本文围绕百度召开的信息安全沟通会展开,详细介绍了针对“开盒事件”的调查过程及结果,阐述了百度的数据安全防护措施,还展示了沟通会现场对多个问题的答疑,包括调查过程、数据安全措施、投入情况、用户隐私保护建议以及未来计划等内容。
在3月20日下午,百度专门召开了一场信息安全沟通会。在这场会议上,百度针对备受关注的事件展开了详细说明,不仅介绍了整个调查过程,还公布了最终的调查结果。同时,百度还向在场人员展示了经过三方公证的“(2025)京精诚内经证字第 1642 号”公证书。
百度安全负责人陈洋在沟通会上郑重表示,百度内部不管是普通员工,还是处于任何职级的高管,都没有权限去触碰用户数据。
在沟通会现场,陈洋对事件调查结果进行了详细披露。自事件发生以来,百度对当事员工进行了全面细致的调查与审计。调查内容涵盖了“历史数据申请记录”“权限记录”“数据查询”等多项权限和操作日志。经过严谨的核实,确认该员工没有百度用户个人身份信息的数据权限,也未曾登录过任何百度数据库与服务器。这就表明,开盒信息并非从百度泄露。而且,整个调查过程全程都有三方现场公证,保证了调查结果的公正性和可信度。
针对“开盒事件”发生后在网上广泛流传的“当事人承认家长给她数据库”截图,百度也进行了认真核实。结果发现,该截图的信息内容是不实的。实际情况是,博主收到家人红包后,在平台晒出了红包截图,并回复“我家长给的”,其本意只是想说明红包的来源,与“开盒”事件毫无关联。也就是说,事件发生后的大量传播信息均为不实内容。
同时,陈洋还详细讲解了百度针对数据安全所采取的多项防护措施:
◎ 在用户注册账号阶段,百度就会对用户信息实施假名化处理。这样做可以有效降低数据泄露的风险,同时提高数据的合规性。
◎ 百度会对数据进行加密处理,并且对敏感数据进行严格隔离。依托数据安全管理平台,百度实现了数据管理、权限控制及安全审计的统一管控。
◎ 百度遵循国际公认的风险控制理念,建立了三道安全防线。分别是“基础防守”“制度&能力&风险专项”“稽查&内部审计”。
截至目前,百度已经在数据安全领域取得了显著的成绩。先后参与编制了80多项国际及国内安全标准,累计获得了104项权威安全认证。
百度表示,将在相关政府部门的指导下,积极响应和倡议推进“反开盒”联盟的成立。通过与各方共同努力,加强数据隐私防护,严厉打击非法数据窃取及泄露行为,筑牢网络安全防线,共同维护清朗的网络空间。
以下是沟通会的部分现场实录:
Q:“开盒事件”的详细调查过程如何?调查过程是否有第三方公证?
A:3月17日,百度接到了外部举报,随后立即成立了一个由内部安全专家组成的独立专项小组,专门开展调查与审计工作。而且,小组成员与当事人之间不存在任何利益关系,保证了调查的公正性。
经过对各个系统的反复审计,百度很快得出了结论。在18日,就在公司内网分享了调查结果:经过严格的数据安全审计,排除了谢广军的泄露嫌疑,并定位了真实的泄露渠道。
在调查过程中,百度对谢广军的“历史数据申请记录”“权限记录”“数据访问记录”以及“数据库服务器登录日志”等进行了详细的调查和审计。确认他没有百度用户个人身份信息数据权限,也没有登录过任何百度“数据库”及“服务器”。此外,对其相关日志进行审计后,在审计周期内也未发现有异常访问行为。
那么,开盒事件中的数据究竟来自哪里呢?百度从多个维度展开了调查。首先,对被举报人进行了问询,他的女儿透露了她的“开盒”渠道,并提供了一个路径。只要在海外网站上进行搜索,就可以找到这条路径,并且通过这个路径很容易进入社工库。
同时,通过在社交媒体广泛流传的一张图片也印证了这一点。标注图标处,即为一款在国外应用市场可下载的国外T某加密聊天软件的应用图标;很容易识别出,图片中的界面和国外T某加密应用的界面是一模一样的。
但只是这样还不足以让人完全信服,百度必须要复现这个过程,并最终通过公证机构对该过程进行公证,以确保其法律效力和公信力。
果不其然,在过去几天里,因为媒体铺天盖地的报道,百度发现这个社工库在今天早上暂停了,这个结果也在一定程度上保护了一些人。
Q:百度采取了哪些具体的技术和管理措施来保护数据安全?百度的数据访问权限是怎么设定的?
A:百度现在实施的安全体系比较复杂。以一个场景举例,百度实施了假名化的处理。当用户刚刚注册时,百度会给他生成系统内对应的假名系统ID,只有这个ID,是无法知道用户真实身份的。
在系统里,百度是用假名去做流转,任何业务系统中都不存在用户的真实身份信息。然后,百度把所有信息专门抽离,成为一个账号系统。当然,所有大的互联网企业都在这么做,所以只做假名化处理还远远不够。百度会对所有敏感信息进行加密,加密后的数据无法被使用,因为加密的钥匙是隔离存储和管理的。也就是说百度有两把钥匙,这两把钥匙分别加密着不同的数据,同时百度还通过数管平台对权限进行统一管理和权限分离,只有钥匙配合权限一起才能使用。
这只是第一层的防护,属于技术手段。百度在内部还会不断进行攻防演练,用黑客的视角查找系统有没有安全隐患,如果发现隐患会第一时间进行修复,从而形成一套不断演进的安全技术防御体系。
为了让系统更加安全,百度还要建立第二道的制度策略,也就是管理防线;还有第三道防线,是职业道德稽查的防线,定期对敏感的行为做审计,查看有没有异常访问行为。这三套防线也是对应国际公认的风险控制的理念。通过这三道防线和前面的数据安全体系,百度能够很好地保障数据安全。
Q:百度在数据安全与隐私保护方面的投入情况?安全团队的专业性?是否具备应对复杂安全挑战的能力?
A:自2014年起,百度就建立了漏洞收集及应急响应平台,公开邀请第三方安全技术专家以及用户来提交安全漏洞并开展修复工作。百度非常感谢这些专家们的支持。
不仅如此,百度还积极地参加国内外各种安全标准的建设,先后参编了国内外80多项安全类标准,并且通过了104项权威安全认证。其中一些具有代表性的认证,例如,个人信息保护认证PIP,这是“个人信息保护法”发布以后专门针对个人信息保护的国家级认证,百度在认证推出很早期就已经通过;第二,百度也是在“数据安全法”出来后,首批通过数据安全管理认证DSM的企业;同时,百度还是国内首家取得数据安全能力成熟度四级认证的企业。这些认证代表着,在数据安全与隐私保护上,百度已达到了国际及国内行业认可的安全管理和技术标准水平。
在技术管理之外,深化全体员工对信息安全与隐私保护领域的认知与重视至关重要。在百度,除了新入职的同学会100%接受安全培训和考核外,百度每年还组织统一的全员安全意识考核考试,要求全员必须100%的通过率,事实上百度也做到了。此外,自2014年起,值每年国家网络安全宣传周期间,百度也会配合组织面向全员的“安全宣传月”活动,集中强化全体员工的安全意识与攻防技能。每年安全月的参与人数超过7万人次。此外,百度还通过常态化的模拟真实网络钓鱼攻击,让员工在实战中提升网络安全攻防技能。
Q:此次事件引发了外界对数据隐私的担忧,作为普通用户应如何保护自己的隐私?有哪些建议?
A:这里谈一下普通用户应该如何去保护自己的隐私:
◎ 谨慎分享个人信息:在社交媒体和其他网络平台上,要避免泄露真实身份信息。
◎ 妥善设置权限:合理设置社交平台的隐私选项;在安装应用程序时,仔细查看并谨慎授予应用所需的权限,避免授予不必要的权限,如位置信息、通讯录、摄像头、麦克风等权限。
◎ 不访问未知网站:不要随意点击来路不明的链接,以防进入钓鱼网站或感染恶意软件,导致个人信息被盗取。
◎ 多样化网名与密码策略:在不同平台尽量使用不同的账户名和密码,在游戏中或其他网络社区中,保持匿名或使用昵称,减少被搜索到的可能性。
◎ 使用安全的密码管理工具:避免使用简单容易猜到的密码,如姓名缩写、生日、电话号码等。可以采用密码管理工具管理密码。
◎ 提高警惕意识:不轻易相信陌生人的请求和信息,对于一些不明来源的调查、问卷、抽奖等活动要保持警惕,避免因贪图小便宜而泄露个人信息。同时,要关注个人信息保护的相关法律法规和安全知识,不断提高自身的隐私保护意识和能力。
Q:下一步,百度在信息安全保护方面有哪些具体的计划和举措?
A:百度承诺,在相关政府部门指导下,愿联合网络安全行业及社会组织,共同推进“反开盒联盟”建设。通过技术手段协助受害者应对隐私泄露问题,并协同打击黑灰产链条。尽管这不是一朝一夕能实现的,但百度会和各方共同努力。
最后,希望“开盒”不能成为网络攻击的“盒武器”,让我们一起来维护网络安全防线,共同维护清朗的网络空间;让每一位网民都能安心、快乐地享受数字生活的美好。
本文围绕百度信息安全沟通会,详细介绍了“开盒事件”的调查结果,证明开盒信息并非从百度泄露,还阐述了百度在数据安全方面的多项防护措施、投入情况以及未来计划。同时,也为普通用户提供了保护隐私的建议,强调了维护网络安全和清朗网络空间的重要性。
原创文章,作者:modesty,如若转载,请注明出处:https://www.qihaozhang.com/archives/2538.html
