1、手机上（或运动设备）上与个人生物特征相关的信息十分隐私，除非你理解用户协议中的所有意义，否则当厂商要求提供时，应选择拒绝。这些信息包括：手机GPS坐标、个人身高体重、血压、心跳，眼睛的虹膜特征，指纹特征等。

2、特殊行业的用户，应该对某些种类的信息非常谨慎。就在昨天，我很高兴的看到，军队纪律条例中，对于网络的使用有了明确的规定，这是振奋人心的进步。

3、如果某些功能简单的App申请了太多的功能权限，应对其隐私保护保持警惕。例如，安卓平台上有的手电筒申请了几十项、上百项权限，这个app就很可疑。

4、对于各大厂商来讲，除非必要，否则不要收集太多用户信息。现在BAT级的巨头，多数公司都倾向于收集隐私数据，越全越好。但有句话叫做，“权力越大、责任越大”，当你收集了太多数据的时候，一旦被滥用，就会给品牌带来巨大的危害。前不久FaceBook的数据泄露，就是很好的例子。