本文来自 VICE 什么鬼指南 专栏,强行为你解释一切什么鬼都是什么鬼。
“想知道个人信息怎么泄露吗?请自行百度图片搜索手持身份证!妈蛋!好可怕!” 微博截图 里,一排排人类对着镜头微笑或严肃,手中清晰无码的身份证照片再次激起了人们在一系列电信诈骗新闻中无处排解的恐慌。
可这次的问题不在于 “百度这个 xx 怎么又不干人事!,而是 “为什么这些照片会在网上出现” ―― 无论是必应、360还是谷歌,输入 “手持身份证” 后,搜索结果都是一样赤裸。一天后,百度回应道:“百度搜索出的图片结果均为搜索引擎从第三方网站抓取,针对您所反映的情况已于第一时间对可能存在隐私泄露问题的图片进行了屏蔽处理。”
所以为什么 “手持身份证” 这种高度暴露人隐私的图片会成批成批地出现在搜索结果中?拿到这些照片的都是些什么样的人?我们该如何在这个数据泛滥的时代最大限度保护自己的信息安全?我找到了安东,一位网络信息安全工程师(同时也是一名黑客),跟他聊了聊我的困惑担忧。
VICE:这种手持身份证的照片是从哪里来的?为什么会在互联网上传播?
安东:现在网上有不少机构的实名验证是需要上传手持身份证照片来进行核实的 ―― 无论是做电商、网贷还是你经常在网上看到的那种 “网络兼职人员刷单群” :想赚钱先交几百块钱的加盟费,再让你拍摄手持身份证照片验明正身 ―― 你以为他们只想骗你几百块钱么?
线上黑市里,买卖身份证信息这事儿已经持续很久了 ―― 只不过最近电信诈骗又一次上了风口浪尖,人们才刚有了那么一点意识保护自己的信息安全。
如果拿到了别人的手持身份证照片,都能做什么?想象一下你同时遗失了几百张身份证得多可怕吧。无论是在线支付网站还是学信网,用你那一张照片给出的信息 “找回密码” 简直轻而易举;还有不少网贷 ―― 有了这张你的手持身份证照,他就能分别在不同的网贷平台搞到千把块;剩下的那些想想你平常做什么时被要过手持身份证照片吧 ―― 只要你能通过验证享受便利,拿到照片的坏逼们就能。
更别提社工库了 ―― 一个个非法采集来的、包含着你能想象得到想象不到的个人信息庞大数据库,从你爱用的密码、你的论坛小号到你腻歪着的女朋友的电话。只要拿到你的真实身份,你的一切就约等于是公开的。
操。但感觉把手持身份证照片当作实名验证方式的地方还挺多的,怎样能避免刚刚提到的惨剧?一句话,如果你无法确认这个机构是安全的,就尽量避免使用这种会暴露你真实身份信息的验证方式。要记住,机构的背后都是人,在这种事上,永远要以最坏的恶意揣测人性。如果实在避不开(比如要在淘宝开店),那别忘了给照片打上水印: “本照片仅限办理 xx 业务使用,如有他用一律无效。”
还挺麻烦的。“如果打开保险柜需要付出的代价超过里面物品本身的价值,那么这个保险柜才是安全的。”
那除了身份证以外,普通人还能做什么能保护自己的网络信息?首先就别在网上暴露出你常用的邮箱手机号微信号了。别说社工库,光是恋爱对象心血来潮在搜索引擎上人肉你一下,要是看到你什么豆瓣约炮信息可都够你受的。
其次是密码。复杂化你的密码(1qaz2wsx 、cptbtptpbcptdtptp 什么的就算了啊),尽量在不同的地方使用不一样的密码,注意定期更换。
重要的是建立起保护自身信息安全的意识:要经常问自己,这个地方一定要填我的真实信息么?能填假的就填假的 ―― 我有几个 “走火入魔” 的朋友甚至为了应付不同的场合塑造出了好几个虚拟人格:一个不实名不行的 “真人” 给工作邮箱和支付系统;再分裂出几个人格在社交网络;用来下资源的账号则是个冷血禽兽 ―― 当然,这些人格互不关联。
那考试报名信息、航班信息这些该怎么办?记得试图考研那阵手机平均一天两三条收到各种卖答案的垃圾信息。做好你能做的,其余这些也只能听天由命 ―― 掌握着你信息的往往是没有半点网络安全意识的傻逼。想进个什么教育局内网都不用什么 “黑客” ,密码试都能试出来 ―― 对他们来说,111111和 admin 都能是密码。
怎样看待电信诈骗事件后,涌现出的不少 “被骗是因为没文化/傻” 的言论?这么说吧,前两天我扫了眼微博里的评论,随便点开热门评论里说着 “连自我防范意识都没有死了也是为进化做贡献” 的一个女孩的主页,通过她晒的饭卡照片上的名字就找到了她的手机号学校地址家庭住址父母男朋友电话邮箱地址和密码 ―― 也就不过五分钟?
真的,在这个数据泛滥的时代里,我们都是同样渺小的。