热门关键词:
首页 综合资讯

【2018台湾云端大会直击】HITCONCTF骇客竞赛负责人剖析:不只是删账号或挡应用,脸书事件该注意的事跟你想的不一样

导读: 在脸书与剑桥分析遭控资料外泄的丑闻案中,使用者该担心的不是删除脸书上具分析功能的App,或是删掉脸书;更值得注意的是,包括脸书或其他社群平台、操作系统,搜集了多大范围的个资,而使用者其实拥有隐私资料的操控权,更有检视与自行删除的权利。除了法规推动,平台与操作系统的业者,也必须正视使用者的权益,并完善此功能。

HITCON CTF骇客竞赛负责人李伦铨。

图片来源: 

iThome

剑桥分析违法滥用脸书8700万笔用户资料,试图用广告在美国总统大选中影响选民立场,引起全球关注,更让脸书因涉及资料外泄而遭挞伐,剑桥分析更因此而宣布破产。脸书资料外泄事件在全球余波荡漾,人人害怕个资在无意中被存取甚至被用来操弄,甚至有许多如何避免脸书个资外泄的报导,甚至是删除脸书的言论出现。对此,HITCON CTF骇客竞赛负责人李伦铨今天在iThome 2018台湾云端大会主题演讲上,提出不同看法。他认为,并非删掉脸书账号或是解除可疑脸书程式就好,更值得注意的是脸书算法的精确度,因为它的影响力已经达到不容轻忽的地步。

美国参议院司法委员会及商业、科学暨运输委员会所联合举行了听证会,要求脸书创办人暨首席执行官Mark Zuckerberg提出解释。而在许多媒体报导当中,都在嘲笑议员们提出笨问题,李伦铨认为,议员们并不是胡乱提出问题,不了解社群网络,而是想知道脸书的广告投放精准度以及搜集资料的范围,并且提出反讽,希望脸书未来可以避免此类事件再发生,而且其实议员们都看过脸书提出的报告书内容,他们已经知道这个平台能达到多么惊人的影响力,提问只是为了证实。

李伦铨进一步提到,像剑桥分析这样的政治顾问公司,其业务范围也包含选举操作,基本上做电话访问、街头问券,都在合理范围内,但他们选择做了心理测验App放在脸书上,分析出容易受影响的人,再制造假新闻,对他们精准投放选举广告,企图带风向影响选民立场,就是滥用平台。

他提到,容易被操控的人格有几种特性,包含对自己没自信、认为自己缺点多、习惯讨好人、负面情绪高、不懂拒绝人,这些从分析中被认定为容易摇摆的人,可能遍布在每一阶层,无关年纪、性别、政党,都可能被民调公司锁定,成为他们在脸书投放选举广告的族群。

针对平台滥用的状况,李伦铨认为使用者通常防范不了,对于在平台散播假新闻、操控风向的人,应该是要由平台业者去规范,避免这样的生态出现。为此,脸书在4月7日提出新的政治广告透明政策,未来任何政治候选人或是政治议题,若要投放广告在脸书平台,必须加注“政治广告”标签,且须说明广告费用是由谁支付,且未取得脸书授权前,广告主不得刊载政治广告,这么做就是为了要遏止外来的政治干预。李伦铨认为,政治广告标签将会是全世界的趋势,未来将连带其它平台也往此方向进行规范。

而在脸书F8用户大会前,Mark Zuckerberg也预告,脸书未来几个月将加入隐私控管功能Clear History,允许用户清除上网纪录,用户可以看到他们在脸书上点选的网站、广告,以及使用的app,并自行决定从账号中删除这些资讯,而且还能设定关闭储存这些资讯的功能。他也承诺,未来脸书会用AI去侦测煽动性言论,但因为有难度,所以要透过AI技术,成熟分辨合理的政治表达和仇恨性的毁谤言论,还需要5年以上的时间。

李伦铨观察到,在脸书资料授权争议事件之后,他们在使用者授权的作法变得更为精细,而其他应用服务也追随这样的潮流。包括手机操作系统iOS、Android,也都更加强对隐私的重视。他举例,在Android 6.0之后,把权限分为两大类型,一般权限与危险权限,照相机、行事历、位置、联络人等资料,都属于危险权限。当使用者在执行应用程序时,如果程式码中存取了危险权限,第一次会出现请求权限的对话框,要求使用者授权,主动给予警示。“使用者对于隐私资料的使用就像Baby一样,无时无刻都要照顾他们,资料的使用不能只有告知,而要做到更细腻的管理。”李伦铨说道。

他也呼吁,使用者在脸书或在任何网站、App、应用系统,所点过的赞、看过的粉丝页或网页、看过的影片、曾开启的档案,即便在过去已经授权出去,任何平台、操作系统厂商都应该能让使用者有回头检视,以及自行删除的能力,要让使用者能掌握自己的隐私资料,像是网页Cookie、广告识别码(Identifiers for Advertisers,IDFA)。而这也是欧盟5月25日即将正式实施的通用资料保护规则(GDPR)所要求的重点,而且要做得越细腻越好。李伦铨强调,对于各平台、操作系统的厂商来说,IT技术要往前走,也必须做出这样的机制。

最后,李伦铨更认为,未来取得使用者的资料授权,要明确告知使用者,包括使用资料的时间、范围、要拿去做什么事情,要用到何种资料。他说,要做到这样的地步,才是好的平台与操作系统。他也强调,使用者要保有资料操控权的意识,明白谁都不能拿走自己的个人资料,若有人要使用隐私资料,就必须得到使用者的明确授权。