近來,拼多多辭退匿名發帖員工的新聞受到輿論關註。今年1月7日,花名為“太虛”的拼多多前技術開發工程師王某在壹職場社交平臺匿名發貼,內容顯示為“第二位拼多多猛士倒下了”,並配有壹張辦公樓外停放救護車的圖片,定位則顯示為拼多多辦公點。該事件進壹步升級,王某於1月10日更新壹條名為《因為看到同事被擡上救護車我被拼多多開除了》的視頻,表示自己匿名發表帖子後,拼多多卻在短時間內找到自己,並將自己辭退。
對王某被解雇的原因,拼多多公開回應稱,王某被解雇並非因匿名發帖,而是公司通過脈脈外顯ID(JgD+STsWV2E),查詢到“太虛”過去的發言內容充斥著“不良極端言論”,包括“想要xx死”“把xx的骨灰揚了”等內容。
對此,中國互聯網協會網絡安全工作委員會常務委員、深圳市網絡與信息安全行業協會副會長謝朝霞告訴紅星新聞記者,通常情況下,平臺無法通過壹個外顯的ID,就能獲取匿名用戶的真實信息。如果該員工在拼多多公司辦公環境內發帖,那麽拼多多公司有權在對公司網絡資產的監控和審計中排查到壹些相關信息,並指向員工,這個情況則合理合法。
網傳“太虛”數據庫信息被泄露的截圖利用爬蟲軟件鎖定匿名用戶?
專家:有多種方法可以查出ID背後的真實身份
在“拼多多辭退匿名發帖員工事件”中,拼多多回應稱是通過多人檢索對比,最終鎖定王某是發帖人。1月10日,社交平臺脈脈發布官方回應,稱不以任何形式向第三方提供職言區發帖用戶信息。對於網絡流出的關於王某數據庫查詢圖,網上有傳言是拼多多借助外顯ID號通過爬蟲軟件鎖定匿名用戶本人。
那麽,外顯ID鎖定用戶本人這壹手段背後的技術路徑,是否可能實現呢?
對此,中國互聯網協會網絡安全工作委員會常務委員、深圳市網絡與信息安全行業協會副會長謝朝霞接受紅星新聞記者采訪時表示,通常情況下,平臺無法通過壹個外顯的ID就能獲取匿名用戶的真實身份信息。
謝朝霞表示,拼多多有不少方法可查到ID背後的人是誰。根據拼多多的回應,其並沒有采取非法手段進行搜索數據,而是根據內部同事反饋,“高度懷疑”是王某,後經王某本人承認,方獲知了匿名背後的真實信息。
“拼多多的確不需要通過關系或技術手段獲取發帖人的真實信息。”成都無糖信息技術有限公司CEO、四川大學特聘網絡安全專家張瑞冬分析稱,因發帖人本身為公司內部員工,且通過發布照片的拍攝角度再結合公司監控攝像頭,便能鎖定發帖人。
此外,張瑞冬解釋,根據王某使用設備本身的網絡特征,若發帖人當時使用了公司的網絡,那麽即使通信過程中有加密,但仍然可以輕易通過技術手段鎖定發帖人。
“換言之,只要拼多多的網絡管理員把網絡裏連接脈脈服務器的設備統計出來,再使用這些設備特征去匹配自己的網絡服務,那麽就會很容易找到發帖人。”張瑞冬解釋。
拼多多發布的情況說明
匿名發帖真的能讓本人“隱身”?
專家:平臺只能提供有限匿名
根據脈脈1月10日的公開回應稱,在用戶信息管理上,在其嚴格遵循國家相關法律法規的前提下,不以任何形式向任何第三方提供職言區發帖用戶信息,且對於個人信息進行極為嚴密和完備的安全保障。
脈脈在通告中指出,為保障發帖安全,“職言”通過非對稱加密技術對用戶的發布身份進行了嚴格的加密處理,即使是脈脈內部工作人員,也無法獲取任何個人相關信息。
對於脈脈通告的內容,張瑞冬認為:“脈脈從公司形象考慮,沒必要在此事上刻意隱瞞。”張瑞冬解釋稱,匿名性是該平臺的立身之本,如果這壹環節無法保障,那麽就會失去過多客戶。張瑞冬指出,脈脈不會隨意放開對其他公司(非執法機構)的查詢通道。
謝朝霞表示,業主(脈脈)其實並不能確定信息是否泄露。該平臺唯壹能確定的,是聲明自己尚未發現信息泄露事件。
“任何強度,任何方式的加密,即使不能被破解,也只能保護已加密數據不可讀取。而由於監管或審計的要求,數據終歸需要在某個過程,通過某個接口明文呈現出來,這個道理說到底,就是沒有絕對安全。”謝朝霞也認為,脈脈的通報內容基本可信。
事實上,用戶隱私保護壹直是網絡安全難題。”謝朝霞認為,現如今,沒有壹家平臺能真正確保用戶的隱私100%不被泄露。同時謝朝霞也提醒,用戶選擇在互聯網上發布信息,就在壹定程度上選擇了身份的透明和公開。而所謂匿名,只不過是平臺提供的有限匿名,這樣的安全感有壹定的自我欺騙性。
脈脈官方微博發布的聲明
拼多多“尋人”是否合法?
專家:取決於是否存在非法獲取數據行為
對於拼多多鎖定匿名發帖的“太虛”系公司員工王某的行為,網上有聲音質疑,這壹方式是否存在侵犯個人信息的嫌疑。對此,專註於網絡安全及個人信息保護訴訟案件研究的寧人律師事務所律師馬軍表示,爬蟲行為壹般分兩種情況來看,壹部分是對網絡上公開的信息數據進行爬取,這屬於正常合理行為;但如果個人信息設置了保護措施,且繞過上述保護措施對信息進行爬取,就屬於刑事犯罪。
根據拼多多和脈脈目前的官方回應內容,系拼多多自行通過公司內部措施研判出了王某的真實身份,在此情況下,馬軍認為,如果事實是這樣,那麽拼多多的行為並沒有違法。
謝朝霞告訴紅星新聞記者,拼多多的行為,要看其獲得匿名身份的過程中,是否發生了數據非法獲取、計算機入侵和其他計算機網絡違法犯罪行為,且是否具有證據指向。謝朝霞表示,單就現在獲取匿名用戶真實身份壹事,不足以認定拼多多行為違法。
謝朝霞舉例說明,比如該員工是在拼多多公司辦公環境內發帖,那麽拼多多有權在對公司網絡資產的監控和審計中,排查到壹些相關信息,並指向員工,而這個情況則合理合法。