【硬塞專家開評】養套殺?抵制 WhatsApp 後 你需要認識社群通訊平台隱私問題

有一種隱私問題,並不是大家自願給資料的,是一種「養套殺」的方式迫使大家同意分享資料。
評論
Photo Credit:Shutterstock/達志影像
評論

本篇作者「白帽觀點」致力於將資安技術以深入淺出的方式說明,不管是在開發上、公司政策上,讓大家用各種方面的白帽駭客視角去思考科技。使自己更能掌握資安思維,並且讓產品與企業更安全。本篇內容為 INSIDE 邀請「白帽觀點」評論。

【硬塞專家顧問募集中】硬塞將持續關注網路科技趨勢議題、深度專題,邀請您提供觀點評論,持續透過文字傳遞觀點,激起更多火花並帶來影響力。歡迎來信與我們聯絡:
[email protected]

如果你對這篇文章有興趣,相信你對自己的隱私也是重視的。

尤其在 WhatsApp 隱私權更改之後,世界各地出現了抵制 WhatsApp 的聲音。許多人開始思考隱私議題,並且想改用較有隱私的 Telegram 和 Signal 社群軟體。

今天就來聊聊社群軟體上的隱私、以及我們忽視的平台隱私問題、且要如何才能重新獲得這些隱私權。

社群軟體上的隱私

如果要簡述什麼是「隱私權」,可以說是能夠自由地去選擇如何呈現自我,擁有將自己特定資訊選擇性呈現給對方的自由。而「侵犯隱私」則是對方侵犯了我們的這項權利,像是個人資訊被未經同意地使用,使我們無法自由選擇要呈現的自我。

以社群軟體來說,我們都有「社群上的隱私」,在和人互動時可選擇要呈現的內容。像是我們會在 Facebook 發佈上班很開心的公開貼文,但會在 Instagram 限時動態發下班後內心憔悴的情緒,只跟朋友們分享。

而還有一種,是「平台上的隱私」,我們所使用的社群服務平台(如:Facebook、Instagram)會跟我們約定好隱私權使用政策,在合理範圍內使用我們的資料。

但是條款上模糊的使用範圍、加上大眾通常忽略隱私權條款上的內容,可能會開始醞釀出隱私權濫用的問題。

被忽視的平台隱私

我們的生活與各式網路平台服務緊密相連,也代表平台越容易跨越「隱私」這條界線,可能醞釀出幾個潛在隱私權濫用的問題:

  • 「合理範圍」內使用
  • 匿名廣告使用
  • 非自願的社群壓力

「合理範圍」內使用

試想一個情境,我們生活中會拍下許多照片只想自己收藏和觀賞,並且將照片存在雲端管理平台上。但儲存相片時,是否想過平台是如何使用我們所儲存的資料?

說更明確一點,我們永遠無法知道,平台背後是不是有一個員工擁有閱覽使用者資料的權限、露出奇異的表情分析著大家的資料。

而這樣的行為其實並不算是「侵犯」我們的隱私。因為若隱私權條款明確寫著資料的利用方式,只是大眾普遍忽略,最終也只能說是自己將隱私雙手獻上的。

匿名廣告使用

「不連結到使用者」通常不會認為是侵犯隱私。許多平台會將用戶資料「匿名」使用在廣告上。

當我們越來越依靠網路平台,個人行為、居住地點、生活習慣等所有大小事,平台都會收集並且分析。儘管這些資訊確實沒有連結到「本名」,但我們貢獻這麼多資料、搭上近年盛行的人工智慧,就算匿名,在分析過後也幾乎等同連結到真實的個人上。

客製化廣告對生活是一件方便的事情,但若是我們沒有能隨時拒絕的權利、無法只呈現個人部分資訊、無法隨時選擇要呈現的自我,儘管「匿名」,是否也遊走在侵犯隱私權的邊緣?

非自願的社群壓力

還有一種隱私問題,並不是大家自願給資料的,是一種「養套殺」的方式迫使大家同意分享資料:

如果今天身邊的朋友都在用 A 社群平台,不跟著一起使用就無法加入大家的討論,你會怎麼做?

遇到這樣的狀況,儘管 A 社群平台明確告知會利用使用者資料,為了融入朋友圈、以及面對現實生活中的社群壓力,大部分的人都還是會試著註冊該平台,更有可能持續地使用它。

若大眾「忽略了平台隱私」,並且也因為「社群壓力」而選擇持續使用平台,最終可能導致大家都被綁在平台上動彈不得,使平台可以不斷修改條款、擴大收集個人資料

WhatsApp 事件是不是也像是這樣的狀況,並且也收集了過多的個人資訊?

缺乏平台隱私所導致的問題

如果缺乏平台隱私,除了可能讓平台更恣意妄為地收集資料外,還可能衍生出許多對使用者不利的事情:

最經典的例子就是資料濫用。如上述的例子,平台可以光明正大地收集資料並且進行分析與販賣,而使用這些資料的第三方也可能會濫用這些資料,在 2018 年的劍橋分析事件就是一個經典的例子。

二來還有數位監控。如果某天平台與特殊單位合作,私下監控你和朋友之間的所有互動、所有對話。而這樣的監控行為也只不過算是在隱私權條款內的一種「使用方式」而已,朋友間的「私訊」將不再是私訊。

若在未來數位身分和真實身份更緊密相連的狀態下,甚至可能沒有「拒絕的權利」,只能被任意監控和被控制隱私。

重獲平台上的隱私權 - 點對點加密

我們其實可以以技術面解決平台隱私問題,同態加密就是其中一種方法,同態加密可以在平台無法得知資料內容的狀況下進行操作。

但同態加密也許不這麼適用於通訊相關的服務,在通訊服務更常見的方法是使用「點對點加密」來保障平台隱私,讓平台無法得知我們的通訊內容。

我們以生活中的例子來舉例:假設我寄信給朋友,當把信拿給郵差時,由於信件是明文交給郵差,郵差是有可能可以偷看信件內容的。

但如果我拿了一個附帶鎖的盒子,將信放在盒子裡面給郵差,且盒子的鎖只有朋友和我才能打開(點對點加密),我就能保證郵差(平台)無法看到信件(私訊)的內容,頂多郵差把盒子搞丟。

技術實作問題

當然在網路世界不可能有實體的盒子和實體鎖,所以網路上要做出點對點加密的效果,簡單來說有兩種方式:

  • 實際見面,親口分享一組只有我和那位朋友才知道的唯一密碼,來做訊息加密
     
  • 不用見面,藉由密碼學的幫忙,在網路上建立出一組只有我和那位朋友才知道的唯一金鑰來做加密

但實際上實作方法有很多種,也可能會有安全疑慮。平台聲稱有實作訊息加密的功能,並不等於平台保證我們的隱私。可以想像成有個鎖匠製了一個鎖盒、並且說這個鎖只有你能打開,但他卻在盒子底部偷偷挖個洞來偷看資料。這個例子中確實無法開鎖,但他可以利用後門來進行側錄。

現有通訊軟體的實作

如果要驗證通訊軟體是否實作良好,可以觀察該平台是否開源了程式碼、且實作了經過驗證的加密方法,那我們就能比較放心地去使用它。

Signal 就是一個完全開源且提供點對點加密的社群軟體。跟 Signal 相比,Telegram 雖然也有實作自製的點對點加密,但預設並沒有使用

而相對 Signal 預設是啟用點對點加密的,並且就算是「群組通訊」也依然實作了群組加密

如果想了解更多 Telegram 和 Signal 的比較,可以參考像這篇文章這篇比較表都有很清楚的說明。

我需要這些隱私嗎?

事實上,不見得每個人都要改用 Telegram、Signal 之類的通訊軟體。每個人所要求的隱私取決於個人的接受度和社群需求、以及每個人的社群壓力程度。

以目前來說,如果你不希望自己的資料被拿去做廣告等利用、也不希望私人資料被留存在平台上,那 Signal 會是很好的選擇。但也許 Signal 目前的缺點是交友圈一定要知道彼此手機、以及台灣社群圈的人數也還不多。

而如果你希望有較好的社群機制和社群隱私設定、無廣告利用、且可以接受平台隱私沒有像 Signal 提供的這麼完善的話,Telegram 會是不錯的通訊軟體,目前在台灣的接受度也逐漸上升。

然而,不論如何,使用安全的軟體並不代表不會被盜帳號。資安的問題常發生在人的疏忽:軟體未更新、手機未更新修復漏洞、使用弱密碼等等,這樣就算使用 Signal 也依然會有資安風險。

而每個人期望的隱私標準都不同,如果你認為平台隱私就算沒有也沒關係、資料被做為廣告用途、被濫用、甚至被人監控也都可以接受,那其實也不用考慮這麼多。

但如果你是這種人的話,我想你應該也不會將這篇文看到最後,對吧?

責任編輯:Anny
核稿編輯:MindyLi

延伸閱讀:





遊戲進軍海外市場,使用者體驗外更要注重用戶隱私安全

近年來遊戲產業蓬勃發展,但也同時引來了大量的 DDoS 攻擊。除了提供遊戲玩家良好流暢的遊戲體驗,防範惡意攻擊也是遊戲產業發展的重點項目。
評論
評論

隨著科技日新月異、加上新冠肺炎席捲全球,大家「宅在家」的時間也越來越長。也就是說,人們需要花更多時間,透過網路與線上的各項服務,滿足自己工作、學習、娛樂等需求。

Photo Credit: Akamai

然而,這同時也代表著各類線上或網路的服務將面臨更多安全攻擊。據統計,光是 2020 年,全球的勒索軟體攻擊事件就增加了 715%,網路釣魚攻擊增加了 600%,上半年 DDoS 攻擊事件也增加了 151%。

遊戲產業,已成 DDoS 主要目標之一

對於遊戲產業來說,本來可以借著網路的蓬勃發展,將服務擴廣至到全球市場,不過也必然會在安全和用戶體驗等方面遇到更多挑戰。舉例來說,阻斷服務攻擊(DDoS)是一種常見攻擊方式,並已成為遊戲產業所面臨的最主要攻擊方式之一。根據 Akamai 威脅研究人員在 2019 年 7 月至 2020 年 6 月期間的調查,發現了超過 3000 起針對遊戲產業的 DDoS 攻擊!

Photo Credit: Akamai

面對 DDoS 攻擊,玩家遊戲體驗大受影響,遊戲廠商收入和品牌聲譽受到損害,你該如何應對?

Akamai 幫你有效緩解

要想守護遊戲安全,需要遊戲公司、遊戲玩家共同承擔責任,單打獨鬥很難應對海外攻擊的大幅增長。對此,Akamai 將 Prolexic DDoS 與 IP Protect 技術相結合,通過簡單有效的方法保護資料中心內所有以 Web 和 IP 為基礎的應用程式免受 DDoS 攻擊,減少停機時間,幫助遊戲廠商為玩家提供提供沉浸式遊戲體驗,提升玩家黏著度,提高企業營收,保護品牌信譽。

面對 DDoS 攻擊的企業將能通過 Akamai 清洗中心重定向網路流量,只允許乾淨的流量轉發,從而有效抵禦 DDoS 攻擊。同時 Akamai 安全營運指揮中心(SOCC)的專家還可協助客戶量身打造主動破解的控制措施,以便即時發現並有效阻止攻擊,並對其餘流量進行即時分析,作為擬定下個階段因應措施的參考。

Photo Credit: Akamai

Prolexic 的主動破解控制如今已經可以「零秒」抵擋超過三分之二的 DDoS 攻擊,並以業界領先的破解時間 SLA 為後盾,為客戶的線上服務提供完全託管的 DDoS 防護服務,快速緩解大規模、即流量來到 TB 等級的 DDoS 攻擊。

案例分享:Smilegate West的 玩家體驗革新之路 

在南美和北美地區排名第一的遊戲發行商 SmilegateWest 透過自家的遊戲平臺 Z8 Games 發行了很多廣受歡迎的線上遊戲,該公司也是「穿越火線(CROSSFIRE)」在美洲、歐洲以及中東和北非地區的代理。對於這樣的一個遊戲平臺,Smilegate West 的收入和聲譽高度取決於其所營運線上遊戲的速度和穩定性,因此他們非常重視 DDoS 攻擊。

作為一款大受歡迎的第一人稱線上射擊遊戲,穿越火線在全球的玩家數量始終維持在數百萬人之多。雖然該遊戲可以免費遊玩,但大量忠實玩家也非常願意透過付費獲得更好的武器、防禦克貝以及其他有助於提高成績和排名的裝備。

談到遊戲的營運思維,Smilegate West 資深 IT 基礎架構和安全經理 Arash Haghighi 說:「在類似穿越火線這樣的遊戲中,速度和快速的決策能力非常重要,有時候甚至 1 毫秒的延遲也會對玩家得分產生負面影響,斷線的後果更為嚴重。我們希望玩家盡可以獲得最佳的遊戲體驗,因此降低延遲並提供穩定可靠的網路,一直是我們最重視的目標。」

Photo Credit: Akamai

Haghighi 負責了該公司在全球部署的多個資料中心,需要確保無論有多少玩家,IT 基礎架構都能為穿越火線以及其他遊戲提供快速、穩定的遊戲體驗。然而頻繁遭遇的 DDoS 攻擊成了 Haghighi 最頭痛的問題。尤其是現今的 DDoS 攻擊無論是在規模或是複雜性等方面都有了明顯的增長,且遊戲產業已成為攻擊者眼中的重要目標。洶湧而來的攻擊很容易就會讓伺服器徹底崩潰,瞬間影響數千名玩家。他們甚至遇到了一些更有針對性的攻擊,可以通過增加延遲的方式讓某些玩家在對戰過程中更具優勢。

「當玩家在玩某款遊戲遇到糟糕的體驗後,他們會非常積極地透過論壇和社群向全世界大肆宣傳,這很可能導致我們的市場佔有率被競爭對手搶走。」Haghighi 對於這種問題有極大的感觸。

行雲流水般的,無懼 DDoS 威脅

近些年,Smilegate West 一直在 Akamai 的幫助下有效抵擋 DDoS 攻擊,確保能為全球玩家提供流暢的遊戲體驗。尤其是在 Akamai Prolexic Routed 的幫助下,他們甚至成功緩解了最大規模、最複雜的攻擊。

借著 Akamai 雲端 DDoS 抵擋服務的容量和威脅情報,Smilegate West 成功抵擋了巔峰值流量超過 400 Gbps 的攻擊,並瞬間恢復了正常運作。

Akamai 工程師 24/7 全天候分析流量模式並提供新篩檢程式的做法也讓他們更具信心。

在透過 Akamai 安全營運回應中心(SOCC)及時回應最新威脅的同時,他們還可以通過一個專用的帳戶密切監視各項網路活動,並針對諸如封包丟失、延遲、連線品質等關鍵指標獲得即時資訊。

Photo Credit: Akamai

為全球化營運保駕護航

DDoS 攻擊可能來自全球任何一個角落,而 Akamai 遍佈全球的 20 個據點可以有效阻止攻擊流量進入 Smilegate West 的資料中心。由於該公司玩家遍佈全球,每年還會在巴西、加拿大、中國、埃及、土耳其和美國等地舉辦多場比賽,因此 DDoS 抵擋服務的規模和覆蓋範圍也就顯得更加重要。而無論 Smilegate West 將業務拓展到哪裡,都可以獲得 Akamai 的妥善保護。

同樣借助 Akamai 遍佈全球的雲端,Smilegate West 還可以在 CDN 加速、遊戲下載和更新速度以及邊緣交付等領域獲得巨大價值。對玩家來說,這意味著遊戲和更新的下載速度更快,遊玩體驗也有了進一步提升。

在此基礎上,Smilegate West 也進一步加深了與 Akamai 的合作,開始借助 Akamai 的 Web Application Protector 解決方案為遊戲後端系統提供安全防護。

 

我們與 Akamai 的關係並不僅僅是客戶與提供商,而是朋友和夥伴。
——Arash Haghighi,Smilegate West 資深 IT 基礎架構和安全經理

歡迎訪問 Akamai 官網,了解更多行業案例及資訊。

本文由「Akamai」提供,經關鍵評論網媒體集團廣編企劃編審。