Cookie 有个新属性( SameSite),你晓得了没?
关于本文 作者:@阮一峰
原文:
前言
2月4号Chrome80发布了。有几项跟开发者有关的可以注意下。
正文从这开始~~
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
一、CSRF 攻击是什么?Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。
举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。
Set-Cookie:id=a3fWa;
用户后来又访问了恶意网站malicious.com,上面有一个表单。
<form action="your-bank.com/transfer" method="POST"> ...</form>
用户一旦被诱骗发送这个表单,银行网站就会收到带有正确 Cookie 的请求。为了防止这种攻击,表单一般都带有一个随机 token,告诉服务器这是真实请求。
<form action="your-bank.com/transfer" method="POST"><input type="hidden" name="token" value="dad3weg34"> ...</form>
这种第三方网站引导发出的 Cookie,就称为第三方 Cookie。它除了用于 CSRF 攻击,还可以用于用户追踪。
比如,Facebook 在第三方网站插入一张看不见的图片。
<img src="facebook.com" style="visibility:hidden;">
浏览器加载上面代码时,就会向 Facebook 发出带有 Cookie 的请求,从而 Facebook 就会知道你是谁,访问了什么网站。
二、SameSite 属性Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。
StrictLaxNone2.1 StrictStrict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。
2.2 LaxLax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;
导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。
设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
2.3 NoneChrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
下面的设置无效。
Set-Cookie: widget_session=abc123; SameSite=None
下面的设置有效。
Set-Cookie: widget_session=abc123; SameSite=None; Secure
社交平台cookie出卖了你——木马FFdroider欲窃取你的账户信息丨大东话安全
一、小白剧场
小白:东哥,最近某社交网络出现了一个事件——一个专门窃取社交平台的账户信息的邪恶木马。你听说了吗?
大东:有所耳闻,没有想到小白你的消息蛮灵通的嘛!
小白:那当然,咱也是懂得开源情报的铁杆东粉呢,话说这是一个什么样的木马病毒呢?
大东:它名为FFDroider,是一种新型木马病毒程序,能够对信息进行窃取。
小白:它通过什么方式来窃取账户信息呢?
大东:它可以劫持社交媒体账户,通过利用cookie和凭证,这类数据一般被受害者存储在浏览器中。
小白:可以详细讲讲这个木马病毒的细节吗,东哥?
二、话说事件
大东:在2024年4月初,可为云计算提供安全服务的美国某公司研究人员发现了一种新型恶意软件,即Win32.PWS.FFDroider的软件(简称 FFDroider)。
小白:这款软件发动过攻击事件吗?
大东:据该安全研究团队称,FFDroider模仿了消息应用程序Telegram,而后者是被广泛使用的。为了执行攻击,FFDroider会首先访问用户的设备,如 PC。之后,FFDroider会从包括Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge在内的浏览器窃取cookie和凭证等数据。
Telegram应用程序(图片来自网络)
小白:窃取了cookie后,攻击者会执行哪些攻击呢?
大东:FFDroider利用盗来的cookie,帮助攻击者登录用户的社交媒体平台,对帐户信息进行提取,之后利用这些信息窃取更多的敏感信息或个人信息,比如通过展示虚假广告,诱骗用户输入敏感信息,通过这种手段进行进一步的攻击。
小白:这款恶意软件主要会针对哪些平台发动攻击呢?
大东:该公司表示,这款恶意软件对某社交平台的攻击效果最为明显。另外,其他目标还包括电子商务平台如亚马逊、eBay和Etsy等的用户。一旦窃取了用户个人信息,犯罪分子就可以以此进行欺诈和盗取金钱等不法行为。
小白:那该恶意软件的具体窃取信息的流程是怎样的呢?
大东:该公司的研究人员对该恶意软件的传播情况进行了长期追踪,他们研究了最近的样本,并据此发表了一份详细的技术分析。利用在种子网站下载的文件,FFDroider可以传播,这些文件包括游戏、破解软件、免费软件在内,这一点,和许多其他恶意软件一样。
小白:是怎样进行传播的呢?
大东:在其他文件或软件的下载过程中,为了逃避检测,FFDroider会进行伪装,以桌面应用程序Telegram形式存在,从而完成安装。恶意软件如果被用户运行,将会创建一个Windows注册表项,其名字为FFDroider”。
Zscaler模拟的FFDroider在受感染的系统上创建注册表项(图片来自网络)
小白:注册表项之后呢?
大东:cookie和账户凭证是FFDroider的目标,这些数据通常在浏览器内存储,包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge等。
小白:那如何窃取cookie和账户凭证呢?
大东:恶意软件会滥用接口Windows Crypt API,具体来说,特别是对其中函数CryptUnProtectData的滥用,能够实现对Chromium SQLite cookie和SQLite Credential存储的读取与解析,并解密条目。
小白:对于其他种类的浏览器的攻击方式也一样吗?
大东:窃取其他浏览器的过程与之类似,举例来说,为了对所有存储在Explorer和Edge中的Cookie进行抓取,会使用功能InternetGetCookieRxW和IEGet ProtectedMode Cookie等。
Zscaler模拟的恶意软件执行功能,从IE中窃取Facebook cookies (图片来自网络)
小白:窃取了cookies之后呢?
大东:在完成窃取和解密后,该恶意软件会通过HTTP POST请求,把生成的明文用户名和密码泄露给C2服务器。
该公司模拟的通过POST请求泄漏被盗数据(图片来自网络)
小白:那FFDroider与其他木马的区别在哪里呢?
大东:窃取对象是它与其他木马区别的一点,对存储在浏览器的所有账户凭证,FFDroider的运营商不感兴趣,而是专注于对一些有效cookie的窃取,它们可用于在社交媒体账户和电子商务网站进行身份验证在此过程中,恶意软件会进行动态测试。
小白:可以举个例子说明一下吗?
大东:举例来说,FFDroider如果能通过某社交平台的身份验证,就可以从其广告管理器中获取各种信息,如所有的页面和书签,以及和受害者相关的信息,包括好友数量、账单和支付信息等。
小白:进而会发展更深层次的社交攻击吧?
大东:没错,这些信息可能被威胁参与者利用,进一步地,在社交媒体平台开展欺诈性广告活动,并向更多人推广他们的恶意软件。
三、大话始末
小白:FFDroider主要针对国外的社交媒体网站,那它对国内的社交媒体网站有威胁吗,我们的国内公民信息会受到威胁吗?
大东:在该公司分析这起攻击事件之后,某实验室也深入分析了该事件中的攻击技术,并发现,针对国内用户,经轻微修改,该信息窃取工具就能够实施类似的攻击,从而窃取国内公民的个人信息。
小白:他们做了哪些实验呢?
大东:通过选用研究员的个人主机,浏览器使用默认安全配置,在此条件下,该实验室进行了安全测试,并发现使用与该恶意软件类似的技术手段,可以窃取用户的个人账号信息,它们存储在Taobao/Weibo/QQ等网站的cookie中。
小白:那他们有对这款恶意软件采取什么措施吗?
大东:该实验室认为,出于进一步扩大感染范围的目的,更多的投递方式会被攻击者衍生出,包括利用垃圾邮件和水坑网站等。和该恶意软件相关的此类威胁应被及时处置,因此,应对其分发渠道,实施持续的长期监控。
小白:既然我们一直在谈论窃取cookie的内容,东哥,那我们再聊聊cookie都有哪些安全威胁吧。
大东:首先,是对Cookie的捕获和重放,通过使用恶意程序,如跨站脚本、木马,黑客可以偷窃用户的Cookie。如果cookie被捕获,通过猜测访问令牌,黑客可以获得敏感信息,例如会话ID、用户角色、用户名、密码和时间戳;或者重放cookie,以便黑客可以伪造受害者的身份并发动攻击。
小白:还有吗?
大东:会话固定(Session Fixation)攻击会使受害者在登录网站时使用攻击者的身份,从而窃取会话信息,这是通过将攻击者控制的身份验证Cookie和其他信息注入受害者的主机来实现的。
小白:注入Cookie的方法有哪些呢?
大东:注入Cookie的方法包括:使用恶意程序,如木马或跨站点脚本;在与合法网站相同的域中伪造假冒网站,并欺骗用户访问,把攻击者自己域的Cookie,通过HTTP响应中的Set-Cookie头,发送给用户等。
小白:还有其他的威胁么?
大东:还有跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击,即攻击者可能利用网页中的恶意代码,强迫受害者的浏览器向被攻击的Web站点发送伪造请求,盗取受害者的认证Cookie等身份信息,从而假冒受害者对目标站点执行指定的操作。
小白:还有吗?
大东:最后一个是恶意Cookies。由于Cookies是文本文件,因此,通常认为它们不会构成安全威胁。但是,如果通过特殊的标记语言将可执行代码插入cookies,则可能给用户带来严重安全隐患。
小白:什么样的隐患呢?
大东:如果cookie包含可执行的恶意代码段,该恶意代码段将在显示带有 cookie 的网页时自动执行。当然,恶意代码是否真的能造成危害还取决于网站的安全配置策略。
小白:说了这么多cookie的威胁,我们有哪些安全防御措施呢?
大东:首先,对服务器端,主要的保护措施有:添加MAC进行完整性验证;防止非法用户非法拦截后重放,对相关信息进行用户数字签名,加强有效性验证;cookie本身采用随机密钥加密,从而保证其信息安全。
小白:对于客户端呢?
大东:对访问的不同网站,出于保证本地Cookie安全的目的,在客户端浏览器中都采用了统一Cookie加密,在相应系统目录下,只有一个与Cookie相关的加密文件为可见,并且,其中的Cookie文件被浏览器加密,用户不可见,增强了安全性。
四、小白内心说
小白:那对于这个恶意程序,我们应当采取哪些防御措施呢?
大东:该恶意软件的传播,是利用了受害者安全意识薄弱这一点,用户对未经验证的安装程序随意下载,这一行为使该恶意软件能异常轻松地传播。
小白:没错,我们应当时刻提醒自己不要随意下载软件。
大东:为了避免类似事件发生,对于个人用户来说,我们需要提高自身安全意识,尽可能下载官方网站来源的软件,对下载的文件进行必要的安全检查。
小白:对于事业单位呢?
大东:为增强企事业单位内部的网络安全,首先应加强对员工的培训和教育,增强网络安全意识,其次,应把终端安全软件安装在每一台主机上,并限制单位员工个人下载安装程序使用非官网渠道,以保障内部网络的安全性。
小白:除了这些建议,有没有针对cookie安全进行某些安全设置的建议呢?
大东:我们建议,对于个人用户,应该对浏览器适当限制cookie存储权限。
浏览器Cookie权限设置(图片来自网络)
参考资料:
1. FFDroider佯装成Telegram攻击窃取浏览器用户密码
?id=1729960853561193927&wfr=spider&for=pc
2. Zscaler:伪装成电报应用程序的FFDroider恶意软件会窃取社交媒体账号
3. cookie是什么?如何防范劫持?
4. FFDroider恶意软件可窃取国内用户隐私数据
来源:中国科学院信息工程研究所
Facebook缘何非死不可”?
编者按:本文来自微信公众号砺石商业评论”(ID:libusiness),作者: 金梅;36氪经授权转载。
在互联网时代,当人们享受着数据与技术所带来的便利时,也不得不承担个人信息泄露、数据被滥用的风险。
在涉嫌操纵美国大选,引起种族仇恨,向他国泄露机密文件后,Facebook可谓官司缠身,不但如此,去数月之内市值蒸发将近一半,还有可能面临最高达7万多亿美金的巨额罚款。
危急时刻,扎克伯格未能起到主心骨的作用,其抛售公司股票的行为,让剧情进一步复杂。矛盾体于扎克伯格身上爆发,甚至有人呼喊要他下台,以挽救坐了过山车急转直下的股价。其实,不只是Facebook,Google、亚马逊、万豪也都陷入了数据泄露风波中,用户隐私保护是时候重新被企业审视了。
1.事件回顾Facebook数据滥用事件引起的轩然大波,便源于剑桥分析公司滥用个人数据信息。该事件违反了限制收集、目的特定、使用限制以及安全保障等多项个人信息保护基本原则。同时,Facebook所使用的Cookies、API、VR以及AI等技术是导致个人信息泄露以及滥用的高发领域。
3月中旬,美国《纽约时报》披露,美国社交网站Facebook(脸书)近5000万用户的个人信息遭到一家名为剑桥分析公司的泄露。2014年,剑桥分析的研究者Kogan要求Facebook的用户参与一个性格测试,并下载一个第三方App这是你的数字化生活”(this is your digital life),搜集的信息包括用户的住址、性别、种族、年龄、工作经历、教育背景、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。这些数据被用于在2016年美国总统大选中针对目标受众推送广告,巩固或改变他们的想法,继而影响大选结果。
自从Facebook数据泄露事件发生以来,Facebook不仅可能面临着最多7万多亿美元的天价处罚(将近9个苹果公司的市值),还有可能被处以极刑。作为全球涵盖范围最广泛的社交网络,Facebook所面临的问题越来越多。2018年,该公司在多场国会听证会上面临公众质询,涉及第三方滥用用户数据和公关丑闻。
用户信息泄露,操纵美国总统大选,游走在美国各政党派之间,甚至还有俄罗斯身影在其中,这一幕幕美国大片里的场景,正在脸书上映。自7月份以来,该公司股价已经下跌了近40%,几乎腰斩。此外,该公司在关键市场的用户增长停滞甚至出现下降(北美的用户0增长,欧洲失去300万用户)。
遗憾的是,处在舆论中心位置的扎克伯格,并没有在危急时刻起到定海神针的作用。作为公司的灵魂人物,扎克伯格在事情败露之前,将手中的股票高价出手(美国证券交易委员会提交的文件显示,扎克伯格在8月份共抛售了359820股,总计套现6220万美元。而在今年第二季度抛售了1360万股的股票,在该季高管所抛售股票中的比例超过了95%。),让员工和投资者们产生了极大的不满。
扎克伯格随即陷入了水深火热中,崩塌的人设”似乎是救不回来了。迫于股市的考虑很多人开始呼吁其辞去董事长职位。但持有该公司60%具有表决权投票的扎克伯格,在股东中拥有着不可撼动的地位。面对质疑,扎克伯格在公司内部展开了大刀阔斧的整改,截止到今年9月份,脸书高层共有9位离职,部分老将的离开,让公司内部变得更加以扎克伯格为中心。
在11月21日的外媒报道中,虽然Facebook扰乱选举,传播病毒式宣传活动、煽动仇恨言论、对批评者进行黑公关”等一系列丑闻引发诸多不满,但董事长马克·扎克伯格表示,他不打算辞去Facebook董事长一职。并且,他还表示将会对当下所发生的一切事情负责。
12月5日,英国下议院数字、文化、传媒和体育(DCMS)委员会曝光了一批此前强征的Facebook内部电邮。它们显示,在限制第三方开发者获取用户好友数据后,Facebook还给予Netflix、Lyft等广告客户开了获得所有数据的白名单;扎克伯格曾考虑向第三方开发者开放一些数据权限,为此收取费用;对于可能威胁自身业务的同行Twitter旗下服务,Facebook采取打压措施。信息泄露的事实越来越明确,证据确凿,Facebook是不是非死不可了?
2.被低估的Facebook?随着其市值的不断缩水,Facebook在产品功能、商业模式上的不足、创始人的专横独断的管理模式成为了人们质疑的对象。
2017年,Facebook的全年营收为406.53亿美元,其中广告收入为399.42亿美元,占比高达98.25%。纵观其收入比例不难发现,Facebook这么多年来,一直是用广告收入这一条腿在走路。2017年,全世界有71%的年轻用户在用Facebook,但是现在只剩下不到50%。Facebook会成为下一个雅虎么?人们似乎看到了这个昔日巨人的没落。
还有数据显示,Facebook第三季度总营收为137.27亿美元,较上年同期的103.28亿美元增长33%;净利润为51.37亿美元,较上年同期的47.07亿美元增长9%。
在2018年9月份,Facebook的每日活跃用户人数平均值为14.9亿人,与去年同期相比增长9%。截至2018年9月30日,Facebook的月度活跃用户人数为22.7亿人,与去年同期相比增长10%。Facebook是不是被低估了呢?
从2004年2月创立到2007年,Facebook推出高中版,扩展到印度、德国与以色列,开放了添加好友、下载歌曲、记事本功能、打造了Facebook市场”,推出应用编程接口(API)。Facebook在这期间主要聚焦于用户增长、功能开发、融资。Facebook从社群网站到多边平台企业 。
2007年7月到2011年4月的近四年时间里,Facebook开展了大规模的收购行动,具体包括照片分享网站Divvyshot、社交网站Hot Potato等规模不等的13家公司。2010年2月,Facebook超过雅虎成为全球第三大网站,排在第二和第一的分别是微软和谷歌。2012年5月在纳斯达克上市。Facebook的成长,展现了社交企业的强大实力和发展前景。
2014年10月,Facebook公司正式完成对WhatsApp的收购,标志着Facebook商业生态系统演化的成熟阶段,以WhatsApp、Messenger和Instagram为主力的Facebook社交布局的正式形成,前两者属于移动通讯类,后者属于图片社交类应用,这四款应用分别针对当下社交的四大主流领域,涵盖了熟人社交、陌生人社交、日常通讯等不同的社交场景。四大骨干企业的用户占据其商业生态系统中的绝对份额,支撑一个庞大的商业系统,构成一种内部竞合关系。而这些寡头除了起着提供用户的作用外,还能起着保护系统结构、多样性和抗干扰的作用。
2014年7月,Facebook收购Oculus VR,意图进入游戏领域, 形成以媒体为主力,以游戏和制造为侧翼的新战局。尽管Facebook本身平台热潮不在,但每个新平台皆可以是未来获利引擎,藉此分散风险,形成商业生态圈。
Facebook作为没有内容成本(UGC)的媒体,拥有85%的毛利,比较充分的实现了盈利。拥有超过20亿的月用户,超过14亿的日用户,以及超过400亿美元的现金。Facebook的自由现金流是巨大的,它已经用它回购股票和投资公司。对比之下,Instagram实现了部分货币化,而whatsApp,Messenger还是待开发的宝藏。
对比美国,中国的商业竞争环境要激烈得多,所以过去几年我们看到BAT(百度,阿里巴巴,腾讯)三家公司都分别把对方的主业尝试了一遍。而美国大公司由于语言和文化的优势,可以扩张到国际市场,所以与其跨界进军别人的领地,不如把主业推广到国际市场来得容易。Facebook过去几年花在全球用户数增长上的精力要比放在业务多元化上的精力多。
同时对比腾讯的多元化战略,Facebook只有广告一条腿在走路,尽管游戏的尝试目前不是很成功,四个平台在巨大的流量前盈利能力还是充满想象力的。不过残酷的现实是,对比腾讯,Facebook尽管在尝试其他业务,主业变化不大,始终都是广告业务贡献95%以上的营收,估值水平整体上越来越低,也给解决蒙上了一层纱。
3.大数据时代的商业自律个人信息被视为当代经济中的新石油”,在数据开发商业价值的驱动下,信息的挖掘、使用与交易已形成非法商业链条,个人信息的售卖与购买变得非常容易,这些风险对个人信息的保护都构成了严峻挑战。
我们的搜索历史、位置信息、网页浏览习惯、阅读习惯、休闲爱好、信用信息等,被采集与使用的程度都远远超过我们的想象。互联网公司以前所未有的方式储存、分析用户的个人数据,而它们采集、分析数据的能力也与日俱增。
信息技术的迅猛发展早已把法律远远地抛在了身后。大数据时代的商业自律模式缺乏保护个人信息的动因,个人信息保护现状不仅存在制度性缺陷又缺乏道德伦理的指引,再加上公权力机构对个人信息保护的轻视(基于社会管理与政治治理的需要也在采集、分析大量的个人信息并强迫公司、企业保存相关信息以便执法机构查阅),这一切都使得个人信息不仅处于透明状态,而且缺乏有效保护。
面对此次泄露,Facebook究竟错在哪里呢?是如何帮助剑桥分析公司导致了5000万的用户信息泄露呢?
(1)不该允许第三方获得大量个人数据。2007年Facebook针对第三开发者推出API接口,API使第三方软件开发者可以开发在Facebook网站运行的应用程序,使Facebook成为开放的平台。甚至有人说,Facebook能够在全球尽情收割流量,最根本的原因恰好不是产品功能上的完善,而是战略上的开放性。引入大量第三方APP,平台的监管责任就加重了。但Facebook的监管并不严格,对剑桥分析公司只进行了简单的询问,而没有进行切实的调查或者合同约束。
(2)不该允许个人代替其好友决定向第三方开放个人信息。剑桥分析公司开发的APP叫做这就是你的数字人生”,通过抓取被测试人在Facebook上的活动踪迹以及与好友之间的互动信息来刻画其性格。用户不仅需要向软件开放个人的网络踪迹,还要允许软件抓取其网络好友的个人信息。虽然只有27万用户与剑桥分析公司签约,平均拥有大约160个好友,从而导致了5000万用户的个人信息泄露。
(3)开放接口API对用户个人信息保护不足。事实上Facebook已经意识到这个错误,于2014年对平台进行了重新设计。要求第三方如果要收集个人敏感信息、必须首先获得平台的同意。对已经获得的数据,除非它取得平台的同意,否则不得再次共享。
(4)对大量个人数据的输出监管不力。对获取平台数据监管不力,对第三方是否删除了数据没有进行跟踪调查。2015年Facebook从《卫报》记者那里得知科根教授向剑桥分析”分享了他从平台上获得的大量数据,于是立刻封杀了该app在平台上的应用,并要求科根和剑桥分析”删除全部数据。在得到后者删除数据的证明材料之后就没有再追踪调查,然而几年之后发现他们并没有履行诺言。这三年中5000万个人数据一直在被利用。
4.中国不是隔岸观火尽管Facebook、谷歌不是我们常用的应用,但数据泄漏和滥用导致的用户隐私受侵害,中国绝对没有置身事外。纷繁复杂、花样百出的骚扰、诈骗电话已经不新鲜了。2016年发生的魏则西事件”、大数据用户画像下的杀熟”定价,还有过度个性化”的司机乘客匹配而导致的悲剧事件,隐私侵犯带来的后果已经不是简单的麻烦”,而是痛心的生命财产安全的侵犯。
对此,《人民日报》也刊文呼吁企业呵护隐私,用责任兑付信任。《人民日报》刊文称,保护个人隐私需要用户提高警惕、强化自我保护,但更重要的是加强政府监管和企业自律。对网络平台和企业来说,获取和收集用户信息固然重要,善待和保护用户信息更重要。一边是信任,一边是责任,这是一组完整的对等关系,呵护用户隐私,需要用责任来兑付信任。
在双边市场模式下,网络媒体平台同时面对两组交易者,在分析其盈利模式时就会对应产生两种思维模式:利润源是用户还是广告主,利润点是平台本身还是为广告主开发的营销工具,利润杠杆是吸引用户使用平台还是向广告主推广平台,利润屏障是用户的黏性还是与广告主的利益捆绑。
显而易见的是,引发上述问题的都与后一种思维模式相关。平台企业必须转变其盈利模式的思维方式,充分考虑用户侧的利益,认识到用户才是最终利润来源,将吸引用户的平台服务本身作为利润点,以用户黏性为利润屏障,构建一种用户友好型”的盈利模式,才能最大限度地规避冲突,保证平台的长治久安”。
Facebook、谷歌,由于隐私保护问题已经多次受到欧盟各国隐私执法机构的处罚。今后,处罚力度只会更大,受到波及的企业范围也会更大。我国互联网企业当引以为戒,一旦出现大规模的隐私泄露事件,必然导致严重的公关危机。
腾讯、阿里巴巴等网络巨头已经开始进军国际市场,而欧盟、美国等发达国家在隐私保护方面已经建立了比较先进的法律制度和行业自律机制,对隐私泄露的容忍程度很低,我国互联网企业要想在国际市场站稳脚跟,必须提高平台的隐私保护水平。积极与国际接轨,学习东道国的隐私保护法律,通过相关的行业隐私保护水平认证。设立首席隐私官以及隐私专员岗位,提高对隐私保护问题的重视。
