我们的行为一直在被秘密地”评分”

  • 有一种系统类似于中国的信用评分,除了被监视者无法看到自己的分数之外。它是什么样的?

几乎所有我们购买的产品、我们如何购买、以及我们购买的地方,都被秘密地提供给了人工智能支持的监视服务,帮助企业防范信用卡和其他形式的欺诈行为。

一项名为 Sift 的服务分析了超过16,000个信号,产生的“Sift 得分”范围为1–100。根据公司发言人的说法,该分数用于标记供应商可能希望根据个人或实体的整体“可信度”分数阻止的设备、信用卡和账户。

来自 Sift 网站的消息写道:“每次我们获得一个事件 — — 无论是页面视图还是 API 事件 — — 我们都会提取与这些事件相关的特征并计算 Sift 得分。然后根据我们在您的网站和我们的全球网络中看到的欺诈行为对这些功能进行权衡,并确定用户的分数。有些特征会对分数产生负面影响,也有些可能会对分数产生积极影响。“

该系统类似于中国的信用评分 — — 除了被监视者无法找到自己的 Sift 评分之外。在这里看到视频:

影响一个人的 Sift 得分的因素包括以下这些

  • 帐户是新的吗? — — 使用一次性身份做匿名保护的人麻烦了;
  • 电子邮件地址的末尾是否有很多数字? — — 喜欢数字的人麻烦了;
  • 交易来自您帐户不寻常的IP地址吗? — — 使用代理保护自己的人麻烦了;
  • 该交易是来自中国、俄罗斯还是东欧等黑客众多的地区吗? — — 上述地区全麻烦了;
  • 交易来自匿名网络吗? — — 隐私爱好者麻烦了;
  • 交易是在一天中“奇怪的”时间发生的吗? — — 夜猫子麻烦了;
  • 使用的信用卡是否有与之相关的退款?
  • 浏览器与您通常使用的浏览器不同吗?
  • 该设备与您通常使用的设备不同吗?
  • 您输入密码的方式是否典型?(由一些先进的系统跟踪……)

该监视系统由 Airbnb,OpenTable,Instacart 和 LinkedIn 等公司使用。

使用此类服务​​的公司经常在其隐私政策中提及 — — 请参阅 Airbnb — — 但我们中有多少人意识到我们的帐户行为是以安全的名义与我们从未听说过的公司分享的?一家公司与这些欺诈检测服务共享的信息中有多少被该服务的其他客户使用了?为什么我们不能自己访问这些数据、更新、更正或删除它?

根据 Sift 和具有类似评分系统的 SecureAuth 等竞争对手的说法,这种做法“符合”欧盟通用数据保护条例等法规,该法规要求公司不存储可用于识别真实人类的数据,除非他们给予许可。

不幸的是,Everlaw 的安全和合规负责人 Lisa Hawke 说,GDPR 一年前生效,其规则通常含糊不清。她补充道,所有这一切都必须在法庭上进行整理。

为了优化评分,“Sift 定期评估模型的性能,并尽量减少偏差和变化,以最大限度地提高准确性”,一位发言人表示。

“虽然我们不对客户的系统进行偏见审计,但我们使使用我们平台的组织能够尽可能多地了解用于做出决策的决策树、模型或数据,” SecureAuth 的首席安全架构师 Stephen Cox 说,“在某些情况下,我们可能不完全了解我们的服务和产品在客户环境中的使用方式。”

虽然 Sift 和 SecureAuth 追求准确性,但有时很难将真实的购买行为和欺诈区分开。

“有时候你最好的客户和最差的客户看起来都是一样的,”Patreon 的信任和安全主管 Jacqueline Hart 说,这是一个艺术家和创作者使用的网站,允许赞助者支持他们。 “你可以让某人进来说我要承诺1万美元,他们要么是骗子,要么是艺术的惊人赞助人,”Hart 补充道。

如果一个帐户因其 Sift 分数而被拒绝,Patreon 会将该赞助人指向公司的信任和安全团队,“这对我们来说是一个重要的方式,我们可以从 Sift 评分中找出是否存在任何误报,并且如果它不应被标记为高风险,则恢复帐户,”Hart 说。

有许多潜在的迹象表明交易是可疑的。 “令人惊讶的是,当有人未能有效登录时,你也知道这是一个真实的人”。机器人每次登录都很完美。最后包含大量数字的电子邮件地址和全新的帐户也更容易是欺诈,来自匿名网络(如Tor)的登录也是如此。Sift 发言人说

根据发言人的说法,一个人的得分会根据用户的行为以及系统收集的任何新信息不断变化。

虽然 Sift 声称可以判断一个人是否可以信任,没有带有您姓名的文件可供审查,因为它不需要你的名字来分析你的行为,但是根据报告 — — 这似乎是完全的 BS,

从技术上讲,可能会使用户数据难以或无法链接到真人。苹果和其他公司表示,他们采取措施防止这种“去匿名化”。而 Sift 不使用这些技术。个人姓名可以是其客户与之共享的特征之一,以确定交易的风险。公司生活在越来越大的起诉威胁之下,但正如刚刚发布的关于 Facebook 广告算法中的偏见的研究表明的那样,即使是最复杂的运营商也似乎并不完全了解他们的系统是如何表现的

“我认为,在我们保护隐私的愿望中,我们必须要小心,因为我们是否会让好人无法履行必要的安全功能?” Anshu Sharma 是 Clearedin 的联合创始人,该公司是一家帮助公司避免成为电子邮件网络钓鱼攻击受害者的创业公司。

他建议的解决方案透明度。例如,当公司根据他们的 Sift 分数拒绝潜在客户时,它应该解释原因 — — 即使这暴露了评分系统的工作方式。

但是为什么我们要被秘密地监视和评分呢?

We’re All Being Judged By A Secret ‘Trustworthiness’ Score. The system is similar to a credit score — except there’s no way to find out your own Sift score.

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据