“潘多拉魔盒”被打开,治愈数据泄露的良药在何处?

科技云报道原创。
 隐私就像信任和安全一样。当你拥有的时候,你不会觉得什么,但当你失去了,就会感到不安和恐慌。自从Facebook与Cambridge Analytica共同打开了数据泄露的“潘多拉魔盒”,全球至今都没走出这一阴霾。更可怕的是,这股阴霾呈现出愈演愈烈的趋势。

 

现在,一切都在威胁着个人隐私:涉及身份信息、电话号码、家庭地址,扩展到网络账号和密码、银行账号和密码、购物记录、出行记录的网络非法获取公民个人信息行为,已经形成了“源头—中间商—非法使用人员”的黑色产业链。不仅如此,各类网络软件厂商的员工,都可以随意“合法”地获取用户的所有信息。 

数据泄露掀开冰山一角
中心化是罪魁祸首?

近日,华住酒店集团旗下10余个品牌酒店共140G、近5亿条数据公开在“暗网”售卖,标价为8个比特币,这些数据包括注册信息、身份登记信息和开放记录。 

如此一家大型连锁酒店集团,掌握巨量的用户隐私数据,竟然缺乏最基本的数据保护常识和措施,舆论哗然。当然,这只是全球众多数据泄露案件的冰山一角。

 2016年12月,京东被曝有多达12G的用户数据外泄;2017年3月京东员工与黑客协作再次导致用户信息泄露; 

2017年1月名为“DoubleFlag”的知名暗网供应商出售窃取自多家中国互联网公司的用户数据,8亿4560余万用户数据价格仅为0.4457比特币; 

2017年10月,南非遭遇史上最大规模数据泄露,3000多万客户信息被公开; 

2017年11月Uber主动公开去年曾向黑客支付10万美元封口费以隐瞒5700万账户数据泄露事件; 

2018年6月Acfun发布公告称遭遇黑客攻击,近千万条用户数据外泄…… 

根据贩卖者在“暗网”上的信息,这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币。显然这么做的目的就是降低被监控的风险,因为追查虚拟货币的难度极大,这也是虚拟货币标榜的“去中心化”的优势,但现在看来并不全是好事。 

去中心化和中心化依然是区块链领域争论的焦点在于,一旦存在中心化的机构,那么就可能存在“证明的死循环”,即谁来证明它的证明是公正的。这中间如果出现造假、舞弊、操作失误等,都会让事情变得无法挽回,这是中心化的“原罪”。而区块链技术的目的就是去中心化,它的信任系统完全不依赖于任何机构,甚至不依赖人类,而是完全交给机器。 

这一切看上去是美好的,但去中心化也会导致大量的问题,比如基于虚拟货币的经济犯罪频发,区块链的技术特性和跨国作案导致在取证查案的过程中会面对极大的复杂性和阻力。 

就以这次华住案为例,黑客以比特币的方式在境外网站上售卖非法数据,给警方带来了很大的办案难度。因此,“去中心化”的区块链也必须接受中心化的政府或机构的监管,完全的去中心化是不现实的,也是种灾难。

去中心化弥补传统数据体系不足
帮助用户夺回隐私数据

一项最新研究显示,自去年以来,数据泄露造成的经济损失已超过6%,而现在数据泄露的平均成本为386万美元。 

Juniper Research预测,2023年将有超过330亿条个人记录将通过犯罪数据泄露事件曝光,比今年的120亿条记录同比上升175%。未来5年,网络犯罪分子将窃取超过1460亿条记录。

 

 全球普遍采用的双因子(验证码+手机号)认证系统非常脆弱,黑客先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。 

 除了被“偷窥”,泄露短信验证码的途径还有很多。有的用户点击了非法链接,手机被安装监听木马;有的不法分子伪装银行客服,直接索取验证码内容;还有运营商内鬼主动泄露,里外勾结。此外,短信云同步、自动填写验证码等功能的初衷虽是方便用户,却也可能被不法分子利用。 

虽然外界对去中心化有着种种非议,但其优势和劣势一样突出。区块链将身份主权从中心化系统夺回给用户,同时为隐私提供了更多技术方案的保护,比如同态加密和零知识证明等技术的融入就为隐私数据提供了双层保护。 

同态加密无需解密信息数据即可对加密数据进行运算,只有使用解密秘钥才能访问这些数据和交易的详细信息。但同态加密并没有解决这一问题:如何让系统在不泄露过多信息的情况下改变状态? 

而零知识证明则正好弥补了这一短板。零知识证明并非新鲜事物,这一概念初见于1985年的论文“互动证明系统的知识复杂性”。ZKP是一种密码学技术,允许证明者和验证者来证明某个提议是真实的,而且无需泄露除了它是真实的之外的任何信息。 

 一个零知识证明必须要满足以下三个条件: 

  • 完备性:证明过程执行完之后,验证方只获得了“证明方拥有这个知识”这条信息,而没有获得关于这个知识本身的任何一点信息。

  • 合理性:没有人能够假冒证明方,使这个证明成功。

  • 零知识:如果证明方和验证方都是诚实的,并遵循证明过程的每一步,进行正确的计算,那么这个证明一定是成功的,验证方一定能够接受证明方。 

相对于将身份数据储存于众多服务提供商系统中,今天我们更需要一种去中心化的数字身份方案弥补传统身份体系的不足,让隐私数据更具有自主权,同时也让更多权益回归到用户手中。 

在大数据时代,重隐私者才能得天下。随着Equifax、Facebook、华住等一系列数据泄露事件的爆发,以及各国越来越严格的隐私保护策略施行,将在某种程度上警醒互联网巨头对于隐私保护的重视。

【科技云报道原创】

微信公众账号:科技云报道