Chrome和Firefox上著名的隱私安全插件Web of Trust最近爆出泄漏用戶數(shù)據(jù)的丑聞，事件再次證明，互聯(lián)網(wǎng)上的信任關(guān)系是如此的脆弱。

受到1.4億互聯(lián)網(wǎng)用戶信任的Web of Trust（WOT）是一款瀏覽器插件，該插件主要用于保護(hù)用戶上網(wǎng)瀏覽時免受廣告跟蹤、黑客陷阱和釣魚攻擊等危害。然而，該軟件的開發(fā)商myWOT被發(fā)現(xiàn)在數(shù)據(jù)市場上販?zhǔn)塾脩舻臄?shù)據(jù)：一份數(shù)百萬WOT用戶在一個月內(nèi)訪問的所有網(wǎng)絡(luò)地址的列表。德國記者購買到的樣本數(shù)據(jù)中包含300萬德國WOT用戶詳細(xì)的沖浪歷史。而開發(fā)商私下對此的聲明是這一切只是一個疏忽，并承諾將改善這種情況。

然而，沃爾夫·克里斯蒂爾并不太樂觀，克里斯蒂爾認(rèn)為這是一個非?；闹嚨氖录?，一個本該是保護(hù)用戶不被跟蹤的數(shù)據(jù)安全插件，最終卻將用戶的數(shù)據(jù)收集并公開販賣。作為數(shù)據(jù)交易方面的專家，沃爾夫·克里斯蒂爾非常了解用戶的數(shù)據(jù)是如何被收集、評估和銷售以及諸如WOT之類的插件收集和販賣的數(shù)據(jù)會被如何利用。

他與研究員莎拉·斯皮克曼合作撰寫了一本關(guān)于這個主題的書：這是一本該領(lǐng)域非常專業(yè)的研究書籍，這是一個法律和倫理的灰色地帶，數(shù)據(jù)被秘密地變成金錢，而受損害的自然是數(shù)據(jù)被泄漏的用戶。

來自數(shù)據(jù)的錢

沃爾夫·克里斯蒂爾認(rèn)為myWOT販賣的瀏覽器數(shù)據(jù)對于數(shù)據(jù)商業(yè)領(lǐng)域特別有價值，如此完整的瀏覽歷史記錄包含一個人訪問的網(wǎng)站和使用的Web服務(wù)，這樣的數(shù)據(jù)不僅可以創(chuàng)建個性化配置文件用于有針對性的廣告投放，還可以用于很多其他的方面，問題相當(dāng)嚴(yán)重，但不幸的是，這是一個法律和倫理的灰色地帶，類似的操作對于互聯(lián)網(wǎng)企業(yè)來說已經(jīng)是司空見慣的了，至少在德國許多公司以類似的方式獲取用戶的數(shù)據(jù)。

而更嚴(yán)重的是，myWOT販賣的瀏覽器數(shù)據(jù)中還包含了一些對于用戶至關(guān)重要的數(shù)據(jù)，這就是myWOT私下承認(rèn)草率的原因，但是我們并不能知道這是他們無心之失還是有意為之。據(jù)沃爾夫·克里斯蒂爾介紹，myWOT記錄和銷售的數(shù)據(jù)不僅包含用戶訪問網(wǎng)站的網(wǎng)址，而且將瀏覽器地址欄上整個URL及其參數(shù)也收集販賣。在數(shù)字廣告業(yè)內(nèi)販?zhǔn)鄣臄?shù)據(jù)通常會包含網(wǎng)站的網(wǎng)址等數(shù)據(jù)，這是相對普遍的事情，但是販賣整個URL及其參數(shù)則會為用戶帶來巨大的安全風(fēng)險。

眾所周知，地址欄上完整的URL通常包含可追溯到用戶身份的數(shù)據(jù)，例如電子郵件地址、個人云存儲器上的鏈接、社交網(wǎng)絡(luò)和論壇上個人資料的鏈接。對于一些安全驗(yàn)證方式不完善的網(wǎng)站，甚至可以使用包含參數(shù)的完整URL直接訪問用戶的賬戶信息。因此，myWOT銷售的數(shù)據(jù)不僅可以輕松追溯用戶的身份，對于用戶來說還可能有更多、更嚴(yán)重的風(fēng)險，而該公司的所作所為也已經(jīng)違反了WOT的數(shù)據(jù)保護(hù)規(guī)則。

廣泛的配置文件

不過，沃爾夫·克里斯蒂爾對于myWOT的丑聞一點(diǎn)也不覺得驚訝：一直以來使用瀏覽器插件泄漏數(shù)據(jù)的風(fēng)險都非常高，而且克里斯蒂爾認(rèn)為myWOT在所謂的數(shù)據(jù)販?zhǔn)凵讨羞€只是一個小角色。據(jù)克里斯蒂爾介紹，許多公司都在跟蹤用戶的上網(wǎng)模式，這是一件涉及數(shù)以億計的互聯(lián)網(wǎng)用戶和數(shù)百萬網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的事情，因?yàn)橛脩魯?shù)據(jù)對于這些企業(yè)來說意味著巨大的商業(yè)價值：收集和利用的用戶數(shù)據(jù)越多，數(shù)據(jù)就越有價值。用戶的偏好、個性特征和行為模式構(gòu)成的所謂的配置文件越來越詳細(xì)的時候，就可以通過更有效的方式聯(lián)系和操縱特定的用戶。而這些數(shù)據(jù)并不只是可以用于創(chuàng)建有針對性的廣告，還可以用于確定用戶的信譽(yù)和消費(fèi)能力。

據(jù)沃爾夫·克里斯蒂爾介紹，所有收集用戶數(shù)據(jù)的公司都試圖在多個設(shè)備、平臺和生活領(lǐng)域跟蹤我們的上網(wǎng)行為，厘清我們的上網(wǎng)行為和購買行為以及所有數(shù)據(jù)之間的聯(lián)系。按照沃爾夫·克里斯蒂爾先生的說法，這些公司在收集我們數(shù)據(jù)的時候，將通過特定的算法從所獲得的電子郵件或者電話號碼等相對穩(wěn)定的個人細(xì)節(jié)中生成一個獨(dú)特的代碼，這個唯一的代碼被分配給一個人，當(dāng)我們在家中瀏覽、在辦公室使用互聯(lián)網(wǎng)工作或者使用信用卡時，所有被跟蹤收集匯總到以該代碼識別的所謂的配置文件。

危險程度

這是一個遠(yuǎn)遠(yuǎn)超出人類歷史上任何已知的強(qiáng)大實(shí)體的強(qiáng)大力量，所創(chuàng)建的所謂配置文件內(nèi)容將涵蓋我們?nèi)粘Ｉ畹姆椒矫婷妫瑹o所不知、無所不有。沃爾夫·克里斯蒂爾先生認(rèn)為，這是一個巨大的問題。在這樣的系統(tǒng)中，所謂隱私保護(hù)只是一個笑話?；蛟SWOT泄漏的數(shù)據(jù)只是一個瀏覽歷史記錄，即使包含了所有參數(shù)和完整的URL也并不足以釀成大禍。真正可怕的是在目前的數(shù)據(jù)交易規(guī)模下，全球化的收集、積累和精煉處理數(shù)據(jù)所創(chuàng)建的用戶檔案。以O(shè)racle在2016年夏天收購的數(shù)據(jù)追蹤服務(wù)商AddThis為例，按照該公司的聲明，它在1 500萬個網(wǎng)站上監(jiān)測的用戶超過30億，并為這些用戶中的每一個用戶創(chuàng)建了一個檔案。在如此規(guī)模的數(shù)據(jù)跟蹤方式下，常規(guī)的匿名化方法發(fā)揮不了什么作用。數(shù)據(jù)追蹤服務(wù)商將通過跟蹤獲得的數(shù)據(jù)對用戶進(jìn)行識別，它并不一定需要知道每一個上網(wǎng)用戶的名字，但是它可以將所有上網(wǎng)用戶與其唯一的檔案關(guān)聯(lián)起來。對于系統(tǒng)來說，用戶的名字不再是最主要的識別代碼，相反系統(tǒng)產(chǎn)生的代碼將是用戶的新名字。

對于這些互聯(lián)網(wǎng)公司來說，要求或者禁止他們進(jìn)行數(shù)據(jù)收集和交易明顯是不現(xiàn)實(shí)的。目前我們不知道有什么方法可以更好地保護(hù)用戶的權(quán)益，不過對于WOT來說問題相對比較簡單，如果這一切確實(shí)只是一個疏忽，并且該公司確實(shí)有良好的意愿改善這種情況，那么該公司只需要在收集數(shù)據(jù)的過程中進(jìn)行簡單的處理，WOT插件就能夠只收集訪問的網(wǎng)站而不是完整的URL，然而所收集的這些數(shù)據(jù)在數(shù)據(jù)交易市場上仍然是有價值的，但對于用戶來說，風(fēng)險會低許多。