抖音海外版TicTok又出“隐私事故”了。
1月9日,据《纽约时报》报道,在以色列网络安全公司Check Point周三发布的研究报告中显示,TikTok存在严重的安全漏洞,通过这些漏洞,黑客可以公开用户隐私视频、获取用户个人信息以及控制账户进行上传和删除视频内容等操作,简单来说就是能“为所欲为”。
该消息一经曝光,便在国内外迅速引发热议。一方面这次曝光的安全漏洞潜在危险较大,这种能让黑客接管账号的安全漏洞很让用户担忧;另一方面目前TiKTok已经因用户隐私问题在海外备受“关注”,而这次无论是被《纽约时报》曝光,还是Check Point将其调查结果摘要发送给美国国土安全部,都是火上浇油。
而对国内用户来说,大家关注的焦点主要集中在两方面,一方面是这次安全漏洞是否涉及抖音国内版本,目前字节跳动并未作出相关解释和说明;另一方面2019年10月底PGone和李小璐抖音草稿箱视频曝光事件目前仍是悬案一件,是否跟此次漏洞相关,也是很多用户讨论的重点。
一、隐私事故频发,抖音海外业务受阻
“TikTok可能更着重于快速增长并为用户构建新功能,而不是巩固安全性,像这样的公司有安全漏洞是在我预料之中的。”这是《纽约时报》报道中,来自另一网络安全公司Lookout的研究负责人克里斯托夫·哈巴森(Christoph Hebeisen)对TikTok安全漏洞问题的看法,显而易见,类似的舆论压力让TikTok很受伤。
回归到这次被曝光的TikTok安全漏洞本身,也着实让抖音吓出一身冷汗。据Check Point产品漏洞研究负责人奥代德·瓦努努(Oded Vanunu)表示:“我们发现的漏洞都在TikTok系统的核心部分。”比如TikTok官网支持向用户发送SMS短信,但其中一个漏洞能让攻击者对短信链接进行篡改实施诈骗,即发送者仍是TikTok,但短信链接已被篡改,一旦用户点击链接后,其账户将被攻击者控制,尔后即可进行上传、删除视频、访问私密视频、将私密视频公开以及关注其它用户等操作。
(TikTok正常发送的短信「左」以及链接被篡改后发送的短信「右」,图片来源《黑鸟》公众号)
再比如攻击者通过另一个漏洞能够获取账户用户的个人信息,包括电子邮件地址、付款信息、姓名和出生日期等,并且发现漏洞的安全人员解释还称,由于缺乏反跨站请求伪造机制,无需受害者同意,攻击者就可以执行JavaScript代码,替代受害者执行操作,这又加深了人们的担忧。值得庆幸的是,目前漏洞已经被修复,但这并非抖音在海外面临的“用户隐私战争”首战,也不是其最后一战。
比如2019年2月,美国联邦贸易委员会投诉TokTik,称其非法收集未成年人个人信息,违反了《儿童在线隐私保护法》(简称COPPA),因为该法要求网站和在线公司在收集13岁以下的儿童个人信息时,必须征得父母同意,为此TikTok同意支付570万美元达成和解。
此外,不久前据外媒Military.com报道称,美国国防部最新出台了指令,为避免个人信息曝光,陆军士兵被要求立即卸载和删除TikTok,而从去年10月开始,TikTok就受到美国外国投资委员会(CFIUS)调查,看其是否可以被用于手机用户数据和控制共享内容;在去年12月,美国海军和国防部更是对TikTok发出警告,海军也被要求卸载和删除TikTok;而目前英国信息专员办公室还在对TikTok进行调查,重点仍是看其是否违反欧洲隐私法,因此这次安全漏洞事故,或将让抖音在海外承受更大的监管和舆论压力。
值得一提的是,据《机械之心》报道,外媒称以色列应用内市场研究公司Watchful在最新版本的抖音和TikTok的安卓程序中,发现了基于DeepFakes技术的 Face Swap(换脸)代码,目前该功能还没有发布,据介绍其原理跟去年名噪一时的「Zao」差不多,并且他们还在美国版TikTok应用程序代码中的英文文本中,发现了与该功能相关未发布的服务条款,具体如下:
从去年「Zao」的经历可知,换脸功能虽然很受欢迎,但涉及的隐私问题同样非常复杂,对此不知道“秘研”换脸功能的抖音是否已经有了应对之策。就目前来看,抖音在海外的快速扩张过程中,应对“用户隐私”问题让其花费众多精力,前不久据彭博社报道,为应对包括“用户隐私”在内的各种问题,顾问公司为字节跳动提出诸如进行法律辩护、将TikTok独立运营以及出售多数股权等多种方案,毋庸置疑,隐私事故的出现,给抖音的海外业务发展带来了一定的阻力。
二、悬案难决,抖音“用户隐私战”内外齐发
与国外相比,虽然国内用户对隐私数据敏感度和维权意识相对较低,相关法律也有待加强,但国家对互联网用户数据监管趋势正在变严,而抖音去年也因为用户隐私问题数次引发热议,首当其冲的当属PGone和李小璐抖音草稿箱内视频被曝光事件。
2019年10月30日,PGone和李小璐存在抖音草稿箱内的三段视频被曝光,瞬间在网上引发轩然大波。最开始舆论焦点是在娱乐明星的花边新闻上,但在PGone后续发布一则微博质问“为什么去年在抖音拍的视频没有任何外传的前提下会被放出来还没有logo?”后,大众很快将目光转移到短视频平台用户隐私问题上。
接着有传言称视频是抖音员工从后台down下来的,随后抖音回应称“传言不实”,因为运营审核后台没有任何草稿视频,不存在抖音员工从后台草稿箱里下载视频的可能。于是人们又将目光投向“用户草稿箱里的视频能否上传到抖音服务器”,结果有网友晒出《抖音隐私政策》中的第1.3条“信息发布”f款规定,大体意思是说为提升视频上传速度,在视频点击“发布”确认上传前,会被临时加载至服务器,这段“临时期”引发了很多用户对草稿箱短视频内容的担忧。
(图片来自网络)
目前为止,这段视频悬案还未有最终答案,只不过最近TikTok曝光的安全漏洞恰好涉及到相关隐私问题,这让很多网友不由将两件事又联系到了一起,引发了新一轮的热议。不过暂且不管两件事是否有直接关联,但肯定都跟一个问题有关——那就是用户隐私。
面对用户隐私问题,抖音去年还被腾讯告上了法庭,腾讯指控多闪在未被授权的情况下违规盗用微信/QQ用户数据,从而被法院判违规。据腾讯方面称,抖音将腾讯提供给抖音的微信/QQ授权登陆服务擅自提供给多闪使用,即用户即使仅注册抖音,未注册多闪,但多闪仍能从抖音用户获取微信/QQ头像和昵称。
此外,之前一篇名为《法学博士生维权:我为什么起诉抖音、多闪侵犯我的隐私权?》文章也在网络上引发热议,该文作者称抖音和多闪两款APP,在APP通讯录未包含任何信息、他个人也未明确授权两者使用个人通讯录的情况下,就向他精准推荐了多位“好友”,其中更有他多年未联系的人,比如前任,让作者非常气愤,由此将两款APP运营方告上法庭,并质问其是如何获取“好友关系”并侵犯隐私的。
可见,不止是国外,国内用户和法律对个人隐私的保护也在日益加强,而不管是从法律层面,还是舆论层面,互联网平台对用户隐私的保护多应该更加“用心”,以免失去“人心”。
总而言之,在互联网时代,数据资源就是“新石油”,用户数据就是“新财富”,不管是正规的互联网平台,还是利用技术漏洞非法获取用户数据的黑客,其本质上都是想利用用户数据获取利益,只不过黑客是非法获取数据牟利,正规的互联网平台是合法利用数据赚钱,短视频平台亦是如此。
不过,对用户和监管部门来说,短视频平台跟黑客一样都是需要监管的对象,因为一旦平台非法利用用户数据牟利,其带来的危害性可能还会更大。而对平台来说,它既要不断提升安全技术,防范黑客非法获取用户数据,又要不断提升保护用户隐私意识,对用户隐私心存敬畏,避免监守自盗,方可赢得人心。
正如张小龙在最近的微信公开课Pro所讲的,作为平台,因为我们有大量的数据,什么该用,什么不该用,其实是我们一直思考的问题,我们在这里也倡导同行一起重视这个问题。张小龙所讲的同行有无特指我们不知道,但作为平台,对待大量的用户数据,什么该用,什么不该用,真值得大众思考。