库姆强调了匿名的重要性,并重申WhatsApp不会要求用户提供姓名、生日等信息。
BI中文站 3月18日
上周,一位来自荷兰的黑客声称已经发现了WhatsApp的一个高危漏洞。今天,WhatsApp联合创始人兼首席执行官简·库姆(Jan Koum)对此进行了澄清。库姆在公司博客中称:“我们一贯的理念就是要尊重用户的隐私,我们也是本着掌握用户尽可能少的信息而创建了WhatsApp。”
库姆强调了匿名的重要性,并重申WhatsApp不会要求用户提供姓名、邮箱地址、生日和家庭住址等信息。
在最近几个星期,有关WhatsApp的安全担忧层出不穷。就在上周,IT行业顾问巴斯·波斯切特(Bas Bosschert)还声称,由于WhatsApp备份了一位用户SD存储卡的信息,因此从理论上讲,任何一位Android开发者都能够创建一种恶意应用,要求进入手机的SD卡。从理论上讲,如果手机用户没有认真阅读应用许可,那这就将导致开发者盗取用户的聊天记录。
另外,在今年2月底,德国数据保护委员会委员蒂洛·韦切特(Thilo Weichert)声称,WhatsApp存在一个设计漏洞,可以让黑客解除拦截数据的密码。韦切特还暗示,在Facebook并购WhatsApp之后,WhatsApp可以将数据合并到Facebook之中。
针对上述两位安全专家的质疑,库姆并未直接回应,而是强调称,用户隐私安全对WhatsApp公司非常重要,并称WhatsApp与Facebook的合并将不会改变对用户隐私保护的惯例。库姆因此还称:“如果说与Facebook合并将会改变我们的价值理念,那我们就不进行了合并了,我们的基本价值观和信仰不会改变。”更多信息安全解读:www.yangfenzi.com/tag/information-security
以下就是库姆的博客内容摘要:
自从宣布WhatsApp将与Facebook合并以来,我们一直饱受业界的关注。作为一家公司,我们将继续关注重点——为尽可能多的用户提供产品,以帮助他们联系好友和亲人,不管他们是谁,身处何方。
令人不幸的是,坊间却流传着大量不准确和不负责任的消息,都是有关WhatsApp与Facebook的合并将如何损害WhatsApp用户的数据和隐私的。在此,我想澄清一下。
首先,我想让你们知道,我本人是如何重视隐私信息的。对此,我深有体会。我出生在乌克兰,上世纪80年代一直在前苏联长大。从那时开始,我印象最深的记忆之一就是,就是我们的电话通讯被监控,这也是我们迁往美国的原因之一。
尊重你们的隐私是我们的一贯理念,我们也是本着掌握用户尽可能少的信息而创建了WhatsApp:你们不需要给我们提供姓名、邮箱地址、出生年月、家庭住址等信息,我们也不需要了解你的工作、爱好、互联网搜索内容等信息,更不会收集你的GPS位置信息。WhatsApp从未收集和储存用户的这些信息,我们也不会更改这种做法。
如果与Facebook合并之后,WhatsApp就必须改变原有的价值观,那我们就不会合并了。相反,我们将形成一种关系,这种关系将允许我们继续独立运营。我们的基本价值和信仰不会因此而改变。我们的原则也不会改变。所有推动WhatsApp成为私人信息领域领先者的东西都不会改变。那些质疑是毫无根据的,也是不成立的,更是不负责任的,因为这些质疑会恐吓用户,容易让用户误认为我们会突然收集用户的各种新数据。这种质疑是不正确的,对我们而言,重要的一点,就是你们要知道真相。
不要犯错误:我们未来与Facebook的合并不会改变我们的理念。我们的重点仍将是尽可能更大程度地发挥WhatsApp的潜力,因此全世界拥有自由的用户都可以在WhatsApp上畅所欲言。
——————— 氧分子网(www.yangfenzi.com)延伸阅读 ———————
简·库姆(Jan Koum),男,1976年生于乌克兰共和国基辅,Jan Koum是犹太民族,在乌克兰基辅外的法斯蒂夫长大。在1992年,他和他的妈妈以及祖母搬到了美国加利福尼亚州山景城。在一个社会支持项目的帮助下,他们一家人得以在一个小的两居室公寓内居住。随后,他的爸爸来到美国,不过最终还是留在了乌克兰。在Jan Koum 18岁时,他对计算机编程产生了极大的兴趣。他就读于圣何塞州立大学,同时作为安防测试员在Ernst & Young公司工作。
1997年,Jan Koum加入雅虎公司,成为一名基础架构工程师,不久后在雅虎遇到曾同为Ernst & Young公司安防测试员的Brain Acton。在接下来的九年里,他们一同在雅虎公司工作。2007年9月,Koum和Acton离开雅虎,开始了一年的休息时期。这一年里,他们在南美洲旅行,玩极限飞盘游戏。随后,他们一同申请Facebook公司,并双双被拒。
2009年一月,他买了一部iphone,并意识到App Store正引导着一个全新的apps产业。他找到了他的朋友Alex Fishman,并在Fishman家的厨房里就Koum的app创意交谈数个小时。Koum几乎是立即选择了WhatsApp作为这个app的名字,因为它听起来就像是”what’s up”。一个星期之后,也就是2009年2月24日,在他的生日那天,koum在加利福尼亚组建了WhatsApp公司。
2014年2月19日,社交网络巨头Facebook,该公司将以大约190亿美元的价格收购移动通信服务(IM软件)WhatsApp。
·氧分子网(http://www.yangfenzi.com)综合整理
·氧分子网(http://www.yangfenzi.com)延伸阅读:
我之前写微博的时候,经常就有读者反馈说,你怎么用360浏览器啊,你不知道360流氓么。
当然,我并不是要给360做广告,但我应该用什么呢?360只是一种选择而已,未必是最好的,确是成本最低的。很多人说,甚至一些程序员说,高手都不用安全软件的,我不知道这是怎样的高手?
到今天,还有人坚持认为,只要不乱点链接,不打开奇怪的附件,不上奇怪的网站,电脑就不会中招,这是怎样的无知,从2001年起主动感染性的电脑病毒就已经肆虐互联网了,都16年了,居然还有人认为只要自己不操作,就不会出事。无知如此,还振振有词,遇到这种,我也是无语了。
我以前说过这么一段话,很多人,每天各种自拍发朋友圈发Qzone发微博,我今天去哪里了,昨天去哪里了,明天要去哪里;我都见了谁还要去见谁,家住哪里,孩子在哪读书,全都写出来,甚至见过有人把信用卡拍照发陌生人的大群里完全不打码;然而突然有一天,看了一下网络新闻,恍然大悟的说,我靠,原来百度/360/腾讯 偷了我的cookie。
我知道很多人会说,自己暴露是一回事,别人窃取是另一回事;但我要说的是,很多人对自己的隐私安全意识极为淡薄,却被某些舆论诱导的神经兮兮,该做的防护不做,犯不着操心的事情却操心的不亦乐乎,自以为很懂,但事实上却根本分不清利害。
最近互联网勒索事件很热,暴露几个问题,我也想跟读者分享一下我的观点。
1、流行的蠕虫都具有主动攻击性,防护软件必不可少。
所以很多银行,电信,车站的服务机构电脑,只提供最基本的特定服务,从来没有人用来上网的那种,也都纷纷中招。
安全工具和防护软件必须安装,裸奔是非常愚蠢的行为。
选择安全软件最好选择流行的,主流的,并不是说技术好坏,样本库全,出问题升级的速度最快,只要你不是第一波中招的,你有很大的机会躲过去。
我会要求我的员工务必安装主流的安全工具,当然,你用腾讯的也行,用360的也行,自己花钱买趋势的也行,这个我不会过度要求,反正,裸奔绝对不行,小众的也不行。
2、操作系统能用最新版本升最新版本,不能用最新版本打最新补丁。
99%以上的安全问题都是因为升级不及时造成的。
当然,我们知道有0day攻击,有升级到顶也难逃一劫的时候,不过请你放心,除非你是国防科学领域的顶尖专家,或者是掌握数千亿资产管理的金融大鳄,否则,你要明白,0day是一次性消耗品,很贵的,通常不会用在你身上。
日常的版本检查和升级不能偷懒,怎么强调都不过份。
3、不要求全责备,要抓大放小
啥叫大,啥叫小。
你电脑中毒,中木马,中蠕虫,被黑客窃取账号叫大;你cookie被人偷窥叫小。
我在中国最好的安全公司工作过两年,实话说,我水平不咋地,也不敢说自己有多懂安全,但我明白了一个事情,在互联网上,别以为别人不知道你是谁,别以为自己能掩盖的多好,所以我秉承一个原则,不去瞎操心那些不用我操心的事情,做好最基本的防范就可以了。
比如说,不要把不雅或者不适宜公开的内容放在网上,任何所谓加密空间,所谓私人空间都不可信。
比如说,个人行程和隐私,尽量不要过度公开,这个风险在哪里呢?诈骗者会利用相关信息诈骗你的亲人和朋友,这样的案例我也碰到过。比如你在飞机上电话已经关机,骗子诈称是你同事,跟你一起去哪里,说你在机场突然晕倒,送医院急救,你说你亲人如何核实?
再比如,如果你不是百度和腾讯高管,就别担心360会拿你什么隐私;如果你不是百度和360高管,就别担心腾讯会拿你什么隐私。你放心,在中国互联网,老大哥随时都在看着你,你那点隐私,用不用什么软件其实没区别。其实不仅中国,互联网无隐私,棱镜计划都爆出来几年了,你只要不去整暗网你就别操心这个。
那有人担心,我约炮了咋办,我看黄网了咋办,我低级趣味了咋办,你放心,大家都很忙,别做大V别乱放炮,谣言和种子都别群发,朝阳人民群众没功夫搭理你。
4、机构,教育和政府机关,也应该长点教训
不需要多高大上的安全服务,随时安全检测一下,随时打个补丁还是要的。去年底这些工具网上就透出来了,说实话中间这时间不短了,到现在都不去补是不是有点懈怠。
很多缺省的系统,软件是windows的,然后使用者和购买者觉得就是个盒子,甚至使用者都不知道里面是windows。这种情况下,遇到蠕虫基本上就是团灭。找一个相对靠谱的安全公司,定期检查一下,这种问题早就发现了;更不用说重大漏洞的紧急升级。
5、重要的数据和信息做一下备份,网上备份是可以的。
当然,如果你担心比如不雅照片,或者不适宜内容,你自己做个加密再备份。你说加密会不会破解,如果你加密的不是核反应堆,生化武器材料分子式,或其他足以让各大情报机构动心的玩意,此外加密算法不要太low,应该不会有人有兴趣破解。(嗯,量子计算机理论上能破解成熟加密算法,但估计还有不少年才能成熟呢)
6、如果你是相关机构,公司与IT运维有关的负责人,多关心一下安全行业新闻和信息,每次出了相关报道尽早跟进核实处理。
唉,唏嘘一下,乌云仍无法重生,我都不知道该推荐哪个平台来关心这些东西了。
那,最后,吐个槽,说个蹭热点的事情。
空空狐那篇文章呢,绝对是蹭热点,这个我是承认的。
这篇文章呢,也是蹭热点,虽然晚了两天,我也是承认的。
但上一篇关于技术的文章 系统优化的前提是应用场景 真的不是。
所谓蹭热点,至少要符合以下两个条件中的一个吧,其一是,用户基于对热点事件的兴趣点击了你的文章;其二是,用户基于对热点事件的观点转发了你的文章。
空空狐的文章,确实符合以上两点,从吸粉效果来说也很明显,于是我立即写了一篇技术文章洗粉。但是呢,不好意思,提了一句锤子。
拜托,第一,不会有任何人因为锤子手机的事情点我的文章标题对不对,完全没关联是不是;第二,整片文章的调性,用户绝不会因为我提了一句锤子就转发对不对。 这种完全没有基于热点去获利的行为,算个毛蹭热点啊。有读者评论说,你这也是蹭热点,拜托有点逻辑好不好。
那为什么要提呢?有读者问啊,总有人问,你怎么看锤子这回发布会啊,本来我也不看啊,人家都给行业带来惊喜那么多次了,我都麻木不仁,我就直说呗,拜托以后不要问了,这热点我追不起不行么。
本文在欧洲高铁上完成,写到此处时,正在跨越法国和意大利的边境。近期仍然无法保持有节奏更新,见谅。
连带小密圈维护最近也不是很到位,删广告都不够及时,一并请见谅。
各互金公司CTO们请看好你们家的爬虫,要不然一不小心就会把老板(法人代表)送进监狱
本文来自微信公众号“Fintech技术圈”(ID:fintech_insights)
各互金公司CTO们请看好你们家的爬虫,要不然一不小心就会把老板(法人代表)送进监狱,不是闹着玩的,按2017年6月1日,《网络安全法》以及最新刑事司法解释:
未经授权爬取用户手机通讯录超过50条记录,老板进去最高可达3年
未经授权抓取用户淘宝交易记录超过500条的,老板进去最高可达3年
未经授权读取用户运营商网站通话记录超过500条以上的,老板进去最高可达7年
未经授权读取用户公积金社保记录的超过50000条的,老板进去最高可达7年
更多的违规情况就不一一举例了。 就以上几种数据,作为有效的信用基础数据,有几家互金公司不在用的?各位的爬虫完全合法地取得用户授权了么?有多少爬虫完全忽略robots.txt内容肆意横行的?有多少爬虫甚至暴力破解人家网站密码的……
如果是以销售数据为主营业务的大数据公司,更加要注意,因为一不小心你卖了点数据给犯罪分子,造成了恶劣的社会影响,要从重从严的判决。到目前为止,实务中由于审判人员对个人信息犯罪的危害性并不确定,大部分法院是作出法定刑三年以下的判决,但是最新的法条对重刑情节予以明确,量刑本身起点低,如依违法所得标准,违法所得在5万以上的,即可构成重刑。因此有学者预测,《解释》正式实施后,侵害个人信息犯罪适用重刑可能会出现激增现象。
大数据行业近日风声鹤唳,据一本财经报道,“数据堂”多人被警方调查,导致部分数据业务线停摆。至于被调查原因,知情人称,数据堂曾给一家理财营销公司提供了大量涉及用户隐私的数据。数据堂的主要商业模式是通过网络爬虫、公共领域共享等方式获取数据,而后对数据进行处理,而后向客户提供服务获取收益。 在没有得到任何授权的情况下,数据堂为理财营销公司提供用户数据有数据倒卖的嫌疑。除此之外,另有15家公司进入了调查名单,都是一些明目张胆,做得颇为过分的公司,其中几家大数据公司,估值已几十亿。
一些技术能力溢出的互金公司,已经在做类似数据公司的业务,对外以各种形式输出自身积累的数据,高管层的法律风险也逐渐显现。
司法解释里面提到以下集中类型的数据,无论是“非法提供”和“非法获取”都可以入刑:
第一类:高度敏感信息,包括四种信息:行踪轨迹信息、通信内容、征信信息、财产信息。涉及高度敏感信息的违法活动,由于定罪门槛最低,因此严格限制在此四类,不做任何扩展;
第二类:敏感信息,即住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。与第一类相比较,《解释》对第二类信息的界定仍留有空间,意味着在司法实践中,仍有可能会出现目前所列举之外的第二类信息类型;
第三类:其他个人信息。即上述第二、三类以外的个人信息。个人信息的类型是定罪量刑的重要依据。越敏感信息,达到定罪门槛的信息数量越少。
只要违反国家规定获取个人信息,信息获取者无法主张其获取信息的正当理由的,无论是以“窃取”等本身非法的手段来获取,还是以“购买、收受、交换”等其他手段,都可被认为“非法获取”。
就互联网数据而言,目前主要的取得方式是利用爬虫自动搜索并抓取数据,爬虫协议要求所有网站在其站点的根目录下放置一个“robots.txt”文件,该文件告诉搜索者本站点哪些数据可以被“抓取”。这就意味着如果有人突破“robots.txt”范围抓取网站数据就要承担“侵犯数据”的法律责任。
在用户手机App端,如果未经用户明确授权,提取用户姓名、通信通讯联系方式、账号密码、行踪轨迹等信息,也必须承担法律责任。至于用户授权的形式,法律虽未明确,但如果存在恶意诱导和欺骗的行为要求用户授权,则很有可能招致刑罚。法律的导向是,任何个人身份信息,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,未来都将受到严格的隐私权保护。
社会对个人隐私的保护越来越到位,是一件好事,互金数据乱象已久,大家可能都离风险比较近,无论是内部采集还是外购,总之一句话,爬虫有风险,抓数需谨慎,干活之前先跟自家法务勾兑清楚。