分类: 国际动态

美政府被曝利用移动广告定位数据研究新冠病毒传播

据外媒报道,据知情人士透露,美国疾病控制和预防中心(CDC)已与全美各州和地方政府合作,追踪人们的手机位置数据,借以研究新型冠状病毒的传播趋势。 知情人士表示,移动广告公司(而非手机运营商本身)始终在通过CDC向美国政府机构转发“某些地理上感兴趣的用户”的信息。显然,此举旨在帮助创建全国性的政府门户网站,并将使用多达500个城市的地理位置数据来监控疫情。 官员们辩称,这些信息已经被匿名化和汇总,可以帮助他们针对病毒的传播情况量身定做疫情应对措施,并使用某人驾车行驶里程或去过多少家商店等变量来预估疫情的经济影响。 政府机构的这种监测也可以充当提示,看人们是否遵守CDC保持安全距离的指导方针或官方的“就地避难”命令。例如,研究人员通过地理位置数据发现,尽管接到了警告通知,但仍有大批纽约人在参观布鲁克林展望公园,于是他们联系了警方。 虽然这些数据据称已经被去除了任何可识别的信息,但这仍然引发隐私权活动家的担忧。隐私研究人员沃尔菲·克里斯托(Wolfie Christl)表示,该行业正将其侵入性做法和产品作为共享元数据的借口。 克里斯托称:“由于疫情爆发,在某些情况下利用基于消费者数据的聚合分析可能是合适的,即使数据是由公司秘密或非法收集的。因为位置数据的真正匿名化几乎是不可能的,所以强有力的法律保障至关重要。” 尽管如此,针对这些移动广告商的法规还没有在现有隐私法中给与明确定义,特别是因为手机用户经常选择加入这些公司的跟踪措施,并与政府机构共享不包含任何可识别信息的数据。 不过,电信运营商需要遵守不同的规则,几家运营商指出,美国政府目前还没有向它们索要元数据。这可能是因为官员们正在从其他科技巨头那里寻求同样的信息,据称美国政府正在与Facebook、谷歌和其他科技公司进行“积极谈判”,以获取匿名的聚合数据,监控用户是否遵守了官方的健康法规。 世界各国政府已经开始实施类似的监测,以帮助做出应对疫情反应。据报道,意大利、德国和奥地利的电信公司已经承认与政府机构共享用户的地理位置数据。 上周,欧盟内部市场专员蒂埃里·布雷东(Thierry Breton)向该地区最大的电信公司施压,要求它们共享客户手机上的匿名元数据以跟踪病毒的传播情况,并利用这些信息对医疗用品进行分类。     (稿源:网易科技,封面源自网络。)  

沙特利用 SS7 漏洞可监控美国任意手机用户位置和信息

立法者和安全专家不断发出警告:全球蜂窝网络存在诸多安全隐患。近日一位告密者称,沙特政府在实施“systematic”监视活动中,利用这些漏洞可以追踪任意美国公民的信息。 systematic是沙特监视海外公民的大型活动,利用强大的移动间谍软件入侵持不同政见者和激进分子的电话以监视其活动。而其中就包括华盛顿邮报专栏作家贾马尔·卡舒吉(Jamal Khashoggi),后者于2018年在领事馆内被沙特特工团队杀害。 根据英国卫报获得的数据缓存,记录了从去年11月开始的4个月时间内数百万沙特公民的位置信息。在报道称,这些位置追踪信息是沙特的三大手机运营商通过七号信令系统(SS7,Signaling System Number 7)漏洞而执行的,而有理由相信背后有沙特政府的影子。 七号信令系统是一种被广泛应用在公共交换电话网、蜂窝通信网络等现代通信网络的共路信令系统。七号信令系统是国际电信联盟推荐首选的标准信令系统。这也是T-Mobile用户可以拨打AT&T用户电话或者给Verizon用户发送短信的原因。 不过专家表示该系统存在诸多漏洞可以让攻击者通过运营商来接听电话和阅读短信。SS7还允许运营商通过发出“提供订户信息”(PSI)请求来跟踪设备所在未知,精度可以达到几百英尺范围。这些PSI请求通常是为了确保正确地向该小区用户计费,例如他们是否在另一个国家的运营商上漫游。 但是尽管有多年的警告和大量关于利用该系统进行攻击的报道,但美国最大运营商几乎没有采取任何措施来确保外国间谍不会滥用其网络进行监视。 美国联邦参议院情报委员会成员罗恩·怀登(Ron Wyden)表示:“我一直在警告美国运营商存在该安全漏洞。如果这份报告是正确的,那么政府机构就可以介入美国的无线网络以追踪我们国内的任何人。” 负责监管蜂窝网络的机构FCC发言人未回应置评请求。     (稿源:cnBeta,封面源自网络。)

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

被发现监视用户的阿联酋社交应用 ToTok 在谷歌 Play Store 重新上架

据外媒报道,谷歌在12月曾下架阿联酋社交应用ToTok,然而现在这款聊天应用已在谷歌Play Store重新上架。当时《纽约时报》曾报道称,ToTok被认为是阿联酋政府的秘密监视工具,使它可以监视ToTok用户的位置、消息和社交关系。 “我们认真对待有关违反安全和隐私的报告。如果发现违反我们政策的行为,我们将采取行动。”一位谷歌发言人在一封电子邮件中告诉Motherboard。 《纽约时报》援引一位美国情报官员的话说,“ ToTok被阿联酋政府政府用来追踪用户的每一次谈话、动向、关系、约会、声音和图像。” 报告补充说,该应用程序在中东、欧洲、亚洲、非洲和北美拥有大量用户,Apple和Google应用程序商店被下载了数百万次。 在《纽约时报》接触谷歌和苹果的代表发表评论后,两家公司都在调查过程中将ToTok从其应用商店中删除。 在《纽约时报》发表文章的同一天,Motherboard通过恶意软件搜索引擎VirusTotal处理了ToTok Android应用程序。当时,没有杀毒软件公司将该应用标记为恶意。然而周一,ESET,Fortinet和Symantec 都将同一版本的应用程序标记为恶意。 在谷歌Play Store重新上架的ToTok版本是更新版本。在“新功能”部分下,ToTok应用程序页面显示为“有一个新设计的对话框,要求您授权访问和同步您的联系人列表。” Google最初下架该应用程序时,曾表示ToTok违反了未指定的政策。 “等待已经结束。我们很高兴地通知您,#ToTok现在可以在Google Play商店中下载了。感谢您的耐心等待。让我们联系!‬” ToTok 周日在其网站上的简短公告中写道。ToTok的共同研发者Giacomo Ziani在接受美联社的采访时为该应用程序辩护,并表示他不知道与他的项目相关的人们与阿联酋的情报有关。 当被问及是否会在自己的应用商店中重新上架该应用程序时,苹果公司没有立即回应置评请求。   (稿源:cnBeta,封面源自网络。)

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

受加州新隐私法推动 Firefox 将允许用户删除其收集的数据

据外媒CNET报道,Firefox 浏览器制造商Mozilla表示,它使所有用户都可以更好地控制自己的数据。这项改变是由《加州消费者隐私法案》(CCPA)推动的,该法案于周三正式生效。新的数据隐私法赋予加州居民了解科技公司收集哪些个人数据的权利。它还使人们可以要求公司删除其数据,而不是将其出售。Mozilla表示,根据CCPA进行的更改将适用于每个Firefox用户,而不仅限于加州的用户。 Mozilla在周二发布的一篇博文中表示,它将使Firefox用户可以选择删除该公司在下一版浏览器(该版本将于1月7日发布)中收集的数据。Firefox不会在浏览网站或进行搜索查询时收集数据。Mozilla表示,它将允许用户选择删除遥测数据,其中包括打开了多少标签或会话持续了多长时间。Mozilla称,它使用这些数据来改善Firefox的性能和安全性。 包括微软在内的其他公司也表示,将把新法律要求的权利扩展到加州以外的用户。该公司表示,法律的要求符合其认为隐私是一项基本人权的信念。 出于意识形态或实践原因,可能会有更多公司效仿。一些法律观察家表示,一些公司可能认为为两个州的用户创建两个不同的界面,或者确定哪些用户符合法律规定的加州居民资格是不值得的。此外,其他州也考虑了类似的隐私法,因此未来的要求可能会超出加州。 CCPA还禁止公司歧视依法行使权利的用户,并允许用户起诉公司因疏忽造成的数据泄露。CCPA与欧洲的《通用数据保护条例》相似,该条例于2018年生效。     (稿源:cnBeta,封面源自网络。)

Mozilla 宣布将在全球范围内遵守美国加州隐私规定

据外媒报道,Mozilla日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律,类似于欧盟推行的《GDPR》。据悉,CCPA将于当地时间1月1日正式实行。 有了《CCPA》,加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》,加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出,它已经收集的用户数据非常少,然而,在即将到来的更新中,Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中,遥测只能提供Mozilla一般信息,比如打开了多少个标签页、打开了多长时间,但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中,用户将能找到一个可以删除其遥测数据的控件。   (稿源:cnBeta,封面源自网络。)

男子因通过钓鱼邮件骗取 Google 和 Facebook 1.2 亿美元被判处 5 年徒刑

Evaldas Rimasauskas(48)于2017年3月被地方当局逮捕。原因是其伪装成亚洲大型硬件供应商Quanta Computer并从这两家IT巨头盗窃了大量资金。 起诉书中明确提到了Facebook和Google。根据调查人员的说法,Rimasauskas创建了电子邮件帐户,诱骗Facebook和Google的员工们相信这些电子邮件来自亚洲硬件供应商。 Rimasauskas假扮那些经常与Google 和 Facebook进行数百万美元交易的Quanta员工,并通过向这些员工发送钓鱼邮件,诱导他们向自己的帐户汇款。 Evaldas Rimasauskas于2017年5月在 Vilnius 地方法院照–来源法新社   Rimasauskas使用来自塞浦路斯,立陶宛,匈牙利,斯洛伐克和拉脱维亚的多个银行帐户来接收欺诈性付款。 美国执法部门于2017年将其逮捕。Rimasauskas 对邮件欺诈,身份盗窃和三项洗钱罪等犯罪事实供认不讳。 司法部发布新闻稿称:“除了监禁,法官还命令Rimasauskas在刑满释放后接受两年的监控,没收49,738,559.41美元,并要求其支付26,479,079.24美元的罚款。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

加州新法允许互联网用户删个性数据 影响有多大

12月21日消息,据《财富》网站报道,到2020年,许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律,将要求企业告诉消费者它们收集了消费者哪些数据,而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏,因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据,这些广告的效果就会下滑。 例如,由于在线广告不再像以前那样个性化,沃尔玛可能会错过一些销售机会。与此同时,谷歌面临着失去一大部分收入的风险,因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿,其影响可能是巨大的。但只有在明年1月1日新法律生效后,人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》(GDPR)类似法律,但利用该法律维权的人数并不很多,因此加州这部法律究竟会带来怎样影响,目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示:“这对数千、数十万还是数百万的人来说是件大事?我们还不知道。” 然而,对于受到这部隐私保护法律影响的企业来说,遵守规则的负担是非常现实的。例如,这部法律要求,企业要求消费者提供数据或消费者要求删除自己的数据,企业要给消费者提供两种方式,如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称,加州的企业将不得不额外支出550亿美元的前期成本,包括法律咨询和更改系统等,就单个企业而言,其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律,但美国大多数大公司都在加州做生意,因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声,一些大公司,如微软,以及一些小公司,包括波士顿的互联网服务提供商Starry,已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称,到目前为止,只有少数客户要求删除他们的数据,还有几十人写信给公司,感谢给了他们这样做的选择。 其他人,如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称,这部法律将使成千上万的小型企业陷入困境,比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是,那些拥有至少5万用户数据的公司——例如,收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示:“大企业有能力解决这个问题,但对于小企业来说,这是一个极端沉重的负担,而小企业是美国经济的支柱。” 因此,克里斯·梅预测,美国许多中小企业可能不会遵守这部法律,因为他们认为自己不会受到惩罚,或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期,加州司法部将于7月1日开始执行这项法律。克里斯·梅表示,小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示:“我们被赋予了执行这部法律的责任,所以我们要做的就是尽我们所能与消费者和企业合作,确保他们遵守这部法律。” 然而,这可能不是最后的结论,因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了,但戴恩表示,美国商会的这次推动不同于以往,因为该组织希望保留加州法律的广泛原则,尤其是要求和删除大部分个人数据的权利,同时更多地保护中小企业。 在美国国会,民主党和共和党罕见地就通过这样一部法律达成了一致,尽管两党对哪个部门应该执行这项法律,以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法,但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为,美国对隐私的态度已经发生了巨大变化,可能会在2020年总统大选之前通过一项法律。 克里说:“随着越来越多的国会议员将更多时间花在网络上,并担心数据隐私对他们的后代带来影响,情况已发生变化。”   (稿源:网易科技,封面源自网络。)

美国海军因担忧安全问题而禁止其军事人员使用 TikTok

据报道,由于担心网络安全问题,美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道,美国海军在本周初发布在Facebook页面上的军事人员公告中表示,那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求,但五角大楼发言人在接受路透社采访时说,该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说,该公告“确认了与使用TikTok应用程序相关的潜在风险,并指导员工采取适当措施以保护其个人信息。”但是,海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动(ByteDance)拥有,美国官员一段时间以来对中国科技公司的产品充满了担忧,称其可能会被用于间谍活动和其他威胁性活动。 路透社指出,在参议员查克·舒默(Chuck Schumer)对使用该应用程序的陆军招募工作表示担忧之后,上个月,美国陆军已先行禁止学员使用TikTok。   (稿源:cnBeta,封面源自网络。)