QuizUp被爆信息安全问题——初创公司应如何保护用户数据安全?-阿里云开发者社区

开发者社区> 小旋风柴进> 正文

QuizUp被爆信息安全问题——初创公司应如何保护用户数据安全?

简介: 最近,风头正劲的益智类游戏应用QuizUp出现了严重的安全问题,他们发现用户联系信息可以以纯文本格式发送。该游戏的开发公司Plain Vanilla指责该问题是由于第三方软件造成的,同时他们也表示目前已经解决了这个问题。
+关注继续查看
0.jpg

最近,风头正劲的益智类游戏应用QuizUp出现了严重的安全问题,他们发现用户联系信息可以以纯文本格式发送。该游戏的开发公司Plain Vanilla指责该问题是由于第三方软件造成的,同时他们也表示目前已经解决了这个问题。但是这个插曲还是应该引起特别重视,因为对于初创公司是否能够保护用户的数据这件事,我们显然了解的还不够充分。

用户提供的个人数据越来越多,但往往得到这些数据的开发团队规模都不大,而且没什么经验,实际上,这些小公司可以说是在不断探索和失误中成长的。从一个企业的观点来看,这些属性可以成为某种优势,但是从安全角度来看……好吧,笔者在这里只能说还不得而知。用户出于信任,把自己的数据全部交付给这些公司,毫无疑问,用户希望这些数据可以被保护好。

作为用户,如果你打开自己的手机,会看到有各种各样的App应用,其中许多都是由初创公司开发的。有的记录了你地理位置的详细信息,有的有你的照片图片,有的可以访问你的邮箱帐号,有的记录你锻炼身体的数据……这会是一个很长的列表。这些存储在初创公司服务器里的数据能得到安全的保护吗?答案是,不知道。

Buffer公司是一家定时发送社交媒体信息的公司,最近该公司受到了黑客攻击。从此事件我们发现,该公司并没有尽最大可能的保护好自己,也没有保护好用户,而实际上,他们完全可以把安全做的更加牢固的。

还有,最近智能信用卡Coin公司也发布了一段产品广告视频(Coin卡可以“一网打尽”你所有的银行卡、积分卡),笔者看后不禁呵呵笑了起来,因为他们绝对是把安全置之脑后了。就算在视频广告的最后,他们也只是把安全关注点放在自己的设备上面,而没有放在用户数据上。笔者倒不是特别针对Coin,毕竟他们现在只是推出了一个广告,而产品仍在开发之中,但是现在的确有必要总结一下这个行业里的问题了。

一个解决方案,用户数据审计

那么,解决方案是什么呢?实际上,笔者花了好几周时间仔细研究了这个问题,答案就是,要对这些初创公司进行数据安全审计。凡是满足一个合理的安全标准的初创公司,将会获得一个认证,他们可以把这个认证的Logo放在自己的网站、App应用、或是其他他们认为合适的地方。

这个审计费用必须要能让初创公司承担的起,为了确保他们考虑到用户的最大利益,笔者建议,最好可以设立一个非盈利性的信托基金去运营这个项目。这个信托基金必须要有董事会进行监管,而董事会成员则可以由一些行业内的巨头们组成,这个审计将会按照成本价格提供服务,这样才能确保这个在科技行业内的信托基金是值得信赖的,与此同时,也能提醒初创公司对安全的重视。

在过去的几周时间里,笔者把对初创公司安全审计的想法和科技界的一些企业家进行了交流沟通,这些企业家都有在运营收集用户数据的业务。他们每个人都非常支持这一理念,不过,他们对数据审计的认同目前还不方便对外公开发布,因为他们还不想引起外界对自己公司当前安全设置的过多关注。能得到这些人的认可,让笔者感到非常鼓气,也令人安心,而且,据说在这些企业家中,已经有人和一些独立的审计顾问进行了签约,让他们帮助检查自己公司的数据安全设置是否达到标准。

扩大数据安全审计范围

数据安全设计这个想法,并非是完美无瑕的。为了适应更多需求而扩大审计范围可能是一个问题,这是因为既要确保初创公司负担的起,同时还要找到一些有相关技能的人才去完成审计这些事情。

接着,那些大公司该扮演什么角色呢?Adobe和索尼都不是初创公司,但是在过去的几年中,他们也饱受用户信息丢失的痛苦。也许,这些大公司也该参与进来,然后多承担些费用,这样就可以帮助到一些小型初创公司。

还有一个问题,那就是如果我们给了企业安全审计认证以后,说不定会激起一些黑客高手的兴趣,反而会引发更多的黑客攻击。或许,低调的处理安全问题也不是件坏事。

不管是什么方法,我们(包括用户、整个科技行业,以及媒体)在数据安全问题上都需要更对的对话,更多沟通。因为随着时间的推移,将会有越来越多的个人数据出现在我们周围,这些数据也会推送到更多人面前。但现在,我们还不知道谁值得信任,也不知道该对这些初创公司投入多少信任。


原文发布时间为:2013-11-30


本文来自云栖社区合作伙伴“大数据文摘”,了解相关信息可以关注“BigDataDigest”微信公众号

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
582 0
政府安全资讯精选 2017年第七期 美国权威征信公司发生严重数据泄漏 数据安全重要性再突显
美国信用评级公司Equifax泄漏 1.43 亿用户数据 ; 网信办发布新规加强管理互联网群组和公众号;微博推进实名制认证 所有新老用户需实名 否则无法发博与评论; 欧盟裁决将加强对工作场所的隐私保护。
1628 0
找优质的直播软件开发公司不用担心系统架构问题
文章标题中提到的系统架构问题,在直播软件开发过程中也是非常重要的一部分。为什么这么说呢?我们举个简单的例子,一个施工队盖楼肯定先要把整体的框架用钢筋扎好,然后再进行下一步的工作。开发直播软件也是一样,先把整体的架构设计好罗列出来,再把其中的功能挨个添加进去。
895 0
在使用CocoaPod的Xcode工程中断点没有调试信息的问题跟进
通常客户端产品至少都会有Debug和Release两种编译配置,在编译Release版本中会进行一些优化,以减少最终产品的体积。 比如,在Release版本中会对代码执行步骤进行优化(如O1、O2等),这会导致有些代码被优化省略掉,有时无法单步调试;另外就是会去掉符号信息,这会导致断点调试时没有符号信息,所以才会有[CallStack的捕获和解析内容](http://www.atatech.or
2182 0
2728
文章
6591
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载