中共國政府與電子/3C/軟體產品公司對於民眾與客戶隱私外洩的態度與文化： 忽視

「視用戶隱私與安全為無物」 這是態度/文化/法規的問題， 不是技術問題， 更不是中國人的能力不如台灣人與西方人的問題。

中共政府對於監控民眾不遺餘力； 另一方面， 對於民眾的各種抗議 (例如隱私外洩， 或是家人受困於 習近平所經營的電信詐騙+人口販賣事業) 卻是用言論管制的方式來處理提出問題的人 (例如 星星回家计划)。 於是這造成了中國科技業者積極侵犯， 又欠缺動機保護用戶隱私的普遍心態與文化。 2018 年時， 我的研究生發現： Camera360 及美圖秀秀完全不知會用戶， 就上傳用戶照片及 GPS 等等其他個資， Camera360 甚至將客戶個資放在雲端完全沒上鎖， 任何知道網址的人都可以欣賞。 後來又陸續看到很多新聞。 最近天決定詢問 ChatGPT， 把這類 「放任用戶裸奔不顧或是大量個資外洩」 相關的案例都放在這一篇， 未來也會把新的類似案例放在這裡。

1. [25/09] 宇樹機器狗的低功耗藍牙漏洞，可變成機器人殭屍網絡
2. [25/06] 史上最大宗！中國40億筆個資外洩：微信、支付寶⋯消費紀錄全外流
3. [25/02] 小紅書用戶不知道自己在裸奔； EFF 更進一步的分析
4. [24/10] 使用中國製監控設備IP Cam， 韓國近千人隱私流向色情網站
5. [24/05] 小米的漏洞導致 (任意 apps 可以) 使用系統權限竊取任意文件，以及洩露手機、設定和小米帳戶資料
6. [24/05] 中國12億筆個資外洩
7. [22/07] 上海公安數據庫被駭10億人個資外洩
8. [20/09] wifi 分享器有嚴重漏洞， 騰達不回應； 一年後
9. [20/06] IBM披露Tenda Powerline扩展器缺陷，显然被供应商忽略
10. [17/11] 研究人員幫抓漏洞，被大疆當成「駭客」揚言提告!?
11. [17/05] 不必害怕中共政府獨享海康威視監視錄影機後門 因為全球潰客都進得來啊
12. [17/03] 大華DVR與IP攝影機可被輕易攻陷
13. [14/08] 磊科 Netis 路由器有後門

越查資料才越理解 (雖然不意外， 但連我都這麼晚才發現)： 中共的國家政策更強化了這個 「忽視用戶與公民隱私 (及資安)」 的趨勢。

原本每年會有許多中國資安高手參與 Pwn2Own 大會， 協助全球企業抓出資安漏洞並修補。 但 2017 年， 奇虎 360 創辦人周鴻禕公開批評參加者， 認為駭客跟這些知識應該留在中國， 才能了解軟體漏洞的重要性和「戰略價值」。 於是從 2018 年起， 這些中國高手 改參加 「天府杯」 比賽找出零日漏洞， 但在第一時間， 成果並不是交給企業去補救， 而是交給政府決定下一步要如何處置， 例如或許會被拿去 入侵維吾爾族的手機。

2021 年， 中國工信部公佈 《网络产品安全漏洞管理规定》。 美國之音隨即質疑： 中国新法迫使外国公司“自废武功”？； 2022 年， 微軟警告： 中國漏洞揭露政策可能助長國家級駭客濫用零時差漏洞； 2024 年， 有許多專家/報告/報導證實此一趨勢： Dakota Cary、 Intrinsec、 Cyber Press、 Wired、 ... 。

可以想像： 如果中共政府正在應用某個 (中國公司產品的) 漏洞從事網路攻擊與秘密監控， 而外國資安人員也發現該漏洞並且負責任地通知產品製造商， 這時這家公司便陷入困境。 「保持沉默、 裝死」 便很有可能成為標準的回應方式， 因為這才不會觸犯 《网络产品安全漏洞管理规定》， 畢竟得罪客戶比較容易處理 (或根本不必處理)。

知道這些事之後， 仍舊選擇繼續用中國 apps 與產品的台灣人... 只能說是天生韭菜體質了。