本文围绕百度“开盒”事件展开,详细介绍了百度安全负责人在安全沟通会上公布的事件调查过程,包括对谢广军是否泄露数据的调查,以及隐私数据来源的排查,同时阐述了百度的数据安全防护机制。
全文共1314字,阅读大约需要3分钟
3月20日下午,在“安全沟通会”现场,百度安全负责人陈洋身着百度安全工服亮相。据陈洋介绍,每一位入职百度安全的同事,都会收到一件别具特色的白底蓝字T恤,上面醒目地写着“很安全”,这似乎也在无声地宣示着百度对于安全的重视和承诺。
陈洋在沟通会上详细讲述了“开盒”事件的调查全过程。“3月17日凌晨12点17分,百度接到外界举报。当天,百度内部迅速成立了技术调查组,对百度副总裁谢广军的系统日志等展开全面审计,并很快得出了初步结论。3月18日,百度就将这一初步调查结论与内部同事进行了分享。”
针对谢广军是否存在泄露数据的情况,调查工作按照“有没有权限”、“干没干过”、“干了什么”这三个关键步骤有序推进。
陈洋强调:“如果某人想访问百度数据,从理论上讲只有三个途径:第一是通过数据管理平台的访问权限;第二个是登录有权限的服务器;第三个是通过百度的办公系统。并且,所有的数据访问只有这三个途径。”
经过细致的调查,数据管理平台审计中心显示,谢广军没有任何数据访问权限,也未留下数据访问记录;服务器审计系统表明,在2024年10月1日 – 2025年3月15日期间,谢广军未曾登录过百度的任何服务器;办公系统日志审计同样未发现谢广军有异常访问行为。基于这三个方面的调查结果,百度排除了谢广军泄露数据的嫌疑。
既然不是谢广军,那么隐私数据究竟来自于哪里呢?陈洋表示:“我们从几个维度进一步展开调查,首先对被举报人谢广军的女儿进行了访谈。她告知我们‘开盒’的渠道是telegram,并提供了具体路径。我们按照被举报人提供的渠道,很容易地复现了这个过程。”社交平台上流传的图片也为这一调查结果提供了有力佐证,泄露源截图上的图标、风格、格式和telegram保持一致。值得一提的是,在这个调查过程中,北京市精诚公证处对百度的调查过程进行了公证。
虽然排除了谢广军的嫌疑,但人们不禁会问:百度其他员工有没有查询数据、泄露数据的可能性呢?
针对这个问题,陈洋进行了全面且详细的讲解。他介绍道:“百度会在用户注册阶段进行实时的假名化处理。假名化是指当用户注册时,百度会为其生成一个系统内对应的假名。例如,若用户注册信息是张三,包含手机号等内容,百度会为这位用户生成另一个ID,仅通过这个ID无法知晓具体是哪位用户,这就是所谓的假名。这种做法在所有大型互联网企业中较为普遍,百度也不例外,任何业务系统内都不存在用户的真实个人信息。”
不过,仅仅进行假名化处理还远远不够。陈洋进一步解释:“百度会对所有的用户敏感信息同时进行加密存储,由加密系统和密钥进行管理,以此保障业务系统无法获取用户的敏感信息。即便数据库或服务器出现漏洞,用户的敏感信息也是加密状态,无法被非法使用,因为加密的钥匙存放在另外的地方。”
简单来说,“百度有两把关键的钥匙,第一把是管理用户敏感信息的钥匙,第二把是业务系统中的钥匙,即业务数据的加密钥匙。同时,百度还设有数据管理平台,对数据权限进行统一的管控。要完成对数据的访问,不仅需要拿到访问权限,还得获取密钥。而要对应到一个具体用户的身份,至少需要拿到这两个钥匙和两个访问权限,并且这些密钥和访问权限分属于不同部门、不同的人掌管,大大增加了数据泄露的难度。”
除了上述的数据保护机制,百度安全在防护方面还构建了三道坚实的防线,分别是基础攻防、防御体系和攻防演练。
基于以上一系列完善的机制,陈洋补充道:“百度二十几年来从来没有发生过数据泄露事件。在百度,任何职级的员工及高管均无权限触碰用户数据。”
本文详细介绍了百度“开盒”事件的调查过程,通过对谢广军的调查排除了其泄露数据的嫌疑,并查明隐私数据来自境外社交网站。同时,全面阐述了百度的数据安全防护机制,包括假名化处理、加密存储、权限管控以及多道防护防线,展示了百度在保障用户数据安全方面的严谨态度和有效措施,也证明了百度二十多年来在数据安全领域的良好记录。
原创文章,作者:Edeline,如若转载,请注明出处:https://www.qihaozhang.com/archives/2228.html
