从微博隐私数据泄露,探讨数据加密存储的可行性
摘要: 从微博隐私数据泄露,探讨数据加密存储的可行性
3月20日,绝大多数网友都做了同一件事:修改微博密码。伴随着媒体发酵,微博隐私泄露的事实也逐渐呈现出来:超5亿条数据,涉及用户微博信息、个人信息等等,同时又被暗网低价售卖。每一个条件都令人心惊。
尽管微博官方回应称这次数据泄露“不涉及身份证、密码,对微博服务没有影响”,但是信息泄露确是不争事实。或许短时间内这些数据并不会造成实际损失,但在有心人眼中,这些数据就是“引线”,终将会用于谋求他利。
微博信息泄露事件其实侧面反映了当下互联网场景的短板:中心化数据存储并不安全,哪怕是互联网巨头也容易在数据存储方面栽跟头。更为重要的是伴随互联网数据量增加,安全压力和难度也指数级上涨,互联网需要更加适宜的数据存储方式。
互联网时代的数据存储通病
从某种意义上而言,信息泄露是伴随着互联网信息聚集产生的。每个网站、App都可以理解为是一个数据收集方,获取着身份、兴趣等等诸多信息;尤其是近几年,互联网承载起更多生活类功能,如外卖、购物、出行等等,越来越多个人隐私信息开始出现在网络当中,隐私数据的风险和波及范围也越来越大。
我们可以仔细盘点下近几年那些影响力“惊人”的信息安全事件,不难看出隐私泄露的惊人破坏力。
2018年,Facebook连续爆出多起用户隐私泄露、滥用事件,导致股价蒸发数百亿美元,更是将扎克伯格送上了美国参众两院的听证会,并于2019年以 50 亿美元与美国联邦贸易委员会和解。
同年,华住旗下多个连锁酒店入住信息数据被售卖,涉及5亿条身份信息、入住记录甚至银行账户等信息,同样引发股价暴跌,虽及时抓获犯罪嫌疑人,但负面影响持续至今;
2019年,电子邮件验证服务商Verifications.io暴露了其Mongo数据库,其中包含超过8.08亿条记录,包含有用户电子邮件地址、出生日期、电话号码、实际地址等内容,数百万条记录存在敏感信息。
2020年,超5亿条微博用户信息在暗网出售,涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。虽未引发更严重后果,但对微博口碑已是不小的损失。
当然这些事件都只是中心化机构信息泄露的冰山一角,真实泄露的数据量远超所有人想象——要不然我们也不会隔三差五接到各种诈骗、传销的电话和短信了。同样地,信息泄露对企业的直接经济损失同样高的可怕。根据 IBM 的数据泄露年度研究,如果将通知成本、调查、损失控制和修复费用,以及监管部门罚款和诉讼考虑在内,那么数据泄露的平均成本高达 392 万美元。
当然,信息泄露仍是小概率事件,绝大多数企业都对自己的数据库进行了层层加密,为的就是避免“内鬼”、“黑客”们的窃取行为。在这里我们并不展开探讨数据安全保障的诸多解决方案,仅从微博这一独立事件出发,探讨下关于解决方案之一——隐私数据加密存储的可行性。
隐私数据的加密存储
在探讨方案可行性之前,我们需要明确几个问题:什么是数据加密存储?什么样的数据需要加密存储?数据加密存储会成为未来趋势吗?
第一个问题:什么是数据加密存储?
数据加密存储并不是一个新名词,他隶属于数据加密范畴下,目的是防止在存储环节上的数据失密,他的“兄弟”还包括数据传输加密技术、数据完整性的鉴别技术和密钥管理技术,这些内容将在此后的文章中介绍,此处仅围绕着数据加密存储展开讨论。
我们都知道任何一个加密系统都是由明文、密文、算法和密钥组成,加密存储也不例外。数据管理者在存储数据时通过加密设备或加密算法,用加密密钥将数据加密,需要使用、传输时再由使用者、接收者用解密密钥将密文解密,恢复为明文。这样即使密文被非法分子偷窃获取,得到的也只是无法识别的密文,从而起到数据保密的作用。
当然事无绝对,如果解密秘钥的安全系数不足,或者被人为窃取,数据加密存储也只是徒劳而已。
第二个问题:什么样的数据需要加密存储?
答案是隐私数据,需要注意的是隐私数据范畴远不止生活中符合道德规范和正当的而又不能或不愿示人事或物、情感活动,从科学研究角度出发“单个用户的某些属性”都属于隐私范畴,这也就意味着我们的私人账号、购物信息、出行信息都属于隐私范畴。
像微博信息泄露事件,虽然官方称“不涉及身份证、密码,对微博服务没有影响”,但是信息泄露本身就已经侵犯了用户的隐私权利,即便这些数据日后不会对用户造成信息威胁,微博在此次事件中承担的责任也不会有任何减轻。
值得注意的是,我国网络安全法明确规定网络信息安全的责任主体:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”一旦数据泄露并造成严重后果,数据收集方甚至会承担刑事责任。而随着监管体系越来越完善,信息泄露对企业的影响绝不仅限于网络舆情,更将上升至刑事责任层面。
第三个问题:数据加密存储会成为未来趋势吗?
答案是肯定的。正如上文谈到,数据加密存储首要意义是保障数据收集方保管数据的安全,更深层则在于实现隐私数据的权限控制,并最终保证数据的可控安全共享。与此同时,我们正处在大数据产业变革时期,越来越多企业开始重视大数据背后价值,并开始利用大数据指导生产经营。
据国际权威机构 Statista报告显示,预计到2020 年,全球大数据市场的收入规模将达到 560 亿美元,较2018年的预期水平增长约 33.33%。大数据市场规模增长同时也意味着数据利用、数据分析的频次和数量的增长,伴随而来的则是数据安全、数据滥用等恶性现象,因此才需要利用技术手段保障数据存储时不被轻易窃取,使用时不被肆意滥用。
不可否认,数据加密存储方案具备极强的可行性,但是我们也承认,数据加密存储只是保障数据安全使用的一个技术手段,企业使用时候还需要因地制宜,客观分析商业成本、技术环境等诸多因素,选择更合适的技术方案。
(1、 内容来自链得得内容开放平台“得得号”,稿件内容仅代表作者观点,不代表链得得官方立场。2、 凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责。3、 得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:chengyiniu@chaindd.com)
评论(0)
Oh! no
您是否确认要删除该条评论吗?