當Facebook、谷歌等成為數據泄露大頭時(shí)，如何改變？

就在今年2月，道瓊斯被爆出在互聯(lián)網(wǎng)上泄露了超過(guò)240萬(wàn)的高風(fēng)險客戶(hù)觀(guān)察名單，其中甚至包括政客和政府官員的身份記錄。

　　說(shuō)起隱私泄露，硅谷洞察（原硅谷密探）此前熱門(mén)的一篇文章《一天跟蹤你 340 次：歡迎來(lái)到零隱私時(shí)代》，大家更是留言不斷。

　　確實(shí)如此，當頻頻發(fā)生的數據泄露事件（包括過(guò)去幾年中的許多其他事件）讓公眾處于高度戒備狀態(tài)，數據保護的談?wù)摮蔀樵絹?lái)越重要的事情。

　　毫無(wú)疑問(wèn)，像Facebook、亞馬遜、微軟、谷歌和蘋(píng)果（FAMGA）這幾大科技巨頭正在大力投資數據安全——尤其其中幾家已經(jīng)成為數據泄露事件的犧牲品之后。

　　今天，硅谷洞察研究院編譯、整理了CB Insights的研究報告《How Big Tech Is Finally Tackling Cybersecurity》，看科技巨頭如何應對網(wǎng)絡(luò )安全問(wèn)題的。它們，真的能應對好嗎？

　　共同做法：產(chǎn)品+投資收購+專(zhuān)利并行

　　總的來(lái)說(shuō)，FAMGA首要的做法是先從自己產(chǎn)品下手。圍繞各自的產(chǎn)品，進(jìn)行了不同程度的修改，比如Facebook修改其隱私政策，限制對各種API的數據訪(fǎng)問(wèn)；Google更是因為連續被罰，不僅開(kāi)發(fā)新產(chǎn)品，還修改了多種帳戶(hù)設置和權限的控制權。

　　其次的舉動(dòng)是：砸錢(qián)。幾大巨頭已向全球網(wǎng)絡(luò )安全初創(chuàng )公司投入了近25億美元，特別是因為科技公司處于隱私監管問(wèn)題的中心。這里面主要包括對初創(chuàng )公司的投資以及收購。

　?。◤?013年至2019年3月，FAMGA對網(wǎng)絡(luò )安全方面的投資，綠線(xiàn)為投資，橙線(xiàn)為收購）

　　除了投資以外，FAMGA在過(guò)去幾年中申請了數十項專(zhuān)利，重點(diǎn)關(guān)注從保護用戶(hù)登錄憑證到打擊網(wǎng)絡(luò )犯罪等各方面。

　?。‵AMGA在2013-2017年的信息安全專(zhuān)利申請次數，紅色為微軟，淡藍色為Facebook，藍色為谷歌，深藍為蘋(píng)果，橙色為亞馬遜）

　　Facebook：轉向加密消息

　　過(guò)去幾年的Facebook可以說(shuō)一直備受各種爭議。最臭名昭著(zhù)的爭議就是它與英國數據公司Cambridge Analytica（劍橋分析）的合作?？梢钥垂韫榷床齑饲暗膱蟮溃簺Q定美國未來(lái)走向的中期選舉，是社交媒體不能承受之重

　　2016年美國總統大選和英國退歐投票前夕，據報道，大約9000萬(wàn)用戶(hù)的檔案可能是在不知情的情況下，通過(guò)一款名為“這是你的數字生活”的應用程序獲得的。

　　這只是Facebook艱難兩年的開(kāi)始。

　　今年3月份，Facebook又遭遇了一系列負面報道，其中包括紐約東區正在調查Facebook與那些被允許未經(jīng)用戶(hù)許可訪(fǎng)問(wèn)用戶(hù)信息的公司所做的“數據交易”的消息。

　　雖然，用戶(hù)對Facebook的信任度下降，但其財務(wù)狀況卻相對較強。

　　2018年，Facebook的第四季度收益報告透露，收益、收入和活躍用戶(hù)均比上一年有所增長(cháng)。這主要是因為Facebook最有價(jià)值的商品——用戶(hù)信息，恰好是取決于龐大的用戶(hù)數量的。

　　當然，Facebook也一直在尋找方法來(lái)保護用戶(hù)信息不受到影響。

　　今年3月初，Facebook宣布了對隱私，尤其是私密消息的關(guān)注，然后圍繞這一點(diǎn)建立了一個(gè)平臺。 Facebook的首席執行官馬克扎克伯格在帖子中說(shuō)：

　　“我相信通信的未來(lái)將越來(lái)越多地轉向私人加密服務(wù)，人們可以放心他們對彼此說(shuō)的話(huà)保持安全，而這些信息和內容不會(huì )永遠被保存。”

　　這種轉變當然也隨之引發(fā)了對Facebook商業(yè)模式未來(lái)的質(zhì)疑，畢竟，目前Facebook的商業(yè)模式幾乎完全依賴(lài)于廣告收入。

　　Facebook希望專(zhuān)注于私人加密消息傳遞的消息意味著(zhù)可能將Facebook、WhatsApp和Instagram融合在一起。此舉將允許用戶(hù)共享加密和非永久性的消息和信息，并使公共新聞提要變得不那么重要。

　　小扎警告投資者：為保護隱私，不惜犧牲利潤

　　針對數據泄露事件，扎克伯格和Facebook首席運營(yíng)官雪梨桑德伯格發(fā)誓，要更加注重保護用戶(hù)的個(gè)人數據，提請更嚴格的政策以及更加警惕數據保護。

　　扎克伯格在最近的一次電話(huà)會(huì )議中提及了Facebook遭遇持續攻擊時(shí)所面臨的挑戰，甚至用“軍備競賽”來(lái)形容。

　　“安全，這是一場(chǎng)軍備競賽。我們正在繼續改進(jìn)我們的防御，而我認為這也顯示了那些試圖接管帳戶(hù)或從我們社區成員那里竊取信息的人正不斷對我們發(fā)起攻擊。”

　　但是，Facebook也有責任。

　　該公司過(guò)去曾積極與第三方共享用戶(hù)信息，并對用戶(hù)同意做了一種模糊的定義，使個(gè)人數據的傳播更嚴重，這也是在多個(gè)丑聞中的一個(gè)主要話(huà)題。

　　為此，Facebook開(kāi)始修改其隱私政策，限制對各種API的數據訪(fǎng)問(wèn)，實(shí)施更嚴格的審核流程，并宣布招聘約10000名新員工來(lái)專(zhuān)注于打擊數據泄露和監控內容。還聘請了其他主管級別的工作人員專(zhuān)門(mén)處理隱私政策立法，保護和其他問(wèn)題。

　　Facebook還希望，利用人工智能來(lái)提高整個(gè)組織的數據安全性，即使以犧牲利潤為代價(jià)。

　　在最近一次財報電話(huà)會(huì )議上，扎克伯格警告投資者，由于該公司將對網(wǎng)絡(luò )安全和隱私計劃進(jìn)行的投資，Facebook的整體增長(cháng)可能會(huì )在未來(lái)幾年放緩，“我們在安全方面投入如此之多以至于會(huì )影響我們的盈利能力”。

　　在專(zhuān)利方面，Facebook于2018年初申請了“用戶(hù)可識別信息匿名”專(zhuān)利。該專(zhuān)利允許個(gè)人身份信息（PII），如姓名、地址、電話(huà)號碼，在數據集中加擾，以便信息存儲在服務(wù)器中的內容不會(huì )綁定到特定的人。

　?。ㄓ脩?hù)可識別信息匿名加密過(guò)程）

　　該專(zhuān)利還旨在解決用戶(hù)對數據刪除請求的問(wèn)題。

　　通常，刪除請求要求系統搜索文件數據庫并重寫(xiě)每個(gè)文件，從而暴露所有用戶(hù)的PII并且永遠不會(huì )完全刪除所有用戶(hù)的信息。該系統可用于保護用戶(hù)的身份并使其更容易遵守刪除請求。

　　除專(zhuān)利活動(dòng)外，Facebook在2018年收購了四家創(chuàng )業(yè)公司，其中一家以網(wǎng)絡(luò )安全為重點(diǎn)。

　　Confirm.io是一家位于波士頓的創(chuàng )業(yè)公司，負責驗證政府頒發(fā)的第三方業(yè)務(wù)ID。Facebook希望通過(guò)高級取證（包括生物識別和面部數據）來(lái)利用并進(jìn)一步開(kāi)發(fā)Confirm的API用于驗證政府頒發(fā)的身份證明，而無(wú)需人工干預。專(zhuān)家也因此預測，Facebook正在實(shí)驗允許用戶(hù)使用生物識別技術(shù)訪(fǎng)問(wèn)他們的帳戶(hù)，從而保障賬戶(hù)的安全性。

　　谷歌：因安全漏洞提前關(guān)閉Google+

　　如果說(shuō)被歐盟GDPR法案盯得最緊的硅谷巨頭，那莫過(guò)于谷歌了。

　　今年1月，谷歌剛被法國數據保護監管機構要求，因違反GDPR而罰款5700萬(wàn)美元（5000萬(wàn)歐元）。歐洲媒體報道這次罰款時(shí)，都用了“史無(wú)前例地高”來(lái)形容。

　　3月，歐盟委員會(huì )再次針對 Google“濫用在線(xiàn)廣告主導地位”的違法行為再次開(kāi)出 16.9 億美元（人民幣 113 億元）的罰單。

　　當然，歐盟針對谷歌在2017、2018年都開(kāi)出了巨額罰單，但谷歌針對這兩次案件均提出了上訴，但是也做出了相應的整改。

　　在相應的數據泄露爭議事件中，谷歌旗下的產(chǎn)品受影響的并不多。但Google+是其中之一。

　　谷歌在其社交媒體Google+平臺遭遇了兩次數據泄露的打擊：在例行系統安全審核期間發(fā)現了一個(gè)漏洞，導致可能會(huì )泄露大約50萬(wàn)用戶(hù)的數據；2018下半年又發(fā)現一個(gè)安全漏洞，可能暴露超過(guò)5000萬(wàn)用戶(hù)的私人姓名和電子郵件地址。

　　雖然，Google+已經(jīng)在逐漸減少業(yè)務(wù)，但數據泄露導致谷歌提早關(guān)閉了該服務(wù)。

　?。▓D片來(lái)自網(wǎng)絡(luò )，版權屬于原作者）

　　谷歌對這些公告的延遲也被人詬病。盡管數百萬(wàn)人可能受到影響，直到事發(fā)幾個(gè)月之后它才首次向歐盟的用戶(hù)和監管機構提醒違規行為。

　　到底谷歌如何應對數據泄露風(fēng)險呢？

　　首先，開(kāi)發(fā)一系列產(chǎn)品和解決方案，以應對各方面的威脅。

　　除了關(guān)閉Google+作為回應之外，谷歌還升級并改進(jìn)了用戶(hù)對谷歌帳戶(hù)的帳戶(hù)設置和權限的控制權。這包括對試圖訪(fǎng)問(wèn)Gmail等工具的應用程序的新限制，并降低了應用程序訪(fǎng)問(wèn)安卓移動(dòng)設備上的通話(huà)記錄和短信歷史記錄的能力。

　?。ü雀枭壊⒏倪M(jìn)了用戶(hù)對谷歌帳戶(hù)的帳戶(hù)設置和權限的控制權，來(lái)源：谷歌官方）

　　Google還為高風(fēng)險用戶(hù)創(chuàng )建了高級保護計劃，包括“記者、活動(dòng)家、商業(yè)領(lǐng)袖和政治競選團隊”。它提供了更多高級功能，例如登錄的兩步驗證和對第三方應用更嚴格的帳戶(hù)訪(fǎng)問(wèn)權限。

　　其次，谷歌一直致力于開(kāi)發(fā)更好的審計和網(wǎng)絡(luò )安全措施，尤其是在企業(yè)領(lǐng)域。

　　谷歌母公司Alphabet在2018年初推出了名為Chronicle的子公司，由Alphabet的“moonshot工廠(chǎng)”衍生而來(lái)，稱(chēng)為X。Chronicle的目標是開(kāi)發(fā)更強大的網(wǎng)絡(luò )安全保護產(chǎn)品，尤其是企業(yè)安全管理系統。

　?。▉?lái)源： Chronicle）

　　為此，Chronicle最近推出了Backstory，一個(gè)“全球遙測平臺”，提供內置威脅信號，旨在幫助用戶(hù)安全存儲大量的數據。將所有這些數據放在一個(gè)地方，而不是分布在不同的工具和系統上，可以更快地搜索病毒，黑客和安全漏洞。

　　谷歌2012年收購的VirusTotal，是一種分析文件以實(shí)時(shí)檢測惡意軟件和病毒的工具，也在去年被移至Chronicle所有。

　　從最近的谷歌專(zhuān)利可以看出，也在強調其專(zhuān)注于企業(yè)級云安全。

　?。▓D片來(lái)自CB Insights，版權屬于原作者）

　　有一項專(zhuān)利是用于“用戶(hù)相關(guān)數據的訪(fǎng)問(wèn)控制”，描述了一種系統，可幫助檢測潛在的大規模泄漏，同時(shí)部署可幫助維護數據隱私的加密技術(shù)。

　　蘋(píng)果：大力保護企業(yè)級別的用戶(hù)數據

　　蘋(píng)果一直以自己對用戶(hù)隱私的深度關(guān)注而自豪，并未受到類(lèi)似其他幾大巨頭那樣的審查。但是一些新聞也讓蘋(píng)果備受爭議：

　　去年10月，一些中國用戶(hù)成了黑客暴露賬戶(hù)信息的受害者。在某些情況下，黑客能夠從包括支付寶在內的應用程序的用戶(hù)帳戶(hù)中提取資金，這被認為是蘋(píng)果不作為或縱容黑客充幣；

　　另一個(gè)隱患是——FaceTime隱私泄露事件。它被認為“允許用戶(hù)在呼叫對方接聽(tīng)或拒絕接聽(tīng)電話(huà)之前就從他們的設備接收音頻和視頻。”

　　這是一名少年首先發(fā)現了這個(gè)問(wèn)題，這位少年的母親向蘋(píng)果報告了該錯誤。但蘋(píng)果沒(méi)有采取嚴肅行動(dòng)，直到有視頻和報告顯示其他用戶(hù)遇到了這個(gè)問(wèn)題。目前尚不清楚這次漏洞被發(fā)現前持續了多長(cháng)時(shí)間。

　　盡管蘋(píng)果受到極少數數據泄露的影響，但在討論數據松懈態(tài)度的危險性，尤其是在市場(chǎng)或銷(xiāo)售方面，以及對更好的隱私解決方案的需求時(shí)，蘋(píng)果公司首席執行官Tim Cook往往是科技巨頭里最敢于直言的人。

　　去年10月，庫克在比利時(shí)舉行的一次數據安全會(huì )議上表示，現代技術(shù)已經(jīng)導致了一個(gè)“數據——工業(yè)綜合體”，其中私人和個(gè)人數據已經(jīng)“以軍事效率被武器化”。他并沒(méi)有將痛點(diǎn)局限于曾經(jīng)受黑客攻擊的人，而是整個(gè)社會(huì )。

　　如今，蘋(píng)果應對數據安全問(wèn)題的一大舉措是——大力保護尤其是在企業(yè)級別的用戶(hù)數據。

　　蘋(píng)果將重點(diǎn)放在企業(yè)網(wǎng)絡(luò )安全解決方案上。它宣布與思科、Aon（保險集團）和Allianze（安聯(lián)保險集團）在2018年建立合作伙伴關(guān)系，幫助更多機構更好地管理與保護自身免遭勒索軟件和其他惡意軟件攻擊的網(wǎng)絡(luò )風(fēng)險。

　　像來(lái)自Allianz的網(wǎng)絡(luò )保險，來(lái)自Aon的彈性評估，來(lái)自思科的防御勒索軟件，以及將它們與iOS設備上的蘋(píng)果產(chǎn)品集成。

　　由于沒(méi)有微軟的企業(yè)市場(chǎng)份額，蘋(píng)果添加這樣一個(gè)獨特的安全功能可以幫助它在企業(yè)層面進(jìn)行競爭。

　　在消費者方面，蘋(píng)果最近在Safari瀏覽器中嵌入了稱(chēng)為智能跟蹤預防（ITP2）的反跟蹤功能，此舉被許多人視為對Facebook廣泛跟蹤方法的譴責。

　　ITP2使營(yíng)銷(xiāo)人員更難以跟蹤在包括桌面和移動(dòng)設備Safari瀏覽器上暴露于廣告的用戶(hù)的指標和轉化率。

　　與其競爭對手相比，蘋(píng)果公司采用不同的安全方法，在其開(kāi)發(fā)的專(zhuān)利中脫穎而出，申請專(zhuān)利為潛在的廣告跟蹤增加了額外的保護層。

　　最近，蘋(píng)果申請的一項“用匿名標識符重新打包媒體內容數據”專(zhuān)利描述了一種讓用戶(hù)在他們的設備上訪(fǎng)問(wèn)多媒體內容（例如視頻）而不會(huì )將他們的個(gè)人信息或身份暴露給第三方的方法。隨著(zhù)公司進(jìn)一步轉向服務(wù)業(yè)，特別是娛樂(lè )業(yè)，這將變得越來(lái)越重要。

　　好，今天文章的上半部分是選取了硅谷的三大科技巨頭進(jìn)行分析，報告下半部分將關(guān)注西雅圖的兩大科技巨頭——亞馬遜和微軟。作為兩家在企業(yè)級服務(wù)的巨頭，它們又是如何應對數據安全問(wèn)題的呢？

原文轉自：https://new.qq.com/omn/20190408/20190408A0BUXO.html