分类: 国际动态

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

被发现监视用户的阿联酋社交应用 ToTok 在谷歌 Play Store 重新上架

据外媒报道,谷歌在12月曾下架阿联酋社交应用ToTok,然而现在这款聊天应用已在谷歌Play Store重新上架。当时《纽约时报》曾报道称,ToTok被认为是阿联酋政府的秘密监视工具,使它可以监视ToTok用户的位置、消息和社交关系。 “我们认真对待有关违反安全和隐私的报告。如果发现违反我们政策的行为,我们将采取行动。”一位谷歌发言人在一封电子邮件中告诉Motherboard。 《纽约时报》援引一位美国情报官员的话说,“ ToTok被阿联酋政府政府用来追踪用户的每一次谈话、动向、关系、约会、声音和图像。” 报告补充说,该应用程序在中东、欧洲、亚洲、非洲和北美拥有大量用户,Apple和Google应用程序商店被下载了数百万次。 在《纽约时报》接触谷歌和苹果的代表发表评论后,两家公司都在调查过程中将ToTok从其应用商店中删除。 在《纽约时报》发表文章的同一天,Motherboard通过恶意软件搜索引擎VirusTotal处理了ToTok Android应用程序。当时,没有杀毒软件公司将该应用标记为恶意。然而周一,ESET,Fortinet和Symantec 都将同一版本的应用程序标记为恶意。 在谷歌Play Store重新上架的ToTok版本是更新版本。在“新功能”部分下,ToTok应用程序页面显示为“有一个新设计的对话框,要求您授权访问和同步您的联系人列表。” Google最初下架该应用程序时,曾表示ToTok违反了未指定的政策。 “等待已经结束。我们很高兴地通知您,#ToTok现在可以在Google Play商店中下载了。感谢您的耐心等待。让我们联系!‬” ToTok 周日在其网站上的简短公告中写道。ToTok的共同研发者Giacomo Ziani在接受美联社的采访时为该应用程序辩护,并表示他不知道与他的项目相关的人们与阿联酋的情报有关。 当被问及是否会在自己的应用商店中重新上架该应用程序时,苹果公司没有立即回应置评请求。   (稿源:cnBeta,封面源自网络。)

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

受加州新隐私法推动 Firefox 将允许用户删除其收集的数据

据外媒CNET报道,Firefox 浏览器制造商Mozilla表示,它使所有用户都可以更好地控制自己的数据。这项改变是由《加州消费者隐私法案》(CCPA)推动的,该法案于周三正式生效。新的数据隐私法赋予加州居民了解科技公司收集哪些个人数据的权利。它还使人们可以要求公司删除其数据,而不是将其出售。Mozilla表示,根据CCPA进行的更改将适用于每个Firefox用户,而不仅限于加州的用户。 Mozilla在周二发布的一篇博文中表示,它将使Firefox用户可以选择删除该公司在下一版浏览器(该版本将于1月7日发布)中收集的数据。Firefox不会在浏览网站或进行搜索查询时收集数据。Mozilla表示,它将允许用户选择删除遥测数据,其中包括打开了多少标签或会话持续了多长时间。Mozilla称,它使用这些数据来改善Firefox的性能和安全性。 包括微软在内的其他公司也表示,将把新法律要求的权利扩展到加州以外的用户。该公司表示,法律的要求符合其认为隐私是一项基本人权的信念。 出于意识形态或实践原因,可能会有更多公司效仿。一些法律观察家表示,一些公司可能认为为两个州的用户创建两个不同的界面,或者确定哪些用户符合法律规定的加州居民资格是不值得的。此外,其他州也考虑了类似的隐私法,因此未来的要求可能会超出加州。 CCPA还禁止公司歧视依法行使权利的用户,并允许用户起诉公司因疏忽造成的数据泄露。CCPA与欧洲的《通用数据保护条例》相似,该条例于2018年生效。     (稿源:cnBeta,封面源自网络。)

Mozilla 宣布将在全球范围内遵守美国加州隐私规定

据外媒报道,Mozilla日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律,类似于欧盟推行的《GDPR》。据悉,CCPA将于当地时间1月1日正式实行。 有了《CCPA》,加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》,加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出,它已经收集的用户数据非常少,然而,在即将到来的更新中,Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中,遥测只能提供Mozilla一般信息,比如打开了多少个标签页、打开了多长时间,但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中,用户将能找到一个可以删除其遥测数据的控件。   (稿源:cnBeta,封面源自网络。)

男子因通过钓鱼邮件骗取 Google 和 Facebook 1.2 亿美元被判处 5 年徒刑

Evaldas Rimasauskas(48)于2017年3月被地方当局逮捕。原因是其伪装成亚洲大型硬件供应商Quanta Computer并从这两家IT巨头盗窃了大量资金。 起诉书中明确提到了Facebook和Google。根据调查人员的说法,Rimasauskas创建了电子邮件帐户,诱骗Facebook和Google的员工们相信这些电子邮件来自亚洲硬件供应商。 Rimasauskas假扮那些经常与Google 和 Facebook进行数百万美元交易的Quanta员工,并通过向这些员工发送钓鱼邮件,诱导他们向自己的帐户汇款。 Evaldas Rimasauskas于2017年5月在 Vilnius 地方法院照–来源法新社   Rimasauskas使用来自塞浦路斯,立陶宛,匈牙利,斯洛伐克和拉脱维亚的多个银行帐户来接收欺诈性付款。 美国执法部门于2017年将其逮捕。Rimasauskas 对邮件欺诈,身份盗窃和三项洗钱罪等犯罪事实供认不讳。 司法部发布新闻稿称:“除了监禁,法官还命令Rimasauskas在刑满释放后接受两年的监控,没收49,738,559.41美元,并要求其支付26,479,079.24美元的罚款。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

加州新法允许互联网用户删个性数据 影响有多大

12月21日消息,据《财富》网站报道,到2020年,许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律,将要求企业告诉消费者它们收集了消费者哪些数据,而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏,因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据,这些广告的效果就会下滑。 例如,由于在线广告不再像以前那样个性化,沃尔玛可能会错过一些销售机会。与此同时,谷歌面临着失去一大部分收入的风险,因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿,其影响可能是巨大的。但只有在明年1月1日新法律生效后,人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》(GDPR)类似法律,但利用该法律维权的人数并不很多,因此加州这部法律究竟会带来怎样影响,目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示:“这对数千、数十万还是数百万的人来说是件大事?我们还不知道。” 然而,对于受到这部隐私保护法律影响的企业来说,遵守规则的负担是非常现实的。例如,这部法律要求,企业要求消费者提供数据或消费者要求删除自己的数据,企业要给消费者提供两种方式,如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称,加州的企业将不得不额外支出550亿美元的前期成本,包括法律咨询和更改系统等,就单个企业而言,其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律,但美国大多数大公司都在加州做生意,因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声,一些大公司,如微软,以及一些小公司,包括波士顿的互联网服务提供商Starry,已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称,到目前为止,只有少数客户要求删除他们的数据,还有几十人写信给公司,感谢给了他们这样做的选择。 其他人,如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称,这部法律将使成千上万的小型企业陷入困境,比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是,那些拥有至少5万用户数据的公司——例如,收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示:“大企业有能力解决这个问题,但对于小企业来说,这是一个极端沉重的负担,而小企业是美国经济的支柱。” 因此,克里斯·梅预测,美国许多中小企业可能不会遵守这部法律,因为他们认为自己不会受到惩罚,或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期,加州司法部将于7月1日开始执行这项法律。克里斯·梅表示,小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示:“我们被赋予了执行这部法律的责任,所以我们要做的就是尽我们所能与消费者和企业合作,确保他们遵守这部法律。” 然而,这可能不是最后的结论,因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了,但戴恩表示,美国商会的这次推动不同于以往,因为该组织希望保留加州法律的广泛原则,尤其是要求和删除大部分个人数据的权利,同时更多地保护中小企业。 在美国国会,民主党和共和党罕见地就通过这样一部法律达成了一致,尽管两党对哪个部门应该执行这项法律,以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法,但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为,美国对隐私的态度已经发生了巨大变化,可能会在2020年总统大选之前通过一项法律。 克里说:“随着越来越多的国会议员将更多时间花在网络上,并担心数据隐私对他们的后代带来影响,情况已发生变化。”   (稿源:网易科技,封面源自网络。)

美国海军因担忧安全问题而禁止其军事人员使用 TikTok

据报道,由于担心网络安全问题,美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道,美国海军在本周初发布在Facebook页面上的军事人员公告中表示,那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求,但五角大楼发言人在接受路透社采访时说,该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说,该公告“确认了与使用TikTok应用程序相关的潜在风险,并指导员工采取适当措施以保护其个人信息。”但是,海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动(ByteDance)拥有,美国官员一段时间以来对中国科技公司的产品充满了担忧,称其可能会被用于间谍活动和其他威胁性活动。 路透社指出,在参议员查克·舒默(Chuck Schumer)对使用该应用程序的陆军招募工作表示担忧之后,上个月,美国陆军已先行禁止学员使用TikTok。   (稿源:cnBeta,封面源自网络。)

Facebook 致信美国司法部长 将不会从其消息传递应用中删除加密技术

据外媒The Verge报道,Facebook高管对美国司法部长威廉·巴尔(William Barr)表示,在周二参议院就加密问题进行听证会之前,该公司不会向执法部门提供对其加密消息产品的调查访问。 在一封信中,WhatsApp和Messenger负责人Will Cathcart和Stan Chudnovsky分别表示,不良行为者可能出于恶意目的利用任何“后门”访问Facebook为执法而创建的产品。因此,Facebook拒绝了巴尔使其产品更易于使用的请求。 “您要求执法部门进行的’后门’访问将是对罪犯、黑客和镇压政权的礼物,为他们提供了一种进入系统的方式,并使我们平台上的每个人都更容易遭受现实生活的伤害,” Facebook高管写道。“人们的私人信息将不太安全,真正的赢家将是任何试图利用这种弱化的安全性的人。那不是我们准备做的事情。” 今年早些时候,Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)宣布,该公司将大力发展端到端的加密消息服务。它的三个消息传递产品(Instagram,WhatsApp和Messenger)的底层基础结构将被捆绑在一起并变得更加私密。 十月份,司法部就这一隐私声明与Facebook发生了争执,暗示该公司的计划将使罪犯(主要是性贩子和恋童癖者)受益。巴尔表示:“公司不应故意设计其系统,以防止以任何形式访问内容,甚至是为了预防或调查最严重的犯罪。” Facebook 周二的信是为回应巴尔十月份的询问而发出的,并且是在参议院司法部门关于加密的听证会之前发出。主席Lindsey Graham(R-SC)告诉苹果和Facebook代表,他赞赏“人们无法侵入我的手机这一事实”,但是加密的设备和消息传递为罪犯和剥削儿童提供了“避风港”。 在听证会上,Facebook消息传递隐私总监Jay Sullivan告诉参议员,该公司认为“美国公司在安全和加密消息传递领域处于领先地位至关重要”,因为如果不是这样,国外的公司将提供相同的服务。Sullivan建议,如果是这样的话,这些公司将遥不可及,并且可能不会与美国执法人员合作。Facebook和其他大型科技公司在针对涉及数据隐私和内容审查的更广泛的监管威胁时,一再对外国政府做出类似的声明。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)