未分類
2021 年 2 月 4 日

大数据时代保护隐私的另一方向:往大数据里投毒

大数据时代保护隐私的另一方向:往大数据里投毒

資深大佬 : billytv 5

大家都说在大数据下隐私都暴露无遗,各种 app 的广告精准投递,与其小心地防着,也许能换个方式向大数据里投毒?如爬虫一样,防守一方往数据里投假数据,混淆虚实,爬虫一方不小心就把假数据当成真,得到无效数据。

简单实现方式:
在已登录淘宝 /京东账号,搜索与自己兴趣毫无关联的产品,如玉石、茶叶等, 模拟长时间浏览 /加购物车 /咨询小二等操作。

经过一轮操作,推荐页面已变得与个人兴趣不太相关,简单实现投毒。

进一步投毒:
所有厂商用于识别个人画像的东西,如手机型号,使用时间(半夜打开)、IP 与地理 (使用代理)、输入法、音频 (如真有偷听) 都可以进行投毒, 另一方面可以多人公用账号来混淆对个人精准识别 (但可能会有安全风险, 而且据说不少 app 能根据用户手指滑动习惯精准识别用户)

自动化:
利用 xposed/圈 x 等工具自动化操作,定时往 APP/sdk/各大广告联盟输送无效数据

如果这个方式有效且落实得好,即使账号已经实名制,但各大厂拿到的个人画像已经变成模糊不清,营销变得毫无意义

大佬有話說 (47)

  • 資深大佬 : kaiki

    用魔法打败魔法还是挺难的,毕竟道高一尺魔高一丈。
    我在淘宝上搜索一个我之前从来没搜过的商品,直接让我滑验证码。
    如果大数据足够强大,通过对用户进行画像,剔除无关数据,那灌垃圾行为就可以被发现,退一步来说,现在已经画得差不多了,灌垃圾也不过是多加几笔罢了,影响不了大数据对你的真实信息的判断,除非你的在所有平台的数据无关联或无规律可循。

  • 資深大佬 : arcadia

    这个如果能实现,可能要系统化的帮你做一个假身份,模拟人每天都在产生大量的假行为。但是真做出来了,你使用各种 APP 的体验也都会差很多

  • 資深大佬 : czfy

    主要是,太麻烦了..或者说门槛相对高,无法普及,无法大规模反制
    当然关心隐私的个人这么做是可以的,多一个人是一个人

  • 資深大佬 : kaiki

    @arcadia 其实没那么复杂,假身份太假更容易被拆穿,最主要的还是不同的 APP 身份隔离,让背后的数据收集无法归类为一个身份。

  • 資深大佬 : billytv

    @kaiki 用户画像会随着时间而改变, 比如一个单身的人恋爱了, 他需要的东西跟之前完全不一样, 兴趣 /爱好这些也会慢慢产生变化, 至于判断垃圾数据的机制, 就跟爬虫与反爬一样, 是技术的较量, 没有说哪一方一定会赢, 试了才会知道

  • 資深大佬 : kaiki

    @billytv 变化一般是循序渐进的,就像我遇到的例子,突然搜索从来没搜过的东西他会让我验证,很明显就是发现了异常,同理灌垃圾这种行为也是会被检测到的,它可以先画,但是是否标记为有效数据,得再继续深入了。
    你这个想法在 V 站不是第一次出现,我认为单纯的无效数据很容易过滤,如果能创建有依据、连续的数据,更容易产生干扰效果。

  • 資深大佬 : jiezhi

    以前也想过试图扰乱对手,只要我跑得步伐够乱,敌人就看不清我的方向。

    但最后应该是数据挖掘技术更强了。

  • 資深大佬 : xiangyuecn

    深挖洞 广积粮 扔掉手机 剪断网线

  • 資深大佬 : imn1

    前几天好像已经有一帖讨论过了

    很难,难点在于难以坚持
    信息鲜活度是个很重要的参数,技术上就是权重,近期的信息权重肯定更大,除非一直保持信息投毒这种操作,否则过一段时间,这个有毒信息鲜活度降低(权重减少),那么你的日常操作又重新占了主要的权重,没用

    #1 说的是另一方面,现在很多“追踪隐私”的操作,已经和账户联系相当紧密了,变成了风控的一个部分,如果进行大量自我数据污染,搞不好就是封号
    你可以试试切换多个 IP 访问 v2ex,先说一句,出问题我不担责,

  • 資深大佬 : liulaomo

    可以利用浏览器插件来实现

  • 資深大佬 : DAMNYOU

    真简单的方法就是用假身份证,反正画像再真实 你用的都是壳,随时可以抛弃。

  • 資深大佬 : jasonyang9

    必须有自动化工具,居家旅行必备。让它 Y 的去分析

  • 資深大佬 : love

    典型的损人不利己,费了半天劲一顿操作对自己啥好处也得不到

  • 資深大佬 : dswyzx

    画像不一定就必须每人一个画像,太过离谱的,比如年入千把天天浏览奢侈品的直接当垃圾数据过滤,然后取多数人的相似结果给你推怎么办

  • 資深大佬 : Varobjs

    最简单就是不要实名,但你觉得现在不实名可能吗

  • 資深大佬 : wangkun025

    支持你。

  • 資深大佬 : hahastudio

    /t/531819

  • 資深大佬 : wolfie

    本地数据文件、好友关系 算是大多数人更关注的隐私数据。
    广告还是那么些个广告,个人反而更希望推的质量高一些。

  • 資深大佬 : remarrexxar

    《掟上今日子的备忘录》里的一个故事,一个内向自闭的女中学生喜欢阅读却不想暴露自己的爱好,所以在旧书店买书的时候会故意混杂大量无关的书一起买。但是对于专业的书店店长来说时间一长依旧能分析出她喜欢什么书,店员后来依旧准确的推荐出了女孩喜欢类型的书。对于大数据分析也是一样的道理。

  • 資深大佬 : recall704

    之前就干过,QQ 空间照片经常有提问

    “这是 xxx 吗?”

    我都点不是,大数据时代保护隐私的另一方向:往大数据里投毒

  • 資深大佬 : HatMatrix

    何必呢,反正数据都会被收集,为啥要给自己找麻烦且让自己的推荐列表看着恶心。

  • 資深大佬 : winnerczwx

    用如此繁琐的操作, 对抗的是各家大厂背后的精英团队(手动狗头

  • 資深大佬 : AA5DE3F034ACCB9E

    哈哈,很赞同

  • 資深大佬 : littiefish

    其实最简单的就是多人共用一个账号

  • 資深大佬 : ReinerShir

    @Varobjs 理论上可以公安部提供统一实名接口,企业只能拿到类似微信一样的 openid,这样用户实名信息就不会泄露,但是实际上却很难实现。

  • 資深大佬 : ruixue

    如果不需要实名,根本用不着这么麻烦,佛系一些,随它怎么精准画像,过个三年五年换个设备换个号码换个账号从头再来即可,那些画像画的是过去的我,弃用账号后又影响不了现在的我未来的我。。

    比方说我现在用 Firefox 的账号就是如此,随它怎么收集浏览活动,定期换个邮箱新注册账号就行了

    只可惜现在国内服务动辄要求绑定身份证,用户隐私画像和个人身份便实现了永久强关联,就算换设备换号码,注销账号再注册新的也白搭,身份证号一输以前的黑历史通通重新关联回来,永远无法摆脱。。毕竟身份证是最强的精准定位自然人的手段,就算搬家改名整容,身份证号仍会伴随一生~

    之前美团收购了摩拜,新注册美团会直接调用摩拜的身份证数据,要求用户验证号码的实名信息。。所以不要觉得各个账号之间身份隔离就万事大吉了,今后各家数据互通的情况可能会越来越多,也越来越容易,反正拿身份证号做主键,各家都一样,都不需要转换的~

  • 資深大佬 : murmur

    投毒是很危险的,你操纵价格这些数据最多劝退一些客户,新闻类网站如果是敢返回违法内容直接自己没了,用户可能看不见代码扫描会看到啊,人家可不管你是能看见还是看不见的

  • 資深大佬 : KennyMcCormick

    此时此刻正在淘宝和京东搜客户的产品,这也算投毒吧?

  • 資深大佬 : mxT52CRuqR6o5

    没啥用,你付没付钱淘宝京东还不知道吗

  • 資深大佬 : sillydaddy

    @ruixue #26, >“如果不需要实名,根本用不着这么麻烦,佛系一些,随它怎么精准画像,过个三年五年换个设备换个号码换个账号从头再来即可,那些画像画的是过去的我,弃用账号后又影响不了现在的我未来的我”

    即使不实名,画像的话,也是能识别出不同的账号对应同一个人的。

    “用户的浏览历史是独一无二的,可作为指纹使用”,https://www.solidot.org/story?sid=65389
    “测一下你的浏览器有唯一的指纹吗”,https://amiunique.org/fp

    另外还有“ip 地址”,“浏览器 cookie”,“移动设备信息”,“移动设备内的文件”,“行文风格分析”。。。

    想要唯一对应一个人,太容易了。中本聪就是活生生的例子啊。

  • 資深大佬 : ruixue

    @sillydaddy 嗯,是这样的,现在用来画像的技术手段层出不穷,防不胜防。不过之前说过,如果换了设备换了号码,浏览历史、浏览器指纹、浏览器 cookie 、移动设备信息、移动设备内的文件也相当于推倒重来了,这方面倒是不必太担心。现在基本都是动态 ip,想只通过 ip 地址对应唯一的人也不容易。至于行文风格分析,以及类似的行为习惯分析,这个确实难解,不过这种分析都有一定的误判率,根据贝叶斯定理,除非把误判率降低到一个相当小的程度,否则想只凭这个就确保精准是不可能的~

    说来说去归根到底还是成本的问题,实名绑定身份证号了,平台根本不用付出什么成本就能轻易地关联和该身份 ID 绑定的所有隐私画像,用户想一定程度避免,就需要挖空心思搞各种奇技淫巧;而不实名的话,只要用户稍微做一些技术处理,平台想确定唯一的身份需要付出的成本会大幅提高。资本都是逐利的,如果为了精准画像付出的成本还不够精准画像带来的收益的话,对于普通人来说也没必要过分担心了,省下精力做自己喜欢的事不也挺好~

  • 資深大佬 : felixcode

    买东西前先花三个小时给各网站投一下毒?

  • 資深大佬 : Leonard

    这么干也太累了吧

  • 資深大佬 : ScepterZ

    感觉至少淘宝推送的东西还挺好的,我可能就是李彦宏说的那种愿意隐私换便利吧

  • 資深大佬 : liujialongstar

    投毒不会让 app 不推送信息, 只会让 app 推送些莫名奇妙的东西, 最终恶心的还是自己

  • 資深大佬 : helionzzz

    你要是一个朋友亲戚都没有平时不跟任何人联系 这事还有那么点实现的可能。你的信息一大半都是你的社交圈泄露的,请问你怎么防

  • 資深大佬 : taobibi

    扰乱的难度一方面在于你身边的人,你把信息保存的好好的,然后你的亲戚朋友同事老板把你的姓名电话都分享给了 app 。
    难点 2 是把你微信支付宝一封,直接 gg,然后呢,想要解封,身份证,银行卡,人脸全交出去了。目前封号微信的杀伤力远大于征信黑名单。

  • 資深大佬 : gmm

    减少使用有这类软件吧。

  • 資深大佬 : medivhs

    懂了,这就去搜女装

  • 資深大佬 : wolong

    我觉得没有用,我的淘宝号时不时会被女同事拿来下单购买一些母婴用品(有些商家搞活动,一个号只能下一单)。即使是我实打实的付款下单购买了这些商品(大概买了 4-5 次吧),淘宝也从来没有给我推荐过这些商品,就更别说靠只浏览不下单来污染人家的数据了。
    再说了,商家精准推送广告,对消费者来说未必是坏事,反正人家都要推广告的。能推到自己有兴趣的商品总比推一些莫名其妙的商品要好。

  • 資深大佬 : devfeng

    所以降低推荐匹配度的目的是啥,我一脸懵逼

  • 資深大佬 : systemcall

    没有多少意义的
    可以用 sfz 号之类的直接关联到你的实际信息。你总不可能往银行、gov dept 、工作单位那边的数据库里面投毒吧
    而且觉得你的行为可疑的情况下是会调高人机验证的频率的。对待黑产的招数,用来对待一个只有一套 profile 的普通人,再容易不过了
    大部分推荐系统本来也就是一些兔子洞,你尝试进入几个兔子洞,平台那边自然会怀疑

  • 資深大佬 : terencelau

    outlier 要多久才能被系统接受

  • 資深大佬 : GreatFinger

    我们说大数据下隐私暴露无遗,还轮不到你的行为兴趣画像吧,最怕的难道不是各种平台存有你的姓名身份证邮箱手机地址通讯录,购物订单列表,帐号密码等,在不知道哪些环节泄露了,然后暴露无遗嘛,这点画像,就让他画呗。与其投毒,不如多用搜索,少看个性化推荐信息流。

  • 資深大佬 : yujiang

    不如找个代购买东西然后现金 /转账来得实在,大数据的一切都基于互联网,离开网络大数据就不管用了

  • 資深大佬 : no1xsyzy

    想来我的操作一直就是在投毒
    脑洞太大,总是搜索些奇奇怪怪的东西,并且脑洞大到搜索不出来

  • 資深大佬 : pcatzj

    首先,如果你的这个投毒做不到全民应用,那么营销就一直会有意义;
    其次,即使你的人物画像模糊,厂商也不会放过你,只是推送的广告或产品不再是你感兴趣的,于厂商无碍,于你反而看到的都是自己不感兴趣的信息;
    再次,屠龙者终将成为恶龙,即使你有一天做到了全民,在与厂商你来我往的技术对决中,解决方案商(假如就是你)也一定会主动收集用户使用和生活习惯的大数据来做厂商的反识毒。
    (见解未必深刻,只做一刻消遣)