PGone李小璐视频泄露背后,你的隐私正被全网交易

  昨天,PGone 和李小璐一年前的抖音视频突然在网上刷屏,也让销声匿迹许久的两人再次登上了微博热搜。不少网友感叹:

  这瓜吃的,都不知道该说什么好了。

  但这次吃瓜事件的背后,更让人沉思的是:视频是怎么被放出来的呢?

  有网友猜测,这是“存在抖音草稿箱的视频,被内部员工窃取”,还有人说这是“手机视频被人盗取后发出”……但不论真相如何,都逃不出“隐私泄露”这 4 个字。

  这不禁让我联想到了前两天我遇到的事情。

  眼看着双十一就要到了,我也按捺不住买买买的冲动开始囤货。经过一个小时的奋战,购物车被我填的满满当当,但想想自己那只剩 3 位数的账户余额……好吧,还是先看看抖音上的沙雕视频压压惊吧。

  可当我打开 App 后,却发现抖音上的广告竟然就是我刚刚逛过的同款商品!随后,我又打开朋友圈,竟又看见了自己刚刚看过的商品。
  有类似经历的绝对不止我一个人,甚至还有不少网友吐槽:

  跟朋友在聊天时提到某样东西,转眼刷 App 的时候就被推送了广告!

  现在互联网广告的精准投放,简直“体贴”得吓人!

  虽然早就知道 App 们一直越界获取用户信息,可他们到底是如何获取我们隐私信息的?又为什么能够这么精准地跨平台推送广告呢?

  01、那些跨平台的广告
  是怎么精确投放到你手机上的


  关于这些被精准投放的广告,最让我费解的是,为什么我上一秒在购物平台上浏览的商品,下一秒就会出现在其他 App 上?

  原来,这些 App 早就组成了联盟,连起手来收割我们。实际上,跨平台精确投放的“元凶”是——程序化广告。

  1)程序化广告,定向投放背后的手

  所谓的程序化广告,并不是一种广告或是 App 插件,而是一种通过大数据收集用户信息,然后将广告精准地投放给用户的技术。

  简单来说,程序化广告就是互联网时代的新型广告投放方式。现在这种程序化广告投放方式,已经渗入到互联网的每一个角落。

  首先,程序化广告会依靠大数据来记录用户的网络行为。
  在大数据的观测下,我们在手机软件上的每一个行为操作、每个浏览记录、关注内容、使用的 App 等信息都会被记录,并根据不同的行为权重对用户进行画像。

  正常情况下,我们的手机和电脑,都有对应的唯一设备 ID 号。所以大数据平台一般会将设备 ID 号作为用户为标识,并将采集到的信息整合到设备 ID 上来。

  然后,在采集到足够多的数据后,大数据就能非常精准的描绘出一个用户的画像特征,比如兴趣偏好、财产状况、消费观念、文化水平……

  最后,大数据平台会将你的画像分类。一旦有符合你特征的广告出现,程序化广告系统就会找到你,向你定向投放该广告。
  举个例子,假如你在电商平台看上了一款新出的名牌包包,顺手点进了商品界面。一旦你开始浏览这件商品,程序化广告就能捕捉到你的行为。

  然后它根据大数据,分析你的性别、年龄、爱好、浏览历史等,判断你最近有买包的需求。于是它又在海量的广告库中,找到与你“气味相投”的商品,并将广告投放到你打开的 App 上。

  看到这里,我不禁想起了经典小说 《1984》 里的那句“老大哥时刻都在看着你!”

  在大数据和程序化广告面前,我们仿佛都是裸奔的羔羊,毫无隐私可言。

  2)我们的隐私到底是怎么在平台之间传播的?

  实际上,程序化广告产业内有一个类似于股票交易的平台,每一条广告精准推送到用户的过程,都是围绕着这个交易平台进行的。

  在真实的交易过程中,有一个面向广告投放者的“需求方平台”(简称 DSP 平台),还有一个面向用户的“供应方平台”(简称 SSP 或者 AD Exchange)。
  当你打开手机 App ,软件检测到页面有对应的广告位,于是软件就会采集你的信息,并向供应方平台(SSP & AD Exchange)发送消息:这里有一个用户可以投放广告。

  供应方平台(SSP & AD Exchange)收到信息后会先分析你的特征,找到与你对应的肖像标签,然后告诉需求方平台(DSP ):这里有一个特征为 “XXX” 的用户,快通知对应的广告主们来竞价呀!

  随后,需求方平台(DSP )就通知对应的广告商程序前去竞价。

  接着,供应方平台(SSP & AD Exchange)就在这些参与竞价的广告中挑选出高价广告,并让 App 上的广告位显示该广告。

  而这些过程一共不超过 1 秒,也就是说在你打开 App 的那一瞬间,程序化广告的运作就已经完成了。

  于是,你刚刚搜过,或者你经常浏览的东西,就总能出现在你登陆的平台广告里。

  02、手机软件过度索权
  你的隐私正在网上被人买卖


  如果仅就模式而言,程序化广告只是一种精准营销的广告手段,将商品广告定向投放到目标用户,并没有太多值得指责之处。

  但是,这种广告精投所依托的大数据平台,却是建立在手机 App 过度索权,收集我们个人信息的基础上的。

  在上文中曾提到,程序化广告的竞价平台类似于股票交易平台,双方传递的是需求,而不会直接交易用户的标签信息。

  这是不是意味着,尽管我们的个人隐私被 App 软件侵犯,但仍只不过是多看些广告,而没有太大的危害呢?

  很遗憾,实际情况却并非如此。因为在现实中,这些软件平台并不能很好地保护软件所采集的信息,不法分子往往能轻易的针对平台漏洞爬取用户隐私。

  1)你手机里安装的软件,过度索权有多严重?

  今年 9 月 19 日,工信部官网公布的第二季度的 32 款应用软件检测名单里,有 21 个都因非法获取用户隐私而被列入黑名单。

  而在“ App 专项治理工作组”发布的《百款常用App申请收集使用个人信息权限列表》里,手机软件过度索权的问题更加让人心惊。
  《百款常用App申请收集使用个人信息权限列表》部分

  在这份表格里的 26 项个人信息相关权限中,平均每个 App 申请手机权限超过 10 项。几乎所有软件都会申请与自身功能无关的权限,其用途就是程序化广告推送。

  这些软件为了能够采集到用户的个人信息,会采取各种坑人的套路。我下载了多个名单上的 App 软件,发现了以下这 3 个套路。

  默认勾选,让你一不留神就授权。很多 App 在下载后注册登录时,会在界面上显示“我已阅读并同意《用户协议和隐私条款》 ”,并“贴心”的帮用户悄悄打勾,让你在不经意间就同意了软件的隐私条款。

  使用即同意。这类软件甚至根本不给用户选择的余地,只在登录界面下方不起眼处,用小字标出“继续使用即为同意《隐私协议》……”。
  用户协议中藏地雷。一些平台行的软件内会有很多外置的第三方软件,但是在隐私协议中,软件方却明确指出“不承担第三方的侵权行为”。

  也就是说,当你同意了这份协议后,即便你的隐私被软件内的程序采集并泄露,也与 App 平台毫无关系!
  除此之外,据很多媒体爆料称,有的软件还会利用文字游戏蒙骗用户,让用户同意软件采集信息并出售给第三方平台。还有的软件更是直接将用户信息视为“资产”,许进不许出,很难注销个人信息……

  总之,当前手机市场的绝大多数软件,都会索取其服务范围外的权限,进而获取用户信息。

  2) 被软件采集的隐私,正在网上被人买卖

  当个人隐私被软件收集后,不但会让我们收到大量的定向广告,还让不法分子能更加轻易地获取我们的个人信息。很多不法商家仅通过爬取软件平台,就能获取大量的用户资源,在网络上贩卖。

  例如,你在百度上搜索“数据买卖”,靠前的广告位上就会堂而皇之地出现多家贩卖用户信息的商家广告。
  为了获得这些商家交易用户信息的内幕,我假扮成买家添加了商家的微信。

  经过交流,我发现他们并不直接贩卖用户信息,而是贩卖一个能够通过 App 和搜索引擎爬取用户信息的软件。
  软件可以直接爬取到目标 App 上保存用户浏览信息,然后自动筛选出你想要的用户。他们还特意发来演示视频来向我展示爬取过程。
  视频中对方称,想要获取网上的用户信息非常简单,只要输入对应的域名和限定信息,系统就能自动爬取到用户的姓名手机等信息。

  在互联网上,类似的软件和商家并不鲜见。像去年北京一家名为@瑞智华盛 的互联网公司,就通过非法植入软件,采集了超过 30 亿条个人信息。

  手机软件的过度索权,将我们的个人信息更多的存留在软件平台上,也让很多不法分子能够更加轻易的盗取我们的隐私数据。

  当我们的隐私数据被类似的商家获取,并在网上随意买卖时,谁也不知道我们的隐私信息会流向何处,被哪些不法商家利用。

  03、结语


  程序化广告发展至今,精准投放已经成为了互联网广告投放的基本逻辑。据@Inmobi 预测,2019 年中国的程序化广告将突破 1900 亿人民币,移动广告支出增长达到 111% 。

  但产业增长的背后,是绝大多数手机软件都在过度索权,是我们的隐私被肆意地侵犯。

  尽管在今年 5 月,国家互联网信息办公室曾发布《数据安全管理办法(征求意见稿)》,但截止到目前为止还没有落地实行。

  所以到现在为止,仍然没有有效的法律手段来管控商家,我们也没有办法完全不用互联网、不下载手机软件。

  但是我们可以打开手机设置-隐私,看看哪些 App 偷偷用了它们本不需要的权限,把这些权限统统都关掉。
    下一篇

最近,一位自称创业青年的广告主,和一家新媒体巨头上演了“互撕大战”,再次引爆“流量造假”这个话题,近日,一位拥有380万粉丝的微博博主...被指刷数据造假一事,备受关注...浏览量上百万,但实际给他店铺带来的流量几乎为0,网友感慨说,不只是微博,哪个平台都有水!。“眼看他起高楼,眼看他宴宾客,眼看他流量的楼塌了!”