德研究員分析「匿名」瀏覽記錄，竟可發現法官愛看哪類色情片

「所有接觸必留痕跡」這項鑑證科學的重要原則，在網絡私隱方面一樣適用。即使你沒有被入侵，只要有上網，仍有可能洩漏最私密的資訊。

網絡上很多免費服務，其實真正「服務費」是以用家數據支付。例如網站會放廣告，而廣告服務商也會安裝追蹤器，以確保流量數據，同時可以更了解「目標客戶」的喜好、傾向——甚至無須知道你的個人資料。相信不少人也試過在搜尋一些有意購買的商品後，往往發現會見到更多相關廣告，誘使你去購買。

近日在拉斯維加斯舉辦的電腦安全會議DEF CON上，來自德國的記者Svea Eckert及研究員Andreas Dewes講述他們掘挖數據的發現，藉此提醒人們瀏覽記錄會揭露比我們想像中還要多的私隱，而且在電腦上刪除記錄無補於事。他們更提醒政策制訂者，如果容許網絡服務供應商（ISP）販賣客戶瀏覽記錄，很可能會導致私隱災難。

暗中販賣數據的公司

Eckert指出，當我們想到監控時，往往會擔心政府機關如美國中情局，或者大企業如Google及Facebook等。但事實上，有數以百計的公司暗中以收集數據來牟利，這些公司可能規模甚大，有數千員工，我們卻從來沒聽過其名字。因此他們決定做一個實驗，利用社交工程技巧取得瀏覽數據，再看看從中可以得到甚麼訊息。

兩人先設立一家假的數據分析顧問公司「Meez Technology」，以及製作一個假身份︰在Meez工作的高級顧問Anna Rosenberg。他們只需要打幾個電話，數星期內就取得多達300萬德國網民整整1個月的瀏覽數據，由網上銀行、跟保險公司通訊以至色情影片都有。

雖然這些數據只是一堆網址及相關的用戶代號，但結合網上公開可以取得的資訊來分析，兩人就能夠辨認出這些用戶代號背後的真正身份，從而得悉他們的瀏覽習慣。這個過程稱為「去匿名化」（de-anonymization）。從得到的數據中，他們成功找到一名法官的色情片喜好、有警察在調查一宗數碼罪行、一名政客訂購的藥物資料等。

Eckert和Dewes指出，瀏覽器安裝的擴充功能程式可能會偷偷記錄用戶上過甚麼網站，再把資料賣給第三方。他們取得的數據當中，就有95%僅來自10個擴充程式。

如何「去匿名化」？

去匿名化有數個方法，最簡單的一種，就是從獨特的網址立即就可以看到相關用戶身份。簡報中Dewes以自己的Twitter帳戶作例子︰Twitter的分析工具網址會包含其用戶帳號「japh44」，因此會上這個網站的人就很可能是Dewes本人。

另一種方法，就是結合兩個不同網站的數據，其中一個是匿名，另一個則具名（未必是真正身份，可以是自行設定的帳戶名稱）。例如德州大學奧斯汀分校的Arvind Narayanan及Vitaly Shmatikov就曾經研究，把Netflix的匿名訂戶評分數據跟互聯網電影資料庫（IMDb）用戶的電影評分比較，發現僅需要8套電影的評分以及誤差達14天的日期數據，就可以辨認出99%的記錄。

而在Eckert及Dewes的簡報中，他們亦舉出三個例子，說明如何取得公開資訊。第一個是Twitter，他們可以透過Twitter的API下載相關時段內的所有貼文，再抽取貼文中的網址以及相關網域，再搜尋出吻合的用戶——往往只需要數條連結就可以辨認身份。

第二個是YouTube，用戶常透過Google+帳戶連結YouTube，並把播放清單公開。兩人以YouTube的API取得影片編號，再從瀏覽數據中比對，例子中只需要9段影片就可以辨認出相關用戶。第三個例子則是透過地域資訊對比，首先查看匿名瀏覽記錄中，從Google地圖網址抽取相關的座標。然後兩人再透過公開可見的圖片評分（圖片有機會包含拍攝地點座標），或者在社交媒體上公開到過某些地方的記錄，從中對比出用戶身份。

避無可避？

有人或會嘗試以隨機連上其他網站，希望增加數據中的噪訊，減少被辨認身份的風險。例如網站「Internet Noise」可以讓你打開隨機的Google搜尋頁面，意圖擾亂視線。不過兩人在簡報中表明，這個方法很多情況都不會奏效，分析不會受個別噪訊影響。

那麼，一般用戶可以怎樣減少私隱外洩？

你可以在瀏覽器安裝軟件，阻截網頁中的追蹤器和廣告，例如跨平台、開放源碼及免費的uBlock Origin。此外，也可以使用不記錄用戶搜尋內容的搜尋器Duckduckgo。不過，更重要的是如何連結外界網站，兩人建議使用TOR或多於一個「出口節點」（exit node）的虛擬私人網絡（VPN）。

德研究員分析「匿名」瀏覽記錄，竟可發現法官愛看哪類色情片