全文共3893字，预计学习时长12分钟

图源：unsplash

我们的个人信息很重要！个人信息属于私密性信息，未经允许他人或公司都不能随意使用它。

一个普普通通的电话其实就能暴露出我们很多信息。在网络安全和数据科学领域，有一个叫做公共资源情报收集(OSINT)的组织曾经提到，从公共领域收集的数据将被作为情报使用。科技发展让信息泄露问题愈加严重。

不幸的是，时光无法倒流，世界发展日新月异，“用回过去的诺基亚5110手机吧”之类的言论显然不切实际。

在这场谁都无法置身事外的疫情中，公司尽力调整工作模式和工作计划，尝试像远程办公这种新的办公方式，与此同时，个人数据也再次面临威胁。

最近有些销售主管经常冷不丁地进行电话推销，问我是否对远程管理方面感兴趣。因为大多数区域仍处于封锁状态无法在办公室办公，一些人一直使用私人电话沟通，他们这样做是为了避免谷歌人工智能可以根据谷歌搜索结果识别出电话的所属公司。使用私人电话号码的话至少可以避免出现这种情况并成功和你搭上讪。

然而，由于需求的持续存在和供应链的中断，有些公司措手不及，要求员工用私人电话办公且报销费用的情况越来越多。对销售主管来说，这其中其实隐藏着很多安全隐患。

你的电话号码其实可以暴露出你的很多私人信息，甚至可能会被某些恶意攻击者利用，为了进行钓鱼攻击获得更多关于你的私人信息。

所以在实际生活中个人数据到底是如何被泄露的呢？

在过去的几年里，我们常常会收到一封电子邮件，从邮件里得知个人数据因为数据库出现问题等原因而泄露，公司感到很抱歉，他们非常关心我们的数据。

图源：unsplash

通常这些邮件还会附加说明你的信用账户信息是安全的，但是他们可能会通过这种方式获得你的邮箱地址和电话号码。这时候公司总是轻描淡写这一点，因为他们明白你的账户信息一定比邮箱地址和电话号码重要，不是吗？

当你的个人信息泄露后会发生什么？

首先邮箱收到的垃圾邮件可能会增多，但是如果你使用Gmail或者Hotmail的话就不可能看到这些邮件了，因为它们都安装了垃圾软件过滤器。

至于电话号码，它可能会被卖掉，然后你会收到一些奇奇怪怪的钓鱼短信，信息里透露你的车出了事故，而实际上你根本就没买过车。

一般姓名和个人身份信息并不会同时保存在数据库中，或者个人身份信息是受保护的（使用密码散列）。然而，大多数数据最终都会出现在粘贴箱中，这些都是大量的“复制粘贴”数据，通过互联网上的漏洞获得。像HaveIBeenPwned这样的服务会对这些数据进行筛选，并让您知道您的电子邮件是否出现在这些泄露的数据中。

我的个人信息是否已经泄露了呢？

是的，并且一直在被泄露！并且不是因为自身原因泄露，这更让人沮丧。我用来注册时事通讯的邮箱已经被泄露了6次，从2012年一直持续到2019年2月。

影响到我邮箱地址的泄露

并非所有的信息泄露都能被发现或者可以轻易追踪到源头

这就是Paste Bins 发挥作用的地方，有时黑客不会透露信息来源，或者有人先不遗余力地把泄露的信息放在一起，然后再决定共享。他们会将信息上传到Pastebin中，通常不会显示具体内容，其他用户会下载并用它进行钓鱼攻击、暴力攻击甚至训练机器学习模型。

幸好你可以通过Firefox或Google设置提醒，告知你的电子邮件的泄露时间

如何通过一个电话号码找到你的姓名？

因此，正如我们前面谈到的那样，在CafePress数据泄露事件中，人们怀疑除了电子邮件地址，密码、用户名和电话号码也都被泄露了。电话号码有什么用途呢？

首先，我们不能像处理邮件或者其他信息那样控制我们的电话号码，如果有人在他的手机加上了我的号码，我甚至都不会知道，如果我的电话号码被泄露了，网络运营商们不会告诉我说，“你的号码泄露了，小心一点。”

所以如果有人不怀好意，找到我的号码并将其添加为联系人，我的号码会告诉他们什么？

图源：unsplash

首先，一个电话号码足以暴露我所有的社交媒体帐户。Instagram上会显示你的哪些联系人也在这个平台上，现在大多数软件都是如此。同意使用手机号码功能是一个单向系统，大多数应用程序现在要求导入您的联系人列表，因此从这一步开始，用户可以添加一个号码，并检查一些流行的应用程序，以查看该号码是否与某人对应。

如果你使用一些像WhatsApp这种比较热门的聊天软件呢？一定要注意，只有你的联系人才能看到你的个人资料图片，设置为“所有人”意味着即使是偶然发现你的号码的陌生人也能看到你的个人资料图片。

通常，如果我错过了一个陌生号码的来电，我首先会先把这个号码保存下来，然后去WhatsApp上看一下是否是我认识的人。对于在这次疫情中使用私人号码的销售人员来说，他们很难保管好自己的电话号码，也是对他们私生活的一种不必要的侵犯。

但是如果是银行泄露了你的信息呢？

疫情期间，企业一直在努力应对远程支持的新需求，其中企业有些已经走在了前列。比如Monzo，一家只提供移动服务的银行，早就准备好了相应设备应对远程服务的需求。作为Monzo 的顾客，我喜欢这家银行。但是我对这家银行提供的一个功能有些疑问。

图源：unsplash

为了更便捷地支付并支持朋友代付，Monzo开通了一个功能，可以查看同样使用该银行的联系人，你可以选择其中一个给他们转账。

从用户体验的角度来说，这个功能让生活更便利了。在现在这个时代，谁还会花时间写密码和账号，实际上这也保证了万无一失，因为输入错误信息的可能性很小。尽管这种功能很有用，也会面临被恶意攻击的危险。

但通常，这样的功能虽然有用，但也可能对恶意攻击者有用。作为一名恶意攻击者，我可以从一个粘贴箱中随意找一个电话号码，将其添加为联系人，查看他们是否有社交媒体，然后打开Monzo并找出他们的官方姓名。Monzo应用程序可以将用户姓名显示给任何持有此手机号码的人，并且该用户姓名是通过政府ID注册并确认的。

可以选择关闭该功能，但是如果关闭了这个功能，你就只能通过帐户名和密码向别人汇款了。真是可惜啊，用户经常要在安全性和良好的体验感之间做选择。

既然你知道了我的姓名和电话，那能做什么呢？

这正是公共资源情报收集组织(OSINT)真正发挥作用的地方，它以谷歌（或任何搜索引擎）作为发现信息的开源平台，如果攻击者知道你的全名，就不难进行显式搜索来找到更多关于你的信息。作为现代的网络用户，你应该知道谷歌上有哪些关于自己的信息。

一个朋友最近让我去谷歌上搜索一下自己的名字，看看会跳出哪些搜索结果。出乎意料的是，在搜索结果的第二页就出现了我的真实信息。

正如她所说的那样，页面中是我在领英网站上已经失效了的所有内容和信息，现在正把这些声称有我的电话和邮箱地址的信息出售给别人。为了删除这些信息，我需要通过给他们更多的信息来证明我就是我说的那个人。

我并没有允许他们获取我的信息但却出现在这了

不幸的是，这并不是唯一一家提供此类信息的网站。通过谷歌的快速搜索引擎，你会发现有各种各样的网站在提供你的个人信息，要么是从某些社交平台买来的，或者是某个数据库泄露的，要么是一些从没听过的条款。

像领英之类的公司为防止有人恶意盗取信息应该加强对网站用户信息的保护。网络抓取是指使用机器人从网站中提取内容和数据。与只复制屏幕上显示像素的屏幕抓取不同，网络抓取提取底层HTML代码以及存储在数据库中的数据。

然后，提取者可以将整个网站内容复制到其他地方，或者打包出售给寻找线索和数据的公司。

网络抓取的工作过程

然而更糟糕的是，2018年，Apollo AI 使我的一个邮箱地址失效了，即使我从没和他们联系过甚至不知道他们是谁。而实际上这个邮箱只是我用来测试系统的一个虚拟收件箱。

Apollo — 请删除您正在阅读的这封邮件

那我的地址会泄露吗？

如果你有参加过选举投票，那通过官方姓名就能轻易找到你的姓名和相应地址。因为在英国信用评分体系中，如果选票上有你的名字会增加你的信用评分。那些有机会获取这些数据的人则会将这些信息出售出去。

所以，通过谷歌搜索，人们真的会发现一些信息，里面清清楚楚地列出了你的身份介绍，你的家人的信息（是的，有一个网站列出了居住在某个地址的所有有投票资格的人，以及与该房产相关联的人名）。

图源：unsplash

如果你是一位公司主管，那么在公司主页上有人可以搜索你的名字并获取关于你的更多的详细信息。但是攻击者要寻找的关键信息是你的生日。虽然它没有列出具体日期，但对于攻击者来说，它会缩小您的出生月份和年份。

他们会搜索你任何公开的社交媒体资料，如果你曾经发布过“今天是我的生日”的帖子，只要在那个月查看你的帖子就能找到你的具体生日日期了。

所以，真的要倒回到诺基亚时代吗？

你实在想用回诺基亚也不是不可以，但显然想回到那个时代是不切实际的，我们可以主动保护个人数据。

虽然无法控制搅乱我们数据的人，但我们可以采取措施保护自己。这可以通过提高安全系数来实现，例如不会很容易被破解的强密码。

如果你的出生年份可以在公司主页上找到，为什么还要把它设在你的密码里呢？如果谷歌搜索能显示出你5年前住过的地址，为什么你还要对自己的第一份工作保密呢？

甲之砒霜，乙之蜜糖。数据也是如此，对你来说似乎并不那么重要的东西，可能正是会被钓鱼网站获取的部分。对于公司来说，他们也应该注意到，通常在鱼叉式网络钓鱼攻击中，攻击者寻找的是一种进入系统的方式，而任何系统中最脆弱的部分，就是使用它的人。

图源：unsplash

不妨在网上搜索自己的名字看看会出现些什么，无聊时审查你正在下载的应用程序的权限。仅通过一个数字中就能挖出这么多数据。我们必须要提高个人信息保护意识了。

推荐阅读专题

留言点赞发个朋友圈

我们一起分享AI学习与发展的干货

编译组：孙康宁、王小燕

相关链接：

https://towardsdatascience.com/your-phone-number-lets-the-world-know-who-you-are-a-quick-guide-on-open-source-intelligence-3009510ee3b4

如转载，请后台留言，遵守转载规范

推荐文章阅读

ACL2018论文集50篇解读

EMNLP2017论文集28篇论文解读

2018年AI三大顶会中国学术成果全链接

ACL2017论文集：34篇解读干货全在这里

10篇AAAI2017经典论文回顾

长按识别二维码可添加关注

读芯君爱你