當(dāng)Facebook、谷歌等成為數(shù)據(jù)泄露大頭時，它們?nèi)绾胃淖儯浚ㄉ希?/h2>

硅谷密探

2019-04-09

0 評論 5733 瀏覽 5 收藏 18 分鐘

當(dāng)我們談起“隱私泄露”這一熱門話題，相信很多人心中都會產(chǎn)生焦慮與恐懼的感覺，本文筆者將帶領(lǐng)大家一起來看看，F(xiàn)acebook、谷歌等互聯(lián)網(wǎng)巨頭如何應(yīng)對數(shù)據(jù)泄露問題。

就在今年2月，道瓊斯被爆出在互聯(lián)網(wǎng)上泄露了超過240萬的高風(fēng)險客戶觀察名單，其中甚至包括政客和政府官員的身份記錄。

確實如此，當(dāng)頻頻發(fā)生的數(shù)據(jù)泄露事件（包括過去幾年中的許多其他事件）讓公眾處于高度戒備狀態(tài)，數(shù)據(jù)保護的談?wù)摮蔀樵絹碓街匾氖虑椤?/p>

毫無疑問，像Facebook、亞馬遜、微軟、谷歌和蘋果（FAMGA）這幾大科技巨頭正在大力投資數(shù)據(jù)安全——尤其其中幾家已經(jīng)成為數(shù)據(jù)泄露事件的犧牲品之后。

今天，筆者編譯、整理了CB Insights的研究報告《How Big Tech Is Finally Tackling Cybersecurity》，看科技巨頭如何應(yīng)對網(wǎng)絡(luò)安全問題的。它們，真的能應(yīng)對好嗎？

共同做法：產(chǎn)品+投資收購+專利并行

總的來說，FAMGA首要的做法是先從自己產(chǎn)品下手。圍繞各自的產(chǎn)品，進行了不同程度的修改，比如Facebook修改其隱私政策，限制對各種API的數(shù)據(jù)訪問；Google更是因為連續(xù)被罰，不僅開發(fā)新產(chǎn)品，還修改了多種帳戶設(shè)置和權(quán)限的控制權(quán)。

其次的舉動是：砸錢。幾大巨頭已向全球網(wǎng)絡(luò)安全初創(chuàng)公司投入了近25億美元，特別是因為科技公司處于隱私監(jiān)管問題的中心。這里面主要包括對初創(chuàng)公司的投資以及收購。

（從2013年至2019年3月，F(xiàn)AMGA對網(wǎng)絡(luò)安全方面的投資，綠線為投資，橙線為收購）

除了投資以外，F(xiàn)AMGA在過去幾年中申請了數(shù)十項專利，重點關(guān)注從保護用戶登錄憑證到打擊網(wǎng)絡(luò)犯罪等各方面。

Facebook：轉(zhuǎn)向加密消息

過去幾年的Facebook可以說一直備受各種爭議。最臭名昭著的爭議就是它與英國數(shù)據(jù)公司Cambridge Analytica（劍橋分析）的合作?？梢钥垂韫榷床齑饲暗膱蟮溃簺Q定美國未來走向的中期選舉，是社交媒體不能承受之重

2016年美國總統(tǒng)大選和英國退歐投票前夕，據(jù)報道，大約9000萬用戶的檔案可能是在不知情的情況下，通過一款名為“這是你的數(shù)字生活”的應(yīng)用程序獲得的。

這只是Facebook艱難兩年的開始。

今年3月份，F(xiàn)acebook又遭遇了一系列負(fù)面報道，其中包括紐約東區(qū)正在調(diào)查Facebook與那些被允許未經(jīng)用戶許可訪問用戶信息的公司所做的“數(shù)據(jù)交易”的消息。

雖然，用戶對Facebook的信任度下降，但其財務(wù)狀況卻相對較強。

2018年，F(xiàn)acebook的第四季度收益報告透露，收益、收入和活躍用戶均比上一年有所增長。這主要是因為Facebook最有價值的商品——用戶信息，恰好是取決于龐大的用戶數(shù)量的。

當(dāng)然，F(xiàn)acebook也一直在尋找方法來保護用戶信息不受到影響。

今年3月初，F(xiàn)acebook宣布了對隱私，尤其是私密消息的關(guān)注，然后圍繞這一點建立了一個平臺。 Facebook的首席執(zhí)行官馬克扎克伯格在帖子中說：

“我相信通信的未來將越來越多地轉(zhuǎn)向私人加密服務(wù)，人們可以放心他們對彼此說的話保持安全，而這些信息和內(nèi)容不會永遠被保存。”

這種轉(zhuǎn)變當(dāng)然也隨之引發(fā)了對Facebook商業(yè)模式未來的質(zhì)疑，畢竟，目前Facebook的商業(yè)模式幾乎完全依賴于廣告收入。

Facebook希望專注于私人加密消息傳遞的消息意味著可能將Facebook、WhatsApp和Instagram融合在一起。此舉將允許用戶共享加密和非永久性的消息和信息，并使公共新聞提要變得不那么重要。

小扎警告投資者：為保護隱私，不惜犧牲利潤

針對數(shù)據(jù)泄露事件，扎克伯格和Facebook首席運營官雪梨桑德伯格發(fā)誓，要更加注重保護用戶的個人數(shù)據(jù)，提請更嚴(yán)格的政策以及更加警惕數(shù)據(jù)保護。

扎克伯格在最近的一次電話會議中提及了Facebook遭遇持續(xù)攻擊時所面臨的挑戰(zhàn)，甚至用“軍備競賽”來形容。

“安全，這是一場軍備競賽。我們正在繼續(xù)改進我們的防御，而我認(rèn)為這也顯示了那些試圖接管帳戶或從我們社區(qū)成員那里竊取信息的人正不斷對我們發(fā)起攻擊?！?/p>

但是，F(xiàn)acebook也有責(zé)任。

該公司過去曾積極與第三方共享用戶信息，并對用戶同意做了一種模糊的定義，使個人數(shù)據(jù)的傳播更嚴(yán)重，這也是在多個丑聞中的一個主要話題。

為此，F(xiàn)acebook開始修改其隱私政策，限制對各種API的數(shù)據(jù)訪問，實施更嚴(yán)格的審核流程，并宣布招聘約10000名新員工來專注于打擊數(shù)據(jù)泄露和監(jiān)控內(nèi)容。還聘請了其他主管級別的工作人員專門處理隱私政策立法，保護和其他問題。

Facebook還希望，利用人工智能來提高整個組織的數(shù)據(jù)安全性，即使以犧牲利潤為代價。

在最近一次財報電話會議上，扎克伯格警告投資者，由于該公司將對網(wǎng)絡(luò)安全和隱私計劃進行的投資，F(xiàn)acebook的整體增長可能會在未來幾年放緩，“我們在安全方面投入如此之多以至于會影響我們的盈利能力”。

在專利方面，F(xiàn)acebook于2018年初申請了“用戶可識別信息匿名”專利。該專利允許個人身份信息（PII），如姓名、地址、電話號碼，在數(shù)據(jù)集中加擾，以便信息存儲在服務(wù)器中的內(nèi)容不會綁定到特定的人。

（用戶可識別信息匿名加密過程）

該專利還旨在解決用戶對數(shù)據(jù)刪除請求的問題。

通常，刪除請求要求系統(tǒng)搜索文件數(shù)據(jù)庫并重寫每個文件，從而暴露所有用戶的PII并且永遠不會完全刪除所有用戶的信息。該系統(tǒng)可用于保護用戶的身份并使其更容易遵守刪除請求。

除專利活動外，F(xiàn)acebook在2018年收購了四家創(chuàng)業(yè)公司，其中一家以網(wǎng)絡(luò)安全為重點。

Confirm.io是一家位于波士頓的創(chuàng)業(yè)公司，負(fù)責(zé)驗證政府頒發(fā)的第三方業(yè)務(wù)ID。Facebook希望通過高級取證（包括生物識別和面部數(shù)據(jù)）來利用并進一步開發(fā)Confirm的API用于驗證政府頒發(fā)的身份證明，而無需人工干預(yù)。專家也因此預(yù)測，F(xiàn)acebook正在實驗允許用戶使用生物識別技術(shù)訪問他們的帳戶，從而保障賬戶的安全性。

谷歌：因安全漏洞提前關(guān)閉Google+

如果說被歐盟GDPR法案盯得最緊的硅谷巨頭，那莫過于谷歌了。

今年1月，谷歌剛被法國數(shù)據(jù)保護監(jiān)管機構(gòu)要求，因違反GDPR而罰款5700萬美元（5000萬歐元）。歐洲媒體報道這次罰款時，都用了“史無前例地高”來形容。

3月，歐盟委員會再次針對 Google“濫用在線廣告主導(dǎo)地位”的違法行為再次開出 16.9 億美元（人民幣 113 億元）的罰單。

當(dāng)然，歐盟針對谷歌在2017、2018年都開出了巨額罰單，但谷歌針對這兩次案件均提出了上訴，但是也做出了相應(yīng)的整改。

在相應(yīng)的數(shù)據(jù)泄露爭議事件中，谷歌旗下的產(chǎn)品受影響的并不多。但Google+是其中之一。

谷歌在其社交媒體Google+平臺遭遇了兩次數(shù)據(jù)泄露的打擊：在例行系統(tǒng)安全審核期間發(fā)現(xiàn)了一個漏洞，導(dǎo)致可能會泄露大約50萬用戶的數(shù)據(jù)；2018下半年又發(fā)現(xiàn)一個安全漏洞，可能暴露超過5000萬用戶的私人姓名和電子郵件地址。

雖然，Google+已經(jīng)在逐漸減少業(yè)務(wù)，但數(shù)據(jù)泄露導(dǎo)致谷歌提早關(guān)閉了該服務(wù)。

（圖片來自網(wǎng)絡(luò)，版權(quán)屬于原作者）

谷歌對這些公告的延遲也被人詬病。盡管數(shù)百萬人可能受到影響，直到事發(fā)幾個月之后它才首次向歐盟的用戶和監(jiān)管機構(gòu)提醒違規(guī)行為。

到底谷歌如何應(yīng)對數(shù)據(jù)泄露風(fēng)險呢？

首先，開發(fā)一系列產(chǎn)品和解決方案，以應(yīng)對各方面的威脅。

除了關(guān)閉Google+作為回應(yīng)之外，谷歌還升級并改進了用戶對谷歌帳戶的帳戶設(shè)置和權(quán)限的控制權(quán)。這包括對試圖訪問Gmail等工具的應(yīng)用程序的新限制，并降低了應(yīng)用程序訪問安卓移動設(shè)備上的通話記錄和短信歷史記錄的能力。

（谷歌升級并改進了用戶對谷歌帳戶的帳戶設(shè)置和權(quán)限的控制權(quán)，來源：谷歌官方）

Google還為高風(fēng)險用戶創(chuàng)建了高級保護計劃，包括“記者、活動家、商業(yè)領(lǐng)袖和政治競選團隊”。它提供了更多高級功能，例如登錄的兩步驗證和對第三方應(yīng)用更嚴(yán)格的帳戶訪問權(quán)限。

其次，谷歌一直致力于開發(fā)更好的審計和網(wǎng)絡(luò)安全措施，尤其是在企業(yè)領(lǐng)域。

谷歌母公司Alphabet在2018年初推出了名為Chronicle的子公司，由Alphabet的“moonshot工廠”衍生而來，稱為X。Chronicle的目標(biāo)是開發(fā)更強大的網(wǎng)絡(luò)安全保護產(chǎn)品，尤其是企業(yè)安全管理系統(tǒng)。

（來源： Chronicle）

為此，Chronicle最近推出了Backstory，一個“全球遙測平臺”，提供內(nèi)置威脅信號，旨在幫助用戶安全存儲大量的數(shù)據(jù)。將所有這些數(shù)據(jù)放在一個地方，而不是分布在不同的工具和系統(tǒng)上，可以更快地搜索病毒，黑客和安全漏洞。

谷歌2012年收購的VirusTotal，是一種分析文件以實時檢測惡意軟件和病毒的工具，也在去年被移至Chronicle所有。

從最近的谷歌專利可以看出，也在強調(diào)其專注于企業(yè)級云安全。

（圖片來自CB Insights，版權(quán)屬于原作者）

有一項專利是用于“用戶相關(guān)數(shù)據(jù)的訪問控制”，描述了一種系統(tǒng)，可幫助檢測潛在的大規(guī)模泄漏，同時部署可幫助維護數(shù)據(jù)隱私的加密技術(shù)。

蘋果：大力保護企業(yè)級別的用戶數(shù)據(jù)

蘋果一直以自己對用戶隱私的深度關(guān)注而自豪，并未受到類似其他幾大巨頭那樣的審查。但是一些新聞也讓蘋果備受爭議：

去年10月，一些中國用戶成了黑客暴露賬戶信息的受害者。在某些情況下，黑客能夠從包括支付寶在內(nèi)的應(yīng)用程序的用戶帳戶中提取資金，這被認(rèn)為是蘋果不作為或縱容黑客充幣；

另一個隱患是——FaceTime隱私泄露事件。它被認(rèn)為“允許用戶在呼叫對方接聽或拒絕接聽電話之前就從他們的設(shè)備接收音頻和視頻?！?/p>

這是一名少年首先發(fā)現(xiàn)了這個問題，這位少年的母親向蘋果報告了該錯誤。但蘋果沒有采取嚴(yán)肅行動，直到有視頻和報告顯示其他用戶遇到了這個問題。目前尚不清楚這次漏洞被發(fā)現(xiàn)前持續(xù)了多長時間。

盡管蘋果受到極少數(shù)數(shù)據(jù)泄露的影響，但在討論數(shù)據(jù)松懈態(tài)度的危險性，尤其是在市場或銷售方面，以及對更好的隱私解決方案的需求時，蘋果公司首席執(zhí)行官Tim Cook往往是科技巨頭里最敢于直言的人。

去年10月，庫克在比利時舉行的一次數(shù)據(jù)安全會議上表示，現(xiàn)代技術(shù)已經(jīng)導(dǎo)致了一個“數(shù)據(jù)——工業(yè)綜合體”，其中私人和個人數(shù)據(jù)已經(jīng)“以軍事效率被武器化”。他并沒有將痛點局限于曾經(jīng)受黑客攻擊的人，而是整個社會。

如今，蘋果應(yīng)對數(shù)據(jù)安全問題的一大舉措是——大力保護尤其是在企業(yè)級別的用戶數(shù)據(jù)。

蘋果將重點放在企業(yè)網(wǎng)絡(luò)安全解決方案上。它宣布與思科、Aon（保險集團）和Allianze（安聯(lián)保險集團）在2018年建立合作伙伴關(guān)系，幫助更多機構(gòu)更好地管理與保護自身免遭勒索軟件和其他惡意軟件攻擊的網(wǎng)絡(luò)風(fēng)險。

像來自Allianz的網(wǎng)絡(luò)保險，來自Aon的彈性評估，來自思科的防御勒索軟件，以及將它們與iOS設(shè)備上的蘋果產(chǎn)品集成。

由于沒有微軟的企業(yè)市場份額，蘋果添加這樣一個獨特的安全功能可以幫助它在企業(yè)層面進行競爭。

在消費者方面，蘋果最近在Safari瀏覽器中嵌入了稱為智能跟蹤預(yù)防（ITP2）的反跟蹤功能，此舉被許多人視為對Facebook廣泛跟蹤方法的譴責(zé)。

ITP2使?fàn)I銷人員更難以跟蹤在包括桌面和移動設(shè)備Safari瀏覽器上暴露于廣告的用戶的指標(biāo)和轉(zhuǎn)化率。

與其競爭對手相比，蘋果公司采用不同的安全方法，在其開發(fā)的專利中脫穎而出，申請專利為潛在的廣告跟蹤增加了額外的保護層。

（圖片來自CB Insights，版權(quán)屬于原作者）

最近，蘋果申請的一項“用匿名標(biāo)識符重新打包媒體內(nèi)容數(shù)據(jù)”專利描述了一種讓用戶在他們的設(shè)備上訪問多媒體內(nèi)容（例如視頻）而不會將他們的個人信息或身份暴露給第三方的方法。隨著公司進一步轉(zhuǎn)向服務(wù)業(yè)，特別是娛樂業(yè)，這將變得越來越重要。

大家認(rèn)為，巨頭們眾多保護數(shù)據(jù)隱私的措施會有效嗎？你更看好誰？歡迎大家留言討論。

作者：硅谷洞察研究院，公眾號：硅谷洞察（ID: guigudiyixian）

來源：https://mp.weixin.qq.com/s/XnvN9S7N-xIES8eeveSJKA

本文由@硅谷洞察 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自Unsplash，基于CC0協(xié)議