华住2.0? 5亿"万豪"用户信息泄漏! 个人隐私如何保护? 离不开区块链
11月30日BBC报道,万豪国际酒店集团多达5亿人次的详细个人信息可能遭到泄露。万豪方面表示,一项集团内部的调查发现,自2014年以来,一名攻击者一直都能够访问该集团喜达屋(Starwood)部门的客户预订数据库。
注:喜达屋的酒店品牌包括喜来登酒店、福朋喜来登、W酒店等(摸摸小心脏,然后问问自己,去过哪一家?)
万豪国际公关快速应对,发表超长声明,营长总结如下:
虽然万豪国际尚未完成对数据库中重复信息的识别,但泄漏内容包括2018年9月10日之前曾在喜达屋酒店住宿的最多5亿用户信息;
泄漏内容涉及姓名、地址、电话、护照等众多私密信息;
11月30日起,喜达屋会向相关用户发送邮件,希望不要有你;
相关执法机构和监管部门已知晓;
喜达屋准备了专门网站和电话接受用户的咨询;
在喜达屋所有旗下酒店住宿过的用户,都有隐私泄漏的危险!
想了解更多信息,请看长图,或者选择跳过哈!
其实,这也不是第一次个人信息泄漏的案例了,这类事件比比皆是。
只是这次,5亿用户有点过于多了...
早在今年7月,就有人在“暗网交易市场”网站上以两个比特币为标价出售“3亿条顺丰快递客户数据”,很奇怪的是,被媒体爆出却是在9月份了(可能是受华住事件的"牵连",有人对华住表示一脸嫌弃)
说华住,华住到,高端大气上档次!
营长住不起住不起
今年8月底,网爆华住集团旗下酒店用户数据在暗网被售卖,数据包含三部分:官网注册资料(1.23亿条)、酒店入住登记身份证信息(1.3亿条)、酒店开房记录(2.4亿条)。从卖家发布内容看,数据涉及华住旗下品牌:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。作为全球十强酒店,也不能实现数据的安全管理啊。
不仅酒店行业如此,其他如 Facebook、Uber 等巨头科技,也未能幸免于难。
你是否还记得扎克伯格在美国国会舌战"群儒"的场景?自剑桥分析事件被爆以来,扎兄应该是没有一天舒心的日子...
之前的案例也有很多,营长带你数一数:
2016年网约车公司优步的5700万乘客和司机信息被盗。
2017年6月,美国一家营销公司 DeepRootAnalytics 数据库泄露,事件涉及 1.98 亿美国公民 1.1TB 的资料。
同年7月,美国电信公司Verizon失误造成超过1400万客户个人信息外泄。
发生类似事件的机构和企业还有:美国国税局、雅虎、美国民主党全国委员会、GitHub、Tumblr、罗维邓白氏等。
什么是个人隐私?是第三方可以肆无忌惮地使用或盗用的公共数据吗?
“我认为隐私是这样一种方式,它可以防止外人对我们一言一行动辄说三道四,并创造出我们可以自行优化的空间,创造出自己的幸福——这幸福只属于我们自己,无关别人对我们的看法。”
—— Vitalik Buterin,以太坊创始人
互联网是一把双刃剑,隐私永远属于我们自己!如何才能避免个人隐私不被屡屡盗用?怎样做到更好地维护个人权益与隐私?
都说到这了,那么营长还是一如既往、雷打不动地安利一波:区块链,区块链技术啊!(虽然行业大环境有点冷色调,但营长一直坚信技术没有寒冬,最近也在一直努力学习呢)
偶尔这样
大多数时间这样
咱们还是回到正题,区块链技术如何保护我们的个人隐私信息不泄漏呢?
早在今年五一假期,区块链大本营(bolckchain_camp)就曾写过一篇名为《五一出游,“我”的隐私被扒干净了》的文章,就对区块链如何保护隐私信息有一定的探讨:
在某创业公司 CEO Mr.X(化名)看来,区块链技术在未来将形成的数字确权是一剂良药,也是一剂解药。他对于身份证信息被滥用的现状,尤其深恶痛绝。
在他看来,酒店查看身份证的目的,主要是比对入住人是否是合法的公民。可让人上传身份证,相当于所有的信息给给暴露了。比如身份证号,是男是女等等,凭什么我要告诉你?这是非常荒唐的一件事。
“你的身份证号,手机号等等,都是最重要的个人资产,都是有商业价值的,凭什么我只是在这里住一晚,恨不得把我祖宗八代的信息都给收集走了。”
Mr.X早在很多年前,便已经开始了对于身份证等资产与区块链的结合的思考和研究。在身份证与隐私管理这件事上,他做了一个这样的比喻:
未来的身份系统,会演化成苹果手机对于各类APP的授权一样的模式。
未来你的身份证号、手机号、快递地址、甚至网名等,别人如果要用,怎么用都必须得到你的授权。
如果你要登录一个游戏,游戏需要证明你大于18岁,那么你只需要传递给游戏的参数,是经过公安系统认定的结果——大于18岁,就行,而不需要让游戏来采集你相关的所有数据。
你要住一个酒店,你要传给酒店的,也是经过公安系统认证的结果——你是一个合法的公民,就可以办理入住了,而不是还要将你的身份证上传到后台,还正反面都上传,这就不合理。
营长常常感慨:个人隐私数据是社会公民的财产和资产,公民本人可以授权给第三方进行部分使用,但绝不会像现在这样被互联网公司滥用啊(自豪脸)。
今年7月,京东首席信息安全专家Tony Lee也曾表示:
“区块链是解决用户隐私的最佳途径。”
其可追溯特性使得数据从采集、交易、流通,以及计算分析的每一步记录都可以留存在区块链上。京东安全表示,未来将借助区块链身份唯一性的特点,更好地保护用户隐私,区块链将成为京东安全三道门外的又一重要屏障。
那么,如何真正利用区块链技术进行隐私保护呢?其实现实生活中已经有很多案例了。今天营长从智能合约与基础设施建设两方面简单谈谈(孤陋寡闻,总结不全,莫见怪哈,欢迎在文末留言补充哟)。
就以太坊而言,Benedikt Bünz 正在斯坦福大学领导关于 Zether 的研究,这是一种私人支付机制,与以太坊完全兼容,并可为以太坊智能合约提供保密和匿名性。 Zether 作为以太坊智能合约来实施,所消耗的 gas 极其有限。Zether 还具有多种用途,可以为诸如支付渠道等常见应用程序增加可证明的隐私。
Keep 是另一个通过为私有数据创建脱链容器来为以太坊构建隐私层的项目。它可以在不必将数据暴露在公链的情况下管理合约、使用私有数据。
Enigma、Origo 和 Covalent 也都是新的智能合约平台,它们试图在区块链中实现隐私包括功能。
Oasis Labs 是另一个令人兴奋的关注隐私的项目,它构建了新的智能合约平台 Ekiden,将智能合约的执行与基础共识机制分隔开来。智能合约在一个称为安全区的孤立硬件如英特尔 SGX内部运行。这个安全区就像一个黑箱,使计算相对于其他应用程序保持隐密。
它还可生成一个认可程序得到正确执行的加密证明,将证据存储在区块链中。通过将智能合约的执行与共识分离,Ekiden 可与包括以太坊在内的不同底层区块链兼容。
除此之外,还有很多 Web 3 堆栈等关注隐私性的基础设施项目。
Orchid 正在尝试构建一个更好的 Tor 版本,在这个版本中,用户通过将额外带宽出租给 Orchid 网络中的中继器来获得代币。Tor 的问题在于,只有大约 6,000 个中继节点和不到 2,000 个桥接节点,因此某些政府可以将所有中继和桥接节点列入黑名单,从而防止其公民访问 Tor。
使用代币经济学,将激励许多人成为中继节点,而这将给阻挡 Orchid 制造困难,想要拦住它,基本上就得封住大部分互联网。
BOLT 正在建立一个私人支付渠道,使用盲签名和零知识证明来隐藏参与者在开启、交易和关闭支付渠道时的身份。最初的支付渠道建立在 Zcash 之上,但将能够与比特币和以太坊进行互操作。
NuCypher 在构建一个使用代理再加密的去中心化密钥管理系统,以提供与 HTTPS 相同的功能。代理再加密是一种公钥加密,允许用户在不了解底层消息的情况下将密文从一个公钥转换到另一个。
Starkware 则是在包括以太坊的各种区块链中实施 zk-STARKs。与 zk-SNARKs 相比,zk-STARKs 的优势在于它不需要可信任的设置,不过加密证明的大小也会大很多。
考虑到知识水平(自我目测智商150,你们信了)和文章篇幅原因,还有很多营长不知道的方法和项目很难做全,希望大家在文末积极留言,分享你对区块链与个人隐私保护的独到见解哟!
这个寒冬,希望区块链技术更新永不停歇!希望区块链技术真正落到实处!只有技术规模落地,才能提高这个行业的信噪比!
营长一直相信,区块链技术深刻影响着未来!
资料参考:
[1] 新浪微博
[2] 五一出游,“我”的隐私被扒干净了
[3] 一文读透区块链隐私保护技术以及相关项目全景图
推荐阅读