大数据时代的隐私保护难题:Z加油站数万用户资料被摊在阳光下
2018年7月19日 17:02在大数据时代,保护好用户的隐私成为了一个非常严重的课题,甚至有时会左右一家公司的生死。
新西兰先驱报中文网 记者叶韬 报道 毫无疑问,如今是大数据时代了。数据的价值是难以估量的,经过整合的数据可以用来引导用户的行为,改变用户的选择,甚至可以决定美国总统的人选!
数据如此有价值,对数据,尤其是用户隐私的保护就更加重要。在现代社会,用户隐私被泄露是一个非常严重的问题,甚至关乎一个企业的存亡。正因为如此,当Facebook 5000万用户资料被非法使用时,扎克伯格才会如临大敌亲自去美国国会和欧盟议会作证,而且“卑躬屈膝”般道歉。他非常清楚,这一事件如果处理不好的话,舆论和监管风暴甚至会让这个市值超过6000亿美元的巨无霸公司毁于一旦。
最近一段时间,新西兰Z能源公司的用户资料泄露事件引发了广泛热议。有媒体报道,Z加油站用户的个人资料“非常脆弱”,很容易被其他人看到。最早曝光这一事件的Stuff网站周四推出深度报道,详细揭示了Z能源公司的危机是如何爆发的。
四个月都没修复的技术问题
Z能源公司的前身是新西兰Shell(壳牌)石油,改组后成为新西兰上市公司,新西兰养老基金(New Zealand Superannuation Fund)曾是Z能源公司的最大股东。在新西兰,打着本地企业牌号的Z加油站受到很多有“爱国情怀”的Kiwi追捧,市场占有率超过三分之一。Z加油卡的用户超过45000个,包括企业和个人。他们可以在网上登录自己的账户,可以在线充值,也可以查询附近的Z加油站,企业用户可以追踪自己的司机在哪里加了油,也可以统计用油量多少。有些公司甚至将账户关联到财务软件,加油费用可以直接体现在财务支出上。
然而今年1月11日,Z加油卡用户试图登录自己账户时忽然看到网站自动发送的信息:
“因为技术问题,我们不得不暂时关闭网站。我们理解这可能会对你造成一定影响,对此深感歉意。我们一直致力于提供最可靠的网上使用体验,因此相信目前最好的处理方式就是暂时关闭网站,直到这一技术问题得到修复!”
然而,这一技术问题足足修了四个月,直到今年5月网站才能重新登录。而且在媒体揭露之前,Z能源公司从头到尾都没有告诉用户,让他们修了四个月的技术问题到底是什么!
不仅如此,修复这个词其实是不太严谨的。事实上,Z能源公司最后用了一个全新的登录界面。原本那个有技术问题的登录界面被完完全全放弃了!
那么,这个四个月都没修复的技术问题到底是什么呢?
无需登录浏览所有用户资料
根据Stuff网站报道,一位Z加油卡用户去年11月就发现了这个技术问题。
当时,不知什么原因,这位用户没有点击网页上的登录键,而是在浏览器地址栏里直接输入了账户号码。正如很多必然结果都由偶然因素引发那样,这位用户输错了号码!没想到,点击回车键后另一位用户的资料赫然出现在面前,包括姓名、车牌号、车型、历次加油时间、加油地点、加了多少油,所有资料一目了然!
这位用户不敢相信自己的眼睛,他(她)输入另一个账户号码,发现对应的用户资料同样可以看到。他(她)接着再试,还是一样——这意味着任何人,不需要任何登录行为,不需要知道任何密码,只要随意在地址栏里输入有效的账户号码,就可以看到对应账户的全部资料!
这个问题有多严重呢?可以说非常、非常、非常严重!
这么想吧,一个陌生人,只要他(她)愿意,就可以知道你的名字,你开什么车,你的车牌号是什么,你最近在哪里加油,甚至可以推导出你去过什么地方。如果你面对的是一个有怪癖的跟踪狂,他(她)可以在你经常去的加油站等候,找机会和你接触。
而对于商业客户来说,这也会把公司车辆的使用情况,加油的频率完全展示在竞争对手面前。对方可以推断出你大致的生意状况,公司车辆经常出没的区域等,这些商业机密对于物流企业来说尤为重要!
显然,这是一个网络设计瑕疵导致的技术漏洞。任何人,不需要什么黑客技术,都可以轻易接触到Z加油卡用户的个人信息!而新西兰全国Z加油卡用户超过45000名。
什么样的稀烂设计会导致这样的低级错误?根据Stuff的调查,Z能源公司官方网站的代码显示,网站制作时间是1999年。
是的,你没看错!套用一句网络流行语,“这都8012年了”,还在用上世纪制作的网站?
更可怕的是,这意味着漏洞有可能已经存在19年了。在这19年里,会不会还有其他人早已“偶然”发现了这样的漏洞?
揣着明白装糊涂的Z
面对如此严重的隐私泄密问题,Z能源公司是如何应对的呢?
还真是像教科书一般——瞒!装糊涂!既然没有曝光,能瞒就瞒!
当然,这绝不是因为Z能源公司认为这无关紧要。恰恰相反,他们深知问题非常严重!
事件彻底曝光后,Z能源公司CEO Mike Bennetts不得不面对记者诘问。他透露了一个重要信息,事发后Z能源公司不仅请了外部专家,甚至设立“War Room”(作战室)应对。可见对于Z来说这不啻于一场战争!
Mike Bennetts证实了Stuff网站信息源此前的一系列说法,甚至给出了具体日期:
2017年11月29日,Z能源公司接到用户来电,第一次得到网站存在严重隐患的警告;
2017年12月6日,Z能源公司的技术人员为网站打了第一个补丁(临时解决问题的软件)。据Stuff网站的信息,这个补丁实际起到的作用就是:你必须先登录自己的账户,才能在地址栏输入其他用户的账户,从而看到别人的隐私。也就是说,用户隐私从向全新西兰开放,升级为只向45000名Z加油卡用户开放——这也算一种进步吧;
2017年12月15日,当意识到补丁根本解决不了问题时,Z能源公司决定关闭网站;
2018年1月11日,Z加油卡用户无法登录账户。
2018年4月之前,Z能源公司一直告知用户,该公司正在设计新的登录界面,给予用户更好的使用体验!只字未提问题的实质是什么。
2018年4月,Z加油卡用户终于可以通过新登录界面登录账户。
就这样,从最初知道网站存在隐患的2017年11月,到今年6月Stuff第一次报道此事,Z能源公司足足将事件隐瞒了7个月之久!
而且有理由相信,如果没有媒体报道的话,他们打算这样一直瞒下去。
对于潜在的泄露隐患,新西兰目前的法律(Privacy Act 1993,隐私法)并没有“强制报告”要求;而对已经发生的泄露,正在修订中的隐私法草案(Privacy Bill)加上了“满足一定条件下必须向隐私委员会报告”的条款。因此,对于揣着明白装糊涂的Z能源公司,目前只能道德谴责。
Z能源公司有自己的理由。CEO Mike Bennetts表示,公司技术人员和外聘专家认为,没有事实上的隐私泄露发生,这只是一个技术漏洞,已经得到修复。然而Stuff的信息源却指出,连Z能源公司自己的账户都被外人看过了,对方如果心存歹意的话,随便摁一个键就能造成巨大的混乱。此外,有证据显示至少一个私人账户也被打开过!
谁的话更可信?很难说!
但不要忘了,Stuff信息源此前围绕这一事件的所有曝光,最终证实都是正确的!
注:本文为新西兰先驱报中文网原创作品,未经书面许可严禁转载
Chinesenzherald.co.nz All Rights Reserved 版权所有
(责编:Frank)
来源 - 新西兰先驱报中文网