[collect]个人隐私的永恒价值


=Start=

缘由:

在逛博客时发现的一篇文章,该文章记录于2012.12.30,当时正直「人大常委通过《关于加强网络信息保护的决定》」,作者想起了著名安全专家 Bruce Schneier 在 2006 年写下的文章并将其译为中文,我读了之后比较感概,所以转载至此,希望你也能有一点点触动。

正文:

“假如你没有做过什么坏事,那还有什么好遮掩的吗?”

这是那些赞成身份检查,赞成安装监控摄像头,赞成建立用于居民监控用户的数据库,赞成数据挖掘以及其他各种旨在对民众实施监控的人们最常见的为自己辩护——同时也希望借此驳斥旨在保护个人隐私的行动者——的一句话。

对此,也许我们可以想到一些聪明的回答:“假如我没有做过任何错事,那你没有任何理由监控我。”“因为什么是对与错是由政府定义的,而且这样的定义不断的在发生改变。”“因为也许你会拿我的个人隐私资料做一些不见得人的事情。”这样的回答虽然都是正确的,但是,这些回答似乎都默认了一个判断,即只有在我们做了错事的时候我们才需要隐私。事实不是。隐私是一种与生俱来的人权,它也是我们得以保持作为人之尊严的必要条件。

有两句谚语说得最合适了:“谁来监视监视者?”“绝对的权力导致绝对的腐败。

Cardinal Richelieu曾说过,“假如有人递给我一张纸,上面有全世界最老实的那个人写的六行字,我一样可以在字里行间找到破绽从而让他接受被吊死的刑罚。”假如你跟踪一个人足够长的时间,你必然可以找到某种借口去逮捕这个人,或者是敲诈和勒索这个人。隐私之所以重要,是因为假如没有隐私,那么通过监控所获得的资料将会被滥用:会被用于窥视,或者是被卖给市场行销人员,或者是用来暗中跟踪敌对的政治力量——被跟踪的可能是任何人。

隐私可以使得我们免于由于拥有权力者滥用权力而受到伤害,哪怕我们在受到监控的时候并没有做任何坏事。

当我们跟恋人做爱或者是在浴室洗澡时,我们并没有做什么坏事。当我们去寻找一些较为隐私的地方去静修或者是与朋友对谈时,我们并没有刻意去隐藏什么东西。我们有自己的日记本,我们在洗澡的时候唱歌,我们给亲爱的人写信而后烧掉那些信。隐私就是作为人的一种基本的需要。

对于撰写我们这个国家的宪法的祖先来说,他们很难想象未来会有一天,这个国家的公民的隐私会受到如此经常的冲击,因而他们当年没有把隐私当成是一种必要的权利写进宪法。对于他们来说,隐私是生而获得的一种东西。在你自己家里被监视当然是不可理喻的。对于他们那个年代的人来讲,要对国民做到监视是非常难以想象的,甚至是不可想象的。那个时候,他们只会对罪犯进行监视,而绝不会对自由的公民进行监视。只要是你在自己家里,你就是主人。这是自由(liberty)这个词本身固有的含义。

假如我们因为不管任意一种理由而受到监视,那么我们就会时时刻刻都处在被修正,被判断,被批评,甚至是被认为是抄袭我们自身的行为。我们就会变成小孩子,时刻都在大人的眼皮之监视底下,并且无时无刻不在提心吊胆,因为我们害怕我们此刻的行为有可能在将来的某个时候给我们自己带来灾难,不管那个决定监视我们行为的政府是怎样一个政府。我们就会失去我们的个性,因为我们所做的每一件事都是可以被监视以及记录的。

过去的四年半的时间里,我们有多少人在与朋友对谈的中间会突然停下来,意识到我们有可能被监听?也许我们正在通电话,也许正在写电子邮件,或者是与朋友进行即时通讯交谈,甚或是在公共地方的一个交谈。也许那一刻我们在谈一些关于恐怖主义或政治或伊斯兰的话题。我们突然停止了谈话,并且猛然间意识到也许我们的谈话会被抽出语境使用(作为加害我们的证据),然后我们对自己的这一偏执行为大笑一番之后继续谈话。但我们的态度却已经发生了变化,我们的用语也发生了变化。

这就是当隐私被剥夺之后我们会面对的一个失去自由的局面。这是生活在前东德或者是生活在萨达姆·候赛因掌权时期的伊拉克人民的生活。而假如我们任由这些监控设备无处不在的渗透到我们个人生活的方方面面,这也将会成为我们的生活。

有很多人将这一场辩论定性为“安全与隐私”之辩论。而实际上却是自由与控制之角力。不管是因为受到外国力量的武力威胁而采取的暴政,还是针对本国公民的监控,其实都是暴政。要实现自由,就需要保证安全,同时确保不受侵害,就是要做到安全与隐私二者兼备。而由警方实施的全面监控实际上就完全符合了一个警察国家的定义。这也就是为什么我们一定要倡导个人隐私,哪怕我们没有什么东西要隐藏。

— 布鲁斯·施奈尔(Bruce Scheneier)

参考链接:
更多参考链接:

=END=

,

《 “[collect]个人隐私的永恒价值” 》 有 40 条评论

  1. 邮件安全
    http://www.zhangzheng.wang/%E9%82%AE%E4%BB%B6%E5%AE%89%E5%85%A8
    `
    邮箱账号的泄露可能有以下几种途径:
    1. 用户所在的网络不安全
    2. 用户使用的电脑、手机或平板等用于收发邮件的设备不安全
    3. 用户邮箱密码为弱密码,容易被猜到
    4. 用户邮箱密码被明文记录在某些容易看到的地方
    5. 有”仇家”,被盯上。被人肉,被社工

    如何避免账号泄露呢?
    1. 自建邮箱服务器,再加上强悍的邮件网关,做好安全策略
    2. 邮箱登录采用双因素认证,避免暴力破解
    3. 邮件接收使用一次性密码或APP密码(有些邮件厂商有这功能)
    4. 设置登录提醒,时刻了解登录动态
    5. 使用pops, smtps等协议接收邮件,让网络中的所有邮件数据加密传输
    6. 使用强密码
    7. 登录源限制,将登录许可允许在一定范围内,前提是你要有能力保证你能控制登录源
    8. 最最最重要的一点是,时刻保持强烈的安全意识。
    `

  2. “隐私和安全”的7大关键冲突
    https://paper.tuisec.win/detail/600bc73c1ba66d7
    http://www.4hou.com/info/news/12397.html
    https://www.darkreading.com/operations/7-places-where-privacy-and-security-collide/d/d-id/1332110
    `
    1.收集一切 VS 限制收集
    2.加密性 VS 可见性
    3.长期存储 VS 短期存储
    4.本地 VS 远程
    5.结构化链条 VS 单点链接
    6.匿名化 VS 可识别
    7.已知 VS 未知

    用户的行为正处于政府监视之中。对于这种监视行为,安全部门回应称,
    ——如果你没有做错什么,你不应该介意被监视。

    而隐私部门则争辩称,
    ——如果我没有做什么错事,那么我做什么都与你无关。
    `

  3. 个人隐私保护大时代:至暗时刻将逝,一丝曙光在即
    https://mp.weixin.qq.com/s/Gzz7AtZgH0JuNa7U_9yb4w
    `
    If we can’t protect ourselves, ultimately we can’t be ourselves.

    我们人类的祖先也是如此,他们必须隐藏自己的行踪来躲避猛兽的攻击。所以对隐私的需求,是深深地刻在你我基因里的。

    我们可以来看看安全工程师们是怎么保护自己的:
    严格使用密码管理器生成所有密码,从不重复;
    过海关随身设备刷成出厂设置;
    电脑的摄像头上都贴着黑塑料,用的时候才打开;
    密码提示问题都是假答案、也都靠密码管理器来记录;
    所有硬盘都加密;
    明文个人数据不上云;
    熟人之间邮件缺省加密;
    多个虚拟机,不同的事情在不同的虚机里面操作,特别是点击链接,下载软件这种;
    一般两部手机,一部安装的app极少,一般装信任度高的app 。另一部相对随意,经常恢复出厂设置;
    出门至少带自己的手机充电线,只能充电的那种;
    使用公共Wi-Fi的话,一直连着自己公司的VPN;
    经常需要通过代理来访问服务器,包括网站;
    住酒店先仔细查一遍摄像头;
    密码之类的敏感信息,要分享给别人的话,一定是通过点对点加密的传输渠道,比如GPG;
    和亲人之间有特定暗号,关键操作比如需要打钱之类一定是通过暗号表达;
    `

  4. 过度收集个人信息如何破解
    https://mp.weixin.qq.com/s/EQrW5yYGHNuboaSfwqR4RA
    `
    在移动互联时代,如果单从收集环节来看个人信息保护来看,最突出的问题应是大众应用程序(app)过度收集用户的个人信息。开发、经营app的网络运营者如违反了《网络安全法》关于“不得收集与其提供的服务无关的个人信息”的规定,掌握了本不该获得的个人信息,一旦发生信息的滥用、误用,或发生了信息的泄露、毁损、丢失,对用户合法权益造成的损害将成倍地放大。

    另一方面,数据即石油、数据是黄金,已经成为数字经济的常识。在经济利益的驱使下,网络运营者有着天然的冲动最大程度地收集个人信息,用于自己的经营活动中。现实中,他们往往采取以下两条路径:

    一是隐瞒收集个人信息的功能、类型、范围等,偷偷地收集个人信息。这方面不仅直接面向用户的网络运营者会这么做(即直接欺瞒用户),那些给app提供功能模块或组件的第三方开发者也会偷偷嵌入收集个人信息的指令或功能,试图“搭便车”收集个人信息(即同时欺瞒app开发者和用户)。

    二是强迫用户同意授权其收集个人信息,即通过“一揽子协议”强制用户授权。如果细究起来,“一揽子协议”还可分为两个方面:服务或功能捆绑,以及故意扩大服务或功能所必需的个人信息。面对这样的“一揽子协议”,用户要么只能全盘接受,要么只能退出走人。

    那现有的法律提出了应对之策吗?目前,在《个人信息保护法》还未出台前,《网络安全法》提出了对个人信息最为完整、全面的保护设计。
    `

  5. 如何防止自己被人肉搜索到?
    https://mp.weixin.qq.com/s/ZE045w-Z94K4F5OqxPRj_g
    `
    防止人肉,我们该做些什么?

    1、个人信息不要轻易外泄;
    2、手机的定位服务不用时尽量关闭,以免自己的行踪被窃取;
    3、网络账号IP及密码设置复杂多样化,避免出现拖库、撞库的情况;
    4、拒绝添加不认识的人为社交好友,不给潜伏的作恶黑客提供机会;
    5、尽可能使用授权登录,包括社交工具和各类相关网站;
    6、不要在社交媒体随意公开自己及家人的隐私信息,避免被不法黑客进行社工诈骗;
    7、不使用的各类重要账号,及时注销、处理掉姓名、电话等个人重要信息绑定;
    8、重要证件照片用完即删,尽量不要留存在手机或网盘内。

    如被人肉,我们该如何处理?

    第一,将目前已知网络社交媒体的个人信息清除或者设置权限,包括社交工具、求职网站、论坛社区等;
    第二,修改个人信息,因个别网站不能清除个人信息,或者无法设置隐私,被人肉者可以修改个人信息,以此减少人肉危害;
    第三,及时联系网站版主或负责人,假如无法在网站上修改个人信息,可以通过该网站的联系方式联系网站负责人或者客服人员说明情况,以此进行修改或者注销;
    第四,如果被人肉危害不断发酵扩散,必要时,第一时间求助警察叔叔。
    `

  6. 个人信息保护的本质是一种资源再分配
    http://www.ftchinese.com/story/001082660?adchannelID=&full=y
    `
    傅蔚冈:在某种程度上,中国互联网企业的后发优势也是得益于中国并未构建起像欧盟和日本那般严苛的隐私权。

    既然隐私是一种资源,那么,和其他的任何资源一样,社会福利最大化是其应有之义,这也是波斯纳为代表的法律经济学的一贯主张。把隐私作为一种资源重新分配最有效率的结果,即把追求社会福利的最大化作为隐私保护的目标的意义在于:(1)它不仅可以使目标更清晰可量化、可操作,同时还让法律上的“隐私的合理期待”有了比较明确的准则;(2)把个人隐私保护当做一种资源,而不是一成不变和绝对保护,能够满足数字经济发展的需要,有利于国家的整体利益,避免保护过度;(3)这个框架的建立有利于不同背景、不同人群对隐私问题达成共识。

    更进一步,隐私保护本质上是个人数据保护与分享、收益与成本之间的权衡,隐私保护的核心就是一个成本和收益的平衡问题。当我们讨论隐私保护的收益时,不仅包括个人收益也包括外部性,即通过有效使用个人信息,可以促进就业、发展金融市场、维护公共安全和保持健康卫生等社会收益。同时隐私保护还有成本,它包括由于隐私让渡导致的个人安全感和尊严的心里损失和因为侵犯隐私导致个人经济损失;为了保护隐私而发生的社会、企业和个人支出等都是隐私保护的成本等。在社会收益最大化的原则下,隐私保护的政策制定就是上述各类收益和成本的权衡。

    本文强调个人信息保护的本质是一种资源的再分配,应该以市场作为重要的配置主体,从而让数据更好地服务消费者和促进社会福利提高。而对数据的监管政策应当以社会福利的提高为目标,保护隐私的同时也要允许合法的个人数据交换。同时还必须看到的是,隐私在不同环境下、语境下及对不同人有很大差别,因此隐私保护政策要有弹性,避免一刀切。
    `

  7. 日常生活中的企业监控
    https://mp.weixin.qq.com/s/z_xDmOdPxzj-aES0tS-DHw
    `
    不是小说,这是一份3年前的调研报告,不知是否影响了GDPR。或许,“Matrix”已经走到了身边,福祸未知!

    近年来,各种各样的公司已经开始在人们生活的各个方面进行监控、跟踪和跟踪。数十亿的行为、运动、社会关系、利益、弱点和大多数私人数据都被不断地实时记录、评估和分析, 个人信息开发已经成为一个数十亿的产业。然而,今天无处不在的数字追踪只是冰山一角; 大多数数字追踪对我们大多数人来说仍然是不透明的。

    Cracked 实验室的Wolfie Christl于2017年6月发布了这个报告,分析了个人数据行业的实际操作和内幕。贡献者有Katharina Kopp和Patrick Urs Riechert, Pascale Osterwalder创作了插图。基于多年的研究和2016年的一份报告,这项调查揭示了企业之间隐藏的数据流动。它描绘了当今数字跟踪生态系统的结构和范围,探索了相关的技术、平台和设备以及主要的发展。

    1. 人的分析
    2. 金融、保险和医疗领域中人的分析
    3. 大规模收集和使用消费者数据
    4. 数据经纪人和个人数据业务
    5. 实时监控人们的日常行为
    6. 数字化档案的连接,匹配和合并
    7. 管理消费者和行为,个性化以及测试
    8. 天罗地网-日常生活,营销数据和风险分析
    9. 绘制商业跟踪和档案版图
    10. 一个无处不在被数字控制的社会?
    `
    https://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdf

  8. 苹果服务器宕机导致无数应用停止响应
    https://www.solidot.org/story?sid=66084
    `
    大批苹果用户在社交媒体上报告,他们的应用程序失去响应或需要数分钟时间才能启动运行。受影响的服务还包括 Apple Pay、Messages 和 Apple TV 设备。导致这一大规模故障的罪魁祸首是苹果验证应用可信的公证服务器 ocsp.apple.com。ocsp 代表 Online Certificate Status Protocol stapling,从 MacOS Catalina 起,苹果用户每次打开或执行一个程序,系统都会将其哈希值发送到该服务器(苹果知道你运行的任何程序),在获得回应前应用程序会保持冻结状态。如果苹果设备没有联网,那么系统将会认为你离线,允许程序执行。今天发生的问题是 ocsp.apple.com 能 ping 通但无回应,于是系统一直尝试验证然后超时。对这一问题苹果尚未发表声明。
    `
    https://medium.com/@acecilia/apple-is-sending-a-request-to-their-servers-for-every-piece-of-software-you-run-on-your-mac-b0bb509eee65

    苹果 OCSP 事故暴露出它的不道德
    https://www.solidot.org/story?sid=66351

    https://www.fsf.org/news/the-problems-with-apple-arent-just-outages-they-are-injustices

  9. Your Computer Isn’t Yours
    https://sneak.berlin/20201112/your-computer-isnt-yours/
    https://sneak.berlin/i18n/2020-11-12-your-computer-isnt-yours.zh/
    `
    你的电脑不属于你
    事实就是这样,你注意到了吗?

    用现代的 macOS,即使你只是想简单地接通电源开机,启动一个文本编辑器或者电子书阅读器,然后随便读读写写,也没法避免你的行动记录被传输和存储。

    在当前版本的 macOS 中,当你运行每一个程序时,系统都会给苹果公司发送一个哈系值(hash,唯一标识符)。很多人并没有意识到这一点,因为它是无声无息的,看不见的,而且当你离线时它马上就会悄悄地失效。不过今天的服务器速度是真的很慢,以至于它没办法走那条快速失效的路径,导致大家如果连着网就无法启动应用。

    因为这件事是联网的,服务器自然就会看到你的 IP 地址,并且知道请求是什么时间进来的。有了 IP 地址,服务器就可以在城市级或者 ISP 级粗略地得到你的地理定位,而且可以做个这样的数据表:
    日期,时间,计算机,ISP,城市,州,应用哈系值

    当然,苹果(或其他任何人)可以计算这些常见程序的哈希值:App Store、Creative Cloud、Tor 浏览器、破解或逆向工程用的工具等一切程序。

    这意味着,苹果知道你什么时候在家,什么时候在工作。也知道你在哪里打开什么应用,以及打开的频率。他们知道你在朋友家的 Wi-Fi 上什么时候打开了 Premiere,也知道你在去别的城市旅行途中的什么时候在某个酒店里打开了 Tor 浏览器。
    `

    The Right to Read
    https://www.gnu.org/philosophy/right-to-read.en.html

  10. 房地产公司利用人脸识别识别客户身份
    https://www.solidot.org/story?sid=66163
    `
    南方都市报报道,多家房地产公司的售楼处利用人脸识别识别客户身份,并据此给出不同的报价。一位中介称,每当新楼盘上市时,房企一方面会花大量费用做营销宣传,吸引潜在购房者,另一方面也会找各种卖房平台作为“分销渠道”,让渠道帮忙招徕客户。如果购房者是看了房企宣传前来买房,叫做“自然到访客户”,说明房企的营销费没白花;如果购房者被渠道中介带上门,就属于“渠道客户”,房企要给予中介一定的“好处费”,即提成佣金。过去,房企销售与渠道中介抢客户的“混战”经常发生。而人脸识别,就是为了帮助房企判断某个购房者是什么类型、是谁的客户,佣金应该发给谁。报道称,没有被系统记录下来的首次到访客户其下单的房屋售价最低可以便宜数十万元。
    `
    被售楼处人脸识别拍到,买房多花30万?有人被迫戴头盔看房
    http://m.mp.oeeee.com/a/BAAFRD000020201122382884.html

  11. #脉脉回应拼多多员工匿名发贴被辞退#
    https://s.weibo.com/weibo?q=%23%E8%84%89%E8%84%89%E5%9B%9E%E5%BA%94%E6%8B%BC%E5%A4%9A%E5%A4%9A%E5%91%98%E5%B7%A5%E5%8C%BF%E5%90%8D%E5%8F%91%E8%B4%B4%E8%A2%AB%E8%BE%9E%E9%80%80%23
    `
    脉脉匿名区安全使用指南:
    1. 使用iPhone,全程使用数据网络
    2. 同一个id下不要发表太多个人信息关联内容(会被爬虫分析)
    3. 使用网上接码平台注册账号,注意自己的设备名( 不要是 xxx的iPhone这种 )

    人民应当有免于恐惧的权力,只要做到以上这些,就是安全的。他们没有什么黑科技,纯粹靠人海战术,这个还是清楚的。
    `

  12. 网络安全的经济学“原罪”:利润私有化,亏损社会化
    https://mp.weixin.qq.com/s/iVUYGbYrWOV1Hox2DcpFTA
    `
    近日,网络安全大咖施奈尔(Bruce Schneier)在纽约时报撰文指出,后资本主义时代私营企业们之所以不愿意在网络安全上花钱,是“市场经济”的必然结果,因为企业可以把风险转嫁给纳税人和用户。

    美国历史上最严重的黑客事件——SolarWinds供应链攻击暴露出的诸多问题中,SolarWinds自身的网络安全防御形同虚设,已经到了令人发指的地步。施奈尔认为SolarWinds作为一家垄断性的行业巨头,以“一己之力”给美国全社会带来不可估量的安全灾难,值得深刻反思。

    施奈尔认为,资本和市场奖励公司的这种冒险精神,也就是所谓的“利润私有化,亏损社会化”。重视网络安全和隐私保护的企业会在竞争中处于不利地位,而不重视网络安全甚至侵犯用户隐私的企业,更有可能“野蛮生长”,并最终给国家网络安全带来系统性风险。
    `

    National Security Risks of Late-Stage Capitalism
    https://www.schneier.com/blog/archives/2021/03/national-security-risks-of-late-stage-capitalism.html

  13. 看了Chrome收集的个人数据,我发现谷歌被控涉嫌垄断不亏
    https://www.freebuf.com/articles/database/267254.html
    `
    姓名、通讯地址、邮箱、通讯录、位置、搜索历史、浏览历史、流量使用、用户信息、设备信息、支付信息。

    这不是在填个人信息表,而是你使用Chrome浏览器和谷歌应用程序时被收集的个人数据。

    最近,谷歌终于公布其在Chrome和谷歌应用程序中收集了哪些用户数据,这些数据会被用来进行用户画像,展开有针对性的个性化广告营销。

    谷歌这一举动遭到竞争对手DuckDuckGo(隐私浏览器)嘲讽“难怪不想披露”。

    谷歌被嘲讽是因为它在过去三个月一直在试图对抗苹果的隐私标签政策,拖延在应用商店中更新iOS应用。

    去年12月8日,苹果更新了隐私政策,要求苹果应用商店中的应用添加“隐私标签”。该标签会告诉用户应用正在收集哪些数据,是否用于跟踪以及将如何使用这些数据。并且,苹果还希望用户在打开App时,给用户提供“允许追踪”和“不允许追踪”的选项。

    自苹果宣布更新隐私政策以后,媒体们观察到,谷歌自12月8日以来,其应用商店中的iOS应用没有更新。例如Gmail、YouTube等数十款超人气应用的iOS版本的更新时间停在了12月8日之前,而这些应用的安卓版本却一直在更新。

    还有报道指出,在苹果“隐私标签”实施的前一天,也就是12月7日,谷歌应用程序进行过大规模更新。

    谷歌一直采取拖延的态度来应对更新。谷歌还曾表示,一旦苹果的隐私新政生效,它将停止收集目前用于广告目的的iOS应用的IDFA(IDFA是苹果的广告标识符,开发者获取用户的IDFA后可以跟踪广告效果)。

    拖延更新一个月后,谷歌才公开回应,称公司正计划在应用程序目录中添加隐私标签,但并未公布具体时间。

    最后,谷歌拖延了3个月才开始更新iOS应用程序的“隐私标签”。正是这一行为被DuckDuckGo影射。
    `
    https://policies.google.com/privacy?hl=en-US#infocollect

    https://twitter.com/DuckDuckGo/status/1371509053613084679?s=20

  14. 给互联网人的反侦查手册
    https://mp.weixin.qq.com/s/2PuDoFcXvqVETvj8-TRgvw
    `
    “理论上说,公司没有权利在办公网络下监控员工私人聊天信息、要求核查微信聊天记录,以及叫到密闭的小会议室问话。”中国政法大学民商经济法学院助理教授任启明表示,“但公司在做这些的时候,都能以员工已经同意为基础。”
    任启明说,所谓“同意”可以是公司刊发员工手册、可以是员工单次表示同意,也可以只是行为在发生时,员工没有直接拒绝被认定为配合。

    一位在两家互联网巨头工作过的员工表示,他认为大部分公司不会真的在 24 小时实时监控自己的所有员工——公司没有这个资源和人力。但是当公司要大裁员,或者有更高序列的管理层想针对自己的时候,确实有可能小题大作。这时,监控会成为一种手段。

    员工当然有自己选择一份工作的自由,而当他加入一家公司后,员工相较于公司天然是弱势的,面临着各种制约和考量——股票期权、升职空间、职场声誉。这种处境之下,当公司采取各种手段监控员工、获取信息,个体往往要面对一些曾经没有想到过的不便与不快。

    “所以比较好的办法是提高行为动作的基础标准,保护好自己。”阿番说。但他也清楚,“你不可能去上个班,还要花很大精力去做反刑侦的谈话应对措施,而且这种事本身就是小概率事情。”
    所谓互联网大厂都是中国经济里最有活力、最创新的公司,往往也是给员工最多财务回报的公司。员工选择加入这些公司,往往能创造最大价值,为自己的利益也为社会的前进。

    互联网公司也不是一开始就施加如此多的监控手段,都是在遇到问题后设立规则,层层叠加。如果追溯最初的目的,公司有两个无可厚非的理由:一个是保护商业机密,打击腐败行为;另一个是提升员工效率,做出更成功的产品。

    但无论一开始的初衷多么合理,在执行中,这些公司用的手段越来越多、覆盖的范围越来越大,已经成为了一种颇具时代特色的独特商业现象。最终,这些缺少制约的权力成为了公司管理层的工具,本质上都在帮助公司加强控制、维护少部分人利益。

    2021 年元旦起实行的《中华人民共和国民法典》第一次详细规定了人格权保护制度,将个人隐私保护纳入其中。

    员工在成为一家公司的员工之前,首先是一个人,应当拥有基本的权利。

    入职前:
    * 了解你的工作环境
    * 准备专门的工作微信号

    在职期间:
    * 工作和私人设备完全隔离,不在工作电脑或手机上存储个人信息
    * 不要用私人的电脑或者手机连接公司网络
    * 勿以恶小而为之
    * 访问内部信息都留下记录
    * 泄露你隐私的不只是数据
    * 极端情况下,不要默许公司的行为
    一个人很难为刑侦式的问询做什么心理准备,但拒绝不合理的要求是可以做的——对面并不是警察,没有强制权。

    离职:
    * 离职前谨慎更新简历、查询信息
    * 关于竞业协议,我们也找不到什么好建议
    一些公司的 HR 甚至建议不要在手机上安装任何前公司的应用——哪怕是针对消费者的应用,以避免技术手段监控。并且入职后新公司不要收来路不明的快递、上下班戴口罩、出门前取下工牌。
    这些听上去神经兮兮的建议并不是没由来。

    “现有的公司法和劳动法,更多是以福特生产线以来的现代大型产业公司为模型,并在此基础上形成了相关的法律制度。这些法律制度,未必能够适应当下的互联网公司的发展,这也是为何关于互联网公司的争议不断。”任启明教授表示。
    他认为解决这些矛盾,法律需要随数字经济发展而更新。员工也需要通过集体谈判、争取社会公众,以获得更大力量,才能改变目前的不对等地位。
    互联网平台公司的兴起,一定程度上改变了传统劳动法理论对于企业形态的假设,也改变了企业与员工的力量平衡。

    平等关系,从来都是需要争取的。
    `

  15. 我家电视机正在监视所有连网设备
    https://www.v2ex.com/t/772523?p=1
    `
    之前觉得电视有点慢,看了一下都有什么后台服务开着。发现有个东西叫”勾正数据服务”,完全不知道是干什么的。

    电视是安卓系统,抓包研究了一下,发现这东西每隔 10 分钟扫一遍我全家连网的设备,把 hostname 、mac 、ip 甚至网络延迟时间全传回去了,还探测周围的 wifi SSID 名称、mac 地址也打包传到这个 gz-data .com 的域名。

    也就是说,家里有什么智能设备、手机在不在家、谁来家里连网了、周围邻居 wifi 叫什么名,随时采集上传,确定这不是间谍服务???

    代码分析如下:

    这个勾正数据服务 app 对应 TVAC.apk ,解开看功能基本都在这个动态加载的 jar 里面。

    里面代码挺多,有个逻辑是 arp 扫描局域网、上报所有联网设备信息。
    `

  16. 世界上有两种密码:一种是防止你的小妹妹偷看你的文件;另一种是防止当局阅读你的文件.
    https://github.com/ffffffff0x/Digital-Privacy
    `
    项目起因 : 为了保护自己的隐私,慢慢的开始学习与收集各种手段方法、网站、工具,我把这种行为称作数字洁癖.这些手段方法藏着掖着也不能当传家宝,那干脆就分享出来造福大众.
    涉及内容 : 个人敏感信息查询,保护措施,开源信息收集(OSINT)对抗
    事件集合 : 还不清楚严重性?进来了解近年来的数据泄露、供应链污染事件:Dork-Admin

    # Tips

    1. 对于各类平台尽量使用不同昵称、头像.
    2. 多平台不要使用统一、相似的密码,请建立一套自己的密码管理方式,推荐使用密码管理器.对于密码管理器本身的安全性,可以参考这个报告 https://www.securityevaluators.com/casestudies/password-manager-hacking/
    3. 管住自己的炫耀欲.
    4. 不要相信哪个公司不作恶、重视隐私.(感觉和2有冲突啊 XD)
    5. 尽量少用部分浏览器 “记住密码” 的功能, 针对浏览器的取证工具不少, 很容易就可以提取出 Cookie、浏览记录、保存的密码等。
    6. 不要以为开虚拟机、挂 vpn 就很安全,webRTC 泄露 IP,浏览器指纹,通过 DNS 判断(参考网飞),系统时间,浏览器 0day,等等等等.
    7. 定时清空你的邮件、短信、通话记录、回收站.
    8. 所以不要干坏事、不要干坏事、不要干坏事。
    `

  17. 大数据安全与隐私保护
    http://cjc.ict.ac.cn/online/onlinepaper/fdg-2014115105559.pdf
    `
    大数据(BigData)是当前学术界和产业界的研究热点,正影响着人们日常生活方式、工作习惯及思考模式。但目前大数据在收集、存储和使用过程中面临着诸多安全风险,大数据所导致的隐私泄露为用户带来严重困扰,虚假数据将导致错误或无效的大数据分析结果。该文分析了实现大数据安全与隐私保护所面临的技术挑战,整理了若干关键技术及其最新进展。分析指出大数据在引入安全问题的同时,也是解决信息安全问题的有效手段。它为信息安全领域的发展带来了新的契机。

    目前大数据的发展仍然面临着许多问题,安全与隐私问题是人们公认的关键问题之一。当前,人们在互联网上的一言一行都掌握在互联网商家手中,包括购物习惯、好友联络情况、阅读习惯、检索习惯等等。多项实际案例说明,即使无害的数据被大量收集后,也会暴露个人隐私。事实上,大数据安全含义更为广泛,人们面临的威胁并不仅限于个人隐私泄漏。与其它信息一样,大数据在存储、处理、传输等过程中面临诸多安全风险,具有数据安全与隐私保护需求。而实现大数据安全与隐私保护,较以往其它安全问题(如云计算中的数据安全等)更为棘手。这是因为在云计算中,虽然服务提供商控制了数据的存储与运行环境,但是用户仍然有些办法保护自己的数据,例如通过密码学的技术手段实现数据安全存储与安全计算,或者通过可信计算方式实现运行环境安全等。而在大数据的背景下,Facebook等商家既是数据的生产者,又是数据的存储、管理者和使用者,因此,单纯通过技术手段限制商家对用户信息的使用,实现用户隐私保护是极其困难的事。

    2.2 大数据分析目标
    目前大数据分析应用于科学、医药、商业等各个领域,用途差异巨大.但其目标可以归纳为如下几类:
    (1)获得知识与推测趋势
    (2)分析掌握个性化特征.
    (3)通过分析辨识真相.
    错误信息不如没有信息.由于网络中信息的传播更加便利,所以网络虚假信息造成的危害也更大.

    3.2 大数据的可信性

    关于大数据的一个普遍的观点是,数据自己可以说明一切,数据自身就是事实。但实际情况是,如果不仔细甄别,数据也会欺骗,就像人们有时会被自己的双眼欺骗一样。

    大数据可信性的威胁之一是伪造或刻意制造的数据,而错误的数据往往会导致错误的结论。若数据应用场景明确,就可能有人刻意制造数据、营造某种“假象”,诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中,使得人们无法鉴别真伪,从而做出错误判断。例如,一些点评网站上的虚假评论,混杂在真实评论中使得用户无法分辨,可能误导用户去选择某些劣质商品或服务。由于当前网络社区中虚假信息的产生和传播变得越来越容易,其所产生的影响不可低估。用信息安全技术手段鉴别所有来源的真实性是不可能的。

    大数据可信性的威胁之二是数据在传播中的逐步失真。原因之一是人工干预的数据采集过程可能引入误差,由于失误导致数据失真与偏差,最终影响数据分析结果的准确性。此外,数据失真还有数据的版本变更的因素。在传播过程中,现实情况发生了变化,早期采集的数据已经不能反映真实情况。例如,餐馆电话号码已经变更,但早期的信息已经被其它搜索引擎或应用收录,所以用户可能看到矛盾的信息而影响其判断。

    因此,大数据的使用者应该有能力基于数据来源的真实性、数据传播途径、数据加工处理过程等,了解各项数据可信度,防止分析得出无意义或者错误的结果。

    密码学中的数字签名、消息鉴别码等技术可以用于验证数据的完整性,但应用于大数据的真实性时面临很大困难,主要根源在于数据粒度的差异。例如,数据的发源方可以对整个信息签名,但是当信息分解成若干组成部分时,该签名无法验证每个部分的完整性。而数据的发源方无法事先预知哪些部分被利用、如何被利用,难以事先为其生成验证对象。
    `

  18. 普通人的网络安全自保
    https://mp.weixin.qq.com/s/pVPwcUN_LSqOol9invQYOw
    `
    说起安全,朋友曾经跟武侠里的江湖做过类比:

    黑客、攻击者类似啸聚山林的山大王。公安干警可以类比大内高手。企业里的安全从业者类似大户人家的护院。安全公司则像镖局。平头老百姓,在江湖里要保平安,有些需要了解的基本常识,比如古龙在《碧玉刀》里写到,段玉出门前父亲交代他七大戒律:

    1. 不可惹事生非,多管闲事。
    2. 不可随意交结陌生的朋友。
    3. 不可和陌生人赌钱。
    4. 不可与僧道乞丐一类人结怨。
    5. 钱财不可露白。
    6. 不可轻信人言。
    7. 千万不可和陌生的女人来往。

    我也梳理一些我认知中,普通人在生活中需要具备的信息安全知识,虽是常识,估计还是会有很多人不知道,或者是知道了但是没做到——就像上面的“七大戒律”,段玉一条都没遵守。

    但,反正我不敢自大,尽量做了,减少掉坑的机率。

    1. 每个人都会是攻击目标。千万不要以为新闻里发生的那些事不会发生在自己头上,互联网时代,攻击很简单。
    2. 梳理清楚个人最在意的信息,并做好备份。确保在换手机、丢手机、换电话号码前,检查过这些信息可以恢复。(反例:换电话卡,但是银行绑定的手机号还是旧号码。换手机,但是谷歌验证器里的一次性口令没备份)。
    3. 保持电话卡安全。设置 PIN 码(小心不要反而锁卡了)。如果要更换号码时记得看上一条——微信、QQ、银行卡等重要密码解绑。
    4. 保持操作系统、应用软件更新到最新版本。不用的软件可以移除,尽量保持系统干净简洁。
    5. 安装软件必须从官方应用市场,或者软件的官网下载。要假定任何第三方网站都是不安全的。
    6. 对“钓鱼”保持警惕——目前常见形态是电话、邮件、微信、QQ 等渠道发来诈骗信息、攻击软件等,因此无论发来信息的人是否熟人,不安装发来的软件(参考条目 5),如果涉及财物,先当诈骗观察、跟进。
    7. 使用合适的密码管理方法,重要的信息、站点(比如 2 里列出的内容),密码不要和其他一样。如果有很多密码,可以使用类似 1Password 这样的密码管理工具。密码的设置有不少技巧,可以搜一搜适当学习,找一种适合自己的。
    8. 设备(电脑、手机、移动硬盘等)不让不可信的人接触。比如离开电脑的时候要锁屏。
    9. 数据要定期备份,并且定期数据恢复演习。比如可以同时备份到移动硬盘/NAS 和云盘里,这样即使遇到一些不可抗力,数据损失也不会太大。
    10. 旧设备出售、转让前,彻底清除数据。
    11. 有双因素认证的重要网站,可以打开双因素认证。一定记得做好备份——避免手机遗失带来的损失。
    12. 尽量少用外界的免费 Wi-Fi。不可避免地接入第三方 Wi-Fi 的时候,避免使用 2 里的信息——比如,就不登录银行账户了。
    13. 使用社交媒体软件时,检查社交软件里的隐私设置,减少隐私信息的泄漏。比如,不发涉及个人信息——居住的小区、身份证、家庭照片等的照片。
    14. 如果使用 Windows 系统,需要安装防病毒软件。

    这篇文章写得有点枯燥,起因是有位读者给我私信,聊起他换电话卡之后,带来了一些安全上的困扰。过往之事不可追,纠结无益。

    当前国家对个人信息安全保护越来越重视,立法、执行都有很多优化,但无论如何,这些常识,任何时候知道,任何时候开始做,对未来都是有好处的。
    `

  19. Apple 上线个人安全用户手册
    Personal Safety User Guide for Apple devices
    https://support.apple.com/zh-cn/guide/personal-safety/welcome/web
    `
    # Welcome

    # Personal safety at a glance

    # Review and take action
    * Intro to review and take action
    * Manage sharing settings
    * Block unknown sign-in attempts
    * Document suspicious activity
    * Share or stop sharing your location
    * Stay safe with AirTag
    * Store your data securely in iCloud
    * How to control who can access your location
    * Delete suspicious content
    * Manage Family Sharing settings
    * Avoid fraudulent requests to share info
    * Securely control your Home accessories
    * How to Erase all Content and Settings
    * Restore the data you backed up

    # Safety and privacy tools
    * Intro to privacy and safety tools
    * Update your software
    * Set a unique passcode or password on devices
    * Set up Face ID on iPhone and iPad
    * Set up Touch ID
    * Identify and delete unknown fingerprints on your iPhone or iPad
    * Add or delete fingerprints on your Mac
    * How to keep your Apple ID secure
    * Set up two-factor authentication
    * Set up an account recovery contact
    * See how apps are accessing your data
    * Manage your privacy settings
    * Block calls and messages
    * Clear your browsing history
    * Use Private Browsing mode
    * Emergency calls and emergency SOS on iPhone

    # Personal safety checklists
    * See who has access to your device or accounts
    * Stop sharing with someone
    * Control how someone else can see your location

    # Copyright

    ==
    # 欢迎

    # 个人安全一目了然

    # 审查并采取行动
    * 介绍审查和采取行动
    * 管理共享设置
    * 阻止未知的登录尝试
    * 记录可疑活动
    * 分享或停止分享您的位置
    * 使用 AirTag 保持安全
    * 将您的数据安全地存储在 iCloud 中
    * 如何控制谁可以访问您的位置
    * 删除可疑内容
    * 管理家庭共享设置
    * 避免欺诈性请求共享信息
    * 安全控制您的家居饰品
    * 如何删除所有内容和设置
    * 恢复您备份的数据

    # 安全和隐私工具
    * 隐私和安全工具简介
    * 更新您的软件
    * 在设备上设置唯一的密码或密码
    * 在 iPhone 和 iPad 上设置面容 ID
    * 设置触控 ID
    * 识别并删除 iPhone 或 iPad 上的未知指纹
    * 在 Mac 上添加或删除指纹
    * 如何保护您的 Apple ID 安全
    * 设置双重身份验证
    * 设置帐户恢复联系人
    * 了解应用程序如何访问您的数据
    * 管理您的隐私设置
    * 阻止电话和消息
    * 清除您的浏览历史
    * 使用隐私浏览模式
    * iPhone 上的紧急呼叫和紧急 SOS

    # 个人安全清单
    * 查看谁有权访问您的设备或帐户
    * 停止与某人分享
    * 控制其他人如何查看您的位置

    # 版权
    `

  20. 谈谈公司对员工的监控
    https://coolshell.cn/articles/22157.html
    `
    今天看到微博上有一个热点事件, 是一个关于某公司做的一个监控员工离职倾向的软件,从截图中可以看到员工访问招聘网站的次数,还有投递的简历以及搜索的关建词等等信息,通过这些信息分析员工的离职倾向。然后我发一个微博,说了一下,我以前工作过的公司无论外国公司还是中国公司都有这样的情况,收到一些人来问我相关的情况,所以,我想还是写篇文章详细地说一下,我对这种事情的看法。

    本文分成下面4个部分:

    # 1. 公司监控员工的技术手段有哪些?

    下面是我经历过的几个手段:

    1)通过网络嗅探的方式。也就是说,你只要上了公司的网络,你个人设备上的通讯信息就可以被人以网络抓包+分析的方式进行分析。当然,这样的手段已经不怎么好用了,因为现在的网络基本上都是HTTPS加密的,网络嗅探的方式只能知道你访问了什么IP,对于其中的数据是没有办法知道的。

    2)通过使用公司提供的软硬件工具。你使用公司的电子邮箱,浏览器(或是公司的代理服务器),通讯工具(包括语音电话),手机办公应用……等来处理你的个人事宜的时候,必然会被监控。这样,你只需要不要使用公司的软件来处理自己的私事就好了。

    3)通过安装一个监控程序。这个是最可怕的了,因为无论你加不加密都没用了。一般来说,你不安装这个程序,你就没有办法连上网络,包括公司内网和外网。这个监控程序,会收集你电脑或手机上能够收集的到的所有的信息,比如,你的网络信息,按键操作,录屏,软件数据……等等。

    4)办公区监控。我见过的还有使用摄像头,在会议室中安装声音和视频监控设备,对整个办公区内发生所有的事情进行监控。

    5)通过爬虫。通过爬虫分析员工的社交平台上的各种言论,包括招聘网站。除了公司需要分布和自己相关的舆情,同样也开始监控员工的行为和价值观等。这已经不是监控隐私信息了……

    # 2. 为什么要监控员工?

    所以,一般来说,公司监控的目的主要是为了自己的信息安全,还有员工的工作量评估,一般来说,不会涉及员工的隐私。

    但是,随着收集的数据越来越多,有些公司发现还可以做更多的事,比如,上述的员工离职倾向的分析。还有一些公司还会收集员工在外网的数据,比如你在社交平台上的各种言论,来分析你对公司的忠诚度和你的价值观取向……我个人觉得这些已经令人不耻了。

    # 3. 外企和国企有什么不一样?

    我经历过的公司中,外国公司和中国公司都有监控的经历,这里说一下他们的不一样之处。最大的不一样的地方是,外国公司会让你有知情权,而中国公司则完全没有。

    # 4. 我对此事的看法

    一方面,我对于公司通过使用监控软件监控员工的行为我是能够理解的,但是,应该让员工有知情权,并和员工明确一个监控的信息和范围,包括收集的数据的用途和安全措施,以及数据多长时间销毁的协议。如果没有这个协议的话,我觉得本质上就是一种流氓行为。

    另一方面,针对监控员离职的倾向来说,我实在不知道有什么意义?公司你知道了又能如何呢?你是要找员工作思想工作,还是要给员工更好的待遇,还是直接开掉?如果你对自己的企业有信心,你就不必担心员工会离开,如果你的企业有问题,你为什么不把心思花在建设自己的企业上来呢?安装这样的监控软件对于企业没有什么帮助,反而只会让你的企业的形象更low……

    再仔细想想,员工有一万种方法泄漏你公司的信息,无论你怎么监控,只要他想,他总是能够找到方法的,不是么?如何让找到或是培养有职业操守的员工,如何管理自己企业的商业信息,如何建立一个更好的企业文化让员工更有归属感,成为企业的共同体,一同维护共同利益,为企业着想,这不才是公司真正应该干的事吗?!监控员工充分暴露了这样的企业没有一个好的企业文化,不懂得高级的管理,所以,只能靠监控这样的手段来管理企业了……这样的企业不去也罢了。
    `

  21. 在macOS的命令行上如何快速加密/解密文件
    Simple built-in way to encrypt and decrypt a file on a Mac via command-line?
    https://superuser.com/questions/370388/simple-built-in-way-to-encrypt-and-decrypt-a-file-on-a-mac-via-command-line
    `
    # encrypt/decrypt args1 to args2 using 256-bit AES in CBC mode
    encx() {
    openssl enc -aes-256-cbc -salt -in “$1” -out “$2”
    }
    decx() {
    openssl enc -d -aes-256-cbc -in “$1” -out “$2”
    }

    # encrypt/decrypt args1 to args2 using 256-bit AES in CBC mode (output is base64 encoded)
    ency() {
    openssl enc -aes-256-cbc -a -salt -in “$1” -out “$2”
    }
    decy() {
    openssl enc -d -aes-256-cbc -a -in “$1” -out “$2”
    }
    `

  22. 微信聊天内容可以被监听吗??
    http://www.yunweipai.com/41296.html
    https://www.cnblogs.com/uncleguo/p/16203462.html
    `
    总结
    1.微信的聊天内容通过网络通信层次通常情况是无法被取得内容的。
    2.如果有迹象表明你具体的聊天内容,https浏览内容,被监听,99%的情况下,说明你的电脑被植入了监控软件(木马),尽快自查。
    3.及时进行系统安全更新,不要随意运行别人给你的软件,比如关系不好的老婆/老公,多数木马是通过这个途径引狼入室的。

    一、聊天软件应该保证的安全
    依旧是那个问题,当一款聊天通信软件宣传他是“安全”的,这里的安全的含义是什么?如果你作为产品经理,提几个基本的安全需求,可能应该包括:

    1.账号安全,不能被绕过,爆破等。就是保证用户的账号安全方面。
    2.传输安全,传输的内容,应该不能被窃听,不能被篡改。
    3.其他 :-)。

    二、上网行为管理审计原理
    安装监控程序,就相当于安装木马。微软windows系统是一个比较开放的系统,各进程间是没有隔离的,也不需要进行权限申请,一个运行的程序完全可以通过API对其他的进程窗体内容,内存内容进行抓取,拦截API调用。这类监控程序,本质就是木马,你在安装了监控程序的计算机上所进行的任何操作,都可以被木马服务器远程收集。

    应对这类监控,如果公司是明确要求,必须安装的,那你只能要么忍要么滚-_-||。如果公司是隐蔽进行的,你可以使用自己的设备,或者把公司的电脑彻底格式化,密码不要轻易泄漏,不要安装运行来历不明的程序。此外,监控程序也是运行于系统之上的,需要针对操作系统开发, 对一些小众系统可能支持不完善,或者受限于系统权限,不能实现监控功能,比如MacOS,Linux。这就是为啥MacOS的病毒,木马比较少。

    三、安全漏洞与系统补丁
    应对就是及时更新系统,及时更新补丁,当然也不要自己引狼入室,自己安装来源不明的程序(钓鱼文件),所以使用盗版软件,操作系统真的有风险!很多都被修改过,很可能有植入的木马。
    `

  23. MacOs Ventura系统加入多个安全新特性
    https://www.4hou.com/posts/PJ12
    https://thehackernews.com/2022/06/apples-new-feature-will-install.html
    `

    苹果在iOS 16和macOS Ventura系统中引入了快速安全响应特性,可以在无需整个操作系统版本更新的同时来安装安全补丁。该特性允许将系统关键安全更新与普通的软件更新分割开,系统安全更新可以自动完成,因此用户可以应对一些潜在的在野安全攻击。快速安全响应特性可以在无需系统重启的情况下,让系统保持最新的安全状态。其实,苹果早在iOS 14.5系统中就测试了类似的功能。

    最近删除的照片文件夹默认处于锁定状态,需要通过Touch ID或密码等Mac认证方法来解锁。

    `
    macOS Ventura adds powerful productivity tools and new Continuity features that make the Mac experience better than ever
    https://www.apple.com/in/newsroom/2022/06/macos-ventura-brings-powerful-productivity-tools-new-continuity-features-to-mac/

  24. 保护 Android 用户隐私,从这些事做起
    https://mp.weixin.qq.com/s/lo0vjuvYQ_cVEeM5Lk5oyg
    `
    本文将向您介绍关于 Android 在隐私方面的变化和最佳实践,帮助您主动为用户提供优秀的隐私保护。

    # 隐私保护三原则
    透明度——提升数据访问透明度,让用户知道应用在什么时间访问了哪些数据;
    控制权——简化用户控制隐私访问的方式,让用户方便地控制应用能访问更多或更少的用户数据;
    最小化数据访问——专注最小化数据访问,去除不必要的数据访问,减少应用的权限范围,避免应用泄露用户的数据。

    # 隐私保护最佳实践

    ## 关注数据访问
    应用访问传感器时的系统提示
    应用的隐私数据访问记录
    应用的数据使用说明
    应用读取剪贴板时的通知
    为更加透明的隐私访问做好准备

    综上所述,在开发应用时,对于数据访问需要注意以下几点:
    1. 只有在必要时才访问隐私数据。不必要的数据访问不仅会让用户感到困惑,还会增加隐私泄露的风险;
    2. 注意引入第三方库时添加的权限声明。您可以通过合并 manifest 来查看引入的第三方库声明了哪些权限。别让引入的 SDK 和第三方库导致您应用被下架!这篇文章为您提供了更多的参考信息;
    3. 切勿过度访问用户数据。对用户隐私数据的读取如果超过了用户使用的需要,就是对用户知情权和控制权的侵犯。

    ## 尊重用户选择
    更细致的位置权限选项
    全局权限开关
    通知显示权限

    补充了一些需要注意的事项:
    1. 在访问数据前,让用户充分了解您读取数据的原因;
    2. 做好用户和系统拒绝权限时的操作,当用户二次拒绝时,您应该尊重用户的意愿;
    3. 按需逐级获取隐私数据,不要一次性申请所有权限;
    4. 当用户拒绝或是撤销某项权限时,您需要让应用能无缝回退到无需权限即可运行的状态。

    ## 最大程度减少权限使用
    使用新的附近设备访问权限
    为应用设置智能应用休眠功能
    用好分区存储策略
    新的存储权限划分策略
    开发者可降级权限
    `
    Bilibili 视频链接
    https://www.bilibili.com/video/BV1g3411g7rC/

  25. Android 隐私设置最佳做法
    https://developer.android.google.cn/privacy/best-practices

    Android 应用安全性最佳做法
    https://developer.android.google.cn/topic/security/best-practices
    `
    * 强制采用安全通信方式
    ____* 使用隐式 Intent 和不支持导出的内容提供程序
    ____* 在显示敏感信息前索要凭据
    ____* 应用网络安全措施
    ____* 谨慎使用 WebView 对象
    * 提供恰当的权限
    ____* 使用 intent 转移权限
    ____* 在应用之间安全地共享数据
    * 安全地存储数据
    ____* 将私有数据存储在内部存储设备中
    ____* 根据用例将数据存储在外部存储设备中
    ____* 仅将非敏感数据存储在缓存文件中
    ____* 在隐私模式下使用 SharedPreferences
    * 确保服务和依赖项处于最新状态
    ____* 检查 Google Play 服务安全提供程序
    ____* 更新所有应用依赖项
    * 更多信息
    * 其他资源
    ____* Codelab
    ____* 博客
    `

    Android 网络安全配置 Codelab
    https://developer.android.google.cn/codelabs/android-network-security-config#0

    Android Protected Confirmation: Taking transaction security to the next level
    https://android-developers.googleblog.com/2018/10/android-protected-confirmation.html

  26. 个人隐私保护初版
    https://tom0li.github.io/%E4%B8%AA%E4%BA%BA%E9%9A%90%E7%A7%81%E4%BF%9D%E6%8A%A4/
    `
    * 个人隐私数据分类
    * 个人隐私数据保护思路
    * 个人隐私保护具体问题
    ____* 浏览网站
    ________* 浏览器指纹
    ________* 浏览器证书
    ________* 使用DoH后隐私安全问题
    ________* 什么是SNI
    ________* ESNI加密原理
    ________* 使用ESNI就安全了吗
    ________* ECH
    ________* WebRTC IP Leak
    ____* 通信加密
    ________* GPG
    * 其它可能碰到的问题
    ____* 个人历史注册信息找回
    ____* IOT侧安全导致的信息泄漏
    ____* 酒店安全
    ____* 网约车安全
    ____* 日常生活隐私保护策略
    * 小结
    * 参考

    我把个人隐私大概分为几类:
    1. 可导致严重问题的隐私数据,可以通过该数据判断该人人品、喜好、弱点、身上的特性、家庭背景等,可以对其进行行为预判的数据。
    2. 敏感数据泄漏,包含个人基本信息情况。比如身份证、姓名、家庭住址、工作、个人图片、虹膜、指纹、步态等敏感数据。
    3. 不太敏感信息,但可以把不同数据关联,定位个人。比如浏览网站时浏览指纹信息、关联昵称、关联邮箱、关联社交账户等把很多信息关联起来可以定位是哪个人。
    4. 其它信息,作为第三条的补充。

    个人隐私数据保护思路
    由于互联网设施的不安全,导致个人隐私数据实时泄漏。在已经泄漏的情况下,介绍几个保护思路
    1、混淆数据,通过泄漏适量的假个人基本信息数据,多个身份活动。
    2、通过精心构造的假数据,把不同的假数据关联起来,减少来自批量数据挖掘的伤害。对于定点攻击,公民几乎没有办法。
    3、对已泄漏的数据,要解决以后泄漏数据的问题,如果可以弃用服务商,实时更新假数据并弃用,如果数据不重要可以注销账户。

    # 酒店安全
    简单介绍一些住宿酒店的安全事项
    1、准备多个身份,不细说。
    2、人脸识别伪造
    3、堵猫眼
    4、挂上门锁链
    5、检测双面镜
    6、检测摄像头。摄像头一般在好的角度的位置、不好发现、可持续录制的地方。
    7、酒店选择。看偷拍的出发点,偷拍地点一般选学校附近、景点附近。酒店类型多是主题酒店,房型多是大床房。尽量避开。
    8、干扰偷拍结果。偷拍比较看中质量。假如是画面黑暗、模糊、没有拍到想要的位置。
    9、开门检测,用椅子支下,开门有声音。门锁门卡默认不安全。
    10、洗浴和上厕安全,有透明材质的玻璃,可看到室内发生的情况。
    11、规划逃生路线

    # 日常生活隐私保护策略
    1、多重身份信息
    2、多个步态信息
    3、输入密码时用东西挡着屏幕
    4、戴眼镜/帽子

    # 小结
    个人信息保护主要落脚点是保护可导致严重问题的隐私数据,要把主要精力放在这上面。
    `

  27. 你正在被盯着。私人和国家支持的组织正在监控与记录你的网络活动。这里提供一些知识与工具以保护个人隐私抵抗全球大规模监控。
    https://cybermagicsec.github.io/privacytools-zh/

    Nothing to hide argument
    https://en.wikipedia.org/wiki/Nothing_to_hide_argument

    How do you counter the “I have nothing to hide?” argument?
    https://www.reddit.com/r/privacy/comments/3hynvp/how_do_you_counter_the_i_have_nothing_to_hide/

  28. Apple expands industry-leading commitment to protect users from highly targeted mercenary spyware
    https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/
    Apple 扩展行业领先的安全承诺,保护用户免遭具高度针对性的间谍软件侵害
    Apple 宣布将发布突破性的安全功能,为可能成为高度针对性网络攻击目标的用户提供特别的额外保护。这些网络攻击来自唯利是图、受国家支持开发间谍软件的私人企业。Apple 同时宣布将拨款 1000 万美元,用于支持揭露此类威胁的研究
    https://www.apple.com.cn/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/
    `
    Lockdown 模式发布时将包括下列保护功能:
    * 信息:除图片之外的绝大多数信息附件类型将被拦截。链接预览等部分功能将被禁用。
    * 网络浏览:just-in-time (JIT) JavaScript 编译器等部分复杂网络技术将被禁用,除非用户在 Lockdown 模式中设置受信站点白名单。
    * Apple 服务:向用户发起的 FaceTime 通话等邀请与服务请求将被拦截,除非用户此前向对方发起过通话或请求。
    * iPhone 锁定时,与电脑或配件的有线连接也将被拦截。
    * Lockdown 模式开启后将无法安装配置文件,且设备无法加入移动设备管理(MDM)。
    `

    苹果刚刚出的这个新模式,能让你的 iPhone 拥有总统级的安全性
    https://www.ifanr.com/1499498

  29. 被 v 站隐私保护吓晕,想请教对隐私保护和信息安全比较在意的各位都做了什么措施?包括但不限于文件加密、密钥管理,或者仅仅是普通的保护隐私的手段。
    https://www.v2ex.com/t/910294
    `
    Question:
    在 v 站搜隐私保护相关内容,看到有个站友在 bitlocker 的硬盘上开 veracrypt 里面装虚拟机,在虚拟机里面开 kvm 再套虚拟机(记不太清了,总之套了两三层)
    起因是加了一个群,里面的人天天折腾 DNS 分流到夸张的程度,具体就每天发 whoer 和 dnsleaktes 测试截图,只关注 dns 分流还好,最离谱的是有人甚至没搞清楚 dns 泄漏的概念(甚至 dns 是什么都没弄清),因为有一天有个人发 dnsleaktest 截图并表示 “这个上面的 ip 一个都不是我的,所以我配置的 dns 分流一点泄漏都没有”。
    第二是遇到另一个群友,他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站。震惊了。
    后来查了查相关资料,发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的,震惊 ++
    打算装个杀毒软件,查资料查到一个杀软论坛里,发现里面居然有人同时开两个杀软,原因一个查杀强一个主防强,震惊 >> 1
    所以好奇想知道,比较在意隐私和信息安全的各位,日常都做了一些什么防护措施呢?
    鉴于每次隐私相关话题的讨论都会偏离,所以先约定下面几点:
    “你的隐私 /信息有什么价值”“谁在乎你那点东西”党请直接退出这个帖子。
    如果有什么看法,请只针对别人的措施的有效性进行讨论,而不是讨论“有没有必要”或者进行人身攻击。
    希望能够说明一下是在特殊情况下使用还是日常情况下使用。

    Answer(s):
    我有时候会焦虑我的隐私,然后折腾到跟上面一样,有时候无所谓到什么都不在乎,看人吧,搞累了就不想搞了
    ==
    我做了:
    1 、用 KeePassXC 为管理网页的强随机密码
    2 、能开 TOTP 的都开 TOTP
    3 、用 Yubikey 的 gpg-agent 作为 ssh 私钥
    4 、Windows 系统盘开 Bitlocker ,Linux 没管
    5 、路由器部署 AdGuard Home ,不设置过滤列表,仅作为 DoH 使用
    ==
    安不安全看自己的行为,我为了方便平时都把密码存在浏览器里,不安装乱七八糟来路不明的软件,杀毒就装个火绒,有风险的程序或网站我会在虚拟机或 tor 网络下使用。
    ==
    类似于那些所谓的生存狂囤积狂,满脑子都是明天就要全球种蘑菇了全球生化危机了
    反正我是觉得正常人除了选个适合自己的密码软件,比如 1password ,其它真没啥好操心的
    ==
    服务端用户管不着,传输过程能控制的也不多,国内除非用不了什么正经 VPN ,只能折腾点 DoH 或者代理。**客户端其实最重要:不该装的软件不要装,时不时留意下操作系统进程列表,不要运行来历不明的软件,有必要把东西扔虚拟机里等。**

    VeraCrypt 这个取决于你是想藏东西还是加密东西,如果是后者用操作系统内置的加密分区就好,macOS 还可以支持共享大小的加密 APFS 卷宗,第三方软件没必要还麻烦。用什么手段保护安全和个人身份确实是有点关系,比如大部分人可以信任干净的 Windows 或者 macOS ,但一些人就不行。富人可以打造自己的一套方案,对普通人反正就是隐私跟便利一个多点另一个就少点。

    > 他表示只用 Firefox 隐私标签页,相当于每次关掉浏览器都要重新登陆所有网站

    我一直这么干,但原因不是为了隐私,是某些要求 SSO 的网站登录态处理有 bug ,每次重开隐私窗口登录反而方便。其他情况身份标签页足够了其实。

    > 发现苹果的 t2 和 微软的 bitlocker + tpm 居然都是可以被破解的

    特殊个体也许需要担心被针对性攻击的风险,但普通人需要注意的是群体伤害技能。苹果微软也会做针对性升级,攻守双方达成平衡。

    其实 YubiKey 真的是个好东西,这种智能卡设备如果能广泛利用对隐私和安全都大有助益。但各大网站和软件对它做适配的动力似乎不强。别说更新的 WebAuthn/PassKey ,就是上一代的 FIDO 协议支持的网站都不多。还有密码管理器,既然 OS 可以用支持 PIV 的 YubiKey 解锁,那密码管理软件也应该可以,但没人做。

    总之把隐私保护比作个人对病毒的防护就好理解了:有人无所谓,有人很注意,有人只是享受这个消毒的过程。
    ==
    主要是看你要防谁,还是单纯想成为大家都不保护隐私就你保护了之后特殊的靶子

    第一个问题展开就是防国家还是防有心人
    鉴于有心人能使用国家手段
    直接建议所有账户裸奔,只保护特定账户

    第二个问题举个例子,抽查的时候发现某个人隐私都被保护起来了看不到,据了解是个程序员,特别注重信息安全,妥妥的要重点监控,重点破解

    所以只有特别的账户需要隐私保护,并且在整个流程上做好保护就好了

    群里大佬(在国内且只防止隐私泄露给国内):准备专用的一套硬件,不够买面向国内销售和在国内生产的硬件,不直接连接国内的互联网进行上网,至少套软路由全局翻出去,落地鸡只买大厂的,要 ip 被墙的,再手动屏蔽国内 ip 段,手机的话要么永远不插卡,要么准备专用的没在任何设备上用过的国外运营商手机卡,不安装任何第三方应用,不安装国内厂商的应用

    隐私保护失败的案例:破娃,编程随想,了解他们被开盒的过程,可以总结很多经验

    我的做法:
    日常用同一个账户 id 保证活跃,因为很多原因不得不实名裸奔,既然这样就保证一个和普通用户一样的裸奔画像,但是来历不明还必须用的程序会丢虚拟机
    特殊情况下开虚拟机登录其他账户,划分账户用途和使用范围,坚决不搜索另一个账户
    翻墙用自己的小鸡做落地,出口 ip 保持不变,换账户走单独的出口,保证 ip 无关联

    当我是个正常人的时候,我就是一个路人,开盒就开盒,那个身份我直接是公开的,就是纯粹的被人欺负了
    而真正需要保护的东西会单独放一边,慎重的使用,要知道没有攻不破的系统,只有自己小心再小心
    ==
    我的话
    1 、全盘加密 /BitLocker 必开,但是其实 T2/BitLocker 也就防一个电脑被卖出去之后数据被提取,对于拿到你整个电脑的来说是防不住的
    2 、KeePass 进行密码管理,能开 2FA 的开 2FA ,支持 YubiKey 的就用 YubiKey 登录
    3 、浏览器安装「隐私罐」、开启「仅 HTTPS 」模式( Firefox )
    4 、不在非虚拟机中安装国产软件
    5 、手机双机隔离,美版 iPhone 装国外软件、插美国卡,国内小米手机装国产软件、插国内卡
    6 、远程连接到 HomeLab 使用 Wireguard
    7 、不使用 IM 传输敏感信息,使用开源的二维码制作 /扫描软件传递 key

    另外,感觉你的「约定几点」其实是不可避免的,因为讨论「有效性」必然会变成「有没有必要」——「无效」的安全措施自然就「没有必要」了。
    更不必说,被动和强制的隐私泄露,是任何人都不可避免的——被单位、学校、社区泄露的信息,以及在一个国家掌握所有公民个人信息的国家,隐私的泄露是不可避免的。
    ==
    信息安全的要义是先明确威胁源。最少分成三种

    脚本小子之类的大面积无特定目标的攻击:多数朋友只需要防范这个就行了。
    针对个人的远程攻击:前提是你有被专项攻击的价值,比如有很多比特币,墙外意见领袖之类,涉嫌违法犯罪等。
    线下物理攻击:可以直接接触设备甚至威胁个人。

    后两种中,混淆比加密可能还要更重要一点,折腾翻墙的都懂。
    ==
    楼上可能都忽略了一个细节,DNS 通信流量是明文传输的,他们不一定知道你看了什么内容,但知道你看了哪个网站,所以 DNS 可能才是泄露隐私的大头。可以用 DOT 或者 DOH 。
    ==
    点进来之前以为说的是 v 站要验证手机号这回事……

    本地加密前面说过了,我补充一个身份隔离: 国内刚需手机号;国外普通业务用 gmail ; github 和对外工作邮件用 proton ,密保手机号 2 与国内手机号隔离;内网使用私域凭证,且不保留上述两个身份的凭证。我还有个匿名的身份套件( gv/邮箱 /密码),与所有身份存储系统断开,只用隐私模式登录
    ==
    看你防谁,主要分两类
    防非法分子(包括卖数据的等等)主要靠多重验证,更新安全补丁等等
    防合法分子(比如 gov 和各种广告服务商)主要靠隔离,敏感数据用单独浏览器,尽量走梯子,笔记本摄像头物理遮挡,国产软件使用替代品或绿色精简版等
    ==
    涉密不上网,上网不涉密。谨记这五字,别的管不着。
    ==
    1.Bitlocker 该开就开,涉嫌违规的信息再用 cryptmator 加密一遍(主要方便网盘同步)
    2. totp 应开尽开
    3. 外网内网浏览器分开(主要是方便分流),广告屏蔽插件正常启用。
    4. firefox relay 保护真实邮箱地址。
    5. keepass 密码+文件主密钥保护强密码

    不过虽然我理解 op 加粗的意思,但想提醒 op“有没有价值”是个人隐私非常重要的一个问题。包括你觉得安全的各种加密其实在暴算面前也都是时间成本问题,以及你为了加密额外付出的便利性成本这都是要考虑的。
    ==
    做了 dns 分流走自建服务之后其实就不存在别人知道你看了哪些网站
    我个人主要是防止被社工,所以所有的站点和 App 都(尽量)用不一样的用户名和密码( bitwarden 生成),邮箱用一个只用来接验证码的,然后转发到私人邮箱,以及尽量不留明文联系方式和能永久存在个人信息的图片
    ==
    我还好,就只是单纯的将所有浏览器设置为退出清除所有浏览记录,吐槽下 Chrome 多少年了还不支持这个功能
    `

  30. 什么是数据隐私?
    https://www.kaspersky.com.cn/resource-center/threats/internet-and-individual-privacy-protection
    `
    # 互联网是对隐私的威胁吗?

    **数据就是金钱,这是您的在线隐私受到威胁的主要原因。**

    例如,了解您的浏览习惯或搜索历史记录,可以给广告商带来很大的利润。如果您一直在寻找新公寓,您的搜索历史记录可能会提示广告商您很快就要搬家了 – 是时候开始向您投放搬家服务、家具、DIY 商店和家庭保险的广告了。

    虽然这是对您的数据的合法使用,但对于犯罪分子来说,个人数据也很有价值。暗网上已公开出售信用卡详细信息,因此,如果黑客能够设法获得航空公司预订系统或电子商务网站的客户数据库的未经授权的访问权限,那么他们就赚大了。

    您在网上发布的任何信息都可能被恶意使用。因此,请务必注意保护您的在线隐私。我们看一下为什么互联网隐私非常重要,以及如何帮助您保护在线隐私。

    # 什么是互联网隐私,为什么它很重要?

    互联网上的隐私泄露会构成真正的危险。例如,您的医疗状况可能在未经您的同意的情况下被分享,或者您的银行数据可能被提供给第三方。您的电子邮件可能被黑。您的身份可能被盗。

    风险远远超过大多数人的意识,因为人们不知道接下来数据可能会发生什么。大数据的发展意味着可以对您的浏览历史记录进行分析,得出您不想看到的结论。例如,一名女性购买了叶酸补充剂和无味保湿霜等商品,她可能不会想到营销顾问公司能从她的购买或搜索历史记录中推算出她已怀孕。

    如果她与父母住在一起,或者还没有告诉她的伴侣,她可能不愿意在邮件中看到“恭喜您的宝宝出生!”之类的营销材料。

    这只是一个例子,说明互联网隐私问题要比保护您的银行账户信息或社交媒体帐户更加深远。只要您访问网站或下载应用程序,有关您的数据就会被存储 – 可能未经您同意,而且您甚至毫不知情。您可能想知道这些数据的去向和被如何使用,或者您可能决定避免这些数据被收集在一起。

    # 如何保护在线隐私 – 通讯

    保护在线隐私的一种方法是确保通信安全。无论搜索网页、发送电子邮件还是使用手机上的 GPS 应用,都与服务器交换数据,您需要在数据移动过程中保护这些数据。

    # 如何保护在线隐私 – 不被跟踪

    # 如何保护在线隐私 – 选择放在网上的内容

    您不必将所有内容都放在网上。您可能不希望您生活中的某些方面被所有人都知道,原因可能很单纯;有些人觉得自己的中间名很尴尬,或者只是有些业余爱好不想在工作场所分享。您应该仔细考虑要将那些内容放在网上以及谁能够看到这些内容,从而保护在线隐私。

    没有安全就没有隐私

    虽然我们重点介绍了如何保护在线隐私,但首先必须确保在线安全。在线隐私和在线安全是紧密相关的。我们已经讨论了如何保护与互联网的通信,但是您还需要保护用于访问网络的设备,无论是笔记本电脑、PC、智能手机还是平板电脑。

    以下是一些有关如何确保设备安全的窍门:
    * 安装受信任的反病毒和反恶意软件。反黑客软件将确保您的设备免受常见威胁的侵害,例如键盘记录程序、勒索软件和木马。我们推荐使用卡巴斯基全方位安全软件,提供最全面的黑客和恶意软件防护。
    * 确保定期更新操作系统和其他软件,尤其是在发布安全补丁时。黑客经常使用过时软件中的漏洞作为入侵方式 – 不要给他们机会。(注意:如果您使用不再受支持的操作系统,例如 Windows 7,其支持已在 2020 年 1 月结束,则您应将其替换;它是黑客最容易攻击的目标。)
    * 小心您点击的内容。黑客经常通过发送伪造的电子邮件来“网络钓鱼”,这些电子邮件声称来自银行或 eBay,但会转到另一个网站来窃取您的登录凭据。请仔细阅读电子邮件地址,查看页面来源,并将鼠标悬停在链接上查看链接的指向。其他网络钓鱼企图旨在让您点击照片或新闻的链接,但当您这样做的时候,恶意软件会加载到您的设备上。
    * 确保保护智能手机。使用屏幕锁和 PIN 防止未经授权的访问。不要对其越狱或破解 root 权限 – 这可能会让黑客有办法覆盖您的设置并安装他们的恶意软件。最好下载一个可以让您远程删除手机上所有数据的应用 – 如果手机被盗,激活该应用可确保数据安全。
    * 下载应用时,检查它们需要的权限。如果一个应用要求访问摄像头、麦克风、定位服务、日历、联系人和社交媒体帐户,那么它对您的在线隐私构成了潜在威胁。一个知名案例是,Pokémon Go 要求的权限实际上能查看和修改用户的 Google 帐户中除密码以外的几乎所有内容 – 这个问题很快通过能限制所需权限的更新得到解决。
    * 删除不再使用的数据、程序和帐户。运行的程序或应用越多,其中之一被侵害的机率就越大。
    * 使用强密码来保护设备、互联网访问和帐户。最好的密码管理器甚至会为您的每个帐户创建完全随机的超强密码。但是无论如何,都不要丢失密码管理器的主密码。
    * 每六个月左右更改一次密码也有助于减少帐户被黑的机会。
    * 尽可能使用双重身份验证来保护在线隐私和安全。这样可以通过要求除密码外的另一种形式的 ID 验证来增强安全性,例如发送到手机的短信码、指纹或可通过 USB 插入的安全加密狗/密钥。

    监视您的隐私,以防出现任何漏洞

    您可能在保护互联网隐私方面做得很好,但是负责在另一端保护您的隐私的公司也需要做好工作。有时,安全性出现漏洞,客户的个人数据被泄露或破坏。尽管各公司通常会制定危机管理计划,让他们与客户进行沟通并在出现漏洞时将事情处理好,但是您可以采取多种措施来保护自己。

    首先,确保定期监视财务帐户。记录任何意外的交易或提款并对其提出质疑;它们可能是没有问题的(例如,晚了一个月处理的直接借记),但也可能表明您的账户已被入侵。

    还要检查您的信用报告。如果您的个人详细信息已被用于身份盗窃,您的信用报告将显示是否有人试图以您的名义申请信贷。如果您很机智,这不会花您一分钱,因为三家信贷机构(Equifax、Experian 和 TransUnion)都必须每 12 个月提供一次免费报告。

    当您得知可能影响您的数据泄露时,请更改该账户的密码。您可能还想更改其他账户的密码,尤其是它们与被入侵的账户所使用的密码相似时。同时要更改安全问题的所有答案,即使这意味着您必须为母亲杜撰一个新的婚前姓,以及为第一个宠物起一个新名字。或者使用一个安全的密码管理器,帮助将密码保存在一个地方并加以保护。

    对于来自声称出现泄露的公司的电子邮件,不要回复,也不要按要求使用电子邮件中的链接更改您的凭据或拨打某个电话。这些可能是网络钓鱼企图。而是应该使用公司自己的网站,或拨打您已经拥有的公司电话号码,以确定是否确实存在泄露。
    `

  31. 微信到底了解我多少?
    https://www.v2ex.com/t/985506
    `
    了解我的兴趣爱好,从我加入的 qq 群和微信群;

    了解我的脾性,从我与亲人的对话,甚至吵架中;

    了解我爱吃的东西,从我经常微信付款的小吃店、快餐店;

    了解我的消费习惯,从我常下的馆子、购衣店、快餐店;

    了解我的政治倾向和素质,从我爱看的公众号;

    了解我的性趣爱好,从我爱看的小姐姐小哥哥;

    了解我的行踪,从我在各地留下的“踩点”记录;

    了解我的职业技能,从我在各种工作群中的聊天沟通;

    了解我的职场轨迹,从我加的各种工作群;

    了解我的工资,从发给我的电子工资单;

    还有什么是它不了解的吗?
    ==

    了解自己的身份信息、生物信息,从那些微信提供的人脸识别、实名认证(了解你的长相,很多服务需要人脸识别验证)。

    它比你更了解你

    配合 AI 我想它们如果想,就可以预测出你明天、下周、下个月的生活轨迹

    你说的这些只是原始数据,还没做数据分析呢,分析后的才是重量级。

    **微信不仅拥有你所有数据,还拥有你关系网里其他人所有数据**,换句话说,微信跑一下分析就能估算出你在这个社会上处于什么位置,有几斤几两,比任何人肉手段都牛逼。

    只要他想,他就完全了解你,比你和你所有亲近的人更了解你

    不如把问题改为:微信还不了解我什么?

    腾讯不知道,就说阿里吧,之前有个同事在那边做用户画像相关的工作,他自己没跟我们透露过什么。但是就他自己来说,从来不用阿里系的任何东西,出去点餐预定都用假手机号假姓名

    微信这才哪到哪,这只是社交产生的信息。
    韩国三星集团从你出生到工作到最后病死,全程掌握你的一切。
    `

  32. 网络分享注意自我保护
    `
    @Yundor:昨晚刷到一个海外职场博主宣布停更的动态,我好奇的点进去,以为她只是工作太忙才如此。

    她在动态里写到,过往毫无顾忌的分享了很多工作和生活在网络上,但也自以为把自身保护得很好。

    直到有天上级告诉她,有个叫Lily的女士写邮件给了他,内容是指控这位博主在小红书上引诱中国人去海外工作,伪造自己在海外公司上班且一片祥和的假象,并且附上了她的主页链接和其它个人信息。
    这封信还有一个段落对上司发出疑问:“如果博主在小红书中所描述的清闲工作氛围是真的,贵司如此低密度的工作氛围真能支撑起产品质量吗?”

    她知道这件事后非常吃惊,因为她的确是个幸福度特别高的人,更没有做过海外中介内推类业务,所以对这封邮件里的恶意揣测和隐私泄露感到不可思议和无力承受。

    我也为这位博主感到遗憾,因为她粉丝量并不多,就一千多个粉丝,过往分享的动态也只是在海外生活上班时的有趣小瞬间而已,但还是经历了这样的事。

    把这条动态也转发给了在大厂上班的妹妹,因为她在社媒上也有点放飞自我。
    她说:“唉,我刚想跟你说,昨天我吐槽公司的动态,被老板的+2领导刷到了。”

    我表示:“你这还算好的,三年前我有个不算熟的网友,她也是在大厂上班。因为她能力好且性格乖巧听话,特别受领导喜爱,她也会很感恩在社媒分享出来。直到有天,某个职场app有匿名人士把她的所有动态贴了出来,并且指控她跟领导有不正当男女关系,所以才会那么受器重。”

    在网络上,会有很多单向关注者对你“移情”,但你并不自知。

    也许在你看来,对方只是一根网线隔着的陌生人。但对对方而言,已经对你产生浓烈兴趣和爱恨情仇了。
    `

  33. 数据安全的内部和外部视角初探
    https://www.secrss.com/articles/11637
    `
    在昨天推送的文章【《数据安全管理办法》的监管诉求及文本改进建议】中,许多朋友觉得所谓的“新数据安全”很扎眼。

    传统的数据安全就是如何保护数据的完整性、保密性、可用性,业界统称CIA三性。因此,有一种观点认为《数据安全管理办法》中所谓的“新数据安全”的规定,是越厨代庖了,根本不是数据安全的事情。

    对这样的观点,公号君有不同的看法,借着这篇文章和大家讨论。公号君曾在【“数据安全管理视角下的数据分类研究”立项汇报】中提出了数据安全的基本要求存在两个层次:

    一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性,以及避免数据泄露、损毁、篡改、丢失等安全事件,对个人、组织、社会、国家造成。此即数据安全的内部视角。

    二是“新的数据安全”:在数据处理过程中,管控数据滥用行为对外部可能造成的危害。此即数据安全的外部视角。

    第二个层次“新的数据安全”中的外部又可以分解为:

    1. 个人安全:即数据滥用行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。

    2. 组织安全:即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。

    3. 公共安全、公共利益、公共秩序:即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。

    4. 国家主权、安全、发展利益:即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。

    为什么有所谓的第二层次,原因就是技术、关键信息基础设施、数据在不发生CIA三性的情况下,被滥用而导致外部危害的例子越来越多。

    肯定也会有观点认为:外部视角还是不用数据安全来管,其他各种既有、现成的法律法规,已经在保护数据滥用侵害的法益(即上述四方面)。公号君觉得该观点一定程度上是对的,但保护上述法益的既有、现成法律法规,在制定时并没有考虑互联网、信息技术、人工智能、大数据等可用于实施不法侵害的“手段”,保护法益仅从目的着手而不考虑“手段”,不仅会造成法律适用的不确定性,还会造成保护不周延的情况。当然,这是个大题目,得通过学术论文来开展论证。

    其实不仅数据是这样,关键信息基础设施也是这样,存在一个内部视角和外部视角。

    内部视角也是保护关键信息基础设施(CII)足够的安全防护能力,以及在遭受安全事件后恢复得足够快。总的来说:保障CII持续运行的resilience,以保障国家、经济、社会、人民学习生活的正常运转。

    外部视角,在【被武器化的大数据】这篇文章中,公号君有所论述:

    Facebook在美国大选问题上饱受指责,原因是美国不少人认为其被俄罗斯利用了。

    上面是发生在国外的事例,昨天公号君在读到一篇文章【头条的官司与互联网时代的个人隐私】时,发现了另外一个发生在国内的例子,非常有意思。从这篇文章中摘录如下:
    说了这么多枯燥的逻辑,我给大家讲讲现在的黑产们是怎么用个人隐私配合通讯录抓取来牟利的。

    都知道现在流行的二类电商吧?不同于猫狗多多这种完整的官方集中管理模式,只有一个单页,没有APP,没有售后,只有一个单页,很多三无产品,黑五类产品都靠二类电商发财。网红拍一堆小视频,直接挂着二类电商的单页卖,吸引大家冲动消费。之前特别火的抖音三无大虾事件,就是二类电商在头条电商平台上搞的鬼。

    那么如何利用二类电商在抖音上赚钱?

    都知道抖音的通讯录推荐功能吧?就是读取你的通讯录,把你看过的/发布过的短视频推荐给你身边的人,之前我被人盗图做了减肥药视频,就因为这个功能,搞的我整个朋友圈都以为我在卖减肥药。

    所以你看,我们现在知道了2件事情。1.二类电商在短视频平台卖三无产品容易赚钱。2.抖音会读取用户通讯录,自动给通讯录里的人推荐你发布或者观看的视频(功能需要用户同意开启)。

    OK,骚操作来了。

    黑产们通过黑产渠道购买大量定向用户信息,只买号码。例如4S店车主信息,商品快递信息,装修业主信息,学校学生家长信息之类的,过去这些号码买来都是打骚扰电话做营销的,现在有更好玩的玩法。

    当获取到这些信息之后,黑产们会利用软件,把这些信息都录入准备好的手机中,然后伪造通讯录,通话记录,短信记录,都是十来块就能买到的软件。

    手机A里全都是学生家长的联系方式,通话记录,短信。

    手机B里全都是车主的联系方式,通话记录,短信。

    手机C里全都是网购过零食的买家的联系方式,通话记录,短信。

    然后给手机ABC安装抖音,所有权限开放。然后开始不停的发布带二类电商的广告短视频。

    手机A就发布网络教育类视频。

    手机B就发布车辆配件,汽油类视频。

    手机C就发布美食推广类视频。

    抖音会自动拿到你的通讯录和相关信息,然后就会给里面的号码主人,推送相关的短视频,他们会刷到 “你在对方通讯录”、“你们有共同好友”的视频。

    要知道这些被推送的号码主人可都是精准筛选过的用户,他们的需求是精准的,他们的转化率会非常高。更厉害的是,这些被精准筛选过人,他们的通讯录中同样潜在着大量的精准用户。

    例如学生家长或者老师的通讯录里,必然还有大量的老师和学生家长;有车一族的通讯录里可能有大量车友会的人的号码。

    只要他们给视频点了赞或者产生了购买,甚至只是完整地看完。那么他们通讯录里的人,也会收到这种推送,也会被诱惑购买产品。

    然后再一层关系网,再一层关系网,循环下去。

    最终,只需要一些号码和软件,就可以进行短视频平台的精准推广。

    二类电商产品的毛利本身就高,虽然大部分都要交给平台,但利润依然非常可观。而平台本身也乐见其成,因为反正坐着收钱,而且还是大头。

    至于被骚扰的用户,信息被泄露的用户的权利,谁在乎?没有人在乎,甚至这些人都不知道自己的信息是怎么泄露的。当你刷短视频刷到莫名其妙的好友推荐的广告时,一定要警惕,你的信息可能已经被拿来玩儿出花样了。

    是不是和Facebook平台上发生的事情有异曲同工之妙?当然,任何主打社交推荐的平台均有上述风险,关键信息基础设施安全和数据安全的外部视角,我们不应该忽略。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注