IT时报 -V7 特别报道-
7特别报道
  • ·是谁把你的隐私卖给了那些广告商?

是谁把你的隐私卖给了那些广告商?

“串通”的App联盟调查

  

记者揭秘:如何给你推荐一条精准的互联网广告
手机里的App就像串通好了似的,我在A搜了什么,B就会给我推荐什么广告。此外,更加匪夷所思的事情正在向我们袭来。手机熄屏,外卖App仍在后台运行时,说了一句“中午想吃新疆菜”,饿了么、美团外卖就给我推送了新疆大盘鸡;复制粘贴“霍尔果斯某某公司”开发票后,今日头条精准推送一条“如何在霍尔果斯注册公司”的广告;打开抖音,失散多年的同学竟然出现在眼前,而我却只是一个“游客”;在A小贷公司刚刚注册好,B分期金融公司就发送了一条邀请注册短信……到底是谁让我裸奔在手机里?今年315,《IT时报》为你解答:你的隐私如何成了别人的商品?IT时报记者孙妍IT时报记者李蕴坤一个“爬虫”一个接口让用户裸奔
案例:App是否在偷看我?
  施先生是常常出差的“空中飞人”,不管吃饭还是住宿,都养成了开发票的习惯,时常需要扫码,复制粘贴发票抬头进行开票。有一天,施先生发现今日头条向他推送了“如何在霍尔果斯注册公司”的广告,精准匹配了施先生公司的发票抬头“霍尔果斯某某公司”,所以,施先生产生了怀疑,“今日头条是不是在偷看我的剪贴板?”
  KEEN公司GeekPwn实验室宋宇昊认为,苹果手机的系统设计允许任何App访问剪贴板,如果用户将一些数据放到剪贴板,再去打开其他App,那么其他App自然而然就会读取剪贴板的内容。比较典型的应用是,如果在微信里要访问淘宝中的某个商品,复制一个淘口令,再打开淘宝的时候会自动导向某个商品。
  一位文本数据处理技术专家向《IT时报》记者解释了另一种可能,如今提供免费开票功能的第三方服务公司越来越多,他们如何赚钱?就是通过搜集用户信息、用户行为形成画像。通过公司地址定位到你处于哪个商圈,就会认为你经常在这个商圈点外卖,这个商圈白领最常点的外卖是哪几家,然后外卖平台给你推荐这些商家。“截图、照片里如果涉及敏感信息,比如身份证、银行卡、签字单据等,都可以被提取出其中的文字信息,如果被别有用心的人拿到,影响不可估量。”他强调。
  从技术上来说,用户的信息是如何被获取的?
  该技术专家解释,PC端的网站之间共享信息,通常是通过“爬虫”技术。
  所谓“爬虫”是指通过技术嵌入进行跨站追踪,比如A在B的网站中加一段代码,用户在B网站的账户信息、行为信息、设备信息等都会实时传回到A。由于不同网站之间需要收集更多的信息完成用户画像,同时A会回馈相应的广告利益给B,因此这种方式因“互惠互利”而在大多数网站间流行。
  上海市软件评测中心技术人员向《IT时报》记者解释,App之间的数据共享方式有两种,一种是用同一个SDK(Software Development Kit,软件开发工具包)开发的App之间,可以进行数据共享,当用户登录App时,会向第三方SDK发送数据包,这些数据包里包含了用户的各类信息。另一种是双方开放数据接口,从而实现数据共享。
  一个“爬虫”,一个SDK共享接口,就让用户的信息裸奔在互联网上。
一个手机设备号,广告联盟就能追踪你
案例:抖音找回了失散多年的同学
  “自从下载了抖音,我竟然找回了失散多年的同学。”陈先生在刷抖音的过程中,无意中发现,抖音竟然向他推送了多位老同学发布的短视频。惊讶之余,陈先生感到自己的隐私被严重侵犯了,陈先生从未在抖音上注册,一直是以游客的身份在刷抖音,而且,也并未与这几位老同学在微信、QQ等社交媒体上建立联系,唯一的联系就是那个躺在通讯录里、多年未打的电话号码。那么,抖音又是通过什么方式获取了陈先生的通讯录呢?
  “手机设备号是最基础的,具有唯一性的标识,就算不注册不登录App,也可以辨别你是谁。A只要拿着陈先生的设备号与B、C、D的数据库一碰,就可以建立关联关系,知道你是谁。”一位安全专家向《IT时报》记者解释,现在很多App都加入了不同的广告联盟,只要你向这个联盟里的App开放过通讯录权限,那么A也能拿到你的通讯录,这就是所谓的数据共享。
  一个手机设备号,就可以辨别你是谁,这个信息单元成了各大广告联盟之间进行用户数据追踪的筹码。
  殷鸣(化名)曾就职于百度广告部,他向《IT时报》记者还原了互联网广告联盟的基础链条:在一个广告联盟里,BAT往往是广告“盟主”,互联网巨头利用庞大的生态圈收集各种类型的原始数据,为用户打上标签,从而形成一张全面精准的用户画像,帮助广告主精准匹配目标用户,当然BAT等大“盟主”没有那么多精力为每个广告主量身定制方案,在这条产业链上便衍生出数据分析公司、广告分发公司、数据监测工具等。
  以阿里系为例,Tanx ADX平台是阿里妈妈开发的产品,买家可以在这个平台找到推广目标客户的数据,实时竞价,拍下众多互联网站点的推广资源,ADX平台提供“挖包服务”,广告主可以通过这一项服务精准地查询到自己想要投放广告的目标人群。此外,阿里系还拥有一家大数据服务提供商友盟+,根据天眼查显示,友盟+是由阿里巴巴(中国)网络技术有限公司100%控股。“挖包功能是免费的,帮广告主定制好想要的人群之后,他们直接针对这个数据包去投放就可以了,不用再筛选后台的那些基础属性。”腾讯社交广告销售人士告诉《IT时报》记者。尽管如此,根据腾讯社交广告高潜客户服务权益价目表,使用人群定制服务的起始充值金额为20万元。数据包可以永久存在于广告主的后台,但这些数据只适用于腾讯生态圈,无法在其他媒体平台使用,而且对用户的隐私信息都进行了脱敏处理。
  不过,也只有腾讯系敢直接承诺所有的数据使用不出“腾讯系”,其他App基本都在大联盟的范围内彼此共享用户信息。
一次同意你的信息就被出卖了
案例:贷款超市的暴利生意一幅借贷人画像50元
  近年来,互联网金融领域竞争激烈,拉新费用高达每位100-200元,互联网金融公司也成了广告公司竞相追逐的“金主爸爸”,但是,这个领域也被安全界认为是最混乱的大数据交易市场。
  往往,用户在A平台上申请一项分期服务,其他分期平台就会立刻推送注册广告给用户。
  LOCKet为多家互联网金融平台提供大数据安全服务,其技术负责人陈荣通过简单操作,便推演出这场数据交易中的“嫌疑人”:他将A平台的用户信息进行加密,从而规避了内鬼泄露或黑客拖库的风险,那么,导流的贷款超市、第三方风控平台、短信验证码服务商就成为“嫌疑人”。
  最大的“嫌疑人”贷款超市表面做着为小贷公司引流的生意,实则在圈借贷人的数据,背后是一项门槛并不高的暴利生意。
  融360是贷款超市领域的头部玩家,在它的招股书里,“推荐费”是第一大收入,轻松年入过亿。2015年,融360的“推荐费”收入就已过亿,为1.17亿元,2016年翻了一倍,飙升为2.39亿元,2017年上半年,就完成了3.14亿元的“推荐费”收入。《IT时报》记者曾报道过,借贷人一旦在贷款超市上注册,个人信息就会被转卖给N个小贷公司,“借点钱”平台的商务经理就向《IT时报》记者透露,由公积金、微信余额、淘宝购物记录、通话记录等数据画成的借贷人“画像”只卖50元。
  当数据池越滚越大后,这些“贷款超市”又做起了大数据风控,杭州魔蝎科技公司的产品经理给《IT时报》提供的产品报价表显示,有近50项数据可以提供,包括运营商、支付宝、京东、滴滴、寿险保单、网银账单等,还可以通过法院失信情况、QQ群风险(有多少个借贷群、分期群等)、贷后行为等信息来进行大数据风控。如此详尽的数据,价格却低得惊人,运营商数据0.1元/次、淘宝支付宝数据0.3元/次,最贵的淘宝卖家数据2元/次。
  这些公司都向《IT时报》记者表示,公积金数据是利用爬虫技术从公积金网站上抓取的,运营商数据是由合作的数据公司提供的。当然,他们也强调这些数据是经过用户授权拿到的。
  当用户点击“同意”注册协议时,就默认将这些数据提供给贷款超市,并授权其提供给第三方小贷平台使用。
  下转第13版