原标题:【2018台湾云端大会直击】HITCON CTF骇客竞赛负责人剖析:不是删帐号或挡应用,脸书事件该注意的事跟你想的不一样
HITCON△CTF骇客竞赛负责人李伦铨。
图片来源:iThome
剑桥分析违法滥用脸书8700万笔用户资料,试图用广告在美国总统大选中影响选民立场,引起全球关注,更让脸书因涉及资料外泄而遭讨伐,剑桥分析更因此而宣布破产。脸书资料外泄事件在全球余波荡漾,人人害怕个资在无意中被存取甚至被用来操弄,甚至有许多如何避免脸书个资外泄的报道,甚至是删除脸书的言论出现。对此,HITCON△CTF骇客竞赛负责人李伦铨今天在iThome△2018台湾云端大会主题演讲上,提出不同看法。他认为,并非删掉脸书帐号或是解除可疑脸书程式就好,更值得注意的是脸书演算法的精确度,因为它的影响力已经达到不容轻忽的地步。
美国参议院司法委员会及商业、科学暨运输委员会所联合举行了听证会,要求脸书创办人暨执行长Mark△Zuckerberg提出解释。而在许多媒体报道当中,都在嘲笑议员们提出笨问题,李伦铨认为,议员们并不是胡乱提出问题,不了解社交网络,而是想知道脸书的广告投放精准度以及搜集资料的范围,并且提出反讽,希望脸书未来可以避免此类事件再发生,而且其实议员们都看过脸书提出的报告书内容,他们已经知道这个平台能达到多么惊人的影响力,提问只是为了证实。
李伦铨进一步提到,像剑桥分析这样的政治顾问公司,其业务范围也包含选举操作,基本上做电话访问、街头问券,都在合理范围内,但他们选择做了心理测验App放在脸书上,分析出容易受影响的人,再制造假新闻,对他们精准投放选举广告,企图带风向影响选民立场,就是滥用平台。
他提到,容易被操控的人格有几种特性,包含对自己没自信、认为自己缺点多、习惯讨好人、负面情绪高、不懂拒绝人,这些从分析中被认定为容易摇摆的人,可能遍布在每一阶层,无关年纪、性别、政党,都可能被民调公司锁定,成为他们在脸书投放选举广告的族群。
针对平台滥用的状况,李伦铨认为使用者通常防范不了,对于在平台散播假新闻、操控风向的人,应该是要由平台业者去规范,避免这样的生态出现。为此,脸书在4月7日提出新的政治广告透明政策,未来任何政治候选人或是政治议题,若要投放广告在脸书平台,必须加注“政治广告”标签,且须说明广告费用是由谁支付,且未取得脸书授权前,广告主不得刊载政治广告,这么做就是为了要遏止外来的政治干预。李伦铨认为,政治广告标签将会是全世界的趋势,未来将连带其它平台也往此方向进行规范。
而在脸书F8用户大会前,Mark△Zuckerberg也预告,脸书未来几个月将加入隐私控管功能Clear△History,允许用户清除上网纪录,用户可以看到他们在脸书上点选的网站、广告,以及使用的app,并自行决定从帐号中删除这些资讯,而且还能设定关闭储存这些资讯的功能。他也承诺,未来脸书会用AI去侦测煽动性言论,但因为有难度,所以要通过AI技术,成熟分辨合理的政治表达和仇恨性的毁谤言论,还需要5年以上的时间。
李伦铨观察到,在脸书资料授权争议事件之后,他们在使用者授权的作法变得更为精细,而其他应用服务也追随这样的潮流。包括手机作业系统iOS、Android,也都更加强对隐私的重视。他举例,在Android△6.0之后,把权限分为两大类型,一般权限与危险权限,照相机、行事历、位置、联络人等资料,都属于危险权限。当使用者在执行应用程序时,如果程式码中存取了危险权限,第一次会出现请求权限的对话框,要求使用者授权,主动给予警示。“使用者对于隐私资料的使用就像Baby一样,无时无刻都要照顾他们,资料的使用不能只有告知,而要做到更细腻的管理。”李伦铨说道。
他也呼吁,使用者在脸书或在任何网站、App、应用系统,所点过的赞、看过的粉丝页或网页、看过的视频、曾开启的档案,即便在过去已经授权出去,任何平台、作业系统厂商都应该能让使用者有回头检视,以及自行删除的能力,要让使用者能掌握自己的隐私资料,像是网页Cookie、广告识别码(Identifiers△for△Advertisers,IDFA)。而这也是欧盟5月25日即将正式实施的通用资料保护规则(GDPR)所要求的重点,而且要做得越细腻越好。李伦铨强调,对于各平台、作业系统的厂商来说,IT技术要往前走,也必须做出这样的机制。
最后,李伦铨更认为,未来取得使用者的资料授权,要明确告知使用者,包括使用资料的时间、范围、要拿去做什么事情,要用到何种资料。他说,要做到这样的地步,才是好的平台与作业系统。他也强调,使用者要保有资料操控权的意识,明白谁都不能拿走自己的个人资料,若有人要使用隐私资料,就必须得到使用者的明确授权。?
iThome△Security
相关:
提供Hadoop开源应用程序平台服务的Cask,其创办人Jonathan△Gray在官方博客宣布了加入Google云端的消息,他提到,即使加入Google云端,他们仍然会继续维护其原本的资料应用程序部署平台(Cask△Data△Application△P
IoT装置UPnP协议可让骇客发动新型态DDoS攻击 一旦发生难以缓解
示意图,与新闻事件无关。 安全服务公司Imperva指出,物联网装置UPnP协议的特定问题可能让骇客用它来发动新型态分散式阻断服务攻击(DDoS),绕过一般侦查及缓解机制。安全公司相信此类攻击已经在发生中。这项新型
示意图,与新闻事件无关。 图片来源: Facebook 继于今年4月公布作为移除用户内容标准的《社交守则》(Community△Standards)之后,脸书本周首度公布了内部的强制执行数据,以期提供更透明化的资讯,并指出光是在今
一直以来小米7上市消息一直未断过,不少米粉都等的不耐烦了,根本就没有心情等下去了。但是近日,有消息传出小米8出来了,这是怎么回事呢?怎么小米7还没有出来小米8就要发布上市了呢?现在小米8杀手锏曝光了,据悉采
甲骨文加强开发者云端服务,支援Kubernetes及Java 9开发后端应用
喜欢容器开发环境的开发者,现在甲骨文的开发者云端服务(Developer△Cloud△Service)也越来越加强支援容器技术。在4月时,甲骨云开始在此服务中整并Docker,在开发流程中可将Docker容器纳入持续整合的一环,而在最