编者按:本文来自微信公众号“硅谷洞察”(ID:guigudiyixian),作者 硅谷洞察研究院,36氪经授权发布。
就在今年2月,道琼斯被爆出在互联网上泄露了超过240万的高风险客户观察名单,其中甚至包括政客和政府官员的身份记录。
说起隐私泄露,硅谷洞察(原硅谷密探)此前热门的一篇文章《一天跟踪你 340 次:欢迎来到零隐私时代》,大家更是留言不断。
确实如此,当频频发生的数据泄露事件(包括过去几年中的许多其他事件)让公众处于高度戒备状态,数据保护的谈论成为越来越重要的事情。
毫无疑问,像Facebook、亚马逊、微软、谷歌和苹果(FAMGA)这几大科技巨头正在大力投资数据安全——尤其其中几家已经成为数据泄露事件的牺牲品之后。
今天,硅谷洞察研究院编译、整理了CB Insights的研究报告《How Big Tech Is Finally Tackling Cybersecurity》,看科技巨头如何应对网络安全问题的。它们,真的能应对好吗?
总的来说,FAMGA首要的做法是先从自己产品下手。围绕各自的产品,进行了不同程度的修改,比如Facebook修改其隐私政策,限制对各种API的数据访问;Google更是因为连续被罚,不仅开发新产品,还修改了多种帐户设置和权限的控制权。
其次的举动是:砸钱。几大巨头已向全球网络安全初创公司投入了近25亿美元,特别是因为科技公司处于隐私监管问题的中心。这里面主要包括对初创公司的投资以及收购。
(从2013年至2019年3月,FAMGA对网络安全方面的投资,绿线为投资,橙线为收购)
除了投资以外,FAMGA在过去几年中申请了数十项专利,重点关注从保护用户登录凭证到打击网络犯罪等各方面。
(FAMGA在2013-2017年的信息安全专利申请次数,红色为微软,淡蓝色为Facebook,蓝色为谷歌,深蓝为苹果,橙色为亚马逊)
过去几年的Facebook可以说一直备受各种争议。最臭名昭着的争议就是它与英国数据公司Cambridge Analytica(剑桥分析)的合作。可以看硅谷洞察此前的报道:决定美国未来走向的中期选举,是社交媒体不能承受之重
2016年美国总统大选和英国退欧投票前夕,据报道,大约9000万用户的档案可能是在不知情的情况下,通过一款名为“这是你的数字生活”的应用程序获得的。
这只是Facebook艰难两年的开始。
今年3月份,Facebook又遭遇了一系列负面报道,其中包括纽约东区正在调查Facebook与那些被允许未经用户许可访问用户信息的公司所做的“数据交易”的消息。
虽然,用户对Facebook的信任度下降,但其财务状况却相对较强。
2018年,Facebook的第四季度收益报告透露,收益、收入和活跃用户均比上一年有所增长。这主要是因为Facebook最有价值的商品——用户信息,恰好是取决于庞大的用户数量的。
当然,Facebook也一直在寻找方法来保护用户信息不受到影响。
今年3月初,Facebook宣布了对隐私,尤其是私密消息的关注,然后围绕这一点建立了一个平台。 Facebook的首席执行官马克扎克伯格在帖子中说:
“我相信通信的未来将越来越多地转向私人加密服务,人们可以放心他们对彼此说的话保持安全,而这些信息和内容不会永远被保存。”
这种转变当然也随之引发了对Facebook商业模式未来的质疑,毕竟,目前Facebook的商业模式几乎完全依赖于广告收入。
Facebook希望专注于私人加密消息传递的消息意味着可能将Facebook、WhatsApp和Instagram融合在一起。此举将允许用户共享加密和非永久性的消息和信息,并使公共新闻提要变得不那么重要。
扎克伯格在最近的一次电话会议中提及了Facebook遭遇持续攻击时所面临的挑战,甚至用“军备竞赛”来形容。
“安全,这是一场军备竞赛。我们正在继续改进我们的防御,而我认为这也显示了那些试图接管帐户或从我们社区成员那里窃取信息的人正不断对我们发起攻击。”
但是,Facebook也有责任。
该公司过去曾积极与第三方共享用户信息,并对用户同意做了一种模糊的定义,使个人数据的传播更严重,这也是在多个丑闻中的一个主要话题。
为此,Facebook开始修改其隐私政策,限制对各种API的数据访问,实施更严格的审核流程,并宣布招聘约10000名新员工来专注于打击数据泄露和监控内容。还聘请了其他主管级别的工作人员专门处理隐私政策立法,保护和其他问题。
Facebook还希望,利用人工智能来提高整个组织的数据安全性,即使以牺牲利润为代价。
在最近一次财报电话会议上,扎克伯格警告投资者,由于该公司将对网络安全和隐私计划进行的投资,Facebook的整体增长可能会在未来几年放缓,“我们在安全方面投入如此之多以至于会影响我们的盈利能力”。
在专利方面,Facebook于2018年初申请了“用户可识别信息匿名”专利。该专利允许个人身份信息(PII),如姓名、地址、电话号码,在数据集中加扰,以便信息存储在服务器中的内容不会绑定到特定的人。
(用户可识别信息匿名加密过程)
该专利还旨在解决用户对数据删除请求的问题。
通常,删除请求要求系统搜索文件数据库并重写每个文件,从而暴露所有用户的PII并且永远不会完全删除所有用户的信息。该系统可用于保护用户的身份并使其更容易遵守删除请求。
除专利活动外,Facebook在2018年收购了四家创业公司,其中一家以网络安全为重点。
Confirm.io是一家位于波士顿的创业公司,负责验证政府颁发的第三方业务ID。Facebook希望通过高级取证(包括生物识别和面部数据)来利用并进一步开发Confirm的API用于验证政府颁发的身份证明,而无需人工干预。专家也因此预测,Facebook正在实验允许用户使用生物识别技术访问他们的帐户,从而保障账户的安全性。
如果说被欧盟GDPR法案盯得最紧的硅谷巨头,那莫过于谷歌了。
今年1月,谷歌刚被法国数据保护监管机构要求,因违反GDPR而罚款5700万美元(5000万欧元)。欧洲媒体报道这次罚款时,都用了“史无前例地高”来形容。
3月,欧盟委员会再次针对 Google“滥用在线广告主导地位”的违法行为再次开出 16.9 亿美元(人民币 113 亿元)的罚单。
当然,欧盟针对谷歌在2017、2018年都开出了巨额罚单,但谷歌针对这两次案件均提出了上诉,但是也做出了相应的整改。
在相应的数据泄露争议事件中,谷歌旗下的产品受影响的并不多。但Google+是其中之一。
谷歌在其社交媒体Google+平台遭遇了两次数据泄露的打击:在例行系统安全审核期间发现了一个漏洞,导致可能会泄露大约50万用户的数据;2018下半年又发现一个安全漏洞,可能暴露超过5000万用户的私人姓名和电子邮件地址。
虽然,Google+已经在逐渐减少业务,但数据泄露导致谷歌提早关闭了该服务。
(图片来自网络,版权属于原作者)
谷歌对这些公告的延迟也被人诟病。尽管数百万人可能受到影响,直到事发几个月之后它才首次向欧盟的用户和监管机构提醒违规行为。
到底谷歌如何应对数据泄露风险呢?
首先,开发一系列产品和解决方案,以应对各方面的威胁。
除了关闭Google+作为回应之外,谷歌还升级并改进了用户对谷歌帐户的帐户设置和权限的控制权。这包括对试图访问Gmail等工具的应用程序的新限制,并降低了应用程序访问安卓移动设备上的通话记录和短信历史记录的能力。
(谷歌升级并改进了用户对谷歌帐户的帐户设置和权限的控制权,来源:谷歌官方)
Google还为高风险用户创建了高级保护计划,包括“记者、活动家、商业领袖和政治竞选团队”。它提供了更多高级功能,例如登录的两步验证和对第三方应用更严格的帐户访问权限。
其次,谷歌一直致力于开发更好的审计和网络安全措施,尤其是在企业领域。
谷歌母公司Alphabet在2018年初推出了名为Chronicle的子公司,由Alphabet的“moonshot工厂”衍生而来,称为X。Chronicle的目标是开发更强大的网络安全保护产品,尤其是企业安全管理系统。
(来源: Chronicle)
为此,Chronicle最近推出了Backstory,一个“全球遥测平台”,提供内置威胁信号,旨在帮助用户安全存储大量的数据。将所有这些数据放在一个地方,而不是分布在不同的工具和系统上,可以更快地搜索病毒,黑客和安全漏洞。
谷歌2012年收购的VirusTotal,是一种分析文件以实时检测恶意软件和病毒的工具,也在去年被移至Chronicle所有。
从最近的谷歌专利可以看出,也在强调其专注于企业级云安全。
(图片来自CB Insights,版权属于原作者)
有一项专利是用于“用户相关数据的访问控制”,描述了一种系统,可帮助检测潜在的大规模泄漏,同时部署可帮助维护数据隐私的加密技术。
苹果一直以自己对用户隐私的深度关注而自豪,并未受到类似其他几大巨头那样的审查。但是一些新闻也让苹果备受争议:
去年10月,一些中国用户成了黑客暴露账户信息的受害者。在某些情况下,黑客能够从包括支付宝在内的应用程序的用户帐户中提取资金,这被认为是苹果不作为或纵容黑客充币;
另一个隐患是——FaceTime隐私泄露事件。它被认为“允许用户在呼叫对方接听或拒绝接听电话之前就从他们的设备接收音频和视频。”
这是一名少年首先发现了这个问题,这位少年的母亲向苹果报告了该错误。但苹果没有采取严肃行动,直到有视频和报告显示其他用户遇到了这个问题。目前尚不清楚这次漏洞被发现前持续了多长时间。
尽管苹果受到极少数数据泄露的影响,但在讨论数据松懈态度的危险性,尤其是在市场或销售方面,以及对更好的隐私解决方案的需求时,苹果公司首席执行官Tim Cook往往是科技巨头里最敢于直言的人。
(图片来自网络,版权属于原作者)
去年10月,库克在比利时举行的一次数据安全会议上表示,现代技术已经导致了一个“数据——工业综合体”,其中私人和个人数据已经“以军事效率被武器化”。他并没有将痛点局限于曾经受黑客攻击的人,而是整个社会。
如今,苹果应对数据安全问题的一大举措是——大力保护尤其是在企业级别的用户数据。
苹果将重点放在企业网络安全解决方案上。它宣布与思科、Aon(保险集团)和Allianze(安联保险集团)在2018年建立合作伙伴关系,帮助更多机构更好地管理与保护自身免遭勒索软件和其他恶意软件攻击的网络风险。
像来自Allianz的网络保险,来自Aon的弹性评估,来自思科的防御勒索软件,以及将它们与iOS设备上的苹果产品集成。
由于没有微软的企业市场份额,苹果添加这样一个独特的安全功能可以帮助它在企业层面进行竞争。
在消费者方面,苹果最近在Safari浏览器中嵌入了称为智能跟踪预防(ITP2)的反跟踪功能,此举被许多人视为对Facebook广泛跟踪方法的谴责。
ITP2使营销人员更难以跟踪在包括桌面和移动设备Safari浏览器上暴露于广告的用户的指标和转化率。
与其竞争对手相比,苹果公司采用不同的安全方法,在其开发的专利中脱颖而出,申请专利为潜在的广告跟踪增加了额外的保护层。
(图片来自CB Insights,版权属于原作者)
最近,苹果申请的一项“用匿名标识符重新打包媒体内容数据”专利描述了一种让用户在他们的设备上访问多媒体内容(例如视频)而不会将他们的个人信息或身份暴露给第三方的方法。随着公司进一步转向服务业,特别是娱乐业,这将变得越来越重要。