“明天每个人都会付出代价!”2018年初的某天,一名Facebook用户在网上公开向这家互联网巨头的欧洲某办事处发出威胁。
发现这一威胁言论后,Facebook火速提取了该用户的数据信息,确认了他的位置和所威胁要攻击的办公室在同一个国家。随后,公司向有关部门通报了这一威胁,并指示安全团队人员密切关注这名用户,并将其列入了公司神秘的BOLO名单。
BOLO,是be on the lookout(注意)的缩写。据美国CNBC新闻2月15日报道,Facebook一直通过一份秘密的BOLO黑名单和手机APP,悄悄追踪着其认为构成“威胁”的用户和前员工。
图据CNBC
Facebook悄悄“记仇”
威胁辱骂公司高管、员工,通通上黑名单
据透露,BOLO名单是Facebook用来监控威胁的核心工具之一。这份黑名单大约每周更新一次,如今,这份名单已记录了好几百人的姓名。公司前安全部门员工告诉CNBC,这份黑名单是在2008年创建的,任何公开威胁过Facebook公司、办公地点及员工的用户,甚至是对CEO扎克伯格和COO桑德伯格等高管发表过“不当”言论的人,都会出现在名单上。
扎克伯格 图据《华盛顿邮报》
一位前雇员表示,其实登上黑名单的门槛非常低。有些用户因为反复出现在办公地点或发送电子邮件威胁而“上榜”,但有些人则可能仅仅因为咒骂了几句就被记在了“小本本”上。
更夸张的是,Facebook安全部门的前雇员也会出现在名单上,并被自己的前同事报告和跟踪。“几乎所有被解雇的Facebook员工都被列入了这份名单。”一些前员工称。上榜过程也“非常主观”,并没有什么固定的标准,如果承包商在合同结束时变得“情绪化”,他们也会被列入名单。
每当有新目标加入BOLO名单,Facebook都会通知其安全人员,并发送一份报告,详细交代目标人物的姓名、照片、一般位置等个人信息,以及为何添加此人。
随后,Facebook会通过自己的APP收集目标人物的定位数据,并通过收集的IP地址来秘密跟踪黑名单上的用户。根据威胁程度的不同,Facebook的安全团队可以采取不同行动,比如派驻保安,护送BOLO目标离开公司范围,或直接通知执法部门。
多名消息人士称,其他公司也有类似的威胁清单,但Facebook是独一无二的。因为它可以使用自己的产品识别这些威胁,并追踪黑名单人士的位置。
不为人知的黑名单
难免出现尴尬
然而,除了内部人士,Facebook这一系列的行为并不为人所知,这常常导致一些尴尬的紧张局面出现。
据Facebook前员工介绍,几年前,一名Facebook用户应朋友邀请,来到公司门洛帕克园区与其共进午餐。当他在前台以访客身份登记时,电脑立刻弹出了警示信息,提示保安此人在BOLO名单上。很快,一大群保安出现在此人附近,但他们并没有上前试图抓住他,而是将整个区域的出入口牢牢守住,保持对峙警惕状态。
Facebook门洛帕克园区。图据路透社
最终,他的员工朋友生气地要求将其从BOLO名单上删除。知情人士告诉CNBC,在这名员工与Facebook安全团队会面后,此人从BOLO名单被划去,这是一件十分罕见的事情。
更尴尬的是,Facebook将前雇员列入BOLO名单的做法,偶尔会给公司的招聘官造成不便。据CNBC报道,一名去年离职的前安保员工介绍,Facebook往往会联系前雇员来填补空缺。此前,有多位前雇员应邀来参加面试,结果发现自己不够格,因为他们出现在了BOLO名单上。“这就变成了一个非常尴尬的局面。”这位消息人士说道。
安全策略遭质疑
Facebook回应:合乎情理
对于Facebook的这一安全策略,有人质疑其道德性,以及其中的手段是否涉及到隐私侵犯。然而,Facebook方面坚称,公司绝不会滥用或是无缘无故地搜索用户的信息位置。“我们有严格的程序来保护人们的隐私,遵守所有的数据隐私法律和Facebook的服务条款。”公司发言人对CNBC回应道。
一名了解Facebook安全程序的前员工也指出,通常,只有在认为受到可信威胁的情况下,Facebook的安全团队才会追踪黑名单上的目标,比如目标出现在威胁对象附近等等。
Facebook如此大费周折地应对潜在威胁,真的有必要吗?或许,是肯定的。
据CNBC报道,一位前安全部门员工指出,2015年发生的一件事表明,BOLO名单是必须的。当时,Facebook的安全团队认出了一辆在公司园区游荡的可疑汽车的牌照,牌照的主人正是名单上的一员。于是,保安一直密切监视着这辆车,直到警察出现。根据一份公共记录显示,警方最终以在公共场所暴露猥亵罪逮捕了此人。
除了追踪黑名单目标,Facebook的信息安全团队也会参与其他安全相关的事件,帮助追踪其用户的位置。
2017年,公司一名经理通知安全团队,她管理的一群实习生没有在家登录公司的系统工作。据一名前Facebook安全员工说,这群实习生当时在露营,这名经理表示担心他们的安全。
Facebook的信息安全团队介入了此事,利用实习生的定位数据试图查明他们是否安全。在定位数据没有提供任何有用信息后,安全团队继续深挖发现,这群实习生彼此交流的信息表明,他们根本就没有打算在那天工作,他们对经理撒了谎。随后,安全团队向经理报告了这一发现。
这一做法是否合乎情理?Facebook发言人对此解释道:“对这些人的安全存在担忧是合乎情理的,公司对此有专门的条款,指导我们何时以及如何在员工失踪时访问员工数据。”
企业安全咨询公司Incident Management Group的高管布拉德利指出,美国职业安全与健康管理局的一般责任条款规定,公司必须为员工提供没有导致死亡或严重身体伤害危险性的工作场所。“如果公司知道有威胁,就必须采取措施。”布拉德利表示。“他们如何获取这些信息都是其次,保护员工才是最大的责任。”
红星新闻记者 徐缓 编译报道
编辑 冯玲玲
