為了讓個資更難取得,Meta 計劃招募「賞金獵人」

作者 | 發布日期 2021 年 12 月 21 日 8:15 | 分類 Facebook , 網路 , 資訊安全 Telegram share ! follow us in feedly


Meta(原 Facebook)15 日宣布針對數據取得問題,擴張 2011 年以來「賞金計畫」。鼓勵研究人員報告兩種情況,一是尋找漏洞,提高惡意行為成本和難度;另一種是查找「木已成舟」的數據外洩,Meta 將與相關公司合作刪除或尋求法律手段。

數位抓取指的是使用自動化工具從用戶資料大量收集個資,如信箱、電話號碼、個人資料照片。儘管這些資訊多數不保密,但爬蟲可廣泛公開,集中傳至可搜尋的資料庫,快速觸及數百萬使用者。

Meta 條款不允許任何人自動存取和收集數據。Meta 安全工程經理 Dan Gurfinkle 指出:「我們正在尋找漏洞,漏洞使攻擊者繞過限制,比我們預期更大量存取數據。」

今年 4 月,超過 5 億 Facebook 使用者個資出現在某駭客論壇,更恐怖的是,實際數據抓取幾年前就開始,儘管 Meta 已在 2019 年 8 月補好漏洞,可是當數據開始傳播就無能為力了,只能提醒使用者小心垃圾信件和詐騙。

10 月超過 260 萬 Instagram 和 TikTok 用戶數據遭洩露。安全人員追溯發現,洩露數據的是數據分析公司 IGBlade,伺服器及數據未加保護,導致數據外洩。 雖然這次 Instagram 數據洩露並非 Meta 導致,但也說明控制爬取行為的必要性。此外個資外洩威脅不僅 Facebook 帳戶,Facebook ID 和許多帳戶聯動,牽一髮動全身,其他帳號就不難找到。

每個漏洞或數據集可獲得至少 500 美元獎勵,如果發現數據集,Meta 會將獎金捐贈給研究人員選擇的慈善機構,以免研究人員「做賊的喊抓賊」,先抓取數據再領賞金;如果發現漏洞,Meta 將發放獎金。

對資料庫來說,研究人員將因發現「未受保護或公開的公共資料庫,含至少 10 萬條獨特 Facebook 用戶紀錄」給獎金,用戶紀錄指個人身分資訊或敏感數據,如信箱、電話號碼、實際位址、宗教或政治資料。

今年 Meta 已向超過 46 國研究人員提供超過 230 萬美元資助,共約 25,000 份報告,800 多份報告收到獎金。Meta 自稱這是第一個專門針對數據抓取的賞金計畫,但隱私安全堪稱劣跡斑斑,除了 50 億美元罰款和解的劍橋分析醜聞,還有大大小小數據外洩前科。

2018 年 10 月 Facebook 遭駭客攻擊,曝光 2,900 萬使用者的私人資訊,1,400 萬使用者資訊非常詳細,通常資料外還有關係狀態、宗教信仰、教育情況、工作情況、關注的人、最近搜尋和登錄裝置等。

「監守自盜」的 Facebook 也愛拿數據做文章,收集利用大量用戶數據,銷售有針對性的數位廣告。非營利新聞機構 ProPublica 稱為「監視資本主義」(surveillance capitalism)。

《金融時報》調查發現,從今年 4 月蘋果開始執行新隱私設定,Facebook 等四大社交平台損失近百億美元。2020 年 12 月,Facebook 曾用整版報紙廣告批評新隱私設定,認為傷害依賴個人化廣告的小型企業。

當涉及個人化廣告時,使用者才是社群平台的產品。

2019 年 3 月,祖克柏公布新「以隱私為中心的願景」,將旗下 WhatsApp「點到點加密」模式當作榜樣。「點到點加密」指只有發送方和接收方能讀取,其他人甚至 WhatsApp 官方都無法查看。目前 Meta 旗下所有產品,僅 WhatsApp 自稱點到點加密,但就算 WhatsApp,也需要人工或 AI 審查用戶舉報是否違規,還審查未加密材料,包括寄件者及帳戶數據。

WhatsApp 在 2020 年向相關部門報告 40 萬張可能的兒童剝削圖像。WhatsApp 負責人 Will Cathcart 接受澳洲智庫採訪時表示:「我認為絕對可透過點到點加密為人們提供安全保障,並與執法部門合作解決犯罪問題。」

總而言之,不論出於商業用途還是安全需要,幾乎沒有平台像每人期望的私密,或許盡可能減少個資曝光才是根本。

(本文由 愛范兒 授權轉載;首圖來源:Meta