到底是誰出賣了你的隱私？315晚會沒曝光大廠，我們敢！

315晚會的巔峰，《IT時報》的日常。央視315一整年憋足了勁兒，就等這一天揚眉吐氣。今年晚會把目光放在了用戶數據和隱私上：探針盒子探取用戶信息、APP過度收集用戶信息、大數據用戶畫像、精準行銷推送、銀聯閃付功能存隱患…

只是沒料到，一條新聞剛放出開頭，《IT時報》的編輯群就猜中了結尾，小編也是一口辣條吃進去，如鯁在喉。這央視忙活了一年的選題，在科技互聯網通信等方面，本報無一例外，全部詳細調查報導過。

當然，這並非影射央視“抄題”，而是央視在晚會中沒說出口的、不好說出口的，時報記者都要繼續追查。我們的隱私如何成了別人的商品？為什麽手機裡的App就像串通好了似的，我在A搜了什麽，B就會給我推薦什麽廣告？為什麽沒授權通訊錄，卻抖音裡看到了失散多年的老同學？

關於探針盒子，我們曾報導

《公共場所請關掉WIFi，有人正在“監聽”！》

，WIFi探針儘管不是什麽高超的黑客工具，但簡單粗暴的方式讓人屢試不爽。一台探針盒子，不管你的WIFi是否連接，它都能獲得手機的MAC地址，然後匹配手機號，性別年齡、微博感興趣話題，手機50天搜索關鍵詞等。

更可拍的是WIFi探針下，你的手機會自動連上WIFi，你在手機登錄账號密碼時，信息還會明文傳遞在對方電腦上，如果你的密碼是多個账號同時使用，對方通過撞庫還能獲取你更多隱私信息。目前普通用戶能做的就是盡量在公關場所關閉WIFi開關，如果使用了免密WIFi，就要定時進行管理，把相關WIFi刪除，降低被攻擊的風險。

怕自己銀行卡有閃付功能被盜刷怎麽辦？我們曾報導《銀行卡真能被隔空盜刷，快把“小額免密支付”功能關了》，提示用戶銀聯閃付免密功能存在隱患，容易被人隔空盜刷。這些都是默認開通“小額免密支付”功能以及管理混亂的POS機惹得禍。

或許你會說，“我沒有開通過免密支付，盜刷與我無關”，事實上這一功能是默認開通的，如果想要關閉，需要到銀行線下網點或在官網操作。

不知道哪些APP過度收集用戶信息？我們曾報導《在中國，數億人親手簽下“隱私賣身契”》，實測支付寶、微信、百度等近20款主流APP，並將這些APP所需要的權限一一列出，告訴大家在享受大數據時代帶來便利的同時，你的信息也被互聯網公司過度使用。

其實除了，上述個人隱私，不經意之間，你的生物隱私信息也正在互聯網上“漫天飛舞”，《政協委員拒用人臉識別，一旦洩露，你無法再有第二張臉》告訴你，身份證號、手機號、銀行卡號之外，你可能是最後的個人隱私也正接受挑戰。

這些曝光只是滄海一粟，人們在網絡“裸奔”的景象，讓人觸目驚心。

到底是誰把用戶隱私賣給了那些廣告商？是誰讓你我成為透明人？他們是通過怎樣的鏈條，向你推薦一條精準互聯網廣告的？315晚會謝幕了，《IT時報》記者還沒完……

一個“爬蟲”一個接口讓用戶裸奔

App是否在偷看我？

施先生是常常出差的“空中飛人”，不管吃飯還是住宿，都要開發票，也經常複製粘貼發票抬頭。有一天，今日頭條向他推送了“如何在霍爾果斯注冊公司”的廣告，精準匹配了施先生公司的發票抬頭“霍爾果斯某某公司”，施先生開始懷疑，“今日頭條是不是在偷看我的剪貼板？”

KEEN公司GeekPwn實驗室宋宇昊認為，蘋果手機的系統設計允許任何App訪問剪貼板，如果用戶將一些數據放到剪貼板，再去打開其他App，那麽其他App自然而然就會讀取剪貼板的內容。比較典型的應用是，如果在微信裡要訪問淘寶中的某個商品，複製一個淘口令，再打開淘寶的時候會自動導向某個商品。

一位文本數據處理技術專家向《IT時報》記者解釋了另一種可能，如今提供免費開票功能的第三方服務公司越來越多，他們如何賺錢？就是通過搜集用戶信息、用戶行為形成畫像。通過公司地址定位到你處於哪個商圈，就會認為你經常在這個商圈點外賣，這個商圈白領最常點的外賣是哪幾家，然後外賣平台給你推薦這些商家。

“截圖、照片裡如果涉及敏感信息，比如身份證、銀行卡、簽字單據等，都可以被提取出其中的文字信息，如果被別有用心的人拿到，影響不可估量。”他強調。

從技術上來說，用戶的信息是如何被獲取的？

該技術專家解釋，PC端的網站之間共享信息，通常是通過“爬蟲”技術。

所謂“爬蟲”是指通過技術嵌入進行跨站追蹤，比如A在B的網站中加一段代碼，用戶在B網站的账戶信息、行為信息、設備信息等都會實時傳回到A。由於不同網站之間需要收集更多的信息完成用戶畫像，同時A會回饋相應的廣告利益給B，因此這種方式因“互惠互利”而在大多數網站間流行。

上海市軟體評測中心技術人員向《IT時報》記者解釋，App之間的數據共享方式有兩種，一種是用同一個SDK（Software Development Kit，軟體開發工具包）開發的App之間，可以進行數據共享，當用戶登錄App時，會向第三方SDK發送數據包，這些數據包裡包含了用戶的各類信息。另一種是雙方開放數據接口，從而實現數據共享。

一個“爬蟲”，一個SDK共享接口，就讓用戶的信息裸奔在互聯網上。

一個手機設備號，廣告聯盟就能追蹤你

抖音找回了失散多年的同學

“自從下載了抖音，我竟然找回了失散多年的同學。”陳先生在刷抖音的過程中，無意中發現，抖音竟然向他推送了多位老同學發布的短視頻。

驚訝之餘，陳先生感到自己的隱私被嚴重侵犯了，他從未在抖音上注冊，一直是以遊客的身份在刷抖音，而且，也並未與這幾位老同學在微信、QQ等社交媒體上建立聯繫，唯一的聯繫就是那個躺在通訊錄裡、多年未打的電話號碼。那麽，抖音又是通過什麽方式獲取了陳先生的通訊錄呢？

“手機設備號是最基礎的，具有唯一性的標識，就算不注冊不登錄App，也可以辨別你是誰。A只要拿著陳先生的設備號與B、C、D的數據庫一碰，就可以建立關聯關係，知道你是誰。”一位安全專家向《IT時報》記者解釋，現在很多App都加入了不同的廣告聯盟，只要你向這個聯盟裡的App開放過通訊錄權限，那麽A也能拿到你的通訊錄，這就是所謂的數據共享。

一個手機設備號，就可以辨別你是誰，這個信息單元成了各大廣告聯盟之間進行用戶數據追蹤的籌碼。

殷鳴（化名）曾就職於百度廣告部，他向《IT時報》記者還原了互聯網廣告聯盟的基礎鏈條：在一個廣告聯盟裡，BAT往往是廣告“盟主”，互聯網巨頭利用龐大的生態圈收集各種類型的原始數據，為用戶打上標簽，從而形成一張全面精準的用戶畫像，幫助廣告主精準匹配目標用戶，當然BAT等大“盟主”沒有那麽多精力為每個廣告主量身定製方案，在這條產業鏈上便衍生出數據分析公司、廣告分發公司、數據監測工具等。

以阿里系為例，Tanx ADX平台是阿里媽媽開發的產品，買家可以在這個平台找到推廣目標客戶的數據，實時競價，拍下眾多互聯網站點的推廣資源，ADX平台提供“挖包服務”，廣告主可以通過這一項服務精準地查詢到自己想要投放廣告的目標人群。此外，阿里系還擁有一家大數據服務提供商友盟+，根據天眼查顯示，友盟+是由阿里巴巴（中國）網絡技術有限公司100%控股。

“挖包功能是免費的，幫廣告主定製好想要的人群之後，他們直接針對這個數據包去投放就可以了，不用再篩選後台的那些基礎屬性。”騰訊社交廣告銷售人士告訴《IT時報》記者。儘管如此，根據騰訊社交廣告高潛客戶服務權益價目表，使用人群定制服務的起始充值金額為20萬元。數據包可以永久存在於廣告主的後台，但這些數據隻適用於騰訊生態圈，無法在其他媒體平台使用，而且對用戶的隱私信息都進行了脫敏處理。

不過，也只有騰訊系敢直接承諾所有的數據使用不出“騰訊系”，其他App基本都在大聯盟的範圍內彼此共享用戶信息。

一次同意你的信息就被出賣了

貸款超市的暴利生意一幅借貸人畫像50元

近年來，互聯網金融領域競爭激烈，拉新費用高達每位100-200元，互聯網金融公司也成了廣告公司競相追逐的“金主爸爸”，但是，這個領域也被安全界認為是最混亂的大數據交易市場。

往往，用戶在A平台上申請一項分期服務，其他分期平台就會立刻推送注冊廣告給用戶。

LOCKet為多家互聯網金融平台提供大數據安全服務，其技術負責人陳榮通過簡單操作，便推演出這場數據交易中的“嫌疑人”：他將A平台的用戶信息進行加密，從而規避了內鬼洩露或黑客拖庫的風險，那麽，導流的貸款超市、第三方風控平台、短信驗證碼服務商就成為“嫌疑人”。

最大的“嫌疑人”貸款超市表面做著為小貸公司引流的生意，實則在圈借貸人的數據，背後是一項門檻並不高的暴利生意。

融360是貸款超市領域的頭部玩家，在它的招股書裡，“推薦費”是第一大收入，輕鬆年入過億。2015年，融360的“推薦費”收入就已過億，為1.17億元，2016年翻了一倍，飆升為2.39億元，2017年上半年，就完成了3.14億元的“推薦費”收入。

《IT時報》記者曾報導過，借貸人一旦在貸款超市上注冊，個人信息就會被轉賣給N個小貸公司，“借點錢”平台的商務經理就向《IT時報》記者透露，由公積金、微信餘額、淘寶購物記錄、通話記錄等數據畫成的借貸人“畫像”只賣50元。

當數據池越滾越大後，這些“貸款超市”又做起了大數據風控，杭州魔蠍科技公司的產品經理給《IT時報》提供的產品報價表顯示，有近50項數據可以提供，包括運營商、支付寶、京東、滴滴、壽險保單、網銀账單等，還可以通過法院失信情況、QQ群風險（有多少個借貸群、分期群等）、貸後行為等信息來進行大數據風控。如此詳盡的數據，價格卻低得驚人，運營商數據0.1元/次、淘寶支付寶數據0.3元/次，最貴的淘寶賣家數據2元/次。

這些公司都向《IT時報》記者表示，公積金數據是利用爬蟲技術從公積金網站上抓取的，運營商數據是由合作的數據公司提供的。當然，他們也強調這些數據是經過用戶授權拿到的。

當用戶點擊“同意”注冊協議時，就默認將這些數據提供給貸款超市，並授權其提供給第三方小貸平台使用。

記者手記：我的數據被賣了，誰是元凶？

鐵路12306平台3000萬實名數據售價為10比特幣（時價超4萬元人民幣），華住集團酒店近5億條實名數據售價為5比特幣??據360安全團隊不完全統計，2018年1月到10月，共有86.5億條數據洩露。

到底是誰在暗網上買數據？根據360安全發布的《2018政企機構數據洩露形勢分析報告》，保健品、保險、理財、房地產中介是數據的主要購買者，他們最喜歡買老人和學生的實名信息，老人的信息經常會被相關公司用來推銷保健品,而學生的信息則被一些教育機構用來招生宣傳。精準行銷成了這些暗網交易數據最常見的用途。

誰是信息洩露的元凶？眾所周知，網絡攻擊、內鬼竊取，是數據洩露的兩大元凶，但是，另一個更大範圍的元凶正在悄無聲息地蠶食我們的手機裡的信息，那就是過度授權和悄悄調用隱私權限。

根據艾媒谘詢發布的《2018中國手機App隱私權限測評報告》，App讀取通話記錄權限不是大部分應用日常運行的必要權限，疑似越界，侵犯用戶隱私。移動工具、網購及理財類App讀取通話記錄佔比較大，其中，天貓、QQ、飛豬等App都有讀取通話記錄的權限。此外，聯繫人讀取已經成為隱私侵犯的重災區，移動視頻、網購、社交等六類App讀取聯繫人權限佔比超過50%。

近日，QQ音樂等18款App疑似存在過度收集短信、通訊錄、位置、錄音等用戶敏感信息，萬能看等9款App疑似存在未經用戶同意收集使用用戶個人信息的情況，被要求整改。中央網信辦、工信部、警察部、市場監管局四部門聯合發聲，表示這兩種情況或被視為違法違規。

2018年，國內“大數據行業第一股”數據堂（北京）科技股份有限公司踩了紅線，涉及侵犯個人信息，公司兩名實際控制人被檢方提起公訴。有11家公司牽涉其中，涉案公司日均傳輸公民個人信息1.3億條，累計傳輸達百億條，數據量龐大。

以精準推薦為目的的數據共享，界限到底在哪裡？360首席安全專家裴智勇提出了三點原則:索取用戶信息權限時要遵守最小必要原則，App不應在用戶不知情的情況下調取未經授權的權限，這是用戶知情原則，App收集了大量用戶數據後必須遵循必要保護原則。值得注意的是，《網絡安全法》一個重要原則是，過失殺人也是殺人。

亞信副總武源文認為，數據共享普遍存在的在於數據壟斷，互聯網公司認為，我為IT系統、信息存儲計算等付出了成本，我便有數據所有權。互聯網開放和個人隱私保護本就是一對矛盾體，需要找一個動態平衡。如果區塊鏈技術被應用於大規模認證，用戶認證時可以匿名，但當隱私遭到侵犯後，數據可以溯源，也解決了數據壟斷給用戶帶來的無奈與恐慌。

編輯：挨踢妹

圖片：東方IC、自製

來源：《IT時報》公眾號vittimes