为什么我开始研究gg网的隐私安全问题?
老实说,我以前根本没把什么“隐私泄露”当回事。我觉得自己又不是什么大人物,谁稀罕偷我的数据?直到去年夏天,那件事彻底把我给震住了。
我的邻居老王,一个跟我差不多大,天天在gg网上抢购特价游戏装备的家伙。他那个人,用密码从来都是一套到底,从银行到邮箱,再到gg网,全是一个。有一天早上,他突然在小区群里狂发语音骂娘。我赶紧跑过去看。
原来,他另一个不常用的小网站——我就不说是哪个了,反正特别垃圾——被人黑了库。数据包在暗网上飞。重点不是那个小站,重点是老王多年以来在上面用的密码,跟gg网是同一个。虽然gg网自己没事,但黑客拿到这套“邮箱+密码”组合,直接就去撞库。
结果就是,老王的gg网账号被登录了。他辛辛苦苦存了七八年的游戏道具,还有几张充值卡,被人连夜洗劫一空。报警?警察说这是虚拟财产纠纷,让你自己去跟平台沟通。平台?平台让你提供各种证明,折腾了大半个月,屁都没捞着。老王差点气得住院。
我当时就懵了。我跟老王一样,很多网站的密码都差不多。我平时用gg网,也是习惯了方便。我赶紧回家,全身冷汗都下来了。
我如何着手实践和记录gg网的安全性?
老王这件事给我敲响的警钟,不是让我指责gg网,而是让我开始反思自己作为用户的安全意识有多烂。我立马动手,决定自己去摸一遍gg网的底。
我的实践记录,是从最笨的方法开始的:
- 第一步:全面排查密码和绑定。我找出来我所有跟gg网绑定的第三方账号,包括QQ、微信、支付宝。我把这些所有账号的密码,全部换成随机生成的长串,用本子抄下来。
- 第二步:研读用户协议。我以前从来没打开过gg网那个几万字的用户协议。这回我硬着头皮,花了两个晚上,逐字逐句地把他们关于数据采集、存储、共享那几段啃完了。我用红笔圈出了所有提到“第三方合作”和“法律要求”的地方。
啃完协议,我的心凉了一半。协议里写得模棱两可,但有一条很清楚:只要他们觉得有必要,或者法律要求,你的数据(包括登录记录、购买行为、IP地址)是随时可能被调取和共享的。
我决定深入测试数据泄露的风险
光看协议不够。我要实际去试试,gg网对我的数据到底保护得怎么样。
我采取了“隔离测试”法:
我新注册了一个全新的邮箱账号,这个邮箱只用于登录gg网。我编造了一个假名字、一个假身份,用一个全新的手机号码去完成注册。我特意确保,这个新账号使用的所有信息,都没有任何一个字与我真实的生活信息在互联网上有重叠。
然后,我持续观察了半年。
我的主要观察点是:
- 垃圾邮件和骚扰电话:如果gg网内部有员工或者第三方合作方偷偷把数据卖出去,我这个新注册的、唯一的邮箱和手机号肯定会收到垃圾信息。
- 推荐系统精度:我只在这个新账号上浏览和收藏了很少见、很冷门的商品类型。我等着看,如果我的真实账号(有大量历史购买记录)的数据,和这个新账号的数据在后台被打通,那么新账号的推荐列表就会突然变得很精准。
- 安全通知频率:我故意试着在不同国家的加速器节点上,使用这个新账号去反复登录登出,看它触发安全警告的速度和频率。
半年过去了,结果让我稍稍松了一口气。
我那个独特的邮箱和手机号,没有收到任何来自外部的垃圾邮件或推销电话。这说明至少gg网的核心用户数据库,目前来看没有被大批量地打包出售或者泄露给那些卖电话号码的团伙。
更重要的是,两个账号的推荐列表始终保持着完全的割裂。新账号继续推荐着那些冷门商品,而我的老账号依然在推送我常买的东西。这证实了gg网的账号隔离机制做得还算扎实,没有出现那种“你用同一个设备登录过”就被自动关联的现象。
老用户gg网到底安不安全?
在我亲手折腾了这半年之后,我得出的结论是:
gg网平台本身的技术安全性,是过关的。
他们不是小作坊,该做的防护墙和隔离做得都挺到位。账号被洗劫,九成九的锅,都是用户自己背的。
但我们必须认清一个现实:
你的数据在gg网内部是安全的,但不代表它不会被“合法”使用。
用户协议写得清清楚楚,你的行为数据,比如你晚上几点在线、你买了什么、你花了多少钱,这些东西gg网是握得死死的,而且随时可能用于内部商业分析或在法律要求下交出去。他们知道你比你自己更清楚你想要什么。
如果你问我gg网会不会“泄露隐私”?我的回答是:只要你不犯老王那种蠢错误,用唯一密码,他们不会“非法”泄露。但你的所有行为,都被记录得明明白白,这是你使用任何大型互联网平台,都必须接受的真相。
用我的话总结就是:管好自己的手,别指望别人替你捂紧钱包。
