破解滴滴华住们的心曲霸权: 区块链将标准大数

今年7月,在“隐私泄露”丑闻发酵4个多月后,Facebook为自己的“傲慢”付出了惨重的代价。除了CEO扎克伯格坐上了美国国会的听证席之外,该公司发布的2018年二季度财报堪称史上最差。其二季度营业收入132.3亿美元,同比增长42%,较市场预期低1.2亿美元。此外,最为核心的用户数据也不乐观,今年二季度的日活用户为14.71亿,环比仅增长1.37%。而月活用户22.3亿,低于市场预期的22.5亿。

但是,现在我们遇到的问题是,如何将零知识证明作为通用的解决方案,在区块链系统的广泛范围内应用起来。其中有一个比较突出的问题是生成证明的效率比较低。比如,在Zcash中,用普通的笔记本电脑,发送一笔匿名币交易,通常需要几百秒时间。如果发送的交易中,UTXO中含有更多的来源,那这笔交易的证明生成时间更是长的让人无法忍受。另一个问题是,在当前包含Zcash在内的所有主流匿名币系统中,还没有类似以太坊那样支持智能合约的区块链平台系统出现。

“我们研究过所有安全事件,最后归根到底天大的事件都是从攻击一个很小的终端开始。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检测到,很多企业和机构依然不修补漏洞。

数据应用急需规则

一波未平,一波又起,当我们还在万豪酒店信息泄露的风波之中之时,另一场更大的风暴也侵袭而来。12月4日,一条“陌陌数据暗网出售”的信息惊现热搜,一时之间引起了讨论的热浪。

数据可以“打补丁” “人的漏洞”如何补 个人信息泄露频发 凸显企业数据安全短板

对此,马慧民认为,大数据应用和个人信息采集仍然需要建立行业标准,医疗、教育、政务、水电煤、运营商等等行业的大数据,都没有明确的处理权,也不能进行流通实现价值。一定程度上,也导致了黑市数据交易的泛滥,也正是在这样的背景下,互联网公司在大数据应用上基本也是野蛮生长。“法律法规完善后,公司在个人数据保护上的成本会大大增加。大数据风险偏好弱,成本就会下降。”

事件一:万豪酒店遭黑客入侵,五亿客户信息被泄露!

虽然酒店行业所收集、存储的数据规模巨大,而且其中有很多都是用户的敏感隐私信息,但当前我国制度层面对此类事件的处罚还欠缺具体标准,而欧盟的《通用数据保护条例》则明确规定,对泄漏用户数据的互联网公司最高处罚其全球营业额的4%。

近期,滴滴与华住均因为个人隐私问题被推到风口浪尖,也折射出大数据应用仍处于蛮荒时代。

据悉,此次暗网上公布出来的信息有一部分是真实有效的。这部分数据大概率是黑客“撞库”所得(即利用已知的大批量账号密码重复登录测试)。所以这些信息售卖的价格折合人民币还不到350元,相当于1000条才一分钱。

在王渝伟看来,个人信息泄露事件频频发生,一方面显示出很多企业在技术、管理层面仍然不能达到法律法规的要求,对数据泄露存在规避责任的侥幸心理;另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位,纵容了企业的这种侥幸。

目前,区块链技术已经被广泛用于食品安全性溯源、公益善款去向、奶粉产地追踪等等。未来,区块链与大数据的结合,也将有可期待的空间。

图片 1陌陌数据被挂暗网销售

作为服务众多企业信息安全的一线技术专家,蔡玉光建议,其他企业可以从华住事件中吸取教训,做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能降低损失”;对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加不法分子“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)攻击的成本。

资深互联网行业评论人士刘兴亮认为,保护个人隐私没有错,但是如果这个人具有危险性,并且被嫌疑正在或者已经发生危害社会的时候,还去坚持对这个嫌疑人的信息的保护,显然是过头了。社会日益数字化,个人的隐私数据来源于生活,也影响生活。对于存储这些数据的公司而言,责任大于权力,而不是相反。数据能给谁看、不能给谁看、该如何保护、需要社会来制定规则,也需要公司来遵守规则。

图片 2华住酒店信息泄漏事件

目前,我国已经出台一些规范性文件和推荐性标准,对App收集个人信息行为进行规范和引导,但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。

不断爆发的隐私安全大事件,充分说明互联网不应是法外之地。

近期,我一直在关注一个叫SERO的项目,SERO成功上线并解决了上述问题。SERO是Super Zero的意思,基于零知识证明技术实现隐私保护,并且能支持图灵完备智能合约运行的区块链基础平台。在零知识证明系统方面,SERO团队基于zk-SNARKs构建了Super-ZK零知识证明加密系统,在零知识证明普及应用的最大瓶颈,证明生成速度上,目前Super-ZK系统比Zcash当前的系统有20倍以上的提高,这将试零知识证明系统实用化的前景得到进一步提高。此举是全球首创的!

在她看来,由于上述问题的存在,个人、企业和监管各方都维系着一种脆弱的平衡,一旦出现信息安全事件,这种平衡就会打破,大家才会发现,原来网络安全法等法律针对许多问题早有规定。

上述两起事件,看似没有关系。归根结底,还是在于网络用户的信息数据采用,没有形成统一的标准。8月27日,民法典各分编(草案)初次提请十三届全国人大常委会第五次会议审议。其中,人格权独立成编,并对此前受到各方关注的个人信息做出了规定。这一举措,对于目前大数据使用泛滥的现状,或起到一定的遏制作用。

针对零知识证明的这些应用层面的问题,在区块链领域,很多研发团队试图进行进一步改进。但是由于零知识证明领域的学术和工程方面的复杂性,绝大多数团队都进展缓慢,没有发展出能实际上线运行的系统。

2017年,另一家酒店连锁企业凯悦集团遭遇黑客攻击,导致11个国家的41家凯悦酒店面临数据泄露。同年,由于遭到黑客入侵,洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象。

在他看来,用区块链技术或能解决隐私滥用的问题。在采集、使用数据的过程中,都会有记录,也不能轻易篡改。同时,数据价值变现也能更加公开透明化,并有可能会解决归属权的问题。“行业的供需严重不匹配。比如医院看病的信息,这些数据理论上来说是属于我的,但是,医院不会把这个信息交还给我。恰恰这些数据都是人工智能或药企迫切需要的。总之,这就是博弈,未来,因为大量用户数据泄漏,风险会转移成产业发展的成本,90%以上的数据会被政府或者BAT等巨头垄断。”

图片 3倍受期待的零知识证明,离真正解决隐私保护有多远?

“他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等攻击,“人的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。

近日,温州乐清女孩乘坐滴滴顺风车遇害,在爆出的被害人朋友与客服之间的聊天记录后,滴滴客服的处理不当被推上了风口浪尖。从现状来看,一方面,似乎用户隐私大于人身安全,另一方面,华住酒店集团旗下的近5亿条开房记录,被打包后在网络上交易。

无论个人还是团体,没有隐私即是可耻的,因为那是人类最后一份尊严与体面,借用SERO的口号:隐私是我们的权力!

技术可以“打补丁”,可怎么堵上“人的漏洞”

无论是滴滴还是华住、Facebook,都是与用户密切相关的C端产业,用户的权益保护刻不容缓。人工智能、区块链等技术正在被用于隐私保护、公益等领域。蚂蚁金服副总裁、技术实验室负责人蒋国飞对21世纪经济报道记者表示,区块链的未来将是比AI影响更为广泛的技术。在数字时代,区块链可以说是“解决信任”最理想的技术方案。“它本身不是一个专门的技术,它有P2P网络、有很多节点、有密码学,还包括像一些共识的东西,是以前的技术集成。它更多的是比较好地实现了信任关系。”

身为世界上知名的五星级酒店之一,住客付出了高昂的费用入住其中,到头来却连自己最基本的私隐都无法得到应有的保护。偌大的公司,却在最近才发现这么一个严峻的bug!

针对个人信息保护的具体问题,中消协在上述报告中建议,进一步明确网络信息服务中交易双方的权利和义务,严格准入门槛和登记备案,如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动;严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链;严密关注市场App发展态势,如联合建立App抽查制度和黑名单制度,及时公示黑榜软件,提醒消费者谨慎下载。

上海段和段律师事务所合伙人刘春泉在接受21世纪经济报道记者采访时认为,全社会尤其是立法司法机关,对于个人信息的价值和保护的必要性,认识现状还太低。很多人还是无法把个人信息保护与电信诈骗等个人信息滥用的恶劣后果联系起来。“尤其是对于企业的惩罚力度太低,很多时候是象征性赔偿,几乎没有什么作用。从中国反垄断法的执法来看,个人信息保护执法不排除学习欧盟巨额罚款的可能性。”


包含个人信息的用户数据是许多企业发展新兴业务的重要基础,而不断出现的个人信息泄露事件又在提醒:企业该如何真正将保护用户个人信息的责任履行好?制度层面可以做出怎样的安排?

区块链或破局

更令人细思极恐的是,泄露的信息还远不止于此,甚至还可能还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。个人隐私与财务隐私顷刻之间被暴露无疑,我们实在不敢想象这些信息如果落入不法分子的手里,会产生哪些可怕的后果与影响。

中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施维护自身权益,但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择,另一方面也可能是应对无效后不得不接受现状。

资本市场随后做出了自己的反应,公司股价在财报发布后大跌20.23%至173.5美元,市值蒸发1200多亿美元。相比于Facebook,一些惩罚措施,并没有让中国公司感到足够的威慑力。21世纪经济报道记者梳理数据发现,从2013年起,关于如家、汉庭、锦江之星等知名酒店泄露用户信息的消息,已经被多次报道,尽管当事方表示会严格自查,但是,追究最后的处理结果,往往都不了了之。

事件二:陌陌数据被挂暗网销售!

8月28日,网上曝出,网络黑客通过“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合)中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据,涉及1.3亿人。当日,华住集团通过官方微博接连发布2份声明,表示已经报警并且聘请专业技术公司核查此事。

在多名行业人士看来,如果任由大数据的应用泛滥,行业乱象还会层出不穷。8月29日,中消协发布《APP个人信息泄露情况调查报告》称,APP已经成为个人信息泄露的重灾区,超八成受访者都曾因此受到推销电话或短信的骚扰。遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。

自己最为珍贵的个人信息,却被挂至暗网被人如此贱卖,怎么想都是令人心寒和愤怒的。几年前的陌陌软件可谓大行其道,成为了年轻人手机里最受欢迎的软件,大家用它来进行交流沟通,排遣寂寞。曾经,年轻人靠交换彼此的个人信息换取片刻的温存与依靠,可如今,这些个人信息却被当作白菜一般被兜售交易。

“如果从权宜之计上,可能迫切需要一些典型的司法案例,树立标杆和指引,让一线执法部门认识到,确实可以按照网络安全法的规定释法和裁判。”她建议。

不过,区块链技术的大规模落地还面临着短板。蒋国飞进一步透露,因为区块链目前还有很多待解决和突破的技术短板,比如分布式账本中的隐私保护问题,多链平台间的互通问题,在百级到千级节点广域网部署中的性能问题等等。更大的挑战则在技术之外,即让多方达成共识。

相信,随着SERO等系统的进一步发展,会带动零知识证明在区块链应用领域的进一步普及。基于SERO系统,在区块链上数以千计的以太坊应用,都能够通过调整让零知识证明得以应用。同时,大量基于隐私的顾虑,而无法上线的应用场景,也将得到实用化进展。区块链3.0时代有望伴着SERO的诞生而到来!

事实上,在个人信息保护方面还存在欠账不只是企业,还有制度层面。

值得注意的是,数据信息被灰色产业链拿来交易,而真正的应用规则仍处于一片混沌。以滴滴顺风车为例,在遭遇人身威胁时,滴滴公司客服以保护隐私为由,拒绝向警方提供可能施暴的司机个人信息。这一处理举动在业内看来十分不妥。

图片 4陌陌数据被挂暗网销售

个人信息保护还需更多细则,改善“用户体验”

对于用户数据泄露之事,华住集团相关人士在接受21世纪经济报道记者采访时表示,已经第一时间报警,并在内部迅速开展核查,聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,警方已介入调查,进展不便于透露。

图片 5万豪酒店遭黑客入侵,五亿客户信息被泄露

中国青年报·中青在线记者 王林 实习生 潘婷 来源:中国青年报

“滴滴拒绝向警察和用户透露平台司机的信息。这充分说明,在数据信息面前,个体和大公司之间是非常不对等的。而华住酒店信息被泄露也表明,用户的个人权益并没有得到保障。但是,现在的问题在于,《网络安全法》没有实施细则,也没有明确的惩罚界定。”8月30日,上海大数据联盟常务副秘书长马慧民在接受21世纪经济报道记者采访时指出,未来,从技术手段上可以用区块链来防范个人信息泄露。

2、环形签名则是一种特殊的群签名组成的协议,交易的签名由私钥和众多公钥产生,当其它节点验证时,只能确定签名是诸多公钥中的一个,确无法定位到哪个公钥才是具体的发送方,即无法定位到一组环签名所代表的资产的具体持有者是谁。环形签名存在的问题是,用以匿名的签名集合是固定的,用户在交易中依旧需要与其他用户的公钥进行混合,因此仍然有可能会遭遇恶意用户从而暴露隐私;

9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎呼吁,对个人信息安全的关注和讨论不该停止。“最近层出不穷的安全事件,让我们很多人都没有安全感。”“现在每次一发生事件,好像企业是受害者,其实应该问责。”

1、混币器是一种中心化的解决方案,需要一个中心化的混币平台,交易参与方先把代币发到混币平台进行混合,以打乱参与方之间的联系,但这种方案需要用户充分信任中心化的混币处理系统;

这并不是华住或其他酒店企业第一次出现用户个人信息被泄露的事件。

最后:我最近正在尝试基于SERO公链,开发具有隐私保护功能的SERO版的以太猫,到时会跟广大网友一起分享开发过程!

近日,国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露。中国青年报·中青在线记者从华住方面获悉,目前警方还在调查此事,最新进展以警方消息为准。

11月30日,全球最大的连锁酒店,万豪国际酒店集团,多达5亿人次的详细个人信息极有可能遭到泄露;5亿人次的信息,对于各位小伙伴来说,除了“多”“巨大”以外,恐怕再也找不到合适的形容词了。

而手机App在自身功能不必要的情况下,获取用户隐私权限的情况也比较严重,有67.2%的受访者遇到这种情况,其中读取位置信息权限、访问联系人权限是出现最多的情况,读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权。

在区块链隐私保护领域,零知识证明被认为是最前沿的解决方案,同时也是最强大的。在以往,如果为了证明某些事情,需要引入或借助另外的知识达到目的,但是在零知识证明中,用户无需其它底层数据来完成这个证明过程,在区块链的交易中,运行零知识证明的手段,用户不需要添加或向外接透露更多的信息即可完成整个交易流程。在交易中,交易过程可以被加密,但是除参与方外,其他用户不需要对其解密,区块链系统运行了零知识证明技术之后,每个区块中将只有加密后的哈希数据的存在,这些数据已经能足够支撑整个链上系统上的交易运行。

据《2018年中国大住宿业发展报告》,截至2017年年底,全国酒店类住宿业设施31万家,每位住客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。

图片 6倍受期待的零知识证明,离真正解决隐私保护有多远?

“能力越大,责任越大。”这是许多互联网企业常标榜自我的一句话。作为用户个人信息最直接的利用者和保护者,企业应该怎么弥补过去在这方面的欠账?

区块链发展至今,在技术领域探索出几种解决方案,比如混币器方案,环形签名方案和零知识证明方案。

不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁”就可以解决的。

一起起的数据泄露事件,不禁让我再次感叹,到底怎样才能解决隐私保护问题?

中国裁判文书网的数据显示,截至9月初,全国侵犯公民信息的刑事犯罪案例有3100多起,而涉及隐私权纠纷的公民个人信息泄露的民事判例只有约20条。

据万豪方面自己透露,通过一项集团内部的调查,他们发现,自2014年以来,一名黑客攻击者一直都能够访问该集团喜达屋部门的客户预订数据库。这一消息传出后,万豪遭遇了有史以来最大规模的“信任危机”,股价在周五开盘前更是下跌了4.22%。据相关人士透露,这5亿人次中,有大约3.27亿人次包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被悉数泄露。

中国消费者协会于今年7月17日~8月13日开展 的“App个人信息泄露情况”问卷调查结果显示,经营者未经本人同意、擅自收集成个人信息泄露的主要途径,约占调查总样本的62.2%;网络服务系统存有漏洞造成个人信息泄露57.4%。

图片 7万豪酒店遭黑客入侵,五亿客户信息被泄露!

360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进展。而在安全事件发生前,应该开展渗透测试, 及时对有漏洞的网络服务“打补丁”。

万豪在第一时间向大众告知了这一情况,并作出了详细的公告与声明。

在大量用户隐私信息被泄露、企业对此投入不足的同时,还有许多企业在通过互联网不断收集个人数据,甚至违规也在所不惜。

我们不禁唏嘘:网络时代已无隐私

一边是个人信息频频泄露,一边是个人数据过度收集

图片 8倍受期待的零知识证明,离真正解决隐私保护有多远?

观韬中茂律师事务所合伙人王渝伟表示,华住事件也反映了许多企业在保护用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致,那么说明其内部安全管理制度和操作规程存在纰漏,对于其程序员上传数据库连接方式的行为未做预防。

我们再回想一下今年8月发生的华住酒店信息泄漏事件,被泄露的信息有官网上的注册资料,包括姓名、手机号、邮箱、身份证号、登录密码云等。据说,这些数据被放在了境外的黑市里进行兜售贩卖,标价达到8个比特币。以当时比特币的市值来计算,其价值超过了30万人民币

早在2013年,华住集团旗下汉庭酒店就被曝出数据泄露,后来的调查发现,这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞,数据传输加密失效。

区块链作为一种新兴的技术,相对于中心化系统,区块链的核心价值就在于去中心化。传统的拥有独立数据库的企业,都会将数据集中起来,建立数据中心。这些数据中心的管理权限都掌握在一个公司手上,这样的系统是由少数人控制的,在安全性方面有不可回避的问题。区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,以密码学方式保证的不可篡改和不可伪造的分布式账本。相对而言,在区块链系统中,任何有能力建立节点的人都可以参与其中,成为这个分布式账本的一个节点,这些节点都是平等和自治的,参与验证每一笔交易,并通过一定模式的共识来确定数据的一致性。通过区块链系统,使用者可以在不需要中间节点的情况下安全的进行交易和各类数据交互。

从“永恒之蓝”勒索病毒全球爆发,到Facebook用户数据泄露,再到趣店被曝数百万学生数据疑泄露......涉及隐私的用户数据总是被不法分子盯上,有的企业对此束手无策,有的企业并未做好准备。

今天午休时,跟同事闲聊,又聊到隐私数据泄露的问题,谷歌事件还没平息,最近又发生了2起很严重的数据泄露事件,后来我自己找了相关新闻了解了一下,真相总是是让人瞠目结舌!

公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,当前的制度安排下,对泄露个人信息的惩戒力度仍然较为薄弱,已知的司法案例也难有对用户支持的。虽然关于这一问题的法律法规有很多,但执行力差,“用户体验差”,执法的效力没有监督评价,特别是没有和最终的用户建立联系。

3、零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。大量事实证明,零知识证明在密码学中非常有用。如果能够将零知识证明用于验证,将可以有效解决许多问题。

周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻击,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依然没有及时修补自身的网络安全漏洞。

图片 9倍受期待的零知识证明,离真正解决隐私保护有多远?

根据目前已知的各种信息,他认为,华住对包含大量个人信息的数据未做加密、脱敏等必要措施在内的安全处理,在数据泄露过程中,华住很可能也未采取恰当的补救措施来减少数据的泄露。

图片 10倍受期待的零知识证明,离真正解决隐私保护有多远?

很多人把希望寄托在区块链上,众所周知,区块链的显著特点便是去中心化的分布记账方式,面对“中心化记录的信息被盗”,自然希望区块链有办法阻止这样的悲剧一再发生。

比如在以太坊网络中,全球有上万个节点,其中包括了用户为推行网络间项目而运行的节点,也包括了交易所管理运行的节点,还包括了矿工们运行的节点。这么多的节点,一方面保证了每笔交易的安全性,另一方面,确实给用户带来了很大的隐私方面的困扰。目前,任何人都能从这上万个节点中查询到每一笔交易,包括交易参与方的地址和金额,这种情况下,用户的隐私该如何来保障呢?

本文由永利彩世界登录网站发布于永利彩世界开奖结果,转载请注明出处:破解滴滴华住们的心曲霸权: 区块链将标准大数