<span role="heading" aria-level="2">几乎所有互联网重要隐私都泄露了，想黑你还真的躲不掉

大家好，又见面了，我是你们的朋友全栈君。

春节在家就是打麻将，不亦乐乎，赢了一点零花钱，无聊后，看手机，浏览 Startup News，看到《真想注销删除我的 QQ 号》这篇文章。

作者因为看到了有人用泄露的 QQ 群（好多年前的）做出的关系图谱而深感震惊，然后一种不安全感油然而生，然后想注销 QQ 服务。

如果作者知道几乎所有的互联网重要隐私都泄露了，会做何感想？

从 CSDN 明文密码库到天涯明文密码库到酒店开房库到 Adobe 用户库到 QQ 群关系库泄露等等，各类曝光出来的泄露事件，终于让大众都开始担忧了。

这种担忧是好事，因为安全意识提高了。

不过这种担忧有时候太过了，我来告诉你们，你们的隐私在哪。

1. 黑客脱裤

在大众眼中的一些黑客手里，确实拥有大众意想不到的用户隐私库，我不方便说太多，只是你们听过的可能只是其中 1%不到。

有些黑客把一些服务商的用户数据库给拖了，业内术语为拖库，形象称为“脱裤”，那么这个用户数据库就是所谓的“裤子”了。

通过交易，一些裤子被黑客越积越多。

你们去http://http://wooyun.org上搜“拖库”或“脱裤”看看。

2. 服务商为刀俎，用户为鱼肉

你们还有一些隐私不是黑客搞出来的，而是被你们信任的服务商或内鬼偷偷交易出去的，比如支付宝最近那个泄密事件，就是内鬼所为。

其实我想说这类交易太多了，想想吧，你收到的一些骚扰电话，诈骗信息，为何有些会如此的精密，这些骗子们真是大数据玩家，他们分析摸底你的身份信息、喜好、亲友关系等，然后定向来诈骗你！这些骗子确实是高明的“心理学家”，不过他们不是算命师，如果事先没拿到你的各类隐私数据，诈骗的成功率会大大降低。

这些数据，黑客当然也可以拿到。

3. 服务商偷你的数据

偷或者“偷”吧。看下面我曾经爆料的一个例子：

<span role="heading" aria-level="2">几乎所有互联网重要隐私都泄露了，想黑你还真的躲不掉

这是猎豹手机浏览器的使用协议，猎豹明确说了会收集用户隐私，大家重点看 5,6,7 三点，尤其是 5，要收集用户收集安装过的程序信息（这是做竞争分析？！）。我这是 iPhone 啊，没越狱，如果是 Android，更惨，Android 千疮百孔，ROM 在收集你的隐私，上面的各种 APP 都在争先恐后地收集，唯恐落后一步就搞不定所谓的用户行为分析 / 商业分析……相比那些 APP 来说，猎豹手机浏览器还显得挺“正”。

叹，忧伤。

服务商们可以在他们的 APP、软件、网站服务、流量节点的各环节“偷”你的隐私，然后拿去分析。如果是纯机器分析，且保证不泄露，那么这个还是支持的，这会促进进化，可，如果有人的介入，甚至起了贪念，倒卖出去，那就可怕了。

大家想想是不是？对 99.99%的普通大众来说，根本没有能力去制止这些。不过我们都是有权利去发出我们的一些声音，用户的三权（隐私权、选择权、知情权）是需要各方努力去落地。

这些偷数据的服务商都是无良服务商！

好了，除了上面说的 3 种情况，还有的就不方便说了。不过这时结论很清晰了：用户隐私早沦陷了！

我可以负责任的告诉你们一点，那些公开泄露的裤子，如果黑客要基于这些裤子去黑某个人，还是很有把握的，这个成功概率非常高了已经，也许，你根本想不到你已经被黑了。曾经某人监控某个目标两年有余，目标还是那样毫无感知，这个目标算得上行业牛人了。

所以我经常说，这个互联网非常不安全，你没被黑很可能是你还没被黑的价值。

普通用户紧张兮兮的就有点过头了，如果十分没安全感的话，你应该杜绝使用互联网。

前段时间知乎上有人问我：

关于互联网安全，你有什么看法？

我回答说：

1. 安全与用户体验一定要达到一种平衡，否则极致的安全会破坏创新。
2. 不做亏心事不怕鬼叫门，但是隐私被盗还是很郁闷。因为没用绝对的安全，安全是多维的，多维，所以最终的底线是：不做亏心事。
3. 确实，互联网太不安全了，归根结底是人类这个群体太不安全了。

真有趣：）

我作为大众眼里的业内人士，心态如此，你们就不用太担心啦，真的，最终的底线是：不做亏心事。

如果真的要黑你，你还真的躲不掉。

———————————————

我摘录一些评论如下：

「受教了确实没有被黑价值不用担心」
「……我还没有被黑的价值」
「没啥事，没什么隐私好泄漏」
「我属于坚信自己没有被黑价值的那类(¯(∞)¯)」
「我也一直觉得我不会被黑因为我没有被黑的价值～～～不做亏心事那点说得太赞」
「太可怕了……但愿作为一直没有价值的存在吧～」
「有什么隐私啊，没有被黑只是没有被黑的价值。」
「没价值这点是真理啊」
「还好我一老百姓也没黑的必要嘛」

这些评论的共性是：确实都觉得自己没什么好被黑的，没什么隐私可以泄露的。

有黑客朋友建议我给出一些干货，这样对普通网民来说会更具备震撼力。其实没必要去证明什么，下面两个公开地址，大家自己玩去吧：

下面这个是 QQ 群关系库，输入你的 QQ 号可以查询出你所在的群关系及群里的每个 QQ 用户，据说是 8700 万条 QQ 群记录，搜下 10000 试试：

https://s3.amazonaws.com/qqqun/index.html

下面这个是查开房记录的，汉庭、如家、七天等，据说是 2000 万条记录：
http://www.zhaokaifang.com/

———————————————

回到刚刚说的那些评论上。

虽然我文章里说：“所以我经常说，这个互联网非常不安全，你没被黑很可能是你还没被黑的价值。”

但是，不代表我们可以忽视 / 冷漠隐私 / 被黑这个问题，我这里说“你还没被黑的价值”是基于我对“被黑”的理解。

我说下“被黑”的理解，有两种形式：

黑客针对你，对你进行针对性攻击；
黑客并非针对你，而是针对某类群体，而你正好在这个群体中，你是被殃及的；

我那句“你还没被黑的价值”是针对第一种形式的，即你还没达到黑客要针对你的程度。那么针对性攻击一般会有哪些对象呢？如下：

得罪黑客的人，无论是直接还是间接，反正得罪了，大家去百度搜个案例“月光博客被黑事件”，这里举这个例子，没想怎样，因为这个在当时是一件不热门也得热门的事件，所以在黑客圈关注度很高，把月光博客黑了一个遍的那个匿名黑客，我由衷欣赏；
利益之争，这个在黑色产业链中最容易发生，我之前说过黑色产业链规模庞大到令人窒息；
你是某些敏感领域的知名对象，所谓枪打出头鸟；

如上这些对象才有被黑价值，确实我们大部分人都还没达到被针对性黑的价值。

而，对于被黑的第二种形式，我们所有人都是躺枪的，我在《用户隐私早沦陷了》里提到沦陷的 3 种方式，其实我们所有人都是受害者。比如上面给出的两个在线查询隐私的网站，有的人一定会很郁闷……

据说，有人去查自己另一半的开房记录，然后发现了亮点……

对于第二种形式，黑客还可以用我们的隐私去诈骗我们的亲友，可以用我们的隐私去“借刀杀人”，这时由于你的忽视 / 冷漠，才导致了这个互联网的黑色奇葩。

关于防御，我简单列下吧（都是血的心得啊）：

重要网站 /APP 的密码一定要独立，猜测不到，普通网站为了记忆方便可以简单有规律，如果你记忆好，那可以都不一样，或者用 1Password 这样的软件来帮你记忆；
电脑勤打补丁，腾讯管家、百度卫士都可以（不推荐 360 是因为我不信任）；
能不用 IE 浏览器就不要用（网银登录这类必须是 IE 的情况那再用），用 Firefox 或 Chrome 浏览器，如果想和我一样变态安全的话，可以考虑给 Firefox 装个安全扩展：NoScript；
支持正版，包括 Windows，Office 等，淘宝注册码没几个钱（相比激活软件要靠谱，虽然也非正版方式，但对国内来说要求大家都正版不现实），因为盗版的、激活成功教程的总是各种猫腻，后门存在的可能性很大，当然有的激活成功教程者是友好的，到时你自己判断，只是我强烈建议：支持正版。（补充：其实应该把“正版”改为“从正规渠道下载的软件” 会更实际些，大家理解就行了）；
不那么可信的软件，如果你玩虚拟机的话，可以安装到虚拟机里；
手机建议用安全的 iPhone，别越狱，如果用安卓就安卓吧，别 root，同样强烈建议购买正版 APP，哪天我有心情我给你们证明下哪些激活成功教程 APP 的猫腻，iPhone 用户尽量不用什么快用苹果助手、同步推、iTools、PP 助手之类的，尊重苹果的原生态吧；
不要在公共场合（如咖啡厅、机场等）使用公共无线，自己包月 3G/4G，不差钱，当然你可以用公共无线做点无隐私的事，如下载部电影之类的；
自己的无线 AP，用安全的加密方式（如 WPA2），密码复杂些；
在任何地方输入密码时，注意周围，包括角落的摄像头；
不要在陌生的电脑上输入密码等，如果实在需要，输入后，清除好记录；
离开电脑时，记得按下 Win（Windows 图标那个键）+L 键，锁屏，这个习惯非常非常关键；
如果你是重要人物，记得给你的 BIOS 加个密、硬盘加个密、关键文件放到 TrueCrypt 里，发邮件用 PGP 加密；
接上条，住酒店时，离开房间时，记得关机，锁好电脑到保险柜去；
涉及到 QQ、微信等的朋友、亲人向你借钱、充值之类事宜，电话过去确认，要记住互联网那头不一定是一个人或你以为的那个人；
即使是官方短信也不一定可信，因为基站可伪造，百度“伪基站”看看就知道了；
不用相信“天下掉馅饼”的传说；
手机锁屏时要密码（数字、字母或指纹都行），千万不要图形密码，随便都可以被瞄到！！
不轻易把自己的姓名、电话、邮箱等给陌生人（包括名片），很多场合是可以写假名字的，该低调就低调；
相信我，如果你成为目标的话，黑客要黑你的方式太多了。还是那句：不做亏心事不怕鬼叫门，这是终极防御了；
最后，意识为先，让更多人意识到吧，来个俗套的请求：把我的这篇文章转发出去，转发时附上：文章给出了很多非常好的防黑建议（blabla~，剩下你自由发挥），谢谢。