昨晚,一名黑客偷走了我的(数字)生活
昨晚,一名黑客偷走了我的(数字)生活
原文:https://medium.com/hackernoon/last-night-a-hacker-stole-my-digital-life-e0f02aa16663
重新思考数据保护的用户体验
18k 推文,15k 关注者。 这可能比不上凯蒂·佩里的统计数据,但它代表了 10 年的数字产业生涯。 一分钟后就没了——因为一个有一些基本黑客技能的少年对我的四个字符的推特账号大发脾气——但更重要的是,因为糟糕的设计和缺乏对用户数据的考虑。
你总是认为那些故事发生在别人身上,而不会发生在自己身上。直到它发生。”
带来巨大影响的破碎用户体验
周五晚上,我的推特账户和 Instagram 账户都被黑了。我花了几个小时才弄清楚发生了什么:黑客闯入了我的网络邮件客户端,用它触发了重置你的密码的过程。 就这么简单。
我天真地使用我的@domain.ext 电子邮件地址在 Twitter 和 Instagram 上进行认证。当然,我的 webmail 并没有从花哨的两步认证中受益(无论如何,这是容易打破的,不要抱太大希望,它只是复杂得多)。我应该早些时候读一读广岛直树关于他如何得到他宝贵的推特账号的非同寻常的文章。 社会工程可以帮助邪恶的行为。但你总以为那些故事发生在别人身上,永远不会发生在自己身上。直到它发生。
让我们回到我被黑的邮箱:引起我注意的是这封从 Twitter 自动发送的特定邮件。
“We have noticed a recent connection to your account” — Automatic email from Twitter sent when someone connects to your account from an unusual device/place.
正如你所看到的,这封邮件是在周五晚上凌晨 3 点发出的,现在已经 30 多岁了,我显然已经睡着了(不要评价我)。
当我早上在我的邮箱里发现它的时候,我试着点击“如果不是你的话”的链接来修改你的密码。这是不可能的,因为黑客已经更改了我的 Twitter 密码,所以我试图重置它。这也是不可能的,因为与我的 Twitter 账户相关的电子邮件地址也被更改了。我没有办法重置我的密码,因此也没有办法进入我的账户。
我联系了 Twitter 支持部门四次,在我的请求中添加了截图,解释了一切,从我的网络邮件被黑到黑客在他的账户上吹嘘他的罪行。每次我的案例被关闭,因为我没有从与帐户相关的电子邮件地址写信。这似乎是显而易见的,因为黑客做的第一件事就是更改地址!
你不觉得这个用户流有点断裂吗?
“这是数字原住民的抱怨,'我希望有人能回答我的请求'。”
然后我就纳闷了:这封邮件的目的到底是什么?这封电子邮件通知你,有人正在对你的帐户进行拦截…但并没有采取任何措施来阻止它。 后来我发现 Twitter 提供了双因素认证,这很棒。然而,如果我以前就知道的话,那就更好了。此外,我主要在手机上使用 Twitter 应用程序,这个功能在手机上不可用。
当黑客进入你的账户时,已经太晚了,除了有可能在他之前赢得更改密码的比赛之外,你什么也做不了(鉴于实际发送和接收通知你被拦截的电子邮件所需的时间,我认为这甚至是不可能的)。
Twitter 有能力判断出某些东西出了问题,但他们据此设计的用户体验令人沮丧,而且——让我们面对现实吧——毫无用处。 这并没有阻止我的账户被盗,这只是通知我它被盗了。标签爆米花。
Sit back and relax as your digital identity is being destroyed.
两天来,我无法与 Twitter 或 Instagram 支持团队的人交谈。事实上,我惊讶地重复说,我希望我能和一个人说话。顺便说一句,这太 2016 年了。这是数字原住民的抱怨,我希望有人能回答我的请求。当然,这发生在一个周五的晚上,这让我整个周末都在恐慌和诅咒这个孩子,直到接下来的七代人(这是法国南部的一个老把戏)。
然后我开始衡量这个问题的规模。 我有时会使用 Twitter connect 进行身份验证,但由于无法登录我的帐户,我也无法连接到这些服务。 以 Twitpic 为例,在 Twitter 允许直接从他们的界面上传图片之前,我曾经使用这个第三方应用程序在 Twitter 上发布图片。我告诉过你我是早期采用者。 我现在无法连接到这项服务,因此无法删除我自己的十五页照片,也无法从我被盗的 Twitter 帐户中撤销这个第三方应用程序。
Oh, irony.
“这个帐户对我作为数字专家的可信度起了重要作用”
老实说,10 年前我从未想过这个新的 Twitter 平台会有今天的成功。 当我注册并创建我的账户时——那是在 2007 年——没有人在使用它甚至没有人知道这是怎么回事。 我 22 岁,在巴黎的戈贝林斯学校学习,我的一个同学向我们介绍了这个新的社交平台,当你关注的人在他们的时间线上发布了一些东西时可以发送短信。 现在听起来可能有点疯狂,但在过去,设置你的账户,让你每次被提及时都能收到一条短信是可能的。我和 Twitter 的关系就是这样开始的:作为一名黑客。还记得 2007 年吗:史蒂夫·乔布斯宣布第一代 iPhone 即将发布,布兰妮·斯皮尔斯开始了她漫长而痛苦的崩溃,发短信极其昂贵。你必须为你发送的每条短信付费,或者对于那些没有低成本学生手机合约的幸运儿,你被允许每月发送 30 条短信。一笔交易。 Twitter 是我们免费交流和团队合作的方式。
告诉我你的@我就知道你是谁
Twitter 现在已经成为最受欢迎的社交网络之一,拥有大约 3.2 亿活跃账户,每天发送 5 亿条推文。 个人和品牌都在使用 Twitter,对他们来说,Twitter 提供了一个接触越来越多客户的绝佳机会,通过识别影响者来传播信息,并减少他们与受众之间的障碍。这有助于沟通和理解他们的目标受众。 Twitter 一直在努力为品牌提供更好的工具,帮助他们衡量他们对这个社交网络的影响。现在,60%的消费者希望品牌在 Twitter 上一小时内回复他们的查询!
Twitter 已经成为一个真正的工具,两个品牌甚至个人都在日常工作中使用。品牌商、招聘人员、自由职业者、活动组织者……所有类型的专业人士都把 Twitter 当作更个人化的 LinkedIn。
随着时间的推移,我建立了一个由朋友和专业人士组成的网络——这些人并不相互排斥——当我需要一个意见、一个 RT、一些帮助或者只是一个有趣的 gif 来让我在一个下雨的周五下午振作起来时,我总是可以依靠这个网络(我住在伦敦)。多亏了 Twitter,我还找到了我的第一份正式实习,尽管我不能说我的 Twitter 账户是 100%专业的(尽管我确信猫的 gif 现在也算作专业的推文,对吧?)这个账户对我作为数字专家的可信度起了重要作用。我的意思是,我曾经被我的一个追随者称为 PHP 的詹妮弗·洛佩兹,仅仅因为我古怪的 SQL 主题推文和我对古怪服装的偏好。虽然听起来很傻,但这可能是我简历上最吸引人的标语了。
“数字公司应该知道,他们系统中的这些缺陷最终会给他们带来商业上的损失。”
以尽可能好的方式保护用户数据对企业来说非常重要
用户流量确实断了。一旦你的账户被黑了,因为你的电子邮件地址不再匹配,你就无法挽回了,因为只有机器人会回复你(机器人相当顽固)。你唯一能做的就是看着你 10 年的数字档案慢慢消失,被日本动漫的图片、带有可疑语法的推文取代——这很伤人——试着不要过于恐慌,想想你的直线经理两天前碰巧最终跟踪了你。
我是一名用户体验架构师,目前在 BBC 工作。你可以想象我有多考虑和重视数据,尤其是用户的数据。 我的工作主要是寻找显示和存储数据的最佳方式,同时不损害数据的意义,以便为 BBC 用户设计个性化和有价值的功能。 我理解并努力让人们意识到,用户的行为和活动历史比年龄或性别等随机的老派信息有趣得多,以便为任何用户量身定制内容。这就是为什么网飞正在钉它的方式。
发生在我身上的事每天都发生在成千上万的人身上。 其实黑客自己也在他的推特账号上吹牛说他黑了我的推特和我的 Instagram。
I told you. Dodgy grammar.
这个孩子当然知道一些技巧,但相对于 10 年用户数据的价值而言,他所做的非常简单。不是特指我的数据;任何用户的数据。 我们的黑客不知道用户数据有多有价值——或者会有多有价值,因为服务设计正在塑造技术的未来——但数字公司应该知道,他们系统中的这些缺陷最终会给他们带来商业上的损失。
你做的所有行为都是出于某种动机:一种观点、一种情感、一种信念……通过能够解读行为背后的动机,产品创造价值。这基本上就是推荐引擎的构建方式。你的行动为产品提供,你提供的数据越完整、干净、准确,产品的表现就越好。
发生在我身上的事情在网上相当于某天早上醒来,去你的办公室——比如说一家位于高街的漂亮精品店——发现有人在晚上搬进来了。 但是当你试图给你的房东打电话时,自动留言告诉你一切正常,门铃上有当前房客的名字,然后挂断了电话。你基本上被抹去了。
“当证明你身份所需的一切都可以被窃取或伪造时,你怎么能证明你是自己呢?”
敲门敲门。谁在那里?
你在那里徘徊,再也回不了家了。是的,这听起来像是一个糟糕的笑话。那么,我们如何才能让它对用户更好呢?当证明你身份所需的一切都可以被窃取或伪造时,你如何证明你就是你自己呢?
广岛直树的故事——以及我在互联网上寻找类似故事时偶然发现的其他几个故事——表明向服务机构提供更多个人或敏感信息无助于证明是你。人为因素削弱了这一过程,而这使得社会工程变得更加强大。另一方面,我今天所希望的就是向一个非二元的人解释我的处境;这里的人的因素肯定会是帮助我找回我的帐户的力量。
我们如何在机器人的僵化&编码过程和人类的同理心之间找到正确的平衡?
其他大公司,例如脸书,除了通知和双重认证,还允许你选择一些朋友为你担保,以防你无法再进入你的账户。
在我读到的另一篇文章中,作者——可能是 Mat Honan——的 Gmail 账户遭到黑客攻击并被删除,还有其他更令人不安的事情。 幸运的是,谷歌向他询问了一长串具体问题,询问他迄今为止如何使用 Gmail/Gdrive 账户,从而让他找回了自己的账户。 整个过程在这篇文章中解释。
“我想教训已经吸取了。”
昨天,感谢我的网络和我的 Twitter 粉丝的帮助,他们报告我的帐户被黑了,我终于从 Twitter 得到了一个人类的回答,我拿回了我的帐户。 我在战斗中丢失了所有的推文,以及我跟踪的所有人——10 年的历史,以及花在管理资源以保持技术前沿上的时间——我怀疑任何人都无法帮我恢复它们,因为我的黑客使用第三方应用程序删除了所有内容,当时有 3200 条推文。 最重要的是,我找回了我的帐户,我将能够在本周晚些时候在[至于我的 Instagram 账户,到目前为止我还没有收到任何人的回复——无论是机器人还是人类。 我没有在专业层面上使用 Instagram,但我过去常常通过 Instagram 关注那些使用 insta gram 的人或经营企业的人。我想知道,经过几天的黑客攻击,没有公司的回复,这些专业人士会有什么损失,因此,如何为他们改进流程。无论如何,这安慰了我的想法,记忆在你的头脑或物理盒子里比在云中更安全。 这次事故也说服了我的一些追随者投资一个更安全的密码解决方案,比如](https://medium.com/u/11d039a53270#euroia16 举办我的研讨会,而不会有在我的订阅上看到不适当的推文的风险。从现在开始信誉尽失只能怪我一个人:)
<p id=) 1password 或 Lastpass ,并尽可能在任何地方开启双因素认证。我想教训已经吸取了。我还问我的主人,为了在举报犯罪时有一些证据,我是否可以访问我的网络邮件日志(黑客攻击网络邮件是一种你可以——也应该——举报的犯罪)。 到目前为止,他们没有向我提供任何信息,但告诉我“人为因素肯定要对发生的事情负责”,我“肯定点击了一封钓鱼邮件并泄露了我的凭据,我“应该在互联网上学习良好的做法”并且“选择一个符合条件的密码。 我的意思当然是怪用户。
“这主要是最大限度地利用你所拥有的数据的问题。”
如何设计一个电子人
熟人、人际关系和个人习惯似乎是我们将现实生活中的身份带入数字世界的最佳猜测。 如果一个人是他行为的总和,那么考虑我们的网络习惯和活动历史来帮助定义——或者在这里,证明——我们的数字身份,听起来是合理的。
像 Twitter 或 Instagram 这样的公司拥有可以让他们设计出正确解决方案的数据。人类同理心和机器人刚性之间的正确平衡。这主要是最大限度地利用你所拥有的数据,而这正是用户体验架构所要做的。
