“潘多拉魔盒”被打開，治愈數(shù)據(jù)泄露的良藥在何處？

近日，華住酒店集團(tuán)旗下10余個(gè)品牌酒店共140G、近5億條數(shù)據(jù)公開在“暗網(wǎng)”售賣，標(biāo)價(jià)為8個(gè)比特幣，這些數(shù)據(jù)包括注冊(cè)信息、身份登記信息和開放記錄。

如此一家大型連鎖酒店集團(tuán)，掌握巨量的用戶隱私數(shù)據(jù)，竟然缺乏最基本的數(shù)據(jù)保護(hù)常識(shí)和措施，輿論嘩然。當(dāng)然，這只是全球眾多數(shù)據(jù)泄露案件的冰山一角。

2016年12月，京東被曝有多達(dá)12G的用戶數(shù)據(jù)外泄；2017年3月京東員工與黑客協(xié)作再次導(dǎo)致用戶信息泄露；

2017年1月名為“DoubleFlag”的知名暗網(wǎng)供應(yīng)商出售竊取自多家中國互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)，8億4560余萬用戶數(shù)據(jù)價(jià)格僅為0.4457比特幣；

2017年10月，南非遭遇史上最大規(guī)模數(shù)據(jù)泄露，3000多萬客戶信息被公開；

2017年11月Uber主動(dòng)公開去年曾向黑客支付10萬美元封口費(fèi)以隱瞞5700萬賬戶數(shù)據(jù)泄露事件；

2018年6月Acfun發(fā)布公告稱遭遇黑客攻擊，近千萬條用戶數(shù)據(jù)外泄……

根據(jù)販賣者在“暗網(wǎng)”上的信息，這批數(shù)據(jù)的出售交易不接受任何國家發(fā)行的貨幣，只接受比特幣和門羅幣。顯然這么做的目的就是降低被監(jiān)控的風(fēng)險(xiǎn)，因?yàn)樽凡樘摂M貨幣的難度極大，這也是虛擬貨幣標(biāo)榜的“去中心化”的優(yōu)勢(shì)，但現(xiàn)在看來并不全是好事。

去中心化和中心化依然是區(qū)塊鏈領(lǐng)域爭論的焦點(diǎn)在于，一旦存在中心化的機(jī)構(gòu)，那么就可能存在“證明的死循環(huán)”，即誰來證明它的證明是公正的。這中間如果出現(xiàn)造假、舞弊、操作失誤等，都會(huì)讓事情變得無法挽回，這是中心化的“原罪”。而區(qū)塊鏈技術(shù)的目的就是去中心化，它的信任系統(tǒng)完全不依賴于任何機(jī)構(gòu)，甚至不依賴人類，而是完全交給機(jī)器。

這一切看上去是美好的，但去中心化也會(huì)導(dǎo)致大量的問題，比如基于虛擬貨幣的經(jīng)濟(jì)犯罪頻發(fā)，區(qū)塊鏈的技術(shù)特性和跨國作案導(dǎo)致在取證查案的過程中會(huì)面對(duì)極大的復(fù)雜性和阻力。

就以這次華住案為例，黑客以比特幣的方式在境外網(wǎng)站上售賣非法數(shù)據(jù)，給警方帶來了很大的辦案難度。因此，“去中心化”的區(qū)塊鏈也必須接受中心化的政府或機(jī)構(gòu)的監(jiān)管，完全的去中心化是不現(xiàn)實(shí)的，也是種災(zāi)難。

一項(xiàng)最新研究顯示，自去年以來，數(shù)據(jù)泄露造成的經(jīng)濟(jì)損失已超過6%，而現(xiàn)在數(shù)據(jù)泄露的平均成本為386萬美元。

Juniper Research預(yù)測(cè)，2023年將有超過330億條個(gè)人記錄將通過犯罪數(shù)據(jù)泄露事件曝光，比今年的120億條記錄同比上升175%。未來5年，網(wǎng)絡(luò)犯罪分子將竊取超過1460億條記錄。

全球普遍采用的雙因子(驗(yàn)證碼+手機(jī)號(hào))認(rèn)證系統(tǒng)非常脆弱，黑客先使用偽基站獲取用戶手機(jī)號(hào)，再通過網(wǎng)上泄露的數(shù)據(jù)庫，根據(jù)手機(jī)號(hào)碼反查用戶的姓名、身份證號(hào)、銀行賬號(hào)等信息。然后在某些網(wǎng)站啟動(dòng)注冊(cè)或交易，并利用和用戶位置相近的特點(diǎn)竊取用戶短信驗(yàn)證碼。

除了被“偷窺”，泄露短信驗(yàn)證碼的途徑還有很多。有的用戶點(diǎn)擊了非法鏈接，手機(jī)被安裝監(jiān)聽木馬；有的不法分子偽裝銀行客服，直接索取驗(yàn)證碼內(nèi)容；還有運(yùn)營商內(nèi)鬼主動(dòng)泄露，里外勾結(jié)。此外，短信云同步、自動(dòng)填寫驗(yàn)證碼等功能的初衷雖是方便用戶，卻也可能被不法分子利用。

雖然外界對(duì)去中心化有著種種非議，但其優(yōu)勢(shì)和劣勢(shì)一樣突出。區(qū)塊鏈將身份主權(quán)從中心化系統(tǒng)奪回給用戶，同時(shí)為隱私提供了更多技術(shù)方案的保護(hù)，比如同態(tài)加密和零知識(shí)證明等技術(shù)的融入就為隱私數(shù)據(jù)提供了雙層保護(hù)。

同態(tài)加密無需解密信息數(shù)據(jù)即可對(duì)加密數(shù)據(jù)進(jìn)行運(yùn)算，只有使用解密秘鑰才能訪問這些數(shù)據(jù)和交易的詳細(xì)信息。但同態(tài)加密并沒有解決這一問題：如何讓系統(tǒng)在不泄露過多信息的情況下改變狀態(tài)？

而零知識(shí)證明則正好彌補(bǔ)了這一短板。零知識(shí)證明并非新鮮事物，這一概念初見于1985年的論文“互動(dòng)證明系統(tǒng)的知識(shí)復(fù)雜性”。ZKP是一種密碼學(xué)技術(shù)，允許證明者和驗(yàn)證者來證明某個(gè)提議是真實(shí)的，而且無需泄露除了它是真實(shí)的之外的任何信息。

一個(gè)零知識(shí)證明必須要滿足以下三個(gè)條件：

• 完備性：證明過程執(zhí)行完之后，驗(yàn)證方只獲得了“證明方擁有這個(gè)知識(shí)”這條信息，而沒有獲得關(guān)于這個(gè)知識(shí)本身的任何一點(diǎn)信息。

• 合理性：沒有人能夠假冒證明方，使這個(gè)證明成功。

• 零知識(shí)：如果證明方和驗(yàn)證方都是誠實(shí)的，并遵循證明過程的每一步，進(jìn)行正確的計(jì)算，那么這個(gè)證明一定是成功的，驗(yàn)證方一定能夠接受證明方。

相對(duì)于將身份數(shù)據(jù)儲(chǔ)存于眾多服務(wù)提供商系統(tǒng)中，今天我們更需要一種去中心化的數(shù)字身份方案彌補(bǔ)傳統(tǒng)身份體系的不足，讓隱私數(shù)據(jù)更具有自主權(quán)，同時(shí)也讓更多權(quán)益回歸到用戶手中。

在大數(shù)據(jù)時(shí)代，重隱私者才能得天下。隨著Equifax、Facebook、華住等一系列數(shù)據(jù)泄露事件的爆發(fā)，以及各國越來越嚴(yán)格的隱私保護(hù)策略施行，將在某種程度上警醒互聯(lián)網(wǎng)巨頭對(duì)于隱私保護(hù)的重視。

【科技云報(bào)道原創(chuàng)】

微信公眾賬號(hào)：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。