QuizUp被爆信息安全问题——初创公司应如何保护用户数据安全？

最近，风头正劲的益智类游戏应用QuizUp出现了严重的安全问题，他们发现用户联系信息可以以纯文本格式发送。该游戏的开发公司Plain Vanilla指责该问题是由于第三方软件造成的，同时他们也表示目前已经解决了这个问题。但是这个插曲还是应该引起特别重视，因为对于初创公司是否能够保护用户的数据这件事，我们显然了解的还不够充分。

用户提供的个人数据越来越多，但往往得到这些数据的开发团队规模都不大，而且没什么经验，实际上，这些小公司可以说是在不断探索和失误中成长的。从一个企业的观点来看，这些属性可以成为某种优势，但是从安全角度来看……好吧，笔者在这里只能说还不得而知。用户出于信任，把自己的数据全部交付给这些公司，毫无疑问，用户希望这些数据可以被保护好。

作为用户，如果你打开自己的手机，会看到有各种各样的App应用，其中许多都是由初创公司开发的。有的记录了你地理位置的详细信息，有的有你的照片图片，有的可以访问你的邮箱帐号，有的记录你锻炼身体的数据……这会是一个很长的列表。这些存储在初创公司服务器里的数据能得到安全的保护吗?答案是，不知道。

Buffer公司是一家定时发送社交媒体信息的公司，最近该公司受到了黑客攻击。从此事件我们发现，该公司并没有尽最大可能的保护好自己，也没有保护好用户，而实际上，他们完全可以把安全做的更加牢固的。

还有，最近智能信用卡Coin公司也发布了一段产品广告视频（Coin卡可以“一网打尽”你所有的银行卡、积分卡），笔者看后不禁呵呵笑了起来，因为他们绝对是把安全置之脑后了。就算在视频广告的最后，他们也只是把安全关注点放在自己的设备上面，而没有放在用户数据上。笔者倒不是特别针对Coin，毕竟他们现在只是推出了一个广告，而产品仍在开发之中，但是现在的确有必要总结一下这个行业里的问题了。

一个解决方案?用户数据审计

那么，解决方案是什么呢?实际上，笔者花了好几周时间仔细研究了这个问题，答案就是，要对这些初创公司进行数据安全审计。凡是满足一个合理的安全标准的初创公司，将会获得一个认证，他们可以把这个认证的Logo放在自己的网站、App应用、或是其他他们认为合适的地方。

这个审计费用必须要能让初创公司承担的起，为了确保他们考虑到用户的最大利益，笔者建议，最好可以设立一个非盈利性的信托基金去运营这个项目。这个信托基金必须要有董事会进行监管，而董事会成员则可以由一些行业内的巨头们组成，这个审计将会按照成本价格提供服务，这样才能确保这个在科技行业内的信托基金是值得信赖的，与此同时，也能提醒初创公司对安全的重视。

在过去的几周时间里，笔者把对初创公司安全审计的想法和科技界的一些企业家进行了交流沟通，这些企业家都有在运营收集用户数据的业务。他们每个人都非常支持这一理念，不过，他们对数据审计的认同目前还不方便对外公开发布，因为他们还不想引起外界对自己公司当前安全设置的过多关注。能得到这些人的认可，让笔者感到非常鼓气，也令人安心，而且，据说在这些企业家中，已经有人和一些独立的审计顾问进行了签约，让他们帮助检查自己公司的数据安全设置是否达到标准。

扩大数据安全审计范围

数据安全设计这个想法，并非是完美无瑕的。为了适应更多需求而扩大审计范围可能是一个问题，这是因为既要确保初创公司负担的起，同时还要找到一些有相关技能的人才去完成审计这些事情。

接着，那些大公司该扮演什么角色呢?Adobe和索尼都不是初创公司，但是在过去的几年中，他们也饱受用户信息丢失的痛苦。也许，这些大公司也该参与进来，然后多承担些费用，这样就可以帮助到一些小型初创公司。

还有一个问题，那就是如果我们给了企业安全审计认证以后，说不定会激起一些黑客高手的兴趣，反而会引发更多的黑客攻击。或许，低调的处理安全问题也不是件坏事。

不管是什么方法，我们(包括用户、整个科技行业，以及媒体)在数据安全问题上都需要更对的对话，更多沟通。因为随着时间的推移，将会有越来越多的个人数据出现在我们周围，这些数据也会推送到更多人面前。但现在，我们还不知道谁值得信任，也不知道该对这些初创公司投入多少信任。

（via tnw 译/快鲤鱼）