昨晚晚些时候，以通奸为主题的***站Ashley Madison的3700万用户得到了一些非常坏的消息。一个自称为Impact Team的组织似乎已经泄露了公司的所有数据，并威胁说，如果Ashley Madison和一个姐妹网站不被关闭，该组织将公布“所有客户记录，包括所有客户秘密性幻想的个人资料”。

收集和保留用户数据是现代网络企业的常态，虽然这些数据通常是看不见的，但对Ashley Madison来说，结果却是灾难性的。事后来看，我们可以指出本应匿名的数据或本应不易访问的连接，但最大的问题是更深层次和更普遍的。如果服务想要提供真正的隐私，他们就必须脱离这些做法，将服务的每一个元素都视为潜在的安全问题。艾希礼·麦迪逊没有那么做。这项服务的设计和安排与其他几十个现代网站一样——通过遵循这些规则，该公司不可避免地犯了这样的错误。

这家公司不可避免地犯了这样的错误

最明显的例子就是Ashley Madison的密码重置功能。它的工作原理和你见过的其他几十次密码重置一样：你输入你的电子邮件，如果你在数据库中，他们会发送一个链接来创建一个新密码。正如开发者特洛伊·亨特指出的那样，如果电子邮件真的在数据库中，它也会向您显示一条稍有不同的消息。结果是，如果你想知道你的丈夫是否在Ashley Madison上寻找约会对象，你所要做的就是**他的电子邮件，看看你能看到哪一页。

早在黑客攻击之前，情况就是这样，而且这是一次严重的数据泄露——但由于它遵循标准的网络实践，所以大部分情况下都没有引起注意。这不是唯一的例子：您可以在数据保留、SQL数据库或其他十几个后端特性方面提出类似的观点。这就是web开发通常的工作方式。你可以在其他网站上找到可以使用的特性，然后复制它们，这样开发者就有了一个可以使用的代码库，用户就可以在了解网站的时候抢先一步。但这些特性通常不会考虑到隐私，这意味着开发人员通常会同时导入安全问题。密码重置功能对于亚马逊（Amazon）或Gmail（Gmail）这样的服务来说是不错的，如果你以用户身份被公开，这并不重要——但对于Ashley Madison这样表面上是私有的服务来说，这是一场等待发生的灾难。

现在，该公司的数据库正处于公开的风口浪尖上，其他一些设计决策可能会被证明更具破坏性。比如，为什么网站会把用户的真实姓名和地址存档？这是一个标准的做法，当然，这当然使计费更容易-但现在阿什利麦迪逊已被违反，很难认为好处大于风险。正如Johns Hopkins密码学家Matthew Green在泄密事件发生后指出的那样，客户数据通常是一种负债而不是资产。如果服务是私有的，为什么不清除服务器上的所有可识别信息，只通过假名进行通信？

客户数据通常是一种负债而不是资产

最糟糕的做法是Ashley Madison的“付费删除”服务，该服务提供以19美元的价格删除用户的私人数据——这种做法现在看起来像是隐私服务中的敲诈。但在更广泛的网络中，即使是为隐私支付额外费用的想法也不是什么新鲜事。WHOIS提供了一个相同的服务版本：每年额外支付8美元，你就可以把你的个人信息保存在数据库之外。当然，不同的是，艾希礼·麦迪逊是一种完全不同的服务，从一开始就应该把隐私烘托进来。

这是一个悬而未决的问题阿什利麦迪逊的隐私需要有多强-它应该使用比特币而不是信用卡？坚持要Tor？-但该公司似乎完全忽视了这些问题。结果是一场灾难即将发生。没有明显的技术故障可以归咎于漏洞（据该公司称，攻击者是内部威胁），但存在严重的数据管理问题，这完全是Ashley Madison的错。很多有泄露风险的数据根本就不应该存在。

但是，虽然艾希礼·麦迪逊公开保留了那么多数据，犯了一个糟糕的、痛苦的错误，但这并不是唯一一家犯这个错误的公司。我们期望现代网络公司收集并保留用户的数据，即使他们没有理由这样做。从网站的融资方式到网站的设计方式，人们的期望都会达到每一个层次。它很少会适得其反，但一旦发生，对公司和用户来说都可能是一场噩梦。对于阿什利·麦迪逊来说，可能是因为公司没有真正考虑隐私问题，直到为时已晚。

边缘视频：性的未来是什么？