用户隐私早已沦陷

   春节前，看到了有人用泄露的QQ群（好多年前的）做出的关系图谱而深感震惊，然后一种不安全感油然而生，然后想注销QQ服务。如果作者告诉你，几乎所有的互联网重要隐私都泄露了，会做何感想？

从CSDN明文密码库到天涯明文密码库到酒店开房库到Adobe用户库到QQ群关系库泄露等等，各类曝光出来的泄露事件，终于让大众都开始担忧了。

这种担忧是好事，因为安全意识提高了。

不过这种担忧有时候太过了，我来告诉你们，你们的隐私在哪。

1. 黑客脱裤

在大众眼中的一些黑客手里，确实拥有大众意想不到的用户隐私库，我不方便说太多，只是你们听过的可能只是其中1%不到。有些黑客把一些服务商的用户数据库给拖了，业内术语为拖库，形象称为“脱裤”，那么这个用户数据库就是所谓的“裤子”了。通过交易，一些裤子被黑客越积越多。你们去wooyun.org上搜“拖库”或“脱裤”看看。

2. 服务商为刀俎，用户为鱼肉

你们还有一些隐私不是黑客搞出来的，而是被你们信任的服务商或内鬼偷偷交易出去的，比如支付宝最近那个泄密事件，就是内鬼所为。

其实我想说这类交易太多了，想想吧，你收到的一些骚扰电话，诈骗信息，为何有些会如此的精密，这些骗子们真是大数据玩家，他们分析摸底你的身份信息、喜好、亲友关系等，然后定向来诈骗你！这些骗子确实是高明的“心理学家”，不过他们不是算命师，如果事先没拿到你的各类隐私数据，诈骗的成功率会大大降低。

这些数据，黑客当然也可以拿到。

3. 服务商偷你的数据

偷或者“偷”吧。看下面我曾经爆料的一个例子：

这是猎豹手机浏览器的使用协议，猎豹明确说了会收集用户隐私，大家重点看5,6,7三点，尤其是5，要收集用户收集安装过的程序信息（这是做竞争分析？！）。我这是iPhone啊，没越狱，如果是Android，更惨，Android千疮百孔，ROM在收集你的隐私，上面的各种APP都在争先恐后地收集，唯恐落后一步就搞不定所谓的用户行为分析/商业分析……相比那些APP来说，猎豹手机浏览器还显得挺“正”。

叹，忧伤。

服务商们可以在他们的APP、软件、网站服务、流量节点的各环节“偷”你的隐私，然后拿去分析。如果是纯机器分析，且保证不泄露，那么这个还是支持的，这会促进进化，可，如果有人的介入，甚至起了贪念，倒卖出去，那就可怕了。

大家想想是不是？对99.99%的普通大众来说，根本没有能力去制止这些。不过我们都是有权利去发出我们的一些声音，用户的三权（隐私权、选择权、知情权）是需要各方努力去落地。

这些偷数据的服务商都是无良服务商！

好了，除了上面说的3种情况，还有的就不方便说了。不过这时结论很清晰了：用户隐私早沦陷了！

我可以负责任的告诉你们一点，那些公开泄露的裤子，如果黑客要基于这些裤子去黑某个人，还是很有把握的，这个成功概率非常高了已经，也许，你根本想不到你已经被黑了。曾经某人监控某个目标两年有余，目标还是那样毫无感知，这个目标算得上行业牛人了。

所以我经常说，这个互联网非常不安全，你没被黑很可能是你还没被黑的价值。

普通用户紧张兮兮的就有点过头了，如果十分没安全感的话，你应该杜绝使用互联网。

前段时间知乎上有人问我：

关于互联网安全，你有什么看法？

我回答说：

1. 安全与用户体验一定要达到一种平衡，否则极致的安全会破坏创新。

2. 不做亏心事不怕鬼叫门，但是隐私被盗还是很郁闷。因为没用绝对的安全，安全是多维的，多维，所以最终的底线是：不做亏心事。

3. 确实，互联网太不安全了，归根结底是人类这个群体太不安全了。

真有趣：）

我作为大众眼里的业内人士，心态如此，你们就不用太担心啦，真的，最终的底线是：不做亏心事。如果真的要黑你，你还真的躲不掉。但是，不代表我们可以忽视/冷漠隐私/被黑这个问题，我这里说“你还没被黑的价值”是基于我对“被黑”的理解。

我说下“被黑”的理解，有两种形式：

1. 黑客针对你，对你进行针对性攻击；

2. 黑客并非针对你，而是针对某类群体，而你正好在这个群体中，你是被殃及的；

我那句“你还没被黑的价值”是针对第一种形式的，即你还没达到黑客要针对你的程度。那么针对性攻击一般会有哪些对象呢？如下：

1. 得罪黑客的人，无论是直接还是间接，反正得罪了，大家去百度搜个案例“月光博客被黑事件”，这里举这个例子，没想怎样，因为这个在当时是一件不热门也得热门的事件，所以在黑客圈关注度很高，把月光博客黑了一个遍的那个匿名黑客，我由衷欣赏；

    

2. 利益之争，这个在黑色产业链中最容易发生，我之前说过黑色产业链规模庞大到令人窒息；

    

3. 你是某些敏感领域的知名对象，所谓枪打出头鸟；

    

如上这些对象才有被黑价值，确实我们大部分人都还没达到被针对性黑的价值。

而，对于被黑的第二种形式，我们所有人都是躺枪的，我在《用户隐私早沦陷了》里提到沦陷的3种方式，其实我们所有人都是受害者。比如上面给出的两个在线查询隐私的网站，有的人一定会很郁闷……

据说，有人去查自己另一半的开房记录，然后发现了亮点……

对于第二种形式，黑客还可以用我们的隐私去诈骗我们的亲友，可以用我们的隐私去“借刀杀人”，这时由于你的忽视/冷漠，才导致了这个互联网的黑色奇葩。

关于防御，我简单列下吧（都是血的心得啊）：

1. 重要网站/APP的密码一定要独立，猜测不到，普通网站为了记忆方便可以简单有规律，如果你记忆好，那可以都不一样，或者用1Password这样的软件来帮你记忆；

2. 电脑勤打补丁，腾讯管家、百度卫士都可以（不推荐360是因为我不信任）；

3. 能不用IE浏览器就不要用（网银登录这类必须是IE的情况那再用），用Firefox或Chrome浏览器，如果想和我一样变态安全的话，可以考虑给Firefox装个安全扩展：NoScript；

4. 支持正版，包括Windows，Office等，淘宝注册码没几个钱，因为盗版的、破解的总是各种猫腻，后门存在的可能性很大，当然有的破解者是友好的，到时你自己判断，只是我强烈建议：支持正版；

5. 不那么可信的软件，如果你玩虚拟机的话，可以安装到虚拟机里；

6. 手机建议用安全的iPhone，别越狱，如果用安卓就安卓吧，别root，同样强烈建议购买正版APP，哪天我有心情我给你们证明下哪些破解APP的猫腻，iPhone用户尽量不用什么快用苹果助手、同步推、iTools、PP助手之类的，尊重苹果的原生态吧；

7. 不要在公共场合（如咖啡厅、机场等）使用公共无线，自己包月3G/4G，不差钱，当然你可以用公共无线做点无隐私的事，如下载部电影之类的；

8. 自己的无线AP，用安全的加密方式（如WPA2），密码复杂些；

9. 在任何地方输入密码时，注意周围，包括角落的摄像头；

10. 不要在陌生的电脑上输入密码等，如果实在需要，输入后，清除好记录；

11. 离开电脑时，记得按下Win（Windows图标那个键）+L键，锁屏，这个习惯非常非常关键；

12. 如果你是重要人物，记得给你的BIOS加个密、硬盘加个密、关键文件放到TrueCrypt里，发邮件用PGP加密；

13. 接上条，住酒店时，离开房间时，记得关机，锁好电脑到保险柜去；
    

14. 涉及到QQ、微信等的朋友、亲人向你借钱、充值之类事宜，电话过去确认，要记住互联网那头不一定是一个人或你以为的那个人；

15. 即使是官方短信也不一定可信，因为基站可伪造，百度“伪基站”看看就知道了；

16. 不用相信“天下掉馅饼”的传说；

17. 手机锁屏时要密码（数字、字母或指纹都行），千万不要图形密码，随便都可以被瞄到！！

18. 不轻易把自己的姓名、电话、邮箱等给陌生人（包括名片），很多场合是可以写假名字的，该低调就低调；

19. 相信我，如果你成为目标的话，黑客要黑你的方式太多了。还是那句：不做亏心事不怕鬼叫门，这是终极防御了；
    

20. 最后，意识为先，让更多人意识到吧，来个俗套的请求：把我的这篇文章转发出去，转发时附上：文章给出了很多非常好的防黑建议（blabla~，剩下你自由发挥），谢谢。
    

大家发现没，以上我给出的建议都是基于“信任”这个核心给出的，安全的本质是信任。“除了你自己没谁是真的可信的。”记住这句终极心法，不过这个太残忍了，你自己把控下度。

原文发布时间为：2014-02-16

本文来自云栖社区合作伙伴“大数据文摘”，了解相关信息可以关注“BigDataDigest”微信公众号