2023年度的315晚会如期而至,去年,315重点关注了网络安全相关问题,揭露了人为操纵口碑、浏览网页窃取用户手机号、安装垃圾捆绑软件等违法违规行为,还首次设立信息安全实验室,针对消费者日常生活中那些容易忽视的信息安全隐患,如免费WiFi、儿童智能手表等产品进行专业测试,及时发出风险预警。
今年的315晚会主题为“用诚信之光照亮消费信心”,个人信息及数据安全问题依然是曝光的重点领域:钓鱼短信诈骗、直播水军虚假流量、破解版App窃取用户信息、旧设备数据难以彻底删除。可见,在诚信经营、遵纪守法、公平竞争、有序发展的大框架下,能否守住个人信息安全、打击黑灰产、营造良好的网络消费环境,将在很大程度上影响消费者的消费信心,对刺激社会经济健康发展发挥着举足轻重的作用。
如今,警钟已经敲响,让我们再度回顾,盘点一下本次315晚会揭露的这四大个人信息安全乱象。
四大乱象敲响个人信息安全警钟
点不得的钓鱼短信
近年来,人们生活水平的提高离不开网络消费,而以“XX账号存在风险、XX预留信息将失效、XX消费存在风险”等提示短信也趁机盯上了消费者的钱包,这其中无一例外都会附带一串链接,而这个链接就是打开消费者钱包的钥匙。在本届315晚会提到的案例中,陈女士收到了一条ETC卡已禁用的短信,在根据链接进入网页,并根据提示输入自己的手机号、银行卡号、验证码等个人信息后,陈女士在短短数秒内就收到了6条共计近3000元的银行扣款短信。
不难看出,钓鱼短信中的链接,将消费者引导进了由诈骗分子精心打造的登陆页面中,一旦消费者输入自己的手机、银行卡号,诈骗分子的终端设备也能将这些信息实时获取。接下来,当消费者将收到的验证码短信也进行输入后,就等于彻底把钱递到了诈骗分子手中,能够立刻通过转账将消费者银行账户中的余额划走。
而随着远程办公的流行,视频会议也成为进行网络诈骗的新渠道,比如让消费者下载某款视频会议软件,谎称通过专业人员介入指导,帮消费者解决问题,实则是以屏幕共享的方式,将消费者输入的银行账号、密码等敏感信息一览无余地暴露在诈骗分子面前。
可见,要提防这类网络诈骗,需要在收到陌生短信,尤其是包含链接时,做到不信、不点、不提交。当遇到声称需要通过视频会议、屏幕共享进行远程协助时,更要保持高度警惕,一旦上钩,消费者的一举一动可能都将在诈骗分子的掌控之中。
虚假的”火爆“直播
在“全民皆可直播”的当下,流量似乎成为判断内容是否火爆、大众是否喜欢的少数指标。在本身内容乏善可陈的情况下,一些直播为了追逐流量打造的”虚假繁荣“,通过雇佣大规模水军为直播间营造出高人气的假象,以此欺骗消费者关注、付费。
本届315晚会通过暗访发现,某文化传媒公司开发了一种可以实现1台手机同时操控200到20000个水军的云控平台,为了让水军看起来更像真实用户,该系统还可以设置批次、进入时间、发言内容等。但令人感到更加恶劣的情形,在于该系统还会到竞争对手的直播间进行恶意举报、抹黑。
根据我国相关法律法规,注册为直播平台用户均需要进行实名认证,那这些大规模的水军究竟来自何处?调查发现,通过物联卡可以实现批量注册功能,从而不再需要一张手机卡只对应一个用户身份。而通过对另一家拥有类似系统、主要为游戏直播提供水军服务的文化传媒公司进行调查,发现员工正通过云控系统,将大量居民身份证信息导入数据库,水军账号在进入游戏前,系统会自动输入姓名、身份证号,从而迅速通过了实名认证。为此,他们还搭建起了自己的接单平台,按需提供自己的水军服务。当被问及这些身份证信息来源时,对方表示有渠道,但不方便透露。
不难看出,直播水军肆虐营造出的大量虚假流量已经不止是破坏网络环境、扰乱行业秩序这么简单,背后恐将涉及大量公民身份信息泄露、买卖的黑灰产业链。在短视频和直播火爆的当下,对网络水军亮剑,彻底斩断背后的非法链条,已经到了刻不容缓的地步。
窃密的破解版App
当一些消费者贪图便宜,在手机、电脑等设备上安装所谓的破解版App时,殊不知自身设备及身份的敏感信息也可能一同被“破解”。315晚会通过测试发现,部分App的破解版内嵌入了第三方插件,能够收集用户上网硬件地址、手机设备的识别号、电话卡和手机操作系统的识别码,甚至可以监听用户的通话状态。只要掌握其中2-3种信息,即使用户更换了手机或电话号码,也能精准锁定用户,实时捕捉和追踪用户动态,形成用户的精准画像,从而推送大量广告,实现流量变现。更有甚者,某些破解版App还能监听用户的通话状态。
天下没有免费的午餐,通过非官发渠道获取破解版App虽然能占到一时的便宜,但若因信息泄露,造成自身权益、财产损失时,付出的代价往往更大,在引导用户树立良好消费观、支持正版的前提下,对网络上“暗藏窃贼”的各类破解版App进行清理、维护消费者权益的举措也势在必行。
删不净的个人数据
有效清除旧电子设备中的个人数据是防范个人信息泄露的重要手段,一般而言,消费者会从手机相册、回收站等地方中执行最终的删除步骤,但实验发现,通过在系统终端输入简单的几行代码便将这些已删除的数据轻松找回。
那么,所谓的格式化、恢复出厂设置是否真能彻底删除个人数据?实验再次证明,设备系统所提供的这些设置选项往往并不能从存储中真正删除数据,通过专业的数据恢复软件依然能够找回被删除的内容。要想真正删除数据,消费者需要特别注意系统所提供的选项,如手机恢复出厂设置要将所有存储项目都进行勾选,对电脑硬盘和U盘中数据进行格式化时则要避免勾选”快速格式化“选项。但这些选项往往需要消费者手动进行勾选及确认,很可能会因消费者麻痹大意或者不熟悉系统操作而忽略,如果将这些可以恢复数据的设备丢弃,或者二手转卖,就有可能带来个人数据泄露的风险。
这似乎向设备厂商提了个醒,当用户想要彻底删除数据时,是否应该提供更加直观、便捷的方式,减少消费者的操作成本?
消费者个人信息保护任重道远
近年来,315晚会对网络安全领域,尤其是涉及消费者个人信息、数据安全存在的相关隐患高度关注,揭露了在利益驱使下层出不穷的新型网络违法违规行为。虽然我国已经形成以《中华人民共和国民法典》为基础,以个人信息保护法为核心,以消费者权益保护法、网络安全法、电子商务法、数据安全法为重要组成部分的个人信息保护法律体系,但中国消费者协会发布的《2022年个人信息保护领域消费者权益保护报告》中指出,现阶段侵害消费者个人信息的情形仍然较为严重,为此,中国消费者协会已建议再次启动消费者权益保护法修订,进一步加强个人信息保护。
我们有理由相信,随着国家相关法律法规的逐步细化、完善,消费者的个人信息安全能够得到更加全面的保护,但无论何时,广大消费者仍需要树立完善的网络安全意识,不断提高辨别网络安全风险的敏感度,切实维护好个人信息安全。
文章来自:https://www.freebuf.com/