日本外务省官员每天骑共享单车回家 - 保密网

下班骑个共享单车回家，既省钱又锻炼身体，听上去是件好事对吧。但对于日本外务省的一位官员来说，就是这个日常习惯把他的家庭住址给暴露了。

这位官员每天下班之后，习惯从地铁站骑共享单车回自己住的地方。他的骑行路线固定，每天几乎在同一个时间从地铁站出来，刷同一牌子的共享单车，沿着同一条路骑回家，第二天早上再骑车到地铁站还车。这种规律的出行模式看似很普通，但被外部人员利用共享单车平台的公开数据进行分析之后，他的家庭住址被非常精确地推算出来了。

共享单车在亚洲很多城市已经非常普及。用户通过手机App扫码开锁，骑行到目的地之后再停放在指定区域并锁车。共享单车运营商会记录每一辆车的使用轨迹，包括在什么时间、什么地点被开锁、骑行了多远、在什么位置被锁车。为了给开发者提供便利，不少共享单车平台会提供公开的API接口，让第三方可以获取到车辆的基本状态信息。虽然API接口不会直接暴露用户的个人身份信息，但它会暴露车辆的使用时间和停放位置数据。

这位日本外务省官员每天在差不多的时间从地铁站扫一辆共享单车骑回家，第二天同样的时间又在同一辆车或者附近同一区域再扫一辆骑到地铁站。他的用车行为在API数据中形成了一个非常明显的固定模式。具体来说就是在某一段时间范围内，每天差不多的时刻，会有一辆共享单车在同一个地铁站被开锁，然后在同一个住宅区附近被锁车。根据共享单车最后一次被锁定的位置，如果连续多天都锁在同一个区域范围内，基本就能判断出骑车人的家庭住址就在这个区域。

这条泄密链路分析起来更加清晰。第一步，官员每天使用共享单车的行为被平台记录下来，包含时间、开锁地点、锁车地点。第二步，共享单车平台的公开API向外提供了部分车辆轨迹数据，第三方可以获取到这些记录。第三步，分析人员通过API获取数据，发现某个车辆每天在同一时间段从同一地铁站前往同一小区附近，锁定这位官员的固定骑行路线。第四步，结合地铁站的监控数据或者进出站刷卡记录的统计信息，可以进一步确认这位官员的具体身份。然后只需要在锁车地点周边走一走，看看哪些楼栋有共享单车的停放架位，就能基本确定官员的家庭住址。

这个案例给我们的警示在于，共享出行服务虽然方便，但它产生的行为数据也可能成为暴露个人行踪的渠道。不光是共享单车，网约车、共享汽车、电动滑板车这些共享出行工具，都会产生详细的时空使用记录。这些记录如果被公开或者被第三方轻易获取到，就可以被用来分析用户的日常行为规律和敏感位置信息。尤其是对于涉密岗位的工作人员来说，固定的出行模式本身就是一大数据安全隐患。

你可能觉得共享单车数据就算是公开的，也很难关联到具体用户吧。这个想法低估了交叉关联分析的能力。共享单车数据虽然不直接显示用户身份，但分析人员可以把多个数据源进行关联分析，找到规律然后进行身份确认。比如地铁站的刷卡记录、共享单车开锁时间、锁车地点附近的监控画面等等。不需要完美的数据，只需要有足够的线索去拼凑和分析。只要行为规律足够固定，身份确认就只是一个时间和成本的问题。

那怎么防范呢？核心原则就是打破规律性。不要让每天的出行形成固定的时间周期和固定路线。对于涉密人员来说，建议每天选择不同的交通方式，或者在不同的时间段回家，不要每天在同一个时间点做同样的事情。如果必须使用共享单车，可以尝试在离家和目的地有一段距离的位置提前还车，然后步行到达，避免直接暴露精确的家庭地点。同时也要定期检查自己使用的各类共享平台账号中，有没有开启不必要的个人数据公开选项。

企密安在出行防护服务中专门针对这类共享出行数据泄露风险设计了专项评估方案。这个方案会分析涉密人员的日常出行习惯和使用的各类出行平台，找出可能存在数据泄露的风险节点。包括共享单车、网约车、地铁卡等出行工具的使用模式分析，以及如何通过改变行为习惯来降低被大数据分析识别身份的风险。我们还会提供基于行为模式的匿名化出行策略建议，帮助涉密人员在不影响正常生活的前提下减少位置信息的暴露面。日本外务省官员共享单车轨迹暴露家庭住址这件事说明了一个道理，在数据无处不在的今天，你的每一个日常行为都可能成为被别人利用的线索。固定模式就意味着可预测，可预测就意味着不安全。