我們的隱私信息，是如何導致遊戲帳號被盜的？

一入愛玩深似海 從此遊戲無界限

4月10日，G胖對Steam 用戶的賬戶隱私設置做出調整，任何用戶信息可以自定義關閉或隱藏。這無疑砸了一些靠Steam「大數據」吃飯的第三方服務商的飯碗，其中影響最大的就是遊戲銷售數據網站Steam Spy，面臨著倒閉的危機。

看上去是不是有些小題大做？但你真的了解用戶隱私這一塊水有多深嗎？

最近一段時間裡，圍繞隱私泄露問題發生了不少事。

2月，眾多創作者聲討快視頻涉嫌盜傳B站稿件，甚至有部分網友還可以直接使用B站的賬號登陸360快視頻，引發輿論對隱私泄露問題的擔憂；

3月，百度董事長李彥宏在中國發展高層論壇上表示中國用戶在個人隱私方面更加開放，一定程度上願用隱私換方便和效率，再度引發輿論的不滿。

無獨有偶，國外社交媒體FACEBOOK也爆出醜聞，超5000萬用戶數據泄露並被利用，從而幫助特朗普贏得2016年美國大選。

在網購領域個人隱私泄露問題同樣嚴重，甚至連正規企業也開始明目張胆的藉此牟利——近期有媒體指出包括京東、滴滴在內多家互聯網企業存在「大數據殺熟」的情況，針對老用戶的價格歧視頻頻發生。

對普通人而言，看似無關緊要的隱私到底有多重要？在日常生活中，互聯網企業薅了用戶多少「羊毛」？今天我們就來談談這個話題。

搜集隱私這事兒，做得好了叫「大數據」

這幾年，「大數據」一詞相當火爆。所謂大數據，講白了就是通過收集用戶的信息，從而分析出某個用戶群體甚至特定用戶的行為特徵。我們耳熟能詳的網路暴力，某種程度上也算的上是大數據應用的典範。

問題是，這些數據都算是隱私。作為用戶，我們當然不希望自己的一舉一動都暴露在別人的目光下。

可惜，在互聯網時代想保護隱私已經是件不可能的事。尤其在中國，在我們習慣於免費的互聯網服務時，鮮有人想到這些提供服務的企業是如何生存的。

在一開始，絕大多數企業收集用戶隱私的行為還是比較克制的，或者說就算有些企業想不要臉的收集，也不知該怎麼做。

的確，在那個年代，用戶的隱私很難收集，無論對廣告商還是門戶網站，他們也搞不清楚坐在電腦面前新聞的人到底是什麼樣的。

畢竟除用戶上網IP外，其他信息都依賴於用戶「主動提供」，考慮到IP地址還可以偽裝（而且存在相當數量的內網共享IP用戶），所以通過這種方式收集到用戶信息實在少的可憐。

可以想像，那個時期的廣告只能選擇「無差別」的投放，最多加入網站流量的考量——在這種模式下，除了個別大型門戶網站外，90%的網站都無法存活。

當年，只有新浪這樣的綜合門戶網站才能靠廣告與「高估值」燒錢維持生存

很快，一些專業向的網站開始出現了：雖然不知道看新聞的都是些什麼人，但是我們完全可以通過不同版塊分類來篩選甄別嘛。

比如女性網站當然以女性用戶居多，遊戲網站自然年輕偏男性用戶群體，汽車網站肯定是有車一族或者是潛在的購車群體會關注，體育網站不用說，運動品牌類廣告投這准沒錯。

可是，一個人的興趣往往是廣泛且多樣的，用戶可能既愛玩遊戲又愛運動又有錢有閑折騰汽車。在這種情況下，單一緯度的網站顯然無法完整的挖掘出這些用戶的「潛在價值」。

這時候，就輪到搜索引擎出場了。

搜索引擎在挖掘用戶隱私方面明顯強大的多，畢竟用戶是主動將自己的隱私與需求交出來的。在這種情況下，搜索引擎對用戶的需求圖譜顯然知道的更多更准。

所以，包括谷歌及百度在內的多個搜索引擎一經推出就確定了明確的商業模式：根據用戶搜索結果進行廣告推送。

這種廣告投放效果有多好呢？一組數據可以說明問題：谷歌2017年獲得超過700億美元的廣告收入，一家獨佔全球數字廣告市場33%的份額。

國內的競爭企業百度也不甘示弱，雖然在體量上無法與谷歌匹敵，但在如何賺錢上要比谷歌「強」得多——比如臭名昭著的競價排名，百度甚至允許某些熱門關鍵字的首頁搜索結果全是廣告。

這塊蛋糕是如此豐厚，讓互聯網企業眼紅不已。在國外，就有多家企業進軍搜索引擎市場，只不過受限於准入門檻，目前只有微軟的必應「苟延殘喘」。

在國內情況則不同，由於山中無老虎（谷歌），所以眾多動物對那位稱王的猴子（百度）十分不滿。於是，騰訊搜狐等一眾互聯網企業都開始涉足這個領域。

前文提及的醜聞主角之一的360在搜索引擎的競爭中表現十分亮眼，憑藉捆綁自家一系列高裝機量的桌面軟體，從而推動了360搜索市場佔有率的一路攀升。

360已經習慣性的濫用用戶隱私牟利，比如其旗下的水滴直播就未經用戶許可下放出大量隱私視頻，在百度上依然可以搜索到「360水滴直播福利」等內容

只不過，這種方式還是有很多不足，依然無法挖掘用戶的深層次需求，小米手機的崛起就是個中典型：2011年的智能手機市場充斥各種高價低配的產品，在2000元左右價位上用戶幾乎無法找到一部能流暢運行的手機。

事實上，在那個時期一些手機社群已經出現了不少中低端智能機刷機的討論（例如2010年中興推出的中低端手機V880就曾被稱為「神機」），可對於任意一家互聯網公司（或者手機公司）而言，它們既不知道這些用戶規模到底有多大，也不清楚他們能承受的價格底線，更沒想到市場潛力會有如此之大。

最終，名不見經傳的小米也是通過MIUI（刷機ROM）為切入點，在收集足夠數據（用戶量）後才確定了市場的「風口」所在，最終崛起。

移動互聯網的興起，則為互聯網企業獲取用戶隱私提供了更大的便利，對用戶「隱私」的挖掘也從「被動接收」朝著「主動挖掘」的方向發展。

試想，還有比手機這個載體更便捷的了解用戶隱私的設備嗎？

綁定了手機號碼，意味著用戶的歸屬地可以定位；允許定位用戶所在位置，意味著更精確的地域劃分；讀取手機型號特徵碼，可以大致了解其收入狀況和消費偏好（用的是什麼品牌手機）；

讀取用戶通訊錄、通話記錄及簡訊則可以分析他的關係網；更喪心病狂一點的APP甚至能通過掃描手機里其他APP來確定用戶的行為特徵（玩遊戲、看資訊、學習），更不用說記錄用戶的上網瀏覽記錄，使用過的搜索關鍵字了。

有些APP乾脆挑明了自己會收集用戶隱私但保證「不亂用」，有些就是私底下偷偷亂來了，特別是在安卓系統上，不僅各APP都在收集用戶的隱私，連我們使用的手機操作系統，也在收集。

就拿上月百度李彥宏的發言來說，雖然他在演講中強調不會在用戶不允許的情況下濫用隱私，可問題在於你要用百度搜索，就得同意它的用戶協議。

而這份協議基本內容用一句話就可以概括：「百度能收集你任何隱私而且可以隨便使用如果用戶因此導致利益受損也與百度無關」。

某瀏覽器的用戶協議，擺明著就是要用戶交出隱私

同時，網購的便捷化意味著看似不值錢的隱私具備了有效的「變現」渠道，而這也成為企業獲取用戶隱私的關鍵動力。

我們的隱私有多值錢？

我們以廣告為例。

從宏觀的層面上講，不同年齡層的網民有不同的喜愛與偏好，比如青少年可能更喜歡動漫、遊戲、中老年可能更關注時政新聞、男性可能更關注數碼產品，女性可能會關注娛樂或者化妝品。

這裡面可能會出現一些「反常規」的個例，但在足夠多的數據支持下，不同年齡段的人群臉譜大致還是有特徵的。

當然，光有這些還不夠，該如何獲得網民的身份特徵呢？就算知道了他/她的身份喜好，又如何得知他/她在現階段最需要購買什麼呢？

這就需要收集用戶上網的過程中的行為，這些看似不重要的隱私被收集匯總後，就會形成特定人群的喜好偏向——比如發達地區與欠發達地區用戶的上網喜好，沿海省份與內陸省份用戶的區別，男性或女性，單身狗與否，你的收入情況及所處階層等等。

有了這些數據，企業就知道自己產品針對的用戶群體到底集中在哪些地域，哪些廣告平台能覆蓋最多的用戶，哪些目標用戶群體需要特定的廣告投放策略。

以遊戲作為關鍵字，搜索引擎可以給出簡略的用戶需求圖譜，當然更高級的需要付費購買，這也是通過用戶隱私牟利的方式

具體到微觀層面，相信諸位就更有體會了。我們平時在網購時可能會注意到一個現象：當我們開始頻繁的搜索某類商品後不久，我們就會陸續的在各種軟體彈窗或者網站的廣告頁面看到這些商品的促銷信息。

如果我們在某些信貸或投資平台註冊帳號，我們的手機可能很快就會收到各種其他平台金融產品的簡訊廣告。同樣，無論是買房買車找工作，只要你在網路上有相應的搜索行為，相關的廣告信息就會接踵而至。

筆者登錄淘寶網站的截圖，裡面就有筆者曾經搜索過的商品推送

當然，你完全可以反駁說「老子買東西向來貨比三家，而且事前翻閱相關材料，閱盡各種相關網站，翻遍論壇，所以那些廣告根本影響不了我。」

試問，中國數億的網民有幾個有這樣的水平和意識？就算是有，誰能保證對各行各業的各種商品門兒清？

對某些商品而言（比如汽車），可能這個行業里所有的企業都花費巨資組建了公關團隊，你所能接觸到的信息都是經過篩選過濾甚至是虛假的，這又該如何分辨？

比如近期某媒體公布的某國產SUV油耗大數據就引發了輿論的「激烈」爭論——結果所有人都把目光聚焦到車輛的油耗上，車子存在的其他問題反而被忽略了——這其中廠商的水軍出了多少力你知道嗎？

更何況，對價值昂貴的商品你可能願意付出大量時間和學習成本，可如果購買的商品價格不過區區百來塊甚至只有幾塊錢的時候，你還會耗費大量時間精力去了解這類商品的具體情況嗎？

這就是我們隱私的價值所在，哪怕一個只有幾塊錢的小玩意，只要能精準的把廣告推送到數以萬計的用戶面前，它所產生的規模利潤就無比可觀。

更讓人不爽的是，你說這些企業收集用戶隱私就算了，誰讓我們要用你們的產品呢？

可偏偏不少企業安全措施實在讓人不放心，不光黑產盯著這些資料庫，甚至一些看似正規，技術實力更強的企業也干著這些勾當，你說這如何防範？

比如上文的360快視頻，面對輿論對其「盜取B站視頻資料庫」的質疑，快視頻的回應是部分用戶模仿盜傳。

可問題是，模仿盜傳黃旭東、敖廠長、暴走漫畫等知名度高的創作者視頻也就罷了，可為什麼連共青團中央也要冒充身份並盜傳？這可是國家黨群機關哦！

共青團中央的視頻內容雖不算差，但比起那些「當紅」的視頻創作者還是有不小的差距吧，為了這麼點蠅頭小利，有誰吃飽撐著冒坐牢的風險干這個？

有趣的是，在眾多創作者聲討後，360快視頻「精確的」刪除了所有B站的盜傳視頻，而盜傳自微博秒拍等視頻站的視頻則依然保留——既然是用戶私自盜傳，360又怎麼這麼快的知道哪些屬於B站呢呢？

共青團中央的帳號也冒充？哪位網友這麼大膽？

明眼人都知道是怎麼回事，無非是我們水平有限證據不足拿不到實錘罷了。

因此，現階段我們所面臨的問題已經不是該如何防範隱私泄露，而是該如何提高自己的風險防範意識，確保泄露的隱私不會對自己及自己身邊的親人造成傷害了。

我們的隱私是怎麼被賣的？

但凡玩網路遊戲的玩家，對「盜號」可謂深惡痛絕，資深一點的玩家或多或少都有中過招，甚至有玩家在安全措施防範嚴密的情況下仍然被盜號，這不由的讓人浮想聯翩。

尤其是一些遊戲的大規模盜號事件，不由得不讓人懷疑有遊戲公司「內鬼」參與。

在這裡筆者想說的是，互聯網企業的內鬼肯定是有，但不至於為了一點蠅頭小利而暴露自己。

事實上，絕大多數盜號都是由用戶隱私的「不經意」泄露導致——無論是有意還是無意——2014年國服的《DNF(地下城與勇士)》就發生過一件非常典型的盜號事件。

當時號稱國服第一狂戰的玩家「旭旭寶寶」遭遇盜號，幾十萬的材料裝備被洗劫一空。蹊蹺的是，該玩家平時遊戲習慣良好，也比較注意帳號安全防範。

最後發現被盜的原因：居然是該玩家曾和盜號者有過一次交易，從而被對方知曉了QQ號碼（遊戲帳號一般和QQ綁定），隨後盜號者通過這名玩家的QQ空間找到了其他好友，並通過小號欺騙的方式誘騙苦主好友向騰訊並申訴並獲得了遊戲的帳號密碼。

最後這起盜號案的破獲，還是「旭旭寶寶」自己鍥而不捨的往返奔波近半年後才發現線索，並協助公安機關抓獲盜號者。

而更多的盜號事件都因為虛擬財產價值難以界定，所以幾乎無法立案，這也是黑色產業猖獗的一個原因。

連美國中情局局長約翰·布倫南的郵箱都被黑了，作案者是兩個高中生，通過冒充郵件服務商、CIA工作人員、手機運營商等「社會工程學」的方式重置了局長的郵箱密碼

另一個容易泄露帳號的渠道恐怕很多人沒有注意到：在多數情況下，為了方便記憶，我們往往把不同網站的帳號密碼設置雷同。大網站還好，主要是小網站的安全防護措施相對較差，這就給了盜號者以可趁之機。

在攻破這些網站的資料庫獲得用戶帳號密碼後，盜號者們往往使用「撞庫」的方式把這些帳號密碼導入特定軟體里，並開始批量的登錄各大網站/遊戲。

如果玩家的遊戲帳號沒有額外的保護手段（比如安全令），那麼恭喜你，你的帳號十有八九要遭殃了。

即便是大的互聯網企業也未必萬無一失，2016年京東就曝出過大規模的數據泄露事件。

由於資料庫的漏洞被黑客利用，導致多達數千萬條的用戶信息被竊取，這些信息涉及用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度。

更讓人毛骨悚然的是，根據京東的說法，這些數據早在2013年就已經被竊取——這意味著，京東在明知道用戶帳號被盜的情況下，居然能隱瞞3年之久。

至於這些數據，有網路傳言其一開始打包售價一度超過百萬，爾後在反覆轉手中價格一路下跌，從幾十萬到幾萬一直到最後幾百塊……

你以為這樣的就完了？別急！只要你的隱私被泄露過，你的身份就將被永遠的留在互聯網的黑色產業中。

為了更方便的利用這些數據牟利，黑客團伙們建立了大大小小規模不等的「社工庫」（社會工程學資料庫），任何人只要付費就可以自由的查詢社工庫里泄露的用戶隱私。

而且，這些社工庫里用戶隱私數據還會定期更新維護，甚至還可以為特定的用戶建立更詳細的「用戶畫像」——比如你的身份證（甚至有照片），出生日期，手機號碼，家庭住址，工作單位，看了什麼電影，在哪開過房，買過去哪的火車票，手機通訊錄里都有什麼人，這些人是幹什麼的，聊天記錄是什麼……

源自網路一張黑色產業鏈分工圖，可以看到社工庫其實是黑產團伙確定作案目標的重要工具

可能有玩家會問，總不至於所有互聯網企業的資料庫都泄露吧？總有安全的不是？嘿嘿，筆者要說的是幾乎沒有。

哪怕這家企業數據安全防禦的天衣無縫，防火牆的軟硬體再給力，可操作它們的畢竟是人啊。面對這麼誘人的利益，這時候就輪到內鬼登場了。

這裡我們還要拿倒霉催的京東舉例：2017年公安部破獲了一起特大竊取販賣公民個人信息案，有位黑產團伙成員以網路工程師名義入職多家公司，並裡應外合的提供資料庫漏洞給團伙其他成員，光是從京東這一家公司，該黑客就竊取了50億條公民信息！

請注意，這裡值得注意的不光是京東泄露的50億條，這位黑產成員在入職的「其他公司」里恐怕盜取的更多。

事實上，隱私泄露已經是互聯網的常態，區別在於有沒有被媒體報道。那些被企業「公關」（避免醜聞）而沒有被報道的泄露事件，甚至有些因為泄露規模太小導致根本沒人理會的事件數量恐怕遠超我們的想像。

比如筆者註冊的STEAM帳號就多次收到異地登錄提醒，有些帳號筆者只登錄過一兩次而已——現在回想起來，估計是筆者將這些臨時性的帳號設置了曾經棄用的舊密碼，因此遭到「撞庫」。

講到這裡，可能有玩家會產生「這個世界好危險，我要遠離互聯網」的感覺，其實大可不必如此。

一來，真要有騙子獲得我們的隱私，可畢竟不是直接從我們口袋掏錢，哪怕你個人信息被泄露的一乾二淨，它們不還得操著半生不熟的普通話來騙你不是？二來，隱私泄露不是一個人的事，而是全中國乃至全世界面臨的問題。

況且對黑產團伙而言，要在數以百億計的信息里篩選出有價值的對象可不是件容易的事，只要你不是個頭最大最明顯的那個，跟著幾十億人裸奔其實也不那麼起眼……

真要有說話標準，分工明確，騙術周密的犯罪團伙盯上你，那隻能說明你的身家值得他們如此大動干戈，對此我只能說：認命吧。

——

歡 迎 分 享 到 朋 友 圈——

作者｜豪豬

微信編輯｜小愛

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！