PGone、李小璐视频泄露背后,你的隐私正被全网交易
本文来自微信公众号「运营研究社」(ID:U_quan),爱范儿经授权发布。
昨天,PGone 和李小璐一年前的抖音视频突然在网上刷屏,也让销声匿迹许久的两人再次登上了微博热搜。不少网友感叹:
这瓜吃的,都不知道该说什么好了。
但这次吃瓜事件的背后,更让人沉思的是:视频是怎么被放出来的呢?
有网友猜测,这是「存在抖音草稿箱的视频,被内部员工窃取」,还有人说这是「手机视频被人盗取后发出」……但不论真相如何,都逃不出「隐私泄露」这 4 个字。
这不禁让我联想到了前两天我遇到的事情。
眼看着双十一就要到了,我也按捺不住买买买的冲动开始囤货。经过一个小时的奋战,购物车被我填的满满当当,但想想自己那只剩 3 位数的账户余额……好吧,还是先看看抖音上的沙雕视频压压惊吧。
可当我打开 App 后,却发现抖音上的广告竟然就是我刚刚逛过的同款商品!随后,我又打开朋友圈,竟又看见了自己刚刚看过的商品。
有类似经历的绝对不止我一个人,甚至还有不少网友吐槽:
跟朋友在聊天时提到某样东西,转眼刷 App 的时候就被推送了广告!
现在互联网广告的精准投放,简直「体贴」得吓人!
虽然早就知道 App 们一直越界获取用户信息,可他们到底是如何获取我们隐私信息的?又为什么能够这么精准地跨平台推送广告呢?
那些跨平台的广告,是怎么精确投放到你手机上的
关于这些被精准投放的广告,最让我费解的是,为什么我上一秒在购物平台上浏览的商品,下一秒就会出现在其他 App 上?
原来,这些 App 早就组成了联盟,连起手来收割我们。实际上,跨平台精确投放的「元凶」是——程序化广告。
1)程序化广告,定向投放背后的手
所谓的程序化广告,并不是一种广告或是 App 插件,而是一种通过大数据收集用户信息,然后将广告精准地投放给用户的技术。
简单来说,程序化广告就是互联网时代的新型广告投放方式。现在这种程序化广告投放方式,已经渗入到互联网的每一个角落。
首先,程序化广告会依靠大数据来记录用户的网络行为。
在大数据的观测下,我们在手机软件上的每一个行为操作、每个浏览记录、关注内容、使用的 App 等信息都会被记录,并根据不同的行为权重对用户进行画像。
正常情况下,我们的手机和电脑,都有对应的唯一设备 ID 号。所以大数据平台一般会将设备 ID 号作为用户为标识,并将采集到的信息整合到设备 ID 上来。
然后,在采集到足够多的数据后,大数据就能非常精准的描绘出一个用户的画像特征,比如兴趣偏好、财产状况、消费观念、文化水平……
最后,大数据平台会将你的画像分类。一旦有符合你特征的广告出现,程序化广告系统就会找到你,向你定向投放该广告。
举个例子,假如你在电商平台看上了一款新出的名牌包包,顺手点进了商品界面。一旦你开始浏览这件商品,程序化广告就能捕捉到你的行为。
然后它根据大数据,分析你的性别、年龄、爱好、浏览历史等,判断你最近有买包的需求。于是它又在海量的广告库中,找到与你「气味相投」的商品,并将广告投放到你打开的 App 上。
看到这里,我不禁想起了经典小说《1984》里的那句「老大哥时刻都在看着你!」
在大数据和程序化广告面前,我们仿佛都是裸奔的羔羊,毫无隐私可言。
2)我们的隐私到底是怎么在平台之间传播的?
实际上,程序化广告产业内有一个类似于股票交易的平台,每一条广告精准推送到用户的过程,都是围绕着这个交易平台进行的。
在真实的交易过程中,有一个面向广告投放者的「需求方平台」(简称 DSP 平台),还有一个面向用户的「供应方平台」(简称 SSP 或者 AD Exchange)。
当你打开手机 App ,软件检测到页面有对应的广告位,于是软件就会采集你的信息,并向供应方平台(SSP & AD Exchange)发送消息:这里有一个用户可以投放广告。
供应方平台(SSP & AD Exchange)收到信息后会先分析你的特征,找到与你对应的肖像标签,然后告诉需求方平台(DSP):这里有一个特征为「XXX」的用户,快通知对应的广告主们来竞价呀!
随后,需求方平台(DSP)就通知对应的广告商程序前去竞价。
接着,供应方平台(SSP & AD Exchange)就在这些参与竞价的广告中挑选出高价广告,并让 App 上的广告位显示该广告。
而这些过程一共不超过 1 秒,也就是说在你打开 App 的那一瞬间,程序化广告的运作就已经完成了。
于是,你刚刚搜过,或者你经常浏览的东西,就总能出现在你登陆的平台广告里。
手机软件过度索权,你的隐私正在网上被人买卖
如果仅就模式而言,程序化广告只是一种精准营销的广告手段,将商品广告定向投放到目标用户,并没有太多值得指责之处。
但是,这种广告精投所依托的大数据平台,却是建立在手机 App 过度索权,收集我们个人信息的基础上的。
在上文中曾提到,程序化广告的竞价平台类似于股票交易平台,双方传递的是需求,而不会直接交易用户的标签信息。
这是不是意味着,尽管我们的个人隐私被 App 软件侵犯,但仍只不过是多看些广告,而没有太大的危害呢?
很遗憾,实际情况却并非如此。因为在现实中,这些软件平台并不能很好地保护软件所采集的信息,不法分子往往能轻易的针对平台漏洞爬取用户隐私。
1)你手机里安装的软件,过度索权有多严重?
今年 9 月 19 日,工信部官网公布的第二季度的 32 款应用软件检测名单里,有 21 个都因非法获取用户隐私而被列入黑名单。
而在「App 专项治理工作组」发布的《百款常用 App 申请收集使用个人信息权限列表》里,手机软件过度索权的问题更加让人心惊。
▲《百款常用 App 申请收集使用个人信息权限列表》部分
在这份表格里的 26 项个人信息相关权限中,平均每个 App 申请手机权限超过 10 项。几乎所有软件都会申请与自身功能无关的权限,其用途就是程序化广告推送。
这些软件为了能够采集到用户的个人信息,会采取各种坑人的套路。我下载了多个名单上的 App 软件,发现了以下这 3 个套路。
默认勾选,让你一不留神就授权。很多 App 在下载后注册登录时,会在界面上显示「我已阅读并同意《用户协议和隐私条款》」,并「贴心」的帮用户悄悄打勾,让你在不经意间就同意了软件的隐私条款。
使用即同意。这类软件甚至根本不给用户选择的余地,只在登录界面下方不起眼处,用小字标出「继续使用即为同意《隐私协议》……」。
用户协议中藏地雷。一些平台行的软件内会有很多外置的第三方软件,但是在隐私协议中,软件方却明确指出「不承担第三方的侵权行为」。
也就是说,当你同意了这份协议后,即便你的隐私被软件内的程序采集并泄露,也与 App 平台毫无关系!
除此之外,据很多媒体爆料称,有的软件还会利用文字游戏蒙骗用户,让用户同意软件采集信息并出售给第三方平台。还有的软件更是直接将用户信息视为「资产」,许进不许出,很难注销个人信息……
总之,当前手机市场的绝大多数软件,都会索取其服务范围外的权限,进而获取用户信息。
2)被软件采集的隐私,正在网上被人买卖
当个人隐私被软件收集后,不但会让我们收到大量的定向广告,还让不法分子能更加轻易地获取我们的个人信息。很多不法商家仅通过爬取软件平台,就能获取大量的用户资源,在网络上贩卖。
例如,你在百度上搜索「数据买卖」,靠前的广告位上就会堂而皇之地出现多家贩卖用户信息的商家广告。
为了获得这些商家交易用户信息的内幕,我假扮成买家添加了商家的微信。
经过交流,我发现他们并不直接贩卖用户信息,而是贩卖一个能够通过 App 和搜索引擎爬取用户信息的软件。
软件可以直接爬取到目标 App 上保存用户浏览信息,然后自动筛选出你想要的用户。他们还特意发来演示视频来向我展示爬取过程。
视频中对方称,想要获取网上的用户信息非常简单,只要输入对应的域名和限定信息,系统就能自动爬取到用户的姓名手机等信息。
在互联网上,类似的软件和商家并不鲜见。像去年北京一家名为@瑞智华盛 的互联网公司,就通过非法植入软件,采集了超过 30 亿条个人信息。
手机软件的过度索权,将我们的个人信息更多的存留在软件平台上,也让很多不法分子能够更加轻易的盗取我们的隐私数据。
当我们的隐私数据被类似的商家获取,并在网上随意买卖时,谁也不知道我们的隐私信息会流向何处,被哪些不法商家利用。
结语
程序化广告发展至今,精准投放已经成为了互联网广告投放的基本逻辑。据@Inmobi 预测,2019 年中国的程序化广告将突破 1900 亿人民币,移动广告支出增长达到 111% 。
但产业增长的背后,是绝大多数手机软件都在过度索权,是我们的隐私被肆意地侵犯。
尽管在今年 5 月,国家互联网信息办公室曾发布《数据安全管理办法(征求意见稿)》,但截止到目前为止还没有落地实行。
所以到现在为止,仍然没有有效的法律手段来管控商家,我们也没有办法完全不用互联网、不下载手机软件。
但是我们可以打开手机设置-隐私,看看哪些 App 偷偷用了它们本不需要的权限,把这些权限统统都关掉。