电子商务中的隐私威胁(立场文件)
1 引言
电子商务持续增长(图1),为顾客提供了便利,为商家带来了销售增长,并为金融机构创造了额外的收入来源。与此同时,电子购物过程变得愈加复杂,整个过程被划分为多个阶段,分别处理特定的子流程(即购买、支付、交付和完成)。随着电子购物过程的日益复杂,保护消费者的隐私已成为更加困难。涉及多个参与方,各方管理着各种信息;如果任何一方不当处理或滥用消费者数据,消费者隐私将面临风险。此外,各方所管理信息的复杂性使得不当处理或滥用的可能性更高。
本文回顾了电子购物过程,讨论了文献中分析的每个阶段所面临的攻击或威胁。通过揭示各个阶段中的隐私威胁,我们认为,在此背景下,通常采用的尊重隐私的方案仅保护单一独立阶段是不够的。相反,需要一个覆盖整个过程的完整解决方案,并处理各阶段之间的相互连接。我们的综述还反映了电子商务所管理的多种信息类型,以及系统提供商从中获取的利益(如忠诚度计划和欺诈预防)。这表明,我们需要在实现隐私保护的同时不损害这些利益的解决方案,否则所有参与方都可能拒绝接受该方案。
2 电子购物交易的过程
电子商务中的参与者与传统购物环境中的参与者基本相同。获取商品的顾客(以下简称C),提供产品的商家(以下简称M),以及负责管理金融后台的银行、信用卡公司等(以下简称金融网络或FN)。最后,在销售实物商品时,还需要配送公司(DC)。
电子商务交易的整个过程可分为三个阶段 [24],外加一个可选的最后阶段(见图2):
- 购买。客户C从商家M的网站上选择产品。
- 结账。C填写配送和支付信息后,确认购买并通过金融机构FN完成支付。
- 交付。M(可能通过配送中心DC)将产品交付给C。
- [可选]完成(评价与纠纷解决)。C对其购物体验进行评价,可能包括产品退货或退款。
3 电子商务中的隐私威胁
我们通过第2节所述的电子商务视角来回顾现有的隐私威胁。表1总结了文献中已在一定程度上揭示的每个阶段的威胁(见第三列下的参考文献)。
我们注意到,其中一些情况在当前行业系统中很自然地发生(例如威胁2.2,因为商家通常会获知客户的支付信息,或威胁3.2,因为配送中心同时知晓客户和商家的地址,从而能够关联客户与商家)。然而,正如我们在一些已审查的攻击中所看到的,有时只需少量额外信息,攻击者便足以严重破坏隐私。
因此,建议遵循最小信息原则。我们还注意到,我们主要关注那些允许第三方(或未授权方)获取其在理想隐私场景下本不应获知的信息的威胁;这种情况常常导致匿名性受到威胁,或产品及支付信息的泄露。
| 阶段 | 隐私威胁 | 参考文献 |
|---|---|---|
| 购买 | 1.1. 产品信息泄露给FN或第三方 | [5,22] |
| 购买 | 1.2. 第三方链接C和M | [5,22] |
| 结账 | 2.1. 产品信息泄露给FN或第三方 | [1,2,5,8,15,16,22,25] |
| 结账 | 2.2. 支付信息泄露给商家或第三方 | [1,2,5,8,15,16,22,25] |
| 结账 | 2.3. 第三方链接客户和商家 | [1,2,5,8,15,16,22,25] |
| 交付 | 3.1. 收货地址泄露给商家或第三方 | [4,5] |
| 交付 | 3.2. 配送中心或第三方链接客户和商家 | |
| 完成 | 4.1 通过反馈泄露个人信息(全部先前的威胁可能会影响完成) | [13,18,20,23] |
购买阶段的威胁
我们首先注意到,[5]中概述的13项风险中的9项(风险4至13,主要涉及客户的个人信息以及商家的不诚实行为)影响了客户与商家之间的购买过程和通信。
忠诚度计划中可能还存在其他漏洞;商家M可利用忠诚度计划吸引更多顾客购买产品。商家M提供的促销活动很可能基于客户C的个人资料、购买历史和购物车内容。由于商家M可能会通过忠诚度计划来增加收入,因此有必要分析顾客个人信息的处理方式。亚马逊声明,为了提升用户体验,他们会自动收集购买历史、IP地址、电子邮件地址以及各种浏览器信息。eBay也声称会收集类似的信息。事实上,收集用户数据的做法十分普遍(例如,Magento 包含多个用于客户关系管理的扩展功能)。
在[22],表1中的威胁1.1针对使用PayPal的电子商店暴露出来。本研究发现,52%的被分析电子商店向PayPal发送了产品名称、商品数量和描述。此外,[22]还显示PayPal向Adobe的Omniture泄露了跟踪信息,包括引用页面URL,这直接使得客户C与商家M的身份关联成为可能(实现表1中的威胁1.2)。此外,请注意在传统电子商务购物中,风险1.2始终存在,因为FN与DC通常都会获知C和M的身份[5]。
结账阶段的威胁
在此阶段,客户C提供支付信息和收货地址。在应用欺诈防范技术(例如,拒绝超过预设价格的购买)后,商家M检查客户C提供的促销活动(如有),并将支付信息转发给金融机构FN。金融机构FN在验证支付信息(并结合其他欺诈预防机制)后,执行支付。当结账完成时,商家M更新客户C的资料。
此阶段涉及大部分信息;[5]中的风险1到6及风险13(涉及商家M或攻击者对支付信息的滥用)直接影响该阶段。具体而言,商家M或金融机构FN可能滥用客户的个人或支付信息。即使信息未被不诚实实体滥用,一个诚实但好奇的参与方仍可能构成严重威胁。
关于表1中的威胁2.1,正如[16],当前广泛部署的3‐D安全协议(例如“Visa验证”、“MasterCard Securi‐ Code”或“美国运通SafeKey”)所指出的那样,需要将交易描述发送给FN(更准确地说,是发卡机构),以便持卡人日后查看和核对。特别是,我们知道一些商家会向FN[22]泄露产品信息。至于威胁2.2,在“Visa验证”协议中,M会收到C的主账号(Primary Account Number,即信用卡号码)[28]。
表1中威胁2.3的一个相关示例(也可能意味着威胁2.1和2.2)出现在[8]。从大量仅简单匿名化的金融数据(不含姓名、地址或明显标识符)中,[8]表明,如果数据包含三个项目:价格、时间、地点,则可以对90%的个体进行去匿名化。请注意,FN收集的金融数据极有可能包含这三项信息。价格和时间FN可直接获知。至于位置信息,在线购买时可通过IP地址、收货地址、M的信息等推断得出。更糟糕的是,移动支付会通过基站位置直接提供空间坐标[1,25]。
收款人隐私和交易金额隐私[15]这两个概念正式体现了[8]中实证分析的重要性。如[15]所述,若“攻击者无法确定一笔交易的接收方,只要该交易由未受侵害的发送方发起”,则收款人隐私得以保持;若“攻击者无法确定两个未受侵害的用户之间交易的交易金额”,则交易金额隐私得以保持。忽视交易金额隐私意味着泄露价格,这将显著加剧去匿名化的风险[8]。忽视收款人隐私会导致关联消费者和商家,这本身就可能构成隐私侵犯(例如在购买敏感商品或服务时),或可能导致基于聚合元数据对消费者进行重新识别的隐私侵犯。
此外,金融机构处理的支付信息包括卡号和账号,以及在在线和离线平台与系统间持续存在的标识符(不同于例如 Cookie)。这意味着金融机构掌握着高度敏感的信息,这些信息可用于将购买行为与支付交易关联,并对客户数据进行行为分析[22]。最后,欺诈预防在支付阶段尤为重要,它是商家和金融机构为防止不可忽视的损失所采用的主要机制[1,2]。然而,如[1]中指出的,这些欺诈预防中的新趋势可能对隐私构成严重威胁,例如引入来自手机的地理位置或社交网络中的信息。
配送阶段的威胁
一旦 M 收到付款,就会将购买的商品交付给 C。对于数字商品,文件通过互联网发送,使用匿名网络 [9] 是保护隐私的一种有效方式。对于实物商品,将通过某个配送公司 DC 运送到 C 在结账时向 M 提供的收货地址(从而实现表1中的威胁3.1)。此外,如 [5] 所述,根据配送公司 DC 可获取的信息,可能会带来额外的隐私威胁。在现实世界中,配送公司 DC 至少会获知 C 和 M 的地址(表1中的威胁3.2),这使其能够将两者关联起来,还可能获取其他信息,例如与产品相关的信息。
然而,防止商家 M(或其他实体)获知客户 C 的物理地址,以及防止配送中心 DC 同时获知客户 C 和商家 M 的地址,成本较高。可能物理混合网络是最尊重隐私的选项[4]。或者,邮政信箱或类似的交付方式在复杂性和隐私性之间提供了折中方案,因为它仅揭示一个 nearby 的地点而非客户 C 的地址。
完成阶段的隐私风险
收到购买的商品后,客户会核对扣款金额、收到的商品等信息是否正确。如果客户满意,则购买流程完成。如果发现错误,客户可发起投诉。通过电子购物平台(例如亚马逊)而非直接与商家进行的购买情况更为复杂;在这种情况下,尽管通常建议先联系商家,但可能需要电子购物平台介入调解。在这些情况下,之前各阶段所述的隐私风险仍然存在,因为客户可能需要提供商品或支付信息,或其联系方式。
此外,无论最终结果如何,客户都可能提供关于商家的在线反馈,供其他顾客决定是否从该商家购买;在某些平台(如eBay)上,商家也可以对客户进行评价。关于留下反馈的可能性,[13]表明,隐私控制不足可能导致严重的隐私威胁。事实上,通过将某个用户收到的反馈与其交互过的卖家所收到的反馈相关联,就有可能推断出该用户的购买历史。此外,还可能实施类别攻击以获取购买了某一特定类型商品(例如枪支)的所有人员列表。在[13]中提到的其他攻击包括广泛的画像攻击和侧信息攻击,这些攻击也对买家构成严重威胁(在侧信息攻击的情况下,甚至可能使第三方破坏其隐私)。在相关背景下,[18]解释了如何仅凭少量外部信息即可识别Netflix数据库中的用户。所有这些攻击都是表1中威胁4.1的具体表现。有关推荐系统相关的隐私威胁的更一般性模型在[20,23]中有描述。
4 项隐私保护型电子商务提案
在不同的电子商务子流程中,已存在相当数量的研究工作来解决隐私缺陷问题。
其中,大部分努力可能集中在支付系统上。例如,参见[3,12,14]中以不同方式保护顾客隐私的基于信用卡的系统,或比特币[17]及其他加密货币用于基于电子现金的系统。[24]中提出了私密购买系统,而iPrivacy [26]则使用代理来清除订单中的敏感数据。欺诈预防方面也已有研究,例如针对微支付[6]以及比特币系统中防止双重支付的机制[11]。此外,隐私保护营销系统也受到一定关注[7,21]。最后,[4]描述了一种用于实物交付的物理混洗网络,[26]则提出使用中间仓库来保护客户地址。
然而,正如本摘要中对相关隐私保护系统的概述所示,当前的提案主要关注电子商务的特定阶段。然而,如果仅有一个阶段受到隐私保护,攻击者将转向其他阶段进行破坏。此外,提供当前行业部分功能的解决方案系统可能会被生态系统中的主要实体拒绝,因为上述所有功能都提供了重要的可用性和经济效益。
5 讨论
电子商务交易的过程十分复杂,涉及多个实体、阶段(第2节)和特征。在第3节中,我们概述了每个阶段存在的隐私问题。总体而言,由于将上述所有流程整合到一个完整的基础设施中,所需的电子信息的复杂性、数量和种类增加,导致攻击面扩大,由此产生的风险也随之上升。然而,目前仅针对系统的特定部分提出了相应解决方案,而忽略了其余组件,致使整体设计仍存在漏洞。
上述任何风险的实现都将对在线购物客户的隐私构成严重威胁。如果不防范这些威胁,第三方可能会获取客户的敏感信息。但隐私问题不仅仅是一个理论上的担忧。已有实证研究表明,当客户充分了解相关情况后,他们更倾向于选择隐私保护的在线商店[27]。此外,顾客甚至愿意为隐私保护系统支付额外费用或更高的价格。对于企业而言,这种对隐私保护替代方案的偏好是解决这些问题的又一激励因素。
为了防止因忽略重要功能而导致业界拒绝,我们认为:首先,应设计促进隐私保护并覆盖整个流程的全球基础设施。其次,每个子系统的提案应集成到该基础设施中,以防止信息泄露。最后,当每个子系统都在全局架构内实现后,即可实现一个实用、全面且具备隐私保护的电子商务解决方案。
因此,一个核心问题是,是否存在一种支持隐私且功能全面的解决方案,而在此场景下的核心挑战是找到一种良好平衡,以同时满足客户和服务提供商的需求。实现这一目标的一种方法是采用最先进的隐私增强技术中提出的密码学原语。成功结合这些技术将能够提供一种稳健的解决方案,适应电子商务基础设施所需的信任共享功能的复杂性。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
