最高法最近发了个重磅典型案例。说有两个年轻人,林某某和王某某b站国内精品小说网站,手里握着整整9亿多条个人信息。他们干嘛呢?搭了个叫“社工库”的网站,专门玩“开盒”网暴。只要给点虚拟货币,就能查到任何人的真实姓名、电话、住址。
最后,一个判了七年,一个五年半。
很多人看完新闻第一反应是:抓得好!就该这么打击!但我看完通报后,却感觉有些不太对劲。
今天我不谈网暴有多恶毒,那只是结果。我们要聊的是那个被所有人有意无意绕过去的、最核心的死结:这9亿条信息,到底是从哪儿流出来的?
我们要搞清楚一个逻辑:林某某和王某某只是“数据的二道贩子”。他们没有能力入侵所有的银行系统,也没有本事黑掉三大运营商的后台。这9亿条信息,原本应该静静地躺在那些估值千亿、拥有顶尖安全团队、口口声声说“用户隐私高于一切”的互联网大厂、物流巨头或者是公共服务机构的服务器里。
可现在,这些本该被重兵把守的资产,却像自来水爆管一样,哗啦啦地流到了黑产的桶里。
这就像是一个小偷拿了一把万能钥匙,把你家、我家、甚至全村人的家门都开了个遍。最后警察抓到了小偷,大家都在拍手称快。可我就纳闷了,那个宣称这把锁“绝对安全”的制锁厂,还有那个把钥匙弄丢了却秘不发官的保安队,难道不该出来走两步吗?
现在的逻辑,给我感觉的是,习惯于惩罚“接水的人”,谁拿这些数据骗钱了,久久99精品久久久久久秒播放器抓。谁拿这些数据网暴了,判。这叫什么,这叫“行为治理”。可如果我们永远不去治那个“漏水的管子”,这种打击就像是在大洪水面前用勺子舀水,忙得满头大汗,却无济于事。
为什么管子会一直漏?说到底,无非两个原因。
第一,是利益驱使下的“内鬼”。
9亿条数据,这不是靠爬虫抓取就能拿到的。这背后必然存在着成规模的、有组织的、横跨多个行业的“数据倒卖内线”。某些掌握权限的程序员、数据库管理员,甚至某些外包公司的员工,在他们眼里,你的住址、你的开房记录、你的全家福,日韩AV无码免费一二三区不过是硬盘里的一串代码。他们点点头,换回来的就是几十万甚至上百万的黑色收入。
第二,是某些企业的“安全傲慢”。
很多企业在扩张业务的时候,那是跑马圈地,连哄带骗地让你交出所有权限:不给通讯录不让用,不给地理位置不让进。可等到要投钱搞安全防护的时候,就开始“挤牙膏”了。在不少公司的财务报表里,安全投入是纯支出,是不产生GMV的。只要泄露了没被发现,或者被发现了能通过公关手段压下去,他们就宁愿把这笔钱省下来去搞营销、去补贴、去买热搜。
这就是最荒诞的地方:我们要求每一个普通公民必须高度“实名化”,你买个快递要实名,注册个游戏要实名,甚至进个写字楼都要刷脸。我们交出了所有的隐私,是为了换取便利和秩序。
可这种实名制,在黑产眼里,却成了最现成的、经过官方背书的“作案花名册”。
如果掌握数据的巨头们不需要为泄露数据付出“断骨割肉”的代价,如果他们只需要在事后发一个痛痒无关的声明,说“我们深表遗憾,将进一步加强安全”,那这种事永远不会消失。
所以,我们真正要追问的,绝不仅仅是那判了七年的林某某。我们要追问的是:这9亿条数据涉及到的那些企业,他们的安全审计在哪儿?他们的权限管控在哪儿?他们的内控系统是不是早就成了摆设?
按照目前的《个人信息保护法》,企业如果造成重大数据泄露,最高可以罚款年度营收的5%。听起来很重对吧?但在现实操作中,我们见过几个巨头因为丢了用户数据被罚到伤筋动骨的?
如果我们总是只抓末端的“开盒者”,那其实是在用一种极高的社会成本,去替那些失职的企业“打补丁”。
今天,这两个年轻人进去了。但只要那根“漏水的管子”还没修好,只要那些“递刀子”的人还在安稳地赚钱,那么在某个我们看不见的暗网角落,新的“社工库”可能正在加载,第10亿条、第11亿条隐私可能正在被明码标价。
最后我想说,抓小偷是正义b站国内精品小说网站,但如果抓不住那个卖万能钥匙的人,我们就永远无法真正地关上数据泄露的大门。