搶搭悠遊卡新聞熱潮惹議,Whoscall:會改善隱私權條款
(www.bnext.com.tw)
kakashi
積分 1
用AES對稱加密方式加密使用者的資料,送出去的內容只有一長串14位數字的UID,及電話號碼。其次,在傳輸過程中使用SSL加密,所以Whoscall根本不會知道這個數字背後是「誰」,只會知道某個UID查詢了某個號碼幾次而已,無從回溯到底是誰
這是記者寫不出來?還是答的人隨便回答?怎麼胡亂寫…
UID 去識別化,第一步不是用 secure random 產生 UUID,就是做 hash。跟 AES 對稱加密的目的剛好顛到…
SSL 的目的是防第三方者盜取和修改。第一方 (用戶)、第二方 (whoscall) 根本都知道內容好不好…
傳了 UID 接著如果傳回對應身份,那就是沒完全去識別化了。不過就這一點而言我個人到是覺得還好,只是他們內部要做好把關,讓可接觸到真實身份資料的人受到管制,而平常的工作人員則只能接觸去識別後的資料。不過我猜會做這種事的公司很少… 尤其是一開始就是 startup
whoscall 收到的資料是很有價值的,大概之後會轉賣吧,賣出去的時候不要連同真實身份一起賣,那這就還算是有企業良心,不過天曉得他們之後會做什麼…
changyuheng
積分 0
也許註冊時有回傳 UID 對應的身分?
hungys
積分 1
根據攔到的封包內容,UID 就是 User ID,怎麼會無法回溯
所以才說要看 user account 裡有什麼、能對照出什麼資訊。如果 user account 一開始就沒有機敏性資料、全是匿名,這樣是查不出什麼的。但是 user account 很可能清楚的載明了使用者的姓名、電話,因為我們就是拿這些資訊去註冊的。我原來回文的意思是指,雖然單單因為有 UID 就說能查出真實身分連結不夠強健,