TikTok再出隱私大事故,抖音深陷“用戶隱私戰爭”互聯網+
導讀
隱私事故頻發,抖音海外業務受阻
隱私事故頻發,抖音海外業務受阻
抖音海外版TicTok又出“隱私事故”了。 1月9日,據《紐約時報》報道,在以色列網絡安全公司Check Point周三發布的研究報告中顯示,TikTok存在嚴重的安全漏洞,通過這些漏洞,黑客可以公開用戶隱私視頻、獲取用戶個人信息以及控制賬戶進行上傳和刪除視頻內容等操作,簡單來說就是能“為所欲為”。 該消息一經曝光,便在國內外迅速引發熱議。一方面這次曝光的安全漏洞潛在危險較大,這種能讓黑客接管賬號的安全漏洞很讓用戶擔憂;另一方面目前TiKTok已經因用戶隱私問題在海外備受“關注”,而這次無論是被《紐約時報》曝光,還是Check Point將其調查結果摘要發送給美國國土安全部,都是火上澆油。 而對國內用戶來說,大家關注的焦點主要集中在兩方面,一方面是這次安全漏洞是否涉及抖音國內版本,目前字節跳動并未作出相關解釋和說明;另一方面2019年10月底PGone和李小璐抖音草稿箱視頻曝光事件目前仍是懸案一件,是否跟此次漏洞相關,也是很多用戶討論的重點。 一、隱私事故頻發,抖音海外業務受阻 “TikTok可能更著重于快速增長并為用戶構建新功能,而不是鞏固安全性,像這樣的公司有安全漏洞是在我預料之中的。”這是《紐約時報》報道中,來自另一網絡安全公司Lookout的研究負責人克里斯托夫·哈巴森(Christoph Hebeisen)對TikTok安全漏洞問題的看法,顯而易見,類似的輿論壓力讓TikTok很受傷。 回歸到這次被曝光的TikTok安全漏洞本身,也著實讓抖音嚇出一身冷汗。據Check Point產品漏洞研究負責人奧代德·瓦努努(Oded Vanunu)表示:“我們發現的漏洞都在TikTok系統的核心部分。”比如TikTok官網支持向用戶發送SMS短信,但其中一個漏洞能讓攻擊者對短信鏈接進行篡改實施詐騙,即發送者仍是TikTok,但短信鏈接已被篡改,一旦用戶點擊鏈接后,其賬戶將被攻擊者控制,爾后即可進行上傳、刪除視頻、訪問私密視頻、將私密視頻公開以及關注其它用戶等操作。
(TikTok正常發送的短信「左」以及鏈接被篡改后發送的短信「右」,圖片來源《黑鳥》公眾號)
再比如攻擊者通過另一個漏洞能夠獲取賬戶用戶的個人信息,包括電子郵件地址、付款信息、姓名和出生日期等,并且發現漏洞的安全人員解釋還稱,由于缺乏反跨站請求偽造機制,無需受害者同意,攻擊者就可以執行JavaScript代碼,替代受害者執行操作,這又加深了人們的擔憂。值得慶幸的是,目前漏洞已經被修復,但這并非抖音在海外面臨的“用戶隱私戰爭”首戰,也不是其最后一戰。
比如2019年2月,美國聯邦貿易委員會投訴TokTik,稱其非法收集未成年人個人信息,違反了《兒童在線隱私保護法》(簡稱COPPA),因為該法要求網站和在線公司在收集13歲以下的兒童個人信息時,必須征得父母同意,為此TikTok同意支付570萬美元達成和解。
此外,不久前據外媒Military.com報道稱,美國國防部最新出臺了指令,為避免個人信息曝光,陸軍士兵被要求立即卸載和刪除TikTok,而從去年10月開始,TikTok就受到美國外國投資委員會(CFIUS)調查,看其是否可以被用于手機用戶數據和控制共享內容;在去年12月,美國海軍和國防部更是對TikTok發出警告,海軍也被要求卸載和刪除TikTok;而目前英國信息專員辦公室還在對TikTok進行調查,重點仍是看其是否違反歐洲隱私法,因此這次安全漏洞事故,或將讓抖音在海外承受更大的監管和輿論壓力。
值得一提的是,據《機械之心》報道,外媒稱以色列應用內市場研究公司Watchful在最新版本的抖音和TikTok的安卓程序中,發現了基于DeepFakes技術的Face Swap(換臉)代碼,目前該功能還沒有發布,據介紹其原理跟去年名噪一時的「Zao」差不多,并且他們還在美國版TikTok應用程序代碼中的英文文本中,發現了與該功能相關未發布的服務條款,具體如下:
(來源機械之心《一夜爆紅的Zao被下架后,不甘心的抖音秘研「換臉」應用功能》)
從去年「Zao」的經歷可知,換臉功能雖然很受歡迎,但涉及的隱私問題同樣非常復雜,對此不知道“秘研”換臉功能的抖音是否已經有了應對之策。就目前來看,抖音在海外的快速擴張過程中,應對“用戶隱私”問題讓其花費眾多精力,前不久據彭博社報道,為應對包括“用戶隱私”在內的各種問題,顧問公司為字節跳動提出諸如進行法律辯護、將TikTok獨立運營以及出售多數股權等多種方案,毋庸置疑,隱私事故的出現,給抖音的海外業務發展帶來了一定的阻力。
二、懸案難決,抖音“用戶隱私戰”內外齊發
與國外相比,雖然國內用戶對隱私數據敏感度和維權意識相對較低,相關法律也有待加強,但國家對互聯網用戶數據監管趨勢正在變嚴,而抖音去年也因為用戶隱私問題數次引發熱議,首當其沖的當屬PGone和李小璐抖音草稿箱內視頻被曝光事件。
2019年10月30日,PGone和李小璐存在抖音草稿箱內的三段視頻被曝光,瞬間在網上引發軒然大波。最開始輿論焦點是在娛樂明星的花邊新聞上,但在PGone后續發布一則微博質問“為什么去年在抖音拍的視頻沒有任何外傳的前提下會被放出來還沒有logo?”后,大眾很快將目光轉移到短視頻平臺用戶隱私問題上。
接著有傳言稱視頻是抖音員工從后臺down下來的,隨后抖音回應稱“傳言不實”,因為運營審核后臺沒有任何草稿視頻,不存在抖音員工從后臺草稿箱里下載視頻的可能。于是人們又將目光投向“用戶草稿箱里的視頻能否上傳到抖音服務器”,結果有網友曬出《抖音隱私政策》中的第1.3條“信息發布”f款規定,大體意思是說為提升視頻上傳速度,在視頻點擊“發布”確認上傳前,會被臨時加載至服務器,這段“臨時期”引發了很多用戶對草稿箱短視頻內容的擔憂。
(圖片來自網絡)
目前為止,這段視頻懸案還未有最終答案,只不過最近TikTok曝光的安全漏洞恰好涉及到相關隱私問題,這讓很多網友不由將兩件事又聯系到了一起,引發了新一輪的熱議。不過暫且不管兩件事是否有直接關聯,但肯定都跟一個問題有關——那就是用戶隱私。
面對用戶隱私問題,抖音去年還被騰訊告上了法庭,騰訊指控多閃在未被授權的情況下違規盜用微信/QQ用戶數據,從而被法院判違規。據騰訊方面稱,抖音將騰訊提供給抖音的微信/QQ授權登陸服務擅自提供給多閃使用,即用戶即使僅注冊抖音,未注冊多閃,但多閃仍能從抖音用戶獲取微信/QQ頭像和昵稱。
此外,之前一篇名為《法學博士生維權:我為什么起訴抖音、多閃侵犯我的隱私權?》文章也在網絡上引發熱議,該文作者稱抖音和多閃兩款APP,在APP通訊錄未包含任何信息、他個人也未明確授權兩者使用個人通訊錄的情況下,就向他精準推薦了多位“好友”,其中更有他多年未聯系的人,比如前任,讓作者非常氣憤,由此將兩款APP運營方告上法庭,并質問其是如何獲取“好友關系”并侵犯隱私的。
可見,不止是國外,國內用戶和法律對個人隱私的保護也在日益加強,而不管是從法律層面,還是輿論層面,互聯網平臺對用戶隱私的保護多應該更加“用心”,以免失去“人心”。
總而言之,在互聯網時代,數據資源就是“新石油”,用戶數據就是“新財富”,不管是正規的互聯網平臺,還是利用技術漏洞非法獲取用戶數據的黑客,其本質上都是想利用用戶數據獲取利益,只不過黑客是非法獲取數據牟利,正規的互聯網平臺是合法利用數據賺錢,短視頻平臺亦是如此。
不過,對用戶和監管部門來說,短視頻平臺跟黑客一樣都是需要監管的對象,因為一旦平臺非法利用用戶數據牟利,其帶來的危害性可能還會更大。而對平臺來說,它既要不斷提升安全技術,防范黑客非法獲取用戶數據,又要不斷提升保護用戶隱私意識,對用戶隱私心存敬畏,避免監守自盜,方可贏得人心。
正如張小龍在最近的微信公開課Pro所講的,作為平臺,因為我們有大量的數據,什么該用,什么不該用,其實是我們一直思考的問題,我們在這里也倡導同行一起重視這個問題。張小龍所講的同行有無特指我們不知道,但作為平臺,對待大量的用戶數據,什么該用,什么不該用,真值得大眾思考。
【完】
曾響鈴
1鈦媒體、人人都是產品經理等多家創投、科技網站年度十大作者;
2虎嘯獎評委;
3作家:【移動互聯網+ 新常態下的商業機會】等暢銷書作者;
4《商界》《中國經營報》《銷售與市場》等近十家雜志撰稿人;
5鈦媒體、36kr、虎嗅、人民日報客戶端、澎湃新聞、界面等近90家專欄作者;
6“腦藝人”(腦力手藝人)概念提出者,現演變為“自媒體”,成為一個行業;
7騰訊全媒派榮譽導師、多家科技智能公司傳播顧問。
抖音海外版TicTok又出“隱私事故”了。 1月9日,據《紐約時報》報道,在以色列網絡安全公司Check Point周三發布的研究報告中顯示,TikTok存在嚴重的安全漏洞,通過這些漏洞,黑客可以公開用戶隱私視頻、獲取用戶個人信息以及控制賬戶進行上傳和刪除視頻內容等操作,簡單來說就是能“為所欲為”。 該消息一經曝光,便在國內外迅速引發熱議。一方面這次曝光的安全漏洞潛在危險較大,這種能讓黑客接管賬號的安全漏洞很讓用戶擔憂;另一方面目前TiKTok已經因用戶隱私問題在海外備受“關注”,而這次無論是被《紐約時報》曝光,還是Check Point將其調查結果摘要發送給美國國土安全部,都是火上澆油。 而對國內用戶來說,大家關注的焦點主要集中在兩方面,一方面是這次安全漏洞是否涉及抖音國內版本,目前字節跳動并未作出相關解釋和說明;另一方面2019年10月底PGone和李小璐抖音草稿箱視頻曝光事件目前仍是懸案一件,是否跟此次漏洞相關,也是很多用戶討論的重點。 一、隱私事故頻發,抖音海外業務受阻 “TikTok可能更著重于快速增長并為用戶構建新功能,而不是鞏固安全性,像這樣的公司有安全漏洞是在我預料之中的。”這是《紐約時報》報道中,來自另一網絡安全公司Lookout的研究負責人克里斯托夫·哈巴森(Christoph Hebeisen)對TikTok安全漏洞問題的看法,顯而易見,類似的輿論壓力讓TikTok很受傷。 回歸到這次被曝光的TikTok安全漏洞本身,也著實讓抖音嚇出一身冷汗。據Check Point產品漏洞研究負責人奧代德·瓦努努(Oded Vanunu)表示:“我們發現的漏洞都在TikTok系統的核心部分。”比如TikTok官網支持向用戶發送SMS短信,但其中一個漏洞能讓攻擊者對短信鏈接進行篡改實施詐騙,即發送者仍是TikTok,但短信鏈接已被篡改,一旦用戶點擊鏈接后,其賬戶將被攻擊者控制,爾后即可進行上傳、刪除視頻、訪問私密視頻、將私密視頻公開以及關注其它用戶等操作。
(TikTok正常發送的短信「左」以及鏈接被篡改后發送的短信「右」,圖片來源《黑鳥》公眾號)
再比如攻擊者通過另一個漏洞能夠獲取賬戶用戶的個人信息,包括電子郵件地址、付款信息、姓名和出生日期等,并且發現漏洞的安全人員解釋還稱,由于缺乏反跨站請求偽造機制,無需受害者同意,攻擊者就可以執行JavaScript代碼,替代受害者執行操作,這又加深了人們的擔憂。值得慶幸的是,目前漏洞已經被修復,但這并非抖音在海外面臨的“用戶隱私戰爭”首戰,也不是其最后一戰。
比如2019年2月,美國聯邦貿易委員會投訴TokTik,稱其非法收集未成年人個人信息,違反了《兒童在線隱私保護法》(簡稱COPPA),因為該法要求網站和在線公司在收集13歲以下的兒童個人信息時,必須征得父母同意,為此TikTok同意支付570萬美元達成和解。
此外,不久前據外媒Military.com報道稱,美國國防部最新出臺了指令,為避免個人信息曝光,陸軍士兵被要求立即卸載和刪除TikTok,而從去年10月開始,TikTok就受到美國外國投資委員會(CFIUS)調查,看其是否可以被用于手機用戶數據和控制共享內容;在去年12月,美國海軍和國防部更是對TikTok發出警告,海軍也被要求卸載和刪除TikTok;而目前英國信息專員辦公室還在對TikTok進行調查,重點仍是看其是否違反歐洲隱私法,因此這次安全漏洞事故,或將讓抖音在海外承受更大的監管和輿論壓力。
值得一提的是,據《機械之心》報道,外媒稱以色列應用內市場研究公司Watchful在最新版本的抖音和TikTok的安卓程序中,發現了基于DeepFakes技術的Face Swap(換臉)代碼,目前該功能還沒有發布,據介紹其原理跟去年名噪一時的「Zao」差不多,并且他們還在美國版TikTok應用程序代碼中的英文文本中,發現了與該功能相關未發布的服務條款,具體如下:
(來源機械之心《一夜爆紅的Zao被下架后,不甘心的抖音秘研「換臉」應用功能》)
從去年「Zao」的經歷可知,換臉功能雖然很受歡迎,但涉及的隱私問題同樣非常復雜,對此不知道“秘研”換臉功能的抖音是否已經有了應對之策。就目前來看,抖音在海外的快速擴張過程中,應對“用戶隱私”問題讓其花費眾多精力,前不久據彭博社報道,為應對包括“用戶隱私”在內的各種問題,顧問公司為字節跳動提出諸如進行法律辯護、將TikTok獨立運營以及出售多數股權等多種方案,毋庸置疑,隱私事故的出現,給抖音的海外業務發展帶來了一定的阻力。
二、懸案難決,抖音“用戶隱私戰”內外齊發
與國外相比,雖然國內用戶對隱私數據敏感度和維權意識相對較低,相關法律也有待加強,但國家對互聯網用戶數據監管趨勢正在變嚴,而抖音去年也因為用戶隱私問題數次引發熱議,首當其沖的當屬PGone和李小璐抖音草稿箱內視頻被曝光事件。
2019年10月30日,PGone和李小璐存在抖音草稿箱內的三段視頻被曝光,瞬間在網上引發軒然大波。最開始輿論焦點是在娛樂明星的花邊新聞上,但在PGone后續發布一則微博質問“為什么去年在抖音拍的視頻沒有任何外傳的前提下會被放出來還沒有logo?”后,大眾很快將目光轉移到短視頻平臺用戶隱私問題上。
接著有傳言稱視頻是抖音員工從后臺down下來的,隨后抖音回應稱“傳言不實”,因為運營審核后臺沒有任何草稿視頻,不存在抖音員工從后臺草稿箱里下載視頻的可能。于是人們又將目光投向“用戶草稿箱里的視頻能否上傳到抖音服務器”,結果有網友曬出《抖音隱私政策》中的第1.3條“信息發布”f款規定,大體意思是說為提升視頻上傳速度,在視頻點擊“發布”確認上傳前,會被臨時加載至服務器,這段“臨時期”引發了很多用戶對草稿箱短視頻內容的擔憂。
(圖片來自網絡)
目前為止,這段視頻懸案還未有最終答案,只不過最近TikTok曝光的安全漏洞恰好涉及到相關隱私問題,這讓很多網友不由將兩件事又聯系到了一起,引發了新一輪的熱議。不過暫且不管兩件事是否有直接關聯,但肯定都跟一個問題有關——那就是用戶隱私。
面對用戶隱私問題,抖音去年還被騰訊告上了法庭,騰訊指控多閃在未被授權的情況下違規盜用微信/QQ用戶數據,從而被法院判違規。據騰訊方面稱,抖音將騰訊提供給抖音的微信/QQ授權登陸服務擅自提供給多閃使用,即用戶即使僅注冊抖音,未注冊多閃,但多閃仍能從抖音用戶獲取微信/QQ頭像和昵稱。
此外,之前一篇名為《法學博士生維權:我為什么起訴抖音、多閃侵犯我的隱私權?》文章也在網絡上引發熱議,該文作者稱抖音和多閃兩款APP,在APP通訊錄未包含任何信息、他個人也未明確授權兩者使用個人通訊錄的情況下,就向他精準推薦了多位“好友”,其中更有他多年未聯系的人,比如前任,讓作者非常氣憤,由此將兩款APP運營方告上法庭,并質問其是如何獲取“好友關系”并侵犯隱私的。
可見,不止是國外,國內用戶和法律對個人隱私的保護也在日益加強,而不管是從法律層面,還是輿論層面,互聯網平臺對用戶隱私的保護多應該更加“用心”,以免失去“人心”。
總而言之,在互聯網時代,數據資源就是“新石油”,用戶數據就是“新財富”,不管是正規的互聯網平臺,還是利用技術漏洞非法獲取用戶數據的黑客,其本質上都是想利用用戶數據獲取利益,只不過黑客是非法獲取數據牟利,正規的互聯網平臺是合法利用數據賺錢,短視頻平臺亦是如此。
不過,對用戶和監管部門來說,短視頻平臺跟黑客一樣都是需要監管的對象,因為一旦平臺非法利用用戶數據牟利,其帶來的危害性可能還會更大。而對平臺來說,它既要不斷提升安全技術,防范黑客非法獲取用戶數據,又要不斷提升保護用戶隱私意識,對用戶隱私心存敬畏,避免監守自盜,方可贏得人心。
正如張小龍在最近的微信公開課Pro所講的,作為平臺,因為我們有大量的數據,什么該用,什么不該用,其實是我們一直思考的問題,我們在這里也倡導同行一起重視這個問題。張小龍所講的同行有無特指我們不知道,但作為平臺,對待大量的用戶數據,什么該用,什么不該用,真值得大眾思考。
【完】
曾響鈴
1鈦媒體、人人都是產品經理等多家創投、科技網站年度十大作者;
2虎嘯獎評委;
3作家:【移動互聯網+ 新常態下的商業機會】等暢銷書作者;
4《商界》《中國經營報》《銷售與市場》等近十家雜志撰稿人;
5鈦媒體、36kr、虎嗅、人民日報客戶端、澎湃新聞、界面等近90家專欄作者;
6“腦藝人”(腦力手藝人)概念提出者,現演變為“自媒體”,成為一個行業;
7騰訊全媒派榮譽導師、多家科技智能公司傳播顧問。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
