2018，我们终于意识到“在线无隐私”

数旗智酷数字政府实验室丨作者

一年内会发生很多事情。2018年，比特币泡沫再次破灭，中美之间的紧张局势演变成贸易战，科技巨头巩固了他们作为世界上最有价值公司的地位（目前市场排名前四的是微软、苹果、亚马逊和Alphabet）。

在这一切的背后，在某种程度上，是我们的私人数据。

今年，人们开始意识到，他们的数据在工业规模上被黑客、剥削和操纵，无论是罪犯还是推动现代经济的科技公司。当然，政府也会这么做。就在本周，有消息称，与（此处省略7个字）有联系的黑客闯入了惠普企业和IBM的网络，并利用这种访问渗透到客户的系统中。

问题是：黑客攻击是不可避免的，所以你应该做好准备，如果你的数据被窃取的话。尽管有人说这种宿命论的叙述有些过火，但到目前为止，盗窃的流行并没有任何停止的迹象。

今年披露了历史上最大的两个漏洞：共有6.5亿账户在万豪酒店业务和UnderArmor服装公司遭到攻击。今年还剩几天，2018年公布的黑客攻击仍有可能超过去年“泄露”的23亿份证书。

有什么新鲜事吗？

这并不是说我们的数字隐私以前没有被侵犯过，但我们开始意识到这有多么糟糕。“2018年是人们意识到我们不能再依靠公司来保护我们的数据的一年，”在线调查公司“记录未来”的工作人员安德烈·巴利舍维奇说。

你的个人数据就在外面，某个地方，在黑暗的网络上出售。Armor Research的数据显示，一个美国人的个人数据，从信用记录、犯罪记录到银行账号，只要40美元到200美元，就可以在互联网的非索引部分购买。花100美元，你可以从一家美国航空公司购买50000英里的失窃航线；花200美元左右，你可以购买一张余额为4000美元的克隆ATM卡。

要支付它，你需要数字代币。据巴丽舍维奇称，加密泡沫可能已经破灭，但它在黑暗的网络中依然活跃。比特币是这些交易中最流行的交换方式，但黑客们接受几十种不同的加密货币来交换被盗的信息，他说。这些数字集市中的一些可以被任何能够找到它们的人访问，而另一些则需要邀请。

Area1Security的首席执行官OrenFalkowitz说，我们不会注定要遭受永久性的黑客攻击和数据被盗。（此处删除约50字）

法尔科维茨说，10个网络黑客中有9个是源于网络钓鱼骗局的虚假电子邮件，欺骗用户点击危险链接或泄露敏感信息。他说，网络钓鱼没有什么特别前沿的东西，而且如此多的黑客依赖于它，这表明数字防御系统的改进有很大的空间。前国家安全局（National Security Agency）分析师福尔科维茨（Falkowitz）说，“网络末日的说法”是错误的。

一个问题是，对于公司来说，网络安全被认为是成本中心，而不是利润中心。Falkowitz乐观地将在线安全比作汽车安全标准，经过多年的改进和失误，汽车安全标准得到了提高。

美国联邦调查局（FBI）纽约网络犯罪现场办公室（New York CyberCrime Field Office）前顾问巴丽舍维奇（Barysevich）说，已经有技术可以使个人数据更安全。他说，加密是可行的，但并不是每家公司都知道如何正确地管理它。许多企业甚至无法备份他们的数据，这使得他们容易受到勒索软件盗窃的影响。他指出，苹果支付（ApplePay）和谷歌支付（Google Pay）钱包使用一次性代币进行无法重复使用的交易，即使它们被截获和被盗。更多的数据可以匿名、分区和加密。

Shape Security首席技术官Shuman Ghosemajumder表示：“从长远来看，我们不希望公司拥有大量可用于未来欺诈的信用卡信息存储。”曾在谷歌担任“点击欺诈沙皇”的Ghosemajumder说：“也许可以标记或匿名其他类型的信息，以同样保护其他类别的个人信息。”

纯真的终点

被盗的个人数据已经够糟糕的了。像facebook和其他网站这样的网站存储的信息要精细得多。直到最近，我们大多数人才关心这些公司在做什么。

剑桥分析丑闻可能被证明是一个转折点。综上所述，在2016年总统大选之前，剑桥分析公司利用Facebook的数据建立了美国个人的心理档案。据报道，这些数据被用来向数百万选民传递超党派信息。这足以让Facebook首席执行官马克•扎克伯格（MarkZuckerberg）被拉到国会面前，避免任何真正的损害。

加利福尼亚州一家法院发现，社交媒体帖子不是第一修正案的权利。

然后，就在2018年之前，《纽约时报》（Paywall）报道说，拥有22亿用户的Facebook还为微软、Spotify和亚马逊等主要科技公司提供了访问个人数据的机会，否则这些数据可能会违反其政策。

在某些情况下，这些公司可能还没有意识到他们可以获得额外的Facebook数据。但这一爆炸性事件暗示，Facebook和其他大型科技公司无法信任其商业模式所依赖的个人数据。

欧盟会来救援吗？布鲁塞尔是GDPR的诞生地，这可能是世界上最严格的数据隐私法规。这项扫除性法律于5月实施，要求企业获得欧盟成员国的明确许可，才能使用其信息。它赋予了监管机构对失败行为征收罚款的权力，并制定了披露未经授权数据泄露的规则。

现在判断它是否有效还为时过早。根据cliqz在10月汇编的数据，在GDPR生效后，欧盟的一种在线广告追踪业务有所下降，而在美国，这一业务仍在继续攀升。Facebook已经失去了欧盟的市场份额，同样也失去了较小的广告技术供应商。然而，谷歌可能已经领先了。一种可能是谷歌能够利用其雄厚的财力和规模更好地适应监管。

卡内基梅隆大学的信息系统教授拉胡尔泰朗认为，全球发展政策的影响将是中等的。和大多数监管一样，这也会带来一些好处，但这些好处可能会被意想不到的后果所抵消。特朗说：“有时候，法规可以更有效地巩固垄断。Facebook和谷歌几乎没有竞争，他们有滥用我们数据的动机。”

GDPR的黑客条款要求公司在个人信息被泄露时迅速警告用户，并对数据泄露处以罚款，这可能会促使一些机构清理他们的行为。例如，如果有可能被窃取的风险，为什么还要继续存储不必要的个人信息，从而引发坏消息和经济处罚？删除无关数据是避免令人尴尬的黑客攻击的一种方法。

巴丽舍维奇对快速披露的规则持谨慎态度。他认为，在评估和解决盗窃行为之前，迅速报告违规行为会使公司容易受到“高度动机犯罪分子”的攻击。在财务处罚方面，公司有风险通过会计解决方案来处理。他们可以设立一个雨天基金以防被罚款，而不是首先加强安保以避免违规。

即使GDPR并不完美，它也有助于提高人们对在线隐私不再存在的认识。也许2019年将是可以做一些事情的一年。

原文链接：

https://www.nextgov.com/cybersecurity/2018/12/year-we-realized-all-our-data-was-stolen/153768/