秘鲁总统有一座度假别墅,位置比较偏僻,按理说应该相对安全、低调。但某一天有人在房地产网站上发现了这座别墅的VR全景看房展示。什么意思呢?就是这个别墅之前可能挂出来出租或者出售过,中介为了吸引客户拍了VR全景照片放到网上。结果总统的度假别墅——包括内部布局、房间结构、门窗位置、安保死角、周边地形,全都以360度可拖拽的方式公开展示在互联网上。任何一个坐在家里的人,打开手机或电脑,就可以像亲自走进去一样把总统的度假别墅看了个底朝天。
你能想象吗?阳台在哪儿、围墙多高、院子里有几棵树、大门朝向哪里、地下车库入口在哪儿,全部清清楚楚。这对一个想搞事的人来说,等于是收到了一份"行动指南"。更可怕的是,这座别墅现在已经是总统在使用,但网上那套VR全景图却完全没有下架。也就是说,总统住进去之后,那些房子的内部细节照片还在网上挂着供全世界参观。你坐在家里就能知道总统家的后院有几个出口、哪个窗户是死角、围墙外面是什么路。
这条泄密链有几个关键节点。第一,别墅之前可能不是总统名下的房产,前任房东或者中介拍VR全景的时候没有预料到以后会被政要使用。但问题在于,当这座别墅被列为总统的度假住所之后,没有人去检查它的"数字足迹"——哪些网站上还有它的照片、视频、地址信息。第二,房地产网站对VR全景图的访问权限几乎没有限制,任何人只要打开链接就能看,不像一些专业的地产平台还能设置密码或者访问权限。第三,别墅内部的细节照片通常包含了从内向外看的角度,可以直接反推出外围安保的部署和盲区。哪个点适合监控、哪个点容易被突破,光看照片就能推测个大概。
应该说这件事给我们所有人都提了一个醒:你住进新房子之前,有没有在网上搜过自己的地址?你可能在网上看到过自己家被中介挂上去的照片,这事儿可能已经过去了好几年。如果你是一个公众人物,这个风险会被无限放大。对各国政要的安全团队来说,保护一座建筑物不能只看围墙和监控,还要管好它在互联网上留下的"数字影像"。那些你以为已经删除的信息,很可能还藏在互联网的某个角落。
怎么防范?第一,对总统使用的任何场所,在做入住前安全评估的时候,必须加一项"数字足迹扫描"。在搜索引擎上搜索该地址、在房地产网站上搜索该社区、在社交平台上搜索定位标签,看看这座房产在互联网上留下了多少信息。地毯式搜索,不放过任何一个角落。第二,如果发现有VR全景图或详细室内照片在网上,必须要求平台第一时间下架。当然这需要合法的渠道,但国家安全事由通常可以得到配合。
第三,在VR全景图下架之后,还需要监控互联网上有没有人已经下载并重新上传。这是一个长期的工作,需要专业的情报收集团队持续跟进。第四,从选址阶段就要考虑这个因素——任何曾经在公开房地产市场上挂出过详细照片或VR全景的房产,都不应该作为更高的级别人物的居住或度假场所。从源头避开这个风险,比事后补救要省力得多。
说到底,秘鲁总统这件事就是一个典型的"旧数据新风险"案例。信息被上传到互联网上的时候可能无害,但时过境迁,当初那个无害的数据就可能成为致命的安全缺口。互联网记住了你的一切,包括你不记得曾经存在过的那些信息。
