从Facebook VPN诉讼案 反思免费翻墙软件的隐患

    Facebook VPN诉讼案大致如下:Facebook被澳大利亚竞争与消费者委员会(ACCC)起诉,指控该公司在2016年和2017年使用Facebook旗下的Onavo VPN监视用户的隐私并将其用于商业目的。

    2013年Facebook以1.2亿美元的价格收购了,然后Facebook以Onavo VPN的名义发布了一个名为Onavo Project的应用程序,这是一款免费的。该应用程序声称可以保护用户的设备隐私数据,如:在线填写银行卡账号密码、浏览器访问内容等。

    《华尔街日报》曾报道Facebook通过Onavo Project应用程序收集用户设备的数据,并通过分析影响了。

    Onavo Protect因违反Apple公司的用户隐私政策,在2018年从Apple App Store中下架,之后在Google Play商店中也被下架。最后在2019年5月6日Facebook停止了这款产品,并要求用户从设备中将其删除。

Onavo Protect将不再可用

    下面我们来看下关于澳大利亚竞争消费者委员会(ACCC)提起这项诉讼,看看Facebook 的Onavo Protect VPN到底在用户的设备中窃取了哪些用户隐私数据。以下这份是该诉讼案件联邦法院文件,内容为英语PDF格式:,另外一篇是发布在澳大利亚消费者委员会(ACCC)官方网站上的关于该诉讼案件的报道:。大家如果感兴趣可以自行阅读。

    我将上文PFD中的关于Facebook Onavo Protect VPN这款应用程序获取用户哪些隐私数据的提取出来,共大家参考。我翻译的可能不准确,所以附上原文。

  1. 获取安装移动设备中用户所有的活动样本;
    原文:acquire “a sample of users who we are able to know nearly everything they are  doing on their mobile device”
  2. 将每个用户的数据进行表格化归档管理;
    原文:compile data usage tables on a user by user basis
  3. 用户访问过的每一款应用 (记录用户使用过设备中的哪些应用程序);
    原文:every app the user has accessed
  4. 用户每天在该应用中花费的时间 (这里的“该应用”指设备中所有应用程序中的任意一款);
    原文:the number of seconds the user spent in the app per day
  5. 用户在某一特定应用中所花费的时间占其总移动使用时间的百分比;
    原文:the percent of time the user spent in a specific app out of their total mobile  usage time
  6. 用户在每个应用中采取的行动;
    原文:the actions taken by the user in each app; and
  7. Onavo Protect用户使用的每个应用程序的元数据;
    原文:the metadata for each app used by the Onavo Protect user
  8. 收集特定的个人活动数据,包括设备用户的国家或地区位置、年龄和性别,包括 (如适用的话);
    原文:collect specific personal activity data, including the country or region location,  age and gender of the user of the device, including where applicable
  9. 将从Onavo Protect获得的个人识别数据与同一用户的Facebook ID相匹配;原文:combining personally identifying data obtained from Onavo Protect with the same user’s Facebook ID
  10. 为了统计和分析目的支持广告和相关活动等目的,接收和收集来自cookiesPixels等的信息;
    原文:receive and collect information from cookies, pixels, etc for the purpose of, inter  alia, “statistical and analytical purposes” and “supporting advertising and related  activities”

    以上10条是澳大利亚竞争消费者委员会(ACCC)诉讼中提到的,我相信这些都是存在的。Facebook可以通过以上这些数据对其进行“市场策略”、 “产品策略”、“合作伙伴关系”,也可以通过这些数据分析发现竞争对手,及早做出部署,甚至通过这些它们与大数据结合来发现未来的有价值的公司,当时的Whatsapp的收购案就是在这样的背景下发生的。

    以上Facebook公司通过这款免费的Onavo Protect VPN应用软件收集到的数据只是使用在他们公司内部的商业应用中,它对用户的隐私确实造成了很大的伤害,他们公司也确实从中获得了很多的重大商业利益。这些行为并不会危机到用户的人身安全。而且Facebook是一家运营在受到严格的法律规定的区域范围内的。

    反观我们中国大陆用户使用的免费翻墙软件、机场等,我在“”一文中虽然列出了一些,但这些列举出来的绝对只能算是冰山一角。有太多太多这样的软件在被中国大陆用户所使用。

    另外大家可以阅读以下“”此文,连奇虎360公司及周鸿祎这样都在觊觎这款大蛋糕,“北京奇飞翔艺商务咨询有限公司”这家公司的背后是哪些公司入股的呢?看看下面这个列表吧!

  • 天津奇信志成科技有限公司:51.78%
  • 周鸿祎:12.9%
  • 天津欣新盛股权投资合伙企业(有限合伙):4.36%
  • 天津众信股权投资合伙企业(有限合伙):3%
  • 北京红杉懿远股权投资中心(有限合伙):2.92%
  • 天津信心奇缘股权投资合伙企业(有限合伙):2.72%
  • 齐向东:1.9%
  • 浙江海宁国安睿威投资合伙企业(有限合伙):1.74%
  • 天津聚信股权投资合伙企业(有限合伙):1.66%
  • 深圳市平安置业投资有限公司:1.39%
  • 天津天信股权投资合伙企业(有限合伙):1.35%
  • 南京瑞联一号投资中心(有限合伙):1.09%
  • 金砖丝路(银川)股权投资合伙企业(有限合伙):1.09%
  • 宁波博睿维森股权投资合伙企业(有限合伙):0.87%
  • 汇臻资本管理(深圳)合伙企业(有限合伙):0.87%
  • 深圳华晟领优股权投资合伙企业(有限合伙):0.78%
  • 阳光人寿保险股份有限公司:0.74%
  • 北京融嘉汇能投资管理中心(有限合伙):0.65%
  • 瑞金市华融瑞泽一号投资中心(有限合伙):0.57%
  • 烟台民和昊虎投资中心(有限合伙):0.57%
  • 珠江人寿保险股份有限公司:0.44%
  • 招商财富资产管理有限公司:0.44%
  • 横店集团控股有限公司:0.44%
  • 金砖丝路(深圳)股权投资合伙企业(有限合伙):0.44%
  • 芒果文创(上海)股权投资基金合伙企业(有限合伙):0.44%
  • 上海赛领博达科电投资管理中心(有限合伙):0.44%
  • 苏州太平国发通融贰号投资企业(有限合伙):0.44%
  • 宁波执一奇元股权投资中心(有限合伙):0.44%
  • 杭州以盈投资管理合伙企业(有限合伙):0.44%
  • 宁波建虎启融股权投资合伙企业(有限合伙):0.44%
  • 上海绿廪创舸投资合伙企业(有限合伙):0.44%
  • 宁波挚信一期股权投资合伙企业(有限合伙):0.39%
  • 锐普文华(天津)投资中心(有限合伙):0.35%
  • 上海永挣投资管理有限公司:0.35%
  • 北京凯金阿尔法资产管理中心(有限合伙):0.22%
  • 中金佳立(天津)投资中心(有限合伙):0.22%
  • 苏州工业园区元禾重元并购股权投资基金合伙企业(有限合伙):0.22%
  • 嘉兴云启网加创业投资合伙企业(有限合伙):0.2%
  • 嘉兴英飞投资中心(有限合伙):0.2%
  • 千采壹号(象山)股权投资合伙企业(有限合伙):0.13%
  • 金华市普华百川创业投资合伙企业(有限合伙):0.22%
  • 朗泰传富投资(深圳)合伙企业(有限合伙):0.22%

    在中国使用一些有隐私风险的工具,暴露的不止是个人隐私怎么简单。“钓鱼VPN”这个词大家可能已经听过很多次了,但要真正的理解它深层次的含义的人真的很少。从Onavo Protect V这款应用程序被起诉的事件中我们可以看到,这样一款应用程序不仅仅能够监控你的流量,甚至能够监控你设备中安装的应用程序的种类,使用时间等等。

    之前有一些用户问我,有些免费的VPN或机场它不需要登录账号或者不需要手机或邮箱进行注册,这样就不会泄漏个人的真实身份。通过上面的第九条的内容,我们看出,其它对于应用程序,确定一个人的真实身份真的非常简单,根本不需要你输入任何真实信息。

    我举个例子:当你下载一款翻墙软件,下载之后不需要登录任何账号,只要点击打开该软件,然后点击连接按钮就可以实现翻墙。那么我们想一下,当你下载这款应用程序然后打开它,它是不是就联网了,这个时候它可以读取到你的真实IP地址吧,假设一下读取到的IP地址显示的江苏常州。然后该翻墙工具通过设备权限读取你设备中的“硬件mac地址”、“通讯录”、“照片”等,这些信息都是非常容易被读取的。再极端一点,它指读取你的“硬件mac地址”,其它都没有被读取。作为任何一家大一点的网络公司,只要与“云大数据”接轨,“硬件mac地址”马上就可以和你的手机号或者“硬件mac地址”和你宽带账号匹配。要知道手机号和宽带账号通常都是实名制的,再加上之前读取到你的真实IP地址。这些简单的数据如果在阿里、腾讯、字节跳动等这样的公司手里,5秒钟内就能定位到你的真实身份。而这些公司的数据和相关部门的数据绝对是联通的。—要不要把你领出来只是看他们需不需要而已,哪天领导头脑一发热,“抽签”抽到的就是你。抽到罚点款或蹲几天倒也没大事,不过从此你就进入了一个“黑名单”监控区,你的所有行为都会被重点照顾。

    啰啰嗦嗦码了那么多字,没觉得烦吧?我只想提醒大家一句话:翻墙要小心!

觉得内容不错,通过Twitter转发给大家!

Related Posts