13万份检查报告泄露，都怪隐私刺客没有金刚钻还胃口大

个人信息泄露，在进入移动互联网时代后，这个老生常谈的话题，几乎所有人都神经起茧了，现在谈起来，多少有些没劲。

也就是说，想上网，谁还能不裸奔呢？

但裸奔也是有程度的，比如在之前大家对个人信息的泄露认知里，无非就是身份信息、或者说人脸识别时代的人脸信息泄露，然后，如果不幸，遭遇个电信诈骗之类的，提高点警惕咱们也能防不是？

就好比昨天小柴报道过的那个专门收集女房东信息，然后精准实施杀猪盘的案例「整理2.4万条女房东信息卖给杀猪盘，捞偏门路子越来越野了！」

然而，在万物皆需触网的时代，网络个人信息，也不再局限于这些基础信息，尤其在AI时代，网络个人信息的泄露正在变得更广更深，而受害，也不再局限于电诈。

就好比，今天的一条热搜，小程序泄露了13万份的体检报告……

看到这条热搜话题，小柴真是脊背发凉，因为这不单单是你可能面临诈骗的事了。

如果有慢性病、传染病及生理缺陷，那可能要面临人际关系的巨大负面影响，甚至社死；还可能面临就业歧视、保险不公，随之影响心理健康、带来种种负面情绪。

当然，还有更严重的就是，你可能每天都会被精准投放的各类莆田系医疗广告轰炸。

再如果是文化程度较低的人群，或者中老年群体，那约等于接下来，把自己亲自送上案板，任人宰割。

那么问题来了，体检报告这种重要的个人信息，一般都是医院体系的，为何能轻易泄露呢？而且一泄露，就是13万份这么庞大的量。

小柴先做一个简单的总结，大概就是在万物都触网的时代，这些传统的服务，一来没有打好网络安全的基础，一般来说，像医院、餐馆这类传统服务行业，本身没有做技术研发的能力，相关的触网项目都是外包。

而外包公司，简单实现甲方提出的功能诉求即可，后续的运维可以说有一个算一个都是一一泡污。

二来其相关的触网方式在获取用户各种权限的时候，恨不得把能收集的个人信息都收集了，而且用户不同意还没法使用，胃口实在有些太大了……

回到正题，这则13万份体检报告泄露的新闻来自央视新闻的调查，而其数据之所以能泄露，基本上也是小柴上述总结出来的原因。

据央视新闻的调查，该医院，自己搭建了一个体检、就诊预约的小程序，而这个小程序就像小柴前文说的，该有的功能都有，但漏洞也不少，导致13万患者的检查报告、两癌筛查被黑客通过技术手段窃取了。

北京互联网信息办公室工作人员在体验的时候，发现这款应用，竟然在报告查询环节，存在未经授权就可获取报告的漏洞，简单说就是身份验证机制不完善。

简单操作，就能看到大量的检查报告，包括体检报告、检查报告，两癌筛查则更多。

而根据央视新闻展示的画面，通过这种方式获取到的体检报告，和患者看到的是一模一样的，包括姓名、年龄、疾病信息，以及影像画面都能清清楚楚的展示。

而这些敏感、深层次的用户个人信息一旦泄露，那会有什么样的后果，简直不敢往下想。

而显然，该医院的应用程序，为何会出现这种情况，显然就是对个人信息的保护技术远远不足。

站在个人信息保护的角度，你既然选择开展互联网服务，就需要对用户个人信息安全负责，如果只实现功能，降低了自己的成本、提升了自己的效率，而不顾用户的个人信息，终究是自私的。

除了该医院，央视新闻还调查了某服务全国200万学生的订餐平台，该订餐平台，同样存在着个人信息保护的技术漏洞。

通过这个漏洞，可以轻易获取到师生的姓名、照片、身份证号等等。

那么显然，这类平台，在相关程序的开发上，把钱投在了怎么给自己降本增效的功能上，而对于用户信息的保护的投入，显得无比吝啬。

当然，更让人无语的是，这些应用程序，对于用户个人信息的保护，存在着明显的短板与不作为，然后，它们还依然在疯狂的索取用户设备的各种权限，收集各种与自己业务无关的用户信息。

央视新闻随机抽取了197款应用程序，发现了多达388项与个人信息安全相关的问题。

这些程序覆盖在线教育、扫码停车、点餐、理发、洗衣、电影购票等11个领域，也就是咱们所说的典型的互联网+项目。

而这些应用程序，普遍存在在未告知用户的情况下，疯狂超范围收集使用个人信息；同时，在用户不知情的情况下，传输的通道未授权认证等等、

其中典型问题包括未征得用户同意收集个人信息，或打开可收集个人信息的权限。

网信办工作人员展示了模拟进入这款应用程序的过程，在未经授权的情况下，就默认收集了用户的个人信息，比如设备IP、应用宝包信息、应用列表、读取外部存储文件。

而整个过程，应用都没有弹出获取这些信息、权限的请求。

当然，收集也就算了，另一个典型的问题是，在未经用户同意的情况下，还将这些违规收集的个人信息，同步给第三方。

工作人员展示了一款酒店预定应用，进入应用后，用户的经纬度信息，随后，其将这个信息给到了地图工具。

然而根据规定，这个过程是需要告知用户并征得同意的，但在现在的小程序时代，这个过程，都被嚣张的省略掉了！

不少用户也表示，刚刚注册了一款APP或者小程序，相关领域的推销电话，立马就疯狂的打过来了。

而小柴也深有感触，之前骑了一次某品牌的共享单车，然后接下来的日子，就是被该单车旗下的网贷公司，隔三差五的放贷电话轰炸。

而这或许也就是你为啥上网浏览了一个东西，立马会有精准广告出现的原因之一。

当然，如果只是获取个人电话、身份证信息也就算了，你最多就是接到一些推销电话或者精准的广告投放，以及一些低级的电诈套路。

更可怕的是，现在很多应用对设备权限的索取和个人信息的收集，已经近乎疯狂，比如，它还会浏览你设备里的各种媒体文件，包括照片、视频、通讯录，以及通话记录、上网浏览记录等等。

这个过程，他们可能获取到了你的大量的生物信息比如脸部、身形，以及还有声音信息，这些信息一旦泄露，在这个AI时代，随时都可能被不法分子，生成一个和你一模一样的虚拟的你。

甚至，在AI时代，各种收集你的上网行为、聊天记录，它们连你的性格都能给你模拟得明明白白……

他们操作这个虚拟的你去诈骗、干坏事，那必然酝酿更多不可预料的严重后果。

甚至，在过度索取设备权限后，这些应用程序，甚至还会到你的相册里去删除照片。

而这样的事情，还不是个例，也不止某一个APP这么干过。

然而，随着各行各业的触网，出去吃个饭、点杯奶茶，或者剪个头发、停个车，都得扫码进入他们的各种应用、小程序。

而这些明明只是实现某一个功能的APP，你一旦想使用它，你就得完全把自己的手机交给它、让它使劲折腾，不然你还用不了。

从这些案例也不难看出，现在很多应用的胃口越来越大，手越伸越长了。

甚至，还有一些小作坊搞的工具类的小程序，它可能就是搞了一个AI特效，然而你想用它，你就得把设备所有的权限给它敞开，但谁知道，它真正的生意是你看到的工具应用，还是本身就是打着工具的幌子，干着收集个人信息的勾当。

所以，如何减少自己的个人信息泄露，一来，那些不知名的小程序，没事别用，因为你永远不知道他们做的到底是什么生意，也不知道他们的技术能力到底半斤八两，是否能保护好你的隐私；

二来，比如点餐这类服务，它让你扫码点单，你就偏不扫，他们给咱们制造麻烦，咱们就不嫌麻烦还给他们制造麻烦，就得人工点单，我就想看看谁更难受……

柴狗夫斯基©️

作者|小柴肆号

编辑｜谭松