2015年,有一个游戏火遍大江南北。
它叫疯狂来往。
玩法很简单:你做动作,队友猜词。
Party神器,全民狂欢,下载量破亿。
然后,游戏崩了。
不是技术崩,是名声崩。
有人在游戏里看到了自己的视频。
不是一小段,是几百万段。
疯狂来往视频泄露,四个字成了那年的互联网热词。
今天我们就聊聊这件事,以及这件事背后那些APP隐私安全的破事儿。
疯狂来往到底发生了什么
简单复盘一下。
疯狂来往是阿里巴巴做的。
注意,是阿里巴巴,不是小作坊。
一个市值几千亿的公司,做了一款下载量破亿的游戏,然后把用户的视频存放在了完全公开的服务器上。
任何人输入一个特定的URL格式,就能看到其他用户的私密视频。
想象一下,你和你朋友玩真心话大冒险,你做了一个超级傻的动作,被拍下来,上传,然后某个陌生人正在屏幕前看你的表演。
这不是段子,这是2015年真实发生的事。
泄露的视频数量,我查到的数据是超过600万段。
600万。
每段视频都有用户的真实面孔、声音、动作。
这意味着什么?
意味着只要你玩过这个游戏,你的脸、你的声音、你做的傻事,就已经在某个服务器上裸奔了。
你不知道谁看过,不知道被存了多少份,不知道有没有被下载。
什么都没法知道。
最骚的是,疯狂来往团队当时还发了个声明,大概意思是”我们也是受害者,我们被坑了”。
我看到那个声明差点把咖啡喷出来。
你是受害者?用户的隐私被泄露了,你是受害者?
那用户算什么?
APP隐私泄露的冰山一角
疯狂来往只是冰山一角。
2015年之后的每一年,APP隐私泄露都在上演。
2016年,某直播平台泄露用户数据,影响人数:千万级。
2017年,某社交APP的数据库在暗网流通,用户密码、聊天记录、位置信息随便下。
2018年,某酒店集团数据库被黑,5亿条开房记录被卖。
2019年,某快递公司内部员工倒卖用户信息,几十亿条数据流向黑市。
2020年,某买菜APP违规收集用户信息,被点名批评,下架整改。
2021年,某学习软件数据库被脱,学生的个人信息、学习数据、家长联系方式全部泄露。
2022年,某出行软件被曝过度收集用户数据,你每去过哪里、每打过什么车、每付过多少钱,他们全知道。
2023年,某问答社区数据库被黑,用户的邮箱、密码、提问记录全部流出。
2024年,某电商平台用户数据被爬,订单信息、收货地址、购买记录被批量获取。
每年都有,每年都不重样。
你以为你在用APP,其实是APP在用你。
你的数据就是它的资产,你的隐私就是它的利润。
你的数据到底值多少钱
很多人觉得自己不是大人物,隐私泄露也无所谓。
“我又没什么秘密”
“泄露就泄露呗”
“反正我没什么可偷的”
这种想法,蠢到我想打人。
你知道你的一条完整数据在黑市上值多少钱吗?
身份证信息+手机号+住址+消费记录,一条打包卖,10-50块。
听起来不贵?
但你一个人不值钱,100万个人呢?
100万条数据乘以20块,等于2000万。
一个中小型APP的用户数据,卖出去就是几千万的生意。
这些数据用来干嘛?
精准诈骗。
你刚在某个电商平台买了东西,骗子就知道了,冒充客服来骗你。
你刚在某个旅游APP订了机票,骗子就知道了,冒充航司来骗你。
你刚在某个学校APP填了信息,骗子就知道了,冒充老师来骗你。
你觉得骗子怎么知道这些?
就是从这些泄露的数据里来的。
你以为骗子是人肉收集你的信息?不,他们只是花几十块钱买了你的数据包,然后坐在电脑前等着你上钩。
APP是怎么偷你数据的
很多人觉得APP偷数据是黑客干的,是技术大牛用黑科技渗透。
错了。
大部分APP偷数据的方式,蠢到让安全专家都想笑。
第一种:过度权限申请。
一个手电筒APP,要你授权通讯录、定位、相册、麦克风。
你问它为什么?它说”为了给您提供更好的服务”。
手电筒要通讯录干嘛?照亮你联系人吗?
但很多人还是点了”允许”。
第二种:SDK暗嵌。
很多APP不自己写代码,用第三方SDK来实现功能。
广告SDK、统计SDK、推送SDK、分享SDK。
这些SDK在后台偷偷收集数据,传到他们自己的服务器。
你以为你在用A公司的APP,其实你的数据同时流向了B公司、C公司、D公司。
一个SDK收集的数据,可能同时被几十家公司使用。
第三种:日志记录。
很多APP有调试日志功能,上线的时候忘记关。
你的操作记录、点击轨迹、输入内容,全部被记录下来。
这些日志本来是给程序员排查问题的,结果被某个人打包下载了。
然后,你的隐私就没了。
第四种:服务器裸奔。
就是疯狂来往这种。
用户数据存在公网可访问的服务器上,没有任何加密,没有任何认证。
你说这是疏忽?我不信。
这是省钱,是懒得做,是觉得”反正没人会发现”。
怎么保护自己的隐私
说完了问题,说解决方案。
我知道很多人看完上面的内容,已经开始焦虑了。
别慌,焦虑没用,行动有用。
第一,权限能不给就不给。
APP申请权限的时候,用脑子想想它为什么需要这个权限。
一个计算器要通讯录干嘛?
一个天气APP要麦克风干嘛?
一个阅读APP要位置干嘛?
如果一个权限和APP的核心功能没关系,直接拒绝。
拒绝之后APP还能用,就说明这个权限根本不是必要的。
拒绝之后APP不能用,那就换一个APP。
这世界上不会只有一个APP能看天气。
第二,定期清理APP权限。
很多人装完APP,给了一次权限,然后就忘了。
等到某天发现不对劲,隐私已经漏了一地。
建议每三个月检查一次手机权限设置,把不需要的权限关掉。
第三,别用同一个密码。
我知道这很难,我知道这很烦。
但一个密码走天下的人,数据泄露的时候,就是一键全中。
至少给重要账号设独立密码,比如邮箱、支付、社交媒体。
可以用密码管理器,省事。
第四,别乱填信息。
有些APP注册的时候要你填身高体重生日职业婚姻状态。
它要这些干嘛?给你推荐对象吗?
能假填就假填,别给真实信息。
反正它也不会验证。
第五,公共WiFi别乱连。
你在咖啡店连了个免费WiFi,嘿,真香。
然后有人在另一边截获了你的数据包,看了你的聊天记录、账号密码、浏览记录。
公共WiFi是不安全,但你不知道怎么不安全,所以你尽量别用。
手机流量虽然贵一点,但隐私值这个价。
写在最后
疯狂来往的事情后来怎么处理的?
阿里发了个道歉声明,产品整改了,相关人员处理了。
然后呢?
然后大家继续用阿里系的产品,该干嘛干嘛。
这就是现实。
用户是健忘的,舆论是短暂的,公司的道歉是真诚的,但行动是迟缓的。
等下一个泄露事件出来,热搜挂两天,道歉声明发一篇,然后大家继续用。
你改变不了这些公司的态度,你能做的就是管好自己的数据。
你的隐私,不值钱。
但你的隐私,很值钱。
区别在于谁在用它,用它干什么。
所以从今天开始,认真对待每一次权限申请。
它问你要通讯录的时候,想想为什么要给。
它让你输真实信息的时候,想想能不能假填。
它要你连公共WiFi的时候,想想值不值得。
这些小事,不会让你完全安全。
但它能让你比大部分人多一道防线。
这就够了。
本文来自投稿,不代表聚客号立场,如若转载,请注明出处:https://www.jukehao.com/7120.html
