近來,拼多多辭退匿名發帖員工的順豐國際集運受到輿論關注。今年1月7日,花名為“太虛”的拼多多前技術開發工程師王某在一職場社交平台匿名發貼,內容顯示為“第二位拼多多猛士倒下了”,並配有一張辦公樓外停放救護車的圖片,定位則顯示為拼多多辦公點。

3天后,該事件進一步升級,王某於1月10日更新一條名為《因為看到同事被抬上救護車我被拼多多開除了》的視頻,表示自己匿名發表帖子後,拼多多卻在短時間內找到自己,並將自己辭退。

對王某被解僱的原因,1月11日,拼多多公開回應稱,王某被解僱並非因匿名發帖,而是公司通過脈脈外顯ID(JgD+STsWV2E),查詢到“太虛”過去的發言內容充斥着“不良極端言論”,包括“想要xx死”“把xx的骨灰揚了”等內容。

對此,中國互聯網協會網絡安全工作委員會常務委員、深圳市網絡與信息安全行業協會副會長謝朝霞告訴紅星順豐國際集運記者,通常情況下,平台無法通過一個外顯的ID,就能獲取匿名用户的真實信息。如果該員工在拼多多公司辦公環境內發帖,那麼拼多多公司有權在對公司網絡資產的監控和審計中排查到一些相關信息,並指向員工,這個情況則合理合法。

▲網傳“太虛”數據庫信息被泄露的截圖

網傳“太虛”數據庫信息被泄露的截圖

利用爬蟲軟件鎖定匿名用户?

專家:有多種方法可以查出ID背後的真實身份

在“拼多多辭退匿名發帖員工事件”中,拼多多回應稱是通過多人檢索對比,最終鎖定王某是發帖人。1月10日,社交平台脈脈發佈官方迴應,稱不以任何形式向第三方提供職言區發帖用户信息。對於網絡流出的關於王某數據庫查詢圖,網上有傳言是拼多多借助外顯ID號通過爬蟲軟件鎖定匿名用户本人。

那麼,外顯ID鎖定用户本人這一手段背後的技術路徑,是否可能實現呢?

對此,中國互聯網協會網絡安全工作委員會常務委員、深圳市網絡與信息安全行業協會副會長謝朝霞接受紅星順豐國際集運記者採訪時表示,通常情況下,平台無法通過一個外顯的ID就能獲取匿名用户的真實身份信息。

謝朝霞表示,拼多多有不少方法可查到ID背後的人是誰。根據拼多多的迴應,其並沒有採取非法手段進行搜索數據,而是根據內部同事反饋,“高度懷疑”是王某,後經王某本人承認,方獲知了匿名背後的真實信息。

“拼多多的確不需要通過關係或技術手段獲取發帖人的真實信息。”成都無糖信息技術有限公司CEO、四川大學特聘網絡安全專家張瑞冬分析稱,因發帖人本身為公司內部員工,且通過發佈照片的拍攝角度再結合公司監控攝像頭,便能鎖定發帖人。

此外,張瑞冬解釋,根據王某使用設備本身的網絡特徵,若發帖人當時使用了公司的網絡,那麼即使通信過程中有加密,但仍然可以輕易通過技術手段鎖定發帖人。

“換言之,只要拼多多的網絡管理員把網絡裏連接脈脈服務器的設備統計出來,再使用這些設備特徵去匹配自己的網絡服務,那麼就會很容易找到發帖人。”張瑞冬解釋。

▲拼多多發佈的情況説明

拼多多發佈的情況説明

匿名發帖真的能讓本人“隱身”?

專家:平台只能提供有限匿名

根據脈脈1月10日的公開回應稱,在用户信息管理上,在其嚴格遵循國家相關法律法規的前提下,不以任何形式向任何第三方提供職言區發帖用户信息,且對於個人信息進行極為嚴密和完備的安全保障。

脈脈在通告中指出,為保障發帖安全,“職言”通過非對稱加密技術對用户的發佈身份進行了嚴格的加密處理,即使是脈脈內部工作人員,也無法獲取任何個人相關信息。

對於脈脈通告的內容,張瑞冬認為:“脈脈從公司形象考慮,沒必要在此事上刻意隱瞞。”張瑞冬解釋稱,匿名性是該平台的立身之本,如果這一環節無法保障,那麼就會失去過多客户。張瑞冬指出,脈脈不會隨意放開對其他公司(非執法機構)的查詢通道。

謝朝霞表示,業主(脈脈)其實並不能確定信息是否泄露。該平台唯一能確定的,是聲明自己尚未發現信息泄露事件。

“任何強度,任何方式的加密,即使不能被破解,也只能保護已加密數據不可讀取。而由於監管或審計的要求,數據終歸需要在某個過程,通過某個接口明文呈現出來,這個道理説到底,就是沒有絕對安全。”謝朝霞也認為,脈脈的通報內容基本可信。

“事實上,用户隱私保護一直是網絡安全難題。”謝朝霞認為,現如今,沒有一家平台能真正確保用户的隱私100%不被泄露。同時謝朝霞也提醒,用户選擇在互聯網上發佈信息,就在一定程度上選擇了身份的透明和公開。而所謂匿名,只不過是平台提供的有限匿名,這樣的安全感有一定的自我欺騙性。

▲脈脈官方微博發佈的聲明

脈脈官方微博發佈的聲明

拼多多“尋人”是否合法?

專家:取決於是否存在非法獲取數據行為

對於拼多多鎖定匿名發帖的“太虛”系公司員工王某的行為,網上有聲音質疑,這一方式是否存在侵犯個人信息的嫌疑。對此,專注於網絡安全及個人信息保護訴訟案件研究的寧人律師事務所律師馬軍表示,爬蟲行為一般分兩種情況來看,一部分是對網絡上公開的信息數據進行爬取,這屬於正常合理行為;但如果個人信息設置了保護措施,且繞過上述保護措施對信息進行爬取,就屬於刑事犯罪。

根據拼多多和脈脈目前的官方迴應內容,系拼多多自行通過公司內部措施研判出了王某的真實身份,在此情況下,馬軍認為,如果事實是這樣,那麼拼多多的行為並沒有違法。

謝朝霞告訴紅星順豐國際集運記者,拼多多的行為,要看其獲得匿名身份的過程中,是否發生了數據非法獲取、計算機入侵和其他計算機網絡違法犯罪行為,且是否具有證據指向。謝朝霞表示,單就現在獲取匿名用户真實身份一事,不足以認定拼多多行為違法。

謝朝霞舉例説明,比如該員工是在拼多多公司辦公環境內發帖,那麼拼多多有權在對公司網絡資產的監控和審計中,排查到一些相關信息,並指向員工,而這個情況則合理合法。