最近,風頭正勁的益智類遊戲應用quizup出現了嚴重的安全問題,他們發現使用者聯系資訊可以以純文字格式發送。該遊戲的開發公司plain vanilla指責該問題是由于第三方軟體造成的,同時他們也表示目前已經解決了這個問題。但是這個插曲還是應該引起特别重視,因為對于初創公司是否能夠保護使用者的資料這件事,我們顯然了解的還不夠充分。
使用者提供的個人資料越來越多,但往往得到這些資料的開發團隊規模都不大,而且沒什麼經驗,實際上,這些小公司可以說是在不斷探索和失誤中成長的。從一個企業的觀點來看,這些屬性可以成為某種優勢,但是從安全角度來看……好吧,筆者在這裡隻能說還不得而知。使用者出于信任,把自己的資料全部傳遞給這些公司,毫無疑問,使用者希望這些資料可以被保護好。
作為使用者,如果你打開自己的手機,會看到有各種各樣的app應用,其中許多都是由初創公司開發的。有的記錄了你地理位置的詳細資訊,有的有你的照片圖檔,有的可以通路你的郵箱帳号,有的記錄你鍛煉身體的資料……這會是一個很長的清單。這些存儲在初創公司伺服器裡的資料能得到安全的保護嗎?答案是,不知道。
buffer公司是一家定時發送社交媒體資訊的公司,最近該公司受到了黑客攻擊。從此事件我們發現,該公司并沒有盡最大可能的保護好自己,也沒有保護好使用者,而實際上,他們完全可以把安全做的更加牢固的。
還有,最近智能信用卡coin公司也釋出了一段産品廣告視訊(coin卡可以“一網打盡”你所有的銀行卡、積分卡),筆者看後不禁呵呵笑了起來,因為他們絕對是把安全置之腦後了。就算在視訊廣告的最後,他們也隻是把安全關注點放在自己的裝置上面,而沒有放在使用者資料上。筆者倒不是特别針對coin,畢竟他們現在隻是推出了一個廣告,而産品仍在開發之中,但是現在的确有必要總結一下這個行業裡的問題了。
一個解決方案,使用者資料審計
那麼,解決方案是什麼呢?實際上,筆者花了好幾周時間仔細研究了這個問題,答案就是,要對這些初創公司進行資料安全審計。凡是滿足一個合理的安全标準的初創公司,将會獲得一個認證,他們可以把這個認證的logo放在自己的網站、app應用、或是其他他們認為合适的地方。
這個審計費用必須要能讓初創公司承擔的起,為了確定他們考慮到使用者的最大利益,筆者建議,最好可以設立一個非盈利性的信托基金去營運這個項目。這個信托基金必須要有董事會進行監管,而董事會成員則可以由一些行業内的巨頭們組成,這個審計将會按照成本價格提供服務,這樣才能確定這個在科技行業内的信托基金是值得信賴的,與此同時,也能提醒初創公司對安全的重視。
在過去的幾周時間裡,筆者把對初創公司安全審計的想法和科技界的一些企業家進行了交流溝通,這些企業家都有在營運收集使用者資料的業務。他們每個人都非常支援這一理念,不過,他們對資料審計的認同目前還不友善對外公開釋出,因為他們還不想引起外界對自己公司目前安全設定的過多關注。能得到這些人的認可,讓筆者感到非常鼓氣,也令人安心,而且,據說在這些企業家中,已經有人和一些獨立的審計顧問進行了簽約,讓他們幫助檢查自己公司的資料安全設定是否達到标準。
擴大資料安全審計範圍
資料安全設計這個想法,并非是完美無瑕的。為了适應更多需求而擴大審計範圍可能是一個問題,這是因為既要確定初創公司負擔的起,同時還要找到一些有相關技能的人才去完成審計這些事情。
接着,那些大公司該扮演什麼角色呢?adobe和索尼都不是初創公司,但是在過去的幾年中,他們也飽受使用者資訊丢失的痛苦。也許,這些大公司也該參與進來,然後多承擔些費用,這樣就可以幫助到一些小型初創公司。
還有一個問題,那就是如果我們給了企業安全審計認證以後,說不定會激起一些黑客高手的興趣,反而會引發更多的黑客攻擊。或許,低調的處理安全問題也不是件壞事。
不管是什麼方法,我們(包括使用者、整個科技行業,以及媒體)在資料安全問題上都需要更對的對話,更多溝通。因為随着時間的推移,将會有越來越多的個人資料出現在我們周圍,這些資料也會推送到更多人面前。但現在,我們還不知道誰值得信任,也不知道該對這些初創公司投入多少信任。
<b></b>
<b>原文釋出時間為:2013-11-30</b>
<b>本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号</b>