上周在国外论坛摸鱼,刷到个热帖。楼主说刚买的特朗普联名手机,没两天就接到了诈骗电话。对方连他购机地址、社保号后四位都报得一字不差,真绝了,连选的红脖子定制款手机壳型号都对。本来以为是网友整活,点进去才发现,品牌官方推特已经悄悄发了声明,连个话题tag都没带,确认数据泄露了。官方说法是,泄露跟第三方用户管理平台有关。至于要不要通知受影响的用户?还在评估。
主打反监听的手机生意
大概是2022年前后,特朗普卸任搞起了这个消费电子品牌。手机加上配套的运营商服务,卖点就一条:“绝对不监听”“不把数据交给硅谷和民主党”。铁杆支持者很吃这套。同配置的机器比普通安卓机贵出小几成,还得捆绑加密通话服务,第一年合约价就上千美元。真有人买。不少人把苹果安卓全扔了,就为捧场。之前刷TikTok,我还看到中部农场主给自家的牛都烙上了这牌子logo,放话全家绝不碰扎克伯格的任何产品。挺魔幻的。这次泄露的数据,外界估摸着得上百万条。姓名、手机、住址、购机信息,连入网提交的身份信息都在内。已经有人在社交媒体吐槽收到精准诈骗短信了。
卖隐私的小众品牌,哪有自研防护
之前在国内做安卓定制系统,我跟不少小众品牌的技术团队打过交道。绝大多数小品牌,压根就没有自己的数据保护团队。用户注册、订单管理、运营推送,全靠第三方SaaS工具,服务器也是租公共云,连个专职运维都舍不得请。2021年有个主打加密通话的小众手机,单台卖上万,比顶配苹果还贵。结果呢?后台root密码直接设成了123456。大几十万用户的通话记录和通讯录被人爬了个干净,打包挂暗网,一百来刀就能全带走。买这手机的多半是币圈的,钱包地址和通话记录一对上,损失按亿算。简直离谱。这些主打隐私的品牌,营销费用能占小一半,投在数据安全上的,连个零头都不到。数据业务全扔第三方,出事就甩锅。反正核心用户冲着信仰来,大多不会真追责。这次事件评论区里,粉丝已经开始甩锅民主党了,说根本没泄露,是敌对势力搞鬼。官方连泄露范围都没给呢,粉丝先把锅端稳了。
甩锅第三方,监管照样罚
问了下在欧洲做数据合规的朋友。不管是美国CCPA还是欧盟GDPR,只要数据泄露,品牌方就是第一责任人。第三方背锅没用,没尽审核义务,或者瞒报拖延,最高能罚全球年营收的百分之几。特朗普这个牌子一年营收估摸着有几亿美元,真要被查到瞒报,起步得罚几千万美元。罚得够狠。当年脸书剑桥分析那事儿,也是想甩锅给第三方数据公司,没用,最后照样交了几十亿美元罚款。现在品牌说还在“评估要不要通知用户”,说白了就是在算账。主动通知的赔偿和声誉损失,跟赌监管查不到的侥幸成本,哪个更低。刚去官网逛了一圈,首页最显眼的位置还挂着“100%隐私