来源:互链脉搏,原题《当心抗疫后遗症,网信办正在担忧区块链能解决》
作者:元尚
“战疫”是当下中国乃至全球的重大事件,人与病没有硝烟的战争可能从人类诞生就已经开始,但人类的武器库多了很多工具,包括区块链。互链脉搏从多维度发掘区块链战“疫”的能力。特制作专题,此为第七篇。
新冠疫情期间,全国最大规模的个人信息收集正在展开。从哪来、到哪里去、体温多少、住在哪里……如此细颗粒度的信息加上14亿的人口基数,可能是有史以来人类所做的最大规模的“人口调查”。
而个人信息收集乱象也同时出现,个人信息泄漏成为新的问题。
2月9日,中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。《通知》的目的是为了“做好新型冠状病感染肺炎疫情联防联控中的个人信息保护”以及“利用包括个人信息在内的大数据支撑联防联控工作”。
交易所以太坊存量再创新低,已逼近 12%:6月26日消息,据 Glassnode 数据显示,交易所以太坊存量再创新低,且过去 30 日下降明显。目前交易所钱包中的以太坊占以太坊流动量的比例约为 12.6%。[2023/6/26 22:01:03]
网信办的这纸通知对试图泄漏个人信息的个体和机构起到了威慑作用,但很难杜绝信息泄漏。而如果在信息收集过程中使用了区块链技术,那么网信办的担心将不足为惧。
混乱的个人信息收集
自“武汉封城”以来,笔者被要求填写各种各样的信息收集表,有小区物管、社区居委会、工作单位、孩子学校等笔者明确其实体的,还有在社群传播的包括署名为“市政府”、“局”、“卫健委”等不能确认的实体。
填写的方式也多样,有H5格式、微信小程序、还有word文档。比如微信搜索“疫情”、“抗疫”、“防疫”、“新冠”、“病登记”等关键词,有数百个相关小程序正在运行。
慢雾:NimbusPlatform遭遇闪电贷攻击,损失278枚BNB:据慢雾安全团队情报,2022 年 12 月 14 日, BSC 链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先在 8 天前执行了一笔交易(0x7d2d8d),把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备;
2. 在 8 天后正式发起攻击交易(0x42f56d3),首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出;
3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取,奖励的计算是和 rate 的值正相关的,而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格,由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多;
4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利;
此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]
而制作这些信息收集工具的也是五花八门,有个人、外包公司、大型互联网公司,这意味着存储这些信息的服务器各异,安全性存疑。
华尔街日报:SBF仍在募集新资金:11月15日消息,据知情人士透露,FTX 创始人 Sam Bankman Fried 在公司宣布破产之后仍然在募集新资金。上周末,SBF 和其他几名员工四处拜访寻求投资者的新承诺,因为 SBF 仍然觉得自己可以募集足够的资金恢复元气。该知情人士称,SBF 和其他几名员工在周末打电话四处寻求投资者的承诺,以填补高达 80 亿美元的缺口并偿还 FTX 客户。[2022/11/15 13:08:40]
从个人信息的收集内容来看,涉及到了非常隐私的问题,包括身份证号码、电话号码、家庭详细居住地、家庭成员详细名单。
拥有了这些内容,可以做很多非法事情:包括被别人的身份证和电话号码拿做各种会员登记,办理各种会员卡;通过身份证号和绑定的手机号,完全可以复制出一样的手机号,从而导致银行卡里的财产损失;拥有非常精准的身份信息,卖给广告商,受到广告骚扰;将信息倒卖给公司,公司可以更容易编造让群众相信的故事。
OKC推出OKC Bridge与OKC Swap,并支持IBC转账:9月14日消息,OKX Chain宣布推出OKC Bridge与OKC Swap,并支持IBC转账。
据悉,OKC Bridge是OKC与其他公链间的跨链桥,支持以太坊、Tron、比特币、LTC、Bitcoin Cash、Polkadot、Filecoin、Ripple与OKC间的跨链转账。支持IBC转账是允许用户将OKC上资产通过IBC转移至其他Cosmos生态网络。OKC Swap是OKC官方推出的DEX,支持低滑点的代币交易。[2022/9/14 13:29:52]
事实上,疫情还没结束,就已经出现了个人信息泄漏的事件。广州南海区刚刚查处一起案件,南海有乘客乘坐一邮轮,而邮轮上出现了疫情,这名乘客的头像,身份等信息就被传播了出去。
这也是为什么网信办要发文保护个人信息。
网信办的《通知》要求为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。《通知》还指出:收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
从目前收集信息的主体和技术服务公司来看,做到网信办的要求并不容易。宇链科技CEO罗骁就向互链脉搏表示:“现在确实存在很多网页H5形式的链接来获取公民信息,而且由于一些技术公司技术能力有限,抛开体验不说,极其容易造成公民隐私信息泄露。”
而区块链技术因为其能保护用户隐私正在被用来做防疫的个人信息收集。比如宇链科技开发的“出入通”部署在基于区块链技术的宇链云上,对收集的公民信息进行加密保护,能确保数据的安全。罗骁表示:“即便宇链科技也看到不到用户信息,并且疫情结束后,公开销毁这个产品的部署。”
区块链与隐私数据的使用
值得注意的是,在网信办的《通知》中,不但要求对个人信息保护,还提出了两点要求。
其一,健康部门有权调用。《通知》规定,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。
其二,差别收集信息。《通知》规定收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
然而,目前的个人信息采集方式很难实现通知的要求。比如卫生健康部门调用数据,那么其操作人员肯定能够获得此数据;目前收集信息更是宁可收集全部,不可错漏一人。
然而,区块链在这两点都已经给出了解决方案。
比如去年7月30日,迅雷链总工程师来鑫在第四届中国网络与信息安全大会现场发布了迅雷链新技术——可追溯的隐私保护技术。该技术是为了解决链上数据隐私保护和信息追溯难以两全的痛点。据介绍,该技术通过环签名、零知识证明等加密算法对数据进行加密隐藏,从而保护用户隐私,并通过密码学技术满足有信息管控权限的组织或机构的需求,最大限度减少风险。如此一来,就满足了卫生健康部门调用信息,但其他人不可见的难题。
此前,迅雷链的“链上数据可监管隐私方案”已经在医疗场景中得到应用。这个方案对于防疫个人信息收集也可以适用。例如,相关被收集对象可以通过可监管隐私加密技术,将数据加密上传到链上,保护上传到链上的数据隐私不会泄露。拥有数据查阅权限的监管方,如各省市级CDC可以通过监管密钥可以查看链上的密文数据,在保证数据及时有效的同时实现安全可控。
但目前,区块链技术还未大规模用到此次防疫个人信息收集方面,大家需要注意的是,疫情技术后,个人信息可能的泄漏问题。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。