Pages

Monday, 21 June 2021

阿里巴巴应用程式介面泄漏用户私隐

 问:最近中国有一宗官司,揭发了有人居然可以透过阿里巴巴网站的应用程式介面(API),取得大量敏感个人资料,例如用户的姓名或电话,令相关淘宝网的用户缺乏私隐保障。其实中国的网站应用程式介面,为何居然可以无任何特定机制,去防止不法份子入侵,偷走个人资料?

李建军:其实只有中国的网站要留有后门供当局监控之用,就会出现应用程式介面变成个别人士的漏洞,因为中国的网站要留有空间供公安,以至其他政府部门取得资料,而要指定特别公安人员去取得资料是相当麻烦和昂贵,因此,就会出现这种几乎没有保安可言的应用程式介面,只不过是以往未有因滥用漏洞而被告上法院,所以只有少数人知道问题所在。但这次有人告上法院,再加上中国当局和阿里巴巴集团的关系出现变化,才令淘宝这个问题透过法院判决直接浮上水面。

另一个问题,当然就是中国不少程式编写人员的坏习惯太多,为了节省时间,甚至为了偷工减料,未有安排应用的保安机制去保障用户私隐,甚至为了自己的私人利益而故意留有后门,因此,这种应用程式介面漏洞的现象提供了温床,并不令人感到意外。特别现时大网站的程式开发人员,都被讥讽为「码农」,亦即与被剥削的小农一样。这些程式编写员待遇不佳的情况,导致不少人故意留后门供自己牟利之用,如用另一个渠道透过出售用户私隐赚钱,亦变得十分正常。

问:现时相信有相当多的阿里巴巴用户受这次事件影响,而在中国,亦很难避免使用阿里巴巴集团旗下阿里巴巴、淘宝、支付宝或其他的业务。那么,中国的用户有甚么方法减少自己在这次大规模持续资料泄漏事件的冲击?

李建军:除非阿里巴巴公司改变其应用程式介面技术,否则用户可以做十分之少,因为中国政府是主要的私隐侵犯者,中国当局为了监控人民,不尊重私隐,很难要求各大公司开发的网站或软件也尊重私隐,以加密或其他方式保护用户个人资料。

你现时唯一可以做,就是对一些不明来历电话小心提防,以及如无必要,不要使用中国网站的服务。如果你十分之有需要使用阿里巴巴旗下服务,请另外买一部电话专门绑定中国的网络服务。除了私隐安全,中国的程式经常有不知名后门,或者传送过量个人资料等问题,都令人难以安心,必须要用另一部手机去防止自己的私隐被人刺探而懵然不知。

问:拜登政府在本月发出的新行政命令,要求美国商务部检讨中国公司的应用程式,是否合符美国法律于私隐方面的要求,WeChat、TikTok等程式据报都在检讨名单中,美国商务部甚至有可能因新行政命令禁止使用WeChat或TikTok,如果阿里巴巴的应用程式介面有这么大的问题,甚至因此惹上官司,这会否意味著,中国会有大量应用程式在美国遭到禁用?

李建军:如果中国当局以及软件公司不改变其态度,我相信中国有相当多应用程式会受到总统拜登新行政命令的影响。很多人误以为拜登打算取消特朗普政府的措施,事实不然,拜登新行政命令不单有不少文字肯定特朗普原有的行政命令,而且在法理框架上,完善特朗普政府旧有的行政命令﹐新命令更能在法院经得起考验,亦保护到更多人,包括美国和中国人民的私隐。因此有人以为拜登总统会放生TikTok和WeChat,实在是一大误会。阿里巴巴旗下多个服务,随时会因私隐安全无法过关,被美国政府禁用。

 中国电商巨头淘宝网出现数据外泄,时间长达数月,被盗取的淘宝用户数据达近12亿条之多。

No comments:

Post a Comment