分类: 国际动态

Facebook 前安全主管:政府和媒体对 FB 丑闻也应担责

新浪科技讯 北京时间11月19日早间消息,Facebook前安全主管亚历克斯·斯塔莫斯(Alex Stamos)周日在《华盛顿邮报》发表文章,他认为,虽然Facebook在俄罗斯干扰大选一事上的处理很失败,但是美国国会、媒体和情报机构在这一问题上也没有做好。 此前《纽约时报》报道称,在美国大选期间,俄罗斯利用Facebook散布虚假言论,但Facebook CEO扎克伯格和COO桑德伯格有意掩盖此事,还将重要决策权分派给下属。 斯塔莫斯表示,Facebook此前在与公众沟通时确实在“坚持最小化+否认的公共交流原则”,这是不对的,Facebook“当时应该在面对威胁时及早响应,并且以更透明的方式公开信息”。不过斯塔莫斯强调:“在公司内,没有任何人告诉我应该无视俄罗斯活动,对于发现的问题,也没有人告诉我应该撒谎。” 他还表示,不只Facebook在这个事情上犯了错,其他人也一样,比如情报机构。“在大选之前,围绕俄罗斯信息战目标及能力问题,美国庞大的情报界并没有提供可操作情报,事后也没有提供足够的援助。” 而对于国会,斯塔莫斯认为议员在调查听证会上哗众取宠,忽视事实,未能对行政机构进行有效监督,也未能建立共同防御战线。 同时,斯塔莫斯还指责媒体推波助澜,发表大量关于民主党高层政要内部邮件的文章,从而“激励”俄罗斯黑客的行动。 斯塔莫斯认为,在面对未来的信息战时,各方应该团结一致,保护社会。他还警告说,2020年总统竞选黑客肯定会关注,各方应更加小心。   稿源:新浪科技,封面源自网络;

下一代 HTTP 底层协议将弃用 TCP 协议 改用 QUIC 技术

新浪科技讯,据中国台湾地区iThome.com.tw报道,国际互联网工程任务组(Internet Engineering Task Force, IETF)将于近日商讨下一代HTTP底层协议,可能不再使用已经沿用多年的TCP协议,而有望改用以UDP协议发展出的QUIC技术,同时新一代HTTP将命名为HTTP/3。 目前,人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议,优点是安全、流量稳定、讲求封包的传输顺序,但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输,Google提出了实验性网络层协议,称为QUIC。 QUIC并不使用TCP,而改用UDP (User Datagram Protocol)为底层,UDP虽然较不安全、可能有掉封包或封包后发先至的问题,但较简单、传输效率更高,能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击(DoS)。 虽然Google有意将QUIC提交到IETF,以便成为下一代网际网络规范,但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC,而IETF的为iQUIC。 另一方面,当IETF的QUIC工作小组将QUIC标准化时,它衍生出共两个协议,一个是网络传输协议,一个是HTTP层协议。网络传输层协议也可用于传输其他数据,不只为HTTP设定,但两者名称都使用了QUIC;而在iQUIC上传输的HTTP协议,长期以来就被称为HTTP-over-QUIC,或HTTP/QUIC。 为了解决种种混淆,让彼此之间更容易分别,IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC(HTTP/QUIC)重新命名为HTTP/3,并在上周举行的IETF HTTPBIS会议中提议,并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报,简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC(HTTP/3)并非HTTP/1.1或HTTP/2的后代,也不是QUIC上的HTTP/2协议,因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源:新浪科技,封面源自网络;

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:新浪科技,封面源自网络;

50 个国家签署文件承诺将打击网络犯罪行为

据外媒报道,来自世界各地50个国家和超150多家科技公司签署了一项名为《Paris call for trust and security in cyberspace》的承诺以表它们致力于打击网络犯罪行为的决心。获悉,法国总统马克龙在众领导人参加一战结束100周年纪念活动前一日公布了这份文件。 签署该文件的国家有日本、加拿大和所有欧盟国家,谷歌、微软、Facebook等国际科技巨头公司也表示将致力于打击网络犯罪。 虽然美国大量政府机构和官员近些年来表示国家经历了多起网络犯罪案件包括2016年总统大选干预等,但它并没有在这份文件上签字。另外,中国和俄罗斯也没有在这份文件上签字。 据美联社报道,马克龙在由联合国文化机构UNESCO组织的互联网管理论坛活动上表达了需要更好监管互联网的迫切需要。 加拿大总理特鲁多则在签署承诺后发表声明称:“作为一个社会、作为科技领袖同时作为一个政府,我们必须要做的其中一件事情是让人们相信创新、技术…他们会觉得自己是我们正在构建的世界的一部分、是我们正在创造的工作场所的一部分。”   稿源:cnBeta,封面源自网络;

参议员提出的隐私法草案可能会让科技公司的 CEO 因数据泄露而入狱

在Equifax发生大规模破坏之后一年,数百万人感到沮丧,因为此后没有任何改变。全国范围内都有集体诉讼,这通常是对数据泄露事件的回应,律师今年也起诉Facebook和Uber,但立法者仍然认为这些公司无需对错误处理数百万人的数据负责。 来自俄勒冈州的民主党参议员罗恩·怀登希望通过“消费者数据保护法”改变这一点。这位立法者在参议院一直处于网络安全和隐私问题的最前沿,于周四提出了一项数据隐私法案草案,对违反用户隐私权的公司准备进行更严厉的处罚。 该法案仅适用于市值超过5000万美元且拥有超过100万人以上个人信息的公司。该草案建议提高联邦贸易委员会执行反隐私侵权的能力,并且要求公司提交年度数据保护报告,类似于Google和Apple等公司自愿发布的透明度报告。该报告需要由首席执行官签署,如果他们向联邦贸易委员会撒谎,他们可能面临长达20年的监禁。 Wyden的法案草案还引入了一个全国性的“Do No Track”,该网站将为美国人创建一个中心页面,让他们选择退出互联网上的数据共享。目前,如果您想退出数据跟踪,则必须在您注册的每个网站的设置中执行此操作。在某些情况下,选择退出的唯一方法是不使用网站。 去年,国会山正在推动联邦数据隐私法,以应对像Facebook在Cambridge Analytica的问题上遇到的隐私问题。另外,苹果首席执行官蒂姆库克呼吁制定联邦数据隐私法,认为隐私是一项“基本人权”。谷歌,Facebook和亚马逊也表示他们支持联邦数据隐私法,尽管科技公司想要什么和隐私倡导者想要什么有很大的不同。   稿源:cnBeta,封面源自网络;

欧洲议会要求全面审计 Facebook:评估个人数据安全性

新浪科技讯 北京时间10月26日上午消息,据美国科技媒体TechCrunch报道,在Facebook出现一系列数据泄露丑闻之后(包括此前“剑桥分析”事件),欧洲议会提出要对Facebook进行全面审计。 之前Facebook有870万用户的数据被不正当获取及滥用,为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计,以评估数据保护和用户个人数据的安全性。 在决议中,他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任,还“违反了欧盟法律”。 本月早些时候,欧盟议会的民权委员会通过了一项类似的决议,要求对Facebook进行全面且独立的审计,并要求该公司进一步调整其平台。 民权委员会还要求欧盟竞争法进行更新以反映它所称的“数字现实”,并调查大型科技社交媒体平台“可能出现的垄断行为”。 在议会投票之后,民权委员会主席克劳德·莫拉斯(Claude Moraes)在声明中表示:“这是一个全球性的问题,已经影响了我们的公民公投和选举。这一决议规定了一些需要落实的措施,包括对Facebook进行独立审计、更新我们的竞争法以及采取额外的措施保护我们的选举。我们必须立刻采取行动,这么做不仅是要恢复公民对于在线平台的信任,也是要保护公民的隐私,恢复他们对于我们民主体系的信任和信心。” 在该决议通过之前,Facebook的创始人马克·扎克伯格(Mark Zuckerberg)曾出席欧盟议会的党团主席联席会议。此前,欧盟议会委员会也举办了一系列的听证会,Facebook工作人员参与出席。 欧盟新出台的数据保护框架《一般数据保护条例》(GDPR)在今年五月才生效——因此,Cambridge Analytica数据泄密事件的处理依然是依据先前的数据保护网络,即由成员国法东拼西凑而得的一个规定。 今天早些时候,英国数据监管机构表示对于Facebook的违规行为进行罚款的决定维持原判。根据英国之前的数据保护制度,罚款金额最高可达50万英镑。 在新的决议中,欧洲议会成员表示Cambridge Analytica获取的数据也许被用于政治用途,包括英国脱欧的公投以及2016年的美国总统大选——并称选举法将数字竞选因素考虑在内一事刻不容缓。 为了应对社交媒体干预选举一事,欧洲议会成员提议: – 在网络上采用传统的“离线”选举保障措施:制定关于花费透明度以及限制的规定、尊重静默期、平等对待候选人; – 便于识别线上付费政治广告以及活动背后的组织; – 严禁出于选举目的进行介绍,包括利用线上行为来揭露政治偏好; – 社交媒体应当标记机器人分享的内容,加快删除虚假账号,并与独立的事实核查人及学术界合作,以解决虚假信息的问题; – 成员国在欧洲检察官组织的支持下对于境外势力滥用在线政治空间的问题进行调查。 最近,英国的一个议会委员会敦促政府优先考虑民主流程面临的数字风险并据以调整选举法。不过至今为止,政府对此的态度依旧是较为谨慎,称还在通过审查该问题的不同方面以收集证据。 与此同时,Facebook也在一些地区推出了针对政治广告商的监测系统——包括英国。但是议会成员国显然认为这家公司需要采取更多措施。 英国DPA此前曾呼吁从道德角度认真考虑在线平台出现的政治微目标定位问题,并表示对于数据的使用方式以及可能被滥用一事有诸多担忧。   稿源:新浪科技,封面源自网络;

库克表达对用户数据滥用的担忧 呼吁制定联邦隐私法

北京时间10月25日凌晨消息 苹果首席执行官蒂姆库克(Tim Cook)周三表示,客户数据正在被各个公司以“军事化的效率”增加利润,并呼吁在美国制定联邦隐私法。但Facebook首席执行官马克扎克伯格(Mark Zuckerberg)为其公司基于广告的商业模式辩护说,用户意识到了要为免费服务作出一定的让步的。 库克在国际数据保护和隐私委员会会议上发表讲话称,苹果将支持美国隐私法,并且还宣称苹果公司保护用户数据和隐私的承诺。 苹果公司过去设计了许多保护用户的产品,这样的做法不像今年的谷歌和Facebook,很大程度上使其避免了陷入的用户数据隐私丑闻。 “将利润放在隐私之前的想法并不是什么新鲜事,”库克告诉隐私监管机构,企业高管和其他参与者。 在欧洲和美国,涉及数百万互联网和社交媒体用户的数据隐私遭到严重破坏之后,关于如何使用数据以及消费者如何保护其个人信息的问题受到广泛的关注。 库克在演讲中引用前美国最高法院法官路易斯布兰迪斯(Louis Brandeis)的话,该法官在1890年的期刊哈佛法律评论的一篇文章中警告说,八卦新闻不再是闲散和恶意的资源,而是成为一种交易。 “今天,这种贸易已经爆发成为一种数据工业。我们自己的信息,从日常到深层次的个人信息,正在以军事效率用来对付我们自己,“库克说。 库克说:“这些平常的数据碎片……目前被精心包装,合成,交易和销售。” “我们不应该美化这样的做法。这是其实是一种监视。并且这些个人只会让收集它们的公司数据更加丰富“他说。 Facebook基于广告的模式 然而,Facebook对数据的用法有不同的看法,其CEO扎克伯格通过消息说,Facebook用户知道免费服务和广告之间的权衡。 “我们不对用户收费,而是向广告客户收取费用。人们一直告诉我们,他们想要免费的服务。如果他们想要看到广告,那么他们希望这些广告是和他们自身相关的“他说。 扎克伯格表示,Facebook在安全性和隐私方面投入巨资,尽管这会影响其盈利能力。 谷歌首席执行官桑达尔·皮查伊( Sundar Pichai)欢迎全球对隐私的关注,称该公司正在采取措施让用户更多地控制他们的数据。 “用户信任是我们所做的一切的基础,隐私和安全是其基本原则,”他在视频消息中说道。 “我们多年来一直致力于为用户提供更多透明度和控制权,我们非常感谢数据保护机构的投入和合作。” 库克还对政府滥用用户的数据和他们的信任进行了警告,也表达了许多将要进行选举的国家担忧。 “流氓演员甚至政府都利用用户信任来加深分歧,煽动暴力,甚至破坏我们对真实和虚假的共同认识。” 库克表示,苹果完全支持美国的联邦隐私法,欧洲已经通过其通用数据保护法规引入了这项法律。 “用户应该始终知道正在收集哪些数据以及收集数据用来干什么,”他说。 “这是用户决定哪些信息收集是合法的,哪些不合法的唯一方法。缺少某一点都将会是一种欺骗。”   稿源:新浪科技,封面源自网络;

雅虎将为史上最大安全漏洞案支付 5000 万美元赔偿金

新浪科技讯 北京时间10月24日早间消息,雅虎已经同意支付5000万美元的赔偿金,并向美国和以色列的约2亿名用户提供两年的免费信用监控服务,此前这些用户的电子邮件地址及其他个人信息在有史以来最大的安全漏洞案中被盗。 上述赔偿需在联邦法庭批准周一提交的和解协议后才会生效,这项和解协议是就一桩已经进行了两年的诉讼案而达成的,原告方要求雅虎为2013年到2014年间发生的数字窃案负责,该公司直到2016年才披露了用户数据被盗的信息。 在这桩窃案中,约30亿个雅虎账号被黑客盗取,其中包括与俄罗斯之间存在关联的一些黑客。上述和解协议是在旧金山法庭达成的,覆盖了约2亿名用户拥有的10亿个账号。 雅虎现在已是Verizon通信公司旗下子公司。   稿源:新浪科技,封面源自网络;

亚马逊和超微要求彭博社撤回间谍芯片报道:内容不实

新浪科技讯 北京时间10月23日早间消息,据美国科技媒体The Verge报道,亚马逊和服务器厂商超微(Super Micro)的高管都要求彭博社撤回本月早些时候发表的关于间谍芯片的报道。 当时那篇报道指控这些芯片会危害多达30家公司的电脑网络,其中也包括亚马逊的电脑网络。而苹果CEO蒂姆·库克(Tim Cook)已经在上周呼吁彭博社撤下这篇报道。 该报道声称恶意芯片被植入一家公司的服务器。库克上周专门接受BuzzFeed News的采访来澄清此事。他说:“没有这回事情,这不是事实。”他还要求彭博社撤销该报道,而且还表示苹果几个月来一直在跟记者的对话中否认报道中的内容。 作为该报道中点名的另外两家企业,亚马逊和超微也在今天否认相关内容,并发表了各自的声明。亚马逊网络服务(AWS)高管安迪·杰西(Andy Jassy)在推文中说:“库克说的没错。彭博社关于亚马逊的报道也是错误的。” 亚马逊网络服务高管安迪·杰西的推文 超微周一表示,该公司将会继续对此展开的调查,并对其主板进行评估,寻找任何的硬件篡改行为。该公司CEO Charles Liang几个小时之后说:“彭博社应该承担责任,撤回这些没有事实支持的指控。” 这篇报道引述了17名未具名消息人士的话,但在报道刊发后几个星期都没有发现任何被破坏的硬件。在该报道本月早些时候刊发之后,立刻收到了很多网络安全专家的批评,主要是因为这篇报道并没有披露任何可信的证据。 美国国土安全部、国家安全局和英国最高网络安全机构的官员也表示,他们并没有发现任何与彭博社的指控相符的证据。   稿源:新浪科技,封面源自网络;

美国科技游说组织提出隐私保护框架:权衡企业利益

新浪科技讯 北京时间10月23日早间消息,美国华盛顿特区主要的科技行业游说团体“信息技术产业委员会”(ITI)周一提出一项保护在线用户隐私的立法框架。 基于欧洲和美国加州近期的新法规,美国联邦立法者也尝试推进隐私保护立法。与此同时,行业团体正试图影响这场讨论,并提出了指导方针供立法者参考。 ITI的成员包括谷歌和Facebook。该组织总裁迪恩·加菲尔德(Dean Garfield)表示,ITI提出的框架希望给美国和全球立法者提供参考,帮助他们权衡在线隐私保护方面的关切。 该框架建议,关于个人敏感数据被使用,用户应当有选择权,除非“根据适用法律或在其他允许的情况下”。敏感数据的定义是“个人数据,包括民族来源、政治派别、宗教或哲学信仰、工会成员状况、遗传数据、生物特征数据、健康数据、性取向、某些已知的少数族裔特征,以及精确的位置数据”。 不过,这种限制不适用于使用人工标识符、受到保护,或完全匿名的数据。加菲尔德表示,他希望这可以推动业界将匿名化的措施变成标准做法。 文件显示:“在合理情况下,个人应当对个人数据的使用情况有控制权。个人控制权,与其他利益相关方的权利和法律义务一致,包括获得、纠正、输出、删除、同意以及反对使用个人数据的权利。” 这份文件还提供了其他方面的指南,包括公司如何管理隐私风险,以及允许客户将他们的数据转移到其他平台上。   稿源:新浪科技,封面源自网络;