Snapchat员工被爆监视用户,滥用数据访问权限
据外媒报道,社交媒体巨头Snap内部的几个部门都能通过特定的工具访问用户数据,有多名员工滥用这种权力来监视Snapchat用户。
据两位离职员工透露,在数年前,就有多名Snap员工滥用自己的访问权限来获取用户数据。除了两位离职员工,还有一名在职员工以及该公司内部邮件都表明,Snap的员工可以通过内部的工具来访问用户数据,包括地理位置、手机号码、邮件地址等个人信息,
尽管Snap对用户数据的权限进行了严格的控制,并非常谨慎地对待用户的隐私,但这次新闻也提醒了我们一点:我们每天使用的这些产品,背后都是人为运作的,都可以接触到非常丰富的信息。但如果保护不得当,某些居心叵测者就会用它来窥视用户的隐私。
相关邮件表明,其中有款名为SnapLion的工具就能访问用户的数据。两位前员工表示,最初它只是用于搜集用户信息,以回应执法方面的要求,例如法院的命令或传票等。其中一位员工表示,Snap的Spam and Abuse团队就有使用该工具的权限,其中一人称SnapLion对于数据滥用者而言就是“宝库的钥匙”。一位在职员工则表示该工具主要是用来应对霸凌或骚扰等问题的。而外媒获取的内部邮件则表示,一个名叫“Customer Ops”的部门拥有SnapLion的权限,另外安全人员也有它的使用权限。但在之前的报道中,该工具是否真的存在尚未被证实。
Snapchat拥有1.86亿用户,其中有很大一部分都是冲着它的“阅后即焚”功能去的。他们可能根本没意识到这种数据会被Snapchat保存下来。2014年,Spapchat就因为没有公开表明自己在搜集、存储和传输地理数据,而被联邦交易委员会罚款。
由于执法方面的信息需求,Snap在某些情况下需要提供用户手机号码、地理数据和信息数据等,甚至还要提供用户被删除的“回忆”等,包括照片和视频备份。外媒获取的邮件中透露,一位Snap员工在没有执法需求的情况下,“合法”地获取了SnapLion的使用权,调查了一个账户的关联邮件地址,还有一封邮件表明了这种工具能被用于反儿童虐待的调查。
SnapLion这类工具是科技行业的一大标准,企业能够出于合法的目的来访问用户数据。但两位员工表示,尽管Snap声称有一系列工具帮助自己能听取用户的反馈,确保合法性,符合网络的条款和政策,可是仍然会有员工以非法的理由窃取用户数据。
其中一人声称Snap的“数据访问权限滥用”事件之前已发生过几次了,当时涉及了多名内部员工。外媒获取的邮件中也表明,不少公司员工都在讨论内部存在的威胁和数据权限的问题,以及他们应该怎么应对。
一位Snap的发言人在邮件中写道:“保护隐私一直被Snap放在首位。我们只会保留极少数的用户数据,同时还有健全的政策来限制内部的数据访问。任何一种不经授权的访问都明确违反了公司的行为标准,一经证实,我们会立刻开除违规人员。”
当问及之前是否存在类似的问题时,之前从事信息安全方面工作的一位员工表示:“对此我不做评论,但我们拥有最好的安全系统,而且时间远远早于同行业的其他公司。”但他并没有否认数据滥用的问题,并拒绝对此作出回答。
其中一位前员工表示,在数年以前,SnapLion的日志并不能详细地记录每一个受访问的数据,随后公司就提高了监察力度。而Snap声称现在已经可以记录每一个受访问的用户数据。
但另一位前员工表示:“日志并非足够完善。”虽然Snap表示会限制对这款工具的使用,但这只针对那些申请使用的人,而SnapLion不只是一款帮助执法的工具。一名与SnapLion打交道的前员工表示它还能帮助被盗账户重置密码,以及“其他用户管理任务”。
其实这种滥用私权访问用户数据的事例在科技行业并不新鲜。去年,Facebook也开除了数名员工,他们利用权限来窃取前任的数据。另外Uber也有员工利用公司的“上帝视角”工具来偷窥前任、政客或名人。
Facebook的前任首席信息安全官Alex Stamos在谈论这个问题时表示:“普通用户要明白,你们所做的任何事情其实都没有经过加密处理,也就是说每个人都能看得懂。数据访问权限的滥用,并非什么罕见的事情。”
伦敦大学学院讲师Leonie Tanczer在一次线上访谈中表示:“每个人都不应该把那些科技巨头当成一个庞大、僵化的组织,相反,它们是由人类组成的,这些人有自己的缺点和偏见。因此内部的数据访问应该严格管理,但又要确保能在合适的时候获取数据并进行核查。”