“我們團隊決定無條件刪除數(shù)據(jù)庫,在未來不打算再出售任何有關Acfun的數(shù)據(jù)和漏洞……”13日深夜,暗網(wǎng)上一條《關于不再出售Acfun數(shù)據(jù)庫的說明》引起互聯(lián)網(wǎng)安全行業(yè)的廣泛關注。至此,深受二次元愛好者青睞的“A站”算是緩了一口氣。
在此次A站受攻擊事件之后,網(wǎng)民的焦慮情緒再次被點燃——我們在網(wǎng)站里儲存的個人信息和數(shù)據(jù)還安全嗎?誰能保護我們的“網(wǎng)絡隱私權”?
A站被黑折射網(wǎng)絡空間的數(shù)據(jù)保護之困
近日,以提供二次元視頻內容為主營業(yè)務的Acfun發(fā)布了一則《關于AcFun受黑客攻擊致用戶數(shù)據(jù)外泄的公告》,稱其網(wǎng)站中包含用戶ID、用戶昵稱、加密存儲的密碼等信息的近千萬條用戶數(shù)據(jù)外泄。
盡管有自稱為“攻擊者”的黑客在暗網(wǎng)上發(fā)文稱將刪除有關數(shù)據(jù)信息,并不再傳播販賣獲取的用戶數(shù)據(jù),但仍有不少網(wǎng)友認為,應該根據(jù)去年頒布的網(wǎng)安法來追究“攻擊者”的責任,同時對A站疏于用戶數(shù)據(jù)管理的行為做出處罰。
“是否應該追究網(wǎng)站責任應該視情況判斷。”360企業(yè)安全研究院院長裴智勇認為,如網(wǎng)站此前接收到漏洞報告卻沒有主動處理,并缺乏日常安全維護工作,或者在發(fā)生安全事件后并未告知用戶,就需要承擔相關法律責任。
裴智勇指出,網(wǎng)站管理和維護人員缺失安全防護意識是造成用戶信息數(shù)據(jù)泄露的重要動因之一。這從去年勒索病毒爆發(fā)事件中就可看出端倪,2017年3月14日微軟發(fā)布相關安全補丁,到當年5月12日WannaCry勒索病毒的爆發(fā),政企機構的安全人員有58天時間完成布防工作,然而從之后一些關鍵信息基礎設施遭到破壞的結果來看,一些政企機構的安全防護意識和能力顯然和其掌握信息數(shù)據(jù)的數(shù)量是不匹配的。
裴智勇以“四不印象”總結了當前一些互聯(lián)網(wǎng)企業(yè)和政府網(wǎng)站工作人員的安全防范意識——病毒預警不在乎、管理規(guī)定不遵守、應急方案不執(zhí)行、風險提示不滿意。“甚至有的網(wǎng)站明知自己存在安全漏洞也不修補,最后造成用戶數(shù)據(jù)大量外泄的嚴重后果。”裴智勇說。
內外因素交織,為用戶隱私保護“埋雷”
除網(wǎng)站遭受網(wǎng)絡攻擊致使用戶隱私信息泄露外,部分政府網(wǎng)站信息披露不當、一些企業(yè)“利誘”用戶提供敏感信息、少數(shù)機構“明目張膽”與第三方共享用戶數(shù)據(jù)都為用戶隱私保護埋下隱患。
——部分政府網(wǎng)站信息披露不當。去年下半年以來,安徽、江西等地的政府網(wǎng)站以信息公開為由,將群眾的隱私信息在網(wǎng)站上“張榜公示”。這些隱私信息包括姓名、聯(lián)系電話、家庭住址、慢性病病情信息。此舉極易引起不法分子的注意,將上述信息保存后用以實施“精準詐騙”等目的。
——一些企業(yè)“利誘”用戶提供敏感信息。今年春節(jié)前夕,某資訊閱讀類APP在其官方舉辦的紅包活動中,誘導用戶在紅包提現(xiàn)前,將自己的個人信貸、商業(yè)活動交易記錄、違法違規(guī)等敏感信息查詢授權其及其合作伙伴。盡管事后其官方澄清相關信息授權是為了“反洗錢”等目的,但仍引發(fā)多位法律界人士質疑,認為此舉“既不合規(guī),也不合法”。不少用戶甚至還不知道自己在該活動中將自己的敏感信息查詢權“拱手相讓”,也為大規(guī)模用戶隱私信息泄露“埋下禍根”。
——少數(shù)機構“明目張膽”與第三方共享用戶數(shù)據(jù)。在某共享單車企業(yè)2018年1月1日起生效的用戶協(xié)議中,明確表示其“有權”將用戶注冊資料等用戶信息提供給第三方。耐人尋味的是,該條款生效的前提是“該第三方同意承擔與我們同等的保護用戶隱私的責任”。在如此語焉不詳?shù)募s束性前提下,一旦用戶的注冊信息發(fā)生泄露,企業(yè)就有可能以此條款“甩鍋”給第三方,為用戶維權“刻意制造”障礙。