分类: 国际动态

Mozilla 创始人投诉谷歌:违反 GDPR 法规 泄露用户数据

新浪科技讯 北京时间9月13日晚间消息,Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款, Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。 对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。   稿源:新浪科技,封面源自网络;

Facebook 低调开发 AI 技术工具:自动扫描代码找漏洞

新浪科技讯 北京时间9月14日上午消息,Facebook低调开发和部署了一种名为SapFix的人工智能(AI)工具,可以自动扫描代码,寻找漏洞,然后测试不同的补丁,并向工程师推荐最佳修补方案。 这款工具是在Facebook的@Sacle工程大会上宣布的,目前已经应用于Facebook庞大的代码库。该公司还计划最终向外部开发者分享该工具。 “据我们所知,这是第一次通过自动的端对端测试和修补,在Facebook这种规模的代码库中部署机器生成的修复方案。”Facebook开发者工具团队写道,“这是AI混合模式的重要里程碑,可以进一步证明基于搜索的软件工程可以降低软件开发阻力。” SapFix既可以与Sapienz配合使用,也可以独立使用,Sapienz是Facebook之前的自动化漏洞发现工具,与SapFix配合使用时,可以针对Sapienz发现的问题推荐解决方案。 这些工具可以帮助小团队开发更加强大的产品,也可以帮助大公司节约很多浪费在技术上的时间。对于Facebook这种还有很多其它问题需要处理的公司来说至关重要。   稿源:新浪科技,封面源自网络;

亚马逊 Facebook 等支持美国政府制定现代化的数据隐私法

包括Facebook、亚马逊和Alphabet等成员在内的美国互联网协会(The Internet Association)今日表示,支持美国政府制定现代化的消费者数据隐私法,但希望这部法规是全国性的,从而取代加州2020年即将生效的新隐私法规。除了Facebook、亚马逊和Alphabet,美国互联网协会其他成员还包括Netflix、微软和Twitter等。该协会周二称:“互联网公司支持一部全国性的法案来保护所有美国消费者的隐私。” 美国政府今年7月曾表示,正在新的消费者数据隐私政策,并且已开始与主要公司进行接触。美国互联网协会称,这样一部法规应该允许消费者对自己的数据进行有效控制,包括个人信息如何被利用,以及被哪些第三方所利用。此外,消费者还有权要求删除或更正自己的数据。 另外,美国互联网协会还向立法人员表示,在通知用户、制定隐私性能标准和数据安全保护等方面,应赋予互联网公司足够的灵活性。而且,这部法规应该适用于所有行业,而不仅仅是科技公司。 如今,由于大规模的消费者数据被泄露事件频发,数据隐私日益成为一个重要的话题。今年6月,加州市长杰里·布朗(Jerry Brown)签署了新的数据隐私法,赋予消费者对个人信息以更多的控制权。该法规将于2020年生效。 但美国互联网协会总裁兼CEO迈克尔·贝克曼(Michael Beckerman)认为,加州把这个问题弄错了,因此希望美国政府能提前推出一部全国性的数据隐私保护法。 此外,美国商会上周也公布了自己的隐私指导原则,旨在颠覆加州的新法规。   稿源:新浪科技,封面源自网络;

因追踪用户定位数据:谷歌可能在美国遭遇重罚

新浪科技讯 北京时间9月12日早间消息,据《华盛顿邮报》援引知情人士消息称,美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私,该州总检察长马克·布诺维奇(Mark Brnovich)就有可能对谷歌处以高额罚款。 目前布诺维奇的办公室并未确认此事。 美联社上月的一项研究发现,谷歌通过Android设备提供的服务会追踪并存储用户的地理位置,即便用户在隐私设置中关闭地理位置历史也无济于事。 据悉,谷歌应用会存储带有时间戳的定位数据,借此发布精准的地理定位广告。谷歌对美联社表示,他们让用户了解这些定位数据获取工具,并且提供了“强大的控制,让人们可以自行打开或关闭功能,或者随时删除历史。” 布诺维奇可能将此事作为一起消费者保护官司进行起诉,并按照违规次数寻求每次最高1万美元的罚款,这有可能导致谷歌面临巨额处罚。 谷歌发言人对此发表声明称:“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务,例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验,包括:定位历史、上网和应用活动,以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”   稿源:新浪科技,封面源自网络;

美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击

据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!”   稿源:cnBeta,封面源自网络;

英美等五眼联盟(Five Eyes)国家发布声明要求科技企业自愿提供后门

美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录,要求各大科技企业向政府提供其加密产品的后门,以供执法部门有能力获得访问权。如果企业拒绝提供,那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段,进入加密的设备或者服务。 这份声明来自上周召开的五眼联盟(Five Eyes)国家会议,五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织,联盟国之间互相分享敏感情报。在声明中,五国政府向科技企业施压,要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门,如果科技企业拒绝并且阻挠,政府将采用强制措施集中力量进行加密破解。目前阶段,要求企业提供后门的请求更像是愿望,而非强制命令或威胁。但声明中提到政府和立法者在破解加密遭遇到了更大的反抗运动,则被视为对执法行为的阻挠。未来不排除将要求企业提供加密信息的请求直接升级为法律行动的可能。   稿源:cnBeta,封面源自网络;

Google 搜索再现诈骗:“苹果技术支持”可能是假的

新浪科技讯 北京时间 9 月 3 日早间消息,Alphabet 旗下谷歌正在采取行动,打击涉嫌诈骗的搜索页面广告投放。此前《华尔街日报》调查发现,诈骗者利用谷歌广告系统购买搜索广告,并伪装成苹果等公司的授权服务代理进行诈骗活动。 例如在谷歌上搜索关键词“苹果技术支持”时,第一个结果中包括指向 Apple.com 的链接、一个免费电话号码,并显示:“立即从我们的专家处得到帮助。”但《华尔街日报》发现,这个电话号码并不属于苹果,而是指向一个从事诈骗活动的呼叫中心。 伪装的苹果技术支持链接 上周早些时候,谷歌一名发言人回应称,谷歌致力于删除不良广告,去年因为违反该公司政策而被删除的广告超过每秒 100 个。 上周五,谷歌宣布对技术支持广告中的诈骗活动展开更严厉的打击。谷歌全球产品策略总监大卫·格拉夫(David Graff)在官方博客中表示:“我们已经看到,来自第三方技术支持提供商的误导性广告体验正在上升,我们决定开始在全球范围内限制这些广告。” 他同时表示,谷歌计划推出验证项目,“以确保只有合法的第三方技术支持服务提供商可以使用我们的平台触达消费者”。 知情人士表示,此前谷歌已经针对其它类型的广告设计了验证项目,包括本地的开锁服务和治疗中心,此外谷歌还禁止了保释金服务和发薪日贷款服务的广告。 政府和业内专家表示,技术诈骗导致不知情的美国人交出自己的支付信息,损失了数十亿美元。涉及远程技术支持的诈骗尤为猖獗。在这些骗局中,搜索计算机使用帮助的用户有时会看到欺骗性质的广告,以及提示有病毒感染的弹窗消息。 2018 年的一项研究发现,在主要搜索引擎,与技术支持查询相关的赞助商广告中,有 72% 指向欺诈网站。       稿源:新浪科技,封面源自网络;        

谷歌新推出 Titan 安全密钥 开发商为一家中国公司

新浪科技讯 北京时间8月31日上午消息,据CNBC报道,谷歌为确保网页服务登录安全而推出的新产品Titan安全密钥是由中国飞天诚信科技股份有限公司(Feitan)开发的。 谷歌目前正在与LG和三星等设备制造商进行直接竞争。考虑到近些年来谷歌一直致力于推广硬件,此次安排确实有些不同寻常之处。去年,谷歌又加大了对于硬件的投资,从HTC手中收购了大量人才和知识产权。 谷歌在上个月举办的Next云计算大会上宣布了“泰坦”密钥的推出并表示将在谷歌开发的固件上验证其完整性,不过公司并未指出这款产品的制造商。但是这款无线密钥与飞天的一款无线密钥产品非常类似,这是一家位于北京的安全公司,于2014年在深圳证券交易所上市。 CNBC电话联系了飞天驻加州圣克拉拉的办公室,接电话的员工表示飞天在“泰坦”项目上正与谷歌进行合作。另外一位熟悉此项目的知情人士也证实了这一合作关系。周四,The Information媒体也单独报道了双方之间的合作。 谷歌发言人表示,谷歌是泰坦密钥“名义上的制造商”,但实际上开发泰坦密钥的是不具名的第三方制造商。不过发言人拒绝回应飞天是否是密钥的制造商。 这种安排在谷歌早有先例。2016年,谷歌强调自己是其首款Pixel智能手机“名义上的设计者”,而其实HTC才是其代工制造商。 谷歌一直以来的倡议 谷歌一直以来都推崇可以阻止不必要尝试登录用户账户行为的技术。现在,除了要求员工输入密码之外,公司还要求员工使用物理安全密钥。新增加的信息核实措施旨在防止网络钓鱼攻击,即黑客会通过欺诈消息获取个人信息。 泰坦密钥不但看上去与飞天密钥很相似,而且和美国一家名叫Yubico公司的USB密匙也非常相似。Yubico的密钥可以用于安全登录谷歌的Gmail、Dropbox、GitHub和其他网络服务。 但是Yubico的首席执行官斯蒂娜·埃伦斯瓦尔(Stina Ehrensvard)在博客文章中明确表示泰坦密钥不是由Yubico制造的。埃伦斯瓦尔还对该密钥使用蓝牙一点提出了批判。 “尽管Yubico之前也开发过蓝牙低能耗(BLE)安全密钥,并促成了BLE U2F标准的问世,但由于它不符合我们的安全、可用性和耐用性标准,因而我们决定不推出这款产品。”埃伦斯瓦尔写道,“BLE无法提供NFC和USB级别的安全保障,而且需要电池和配对,这就会带来非常糟糕的用户体验。”Yubico公司在瑞典和加州均设有办公处。 周日,谷歌产品经理克里斯蒂安·布兰德(Christiaan Brand)在博客中宣布用户可以通过谷歌在线商店获得泰坦密钥。她还表示谷歌的固件被密封在特殊的芯片中,这些芯片是直接配送到生产线上的。“对于泰坦密钥的信任便是源于这些密封芯片,而不是基于在设备制造过程中的后续步骤。” 在泰坦密钥发布之后,飞天也在社交媒体上分享了一些关于谷歌的消息,但并未正式发表公开声明表示两者之间的合作关系。 谷歌在自己的“高级保护”计划网站上建议美国公民——如果他们没有两个安全密钥的话,可以通过亚马逊购买飞天无线密钥以及Yubico的USB密钥。但这两款密钥均不是以谷歌泰坦品牌的名义进行销售的。   稿源:新浪科技,封面源自网络;

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。 CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。 CVE 数据库一直受到各种问题的困扰 但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。 当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。 美国参议院于 2017 年开始调查 CVE 项目 在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。 参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。 经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。 原因#1:资金波动和减少 委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。” 为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。 原因#2:缺乏监督 其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。 “管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。   稿源:开源中国社区,封面源自网络;

擅自搜集数据,德国反垄断机构今年将对 Facebook 采取行动

网易科技讯 8月28日消息,据国外媒体报道,由于调查发现Facebook滥用自己的市场垄断地位,在人员不知情或未获得人员许可的情况下收集他们的数据,德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。 在对Facebook数千万用户的数据泄露和定位广告广泛的使用越来越担忧中,这次对这家社交媒体的调查在欧洲受到密切关注。 德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用,包括Facebook旗下WhatsApp和Instagram服务。 联邦卡特尔局局长安德烈亚斯·蒙特(Andreas Mundt)周一在一个新闻发布会上表示,“我们意识到,这应该而且必须迅速进行。”他还表示,他希望今年采取“第一步措施”。不过,他拒绝透露细节。 联邦卡特尔局的这一调查一般不会对facebook等违规企业处以罚款,这与欧盟的调查处理不同。谷歌因在Android智能手机预安装其应用,在遭遇欧盟调查后被处以数十亿美元处罚罚款。 然而,知情人士表示,如果Facebook未能自愿采取行动,联邦卡特尔局可能会要求Facebook采取行动来解决其担忧。 蒙特说,“我们需要确定这是否会影响我们的调查并解决我们的担忧。” 另外,蒙特证实了他在本月早些时候接受报纸采访时发表的言词,他当时表示,按照联邦卡特尔局能够开展全部门调查的新权力,他可能会对电子商务行业启动调查。 重点将放在所谓的“混合”平台上,比如美国电子商务巨头亚马逊,这些平台销售自己的产品和服务,但还托管着第三方商家。 蒙特表示,“我们的问题是:平台本身就是一个很强大的商家,这样的平台与使用这个平台的第三方商家之间是什么样的关系?”蒙特还称,亚马逊是最知名的电商平台,但他的调查对象还将扩大到其他公司。 联邦卡特尔局不会调查第三方商家在电子商务平台上涉嫌逃税的问题,这是德国政府誓言要解决的问题,这是经济决策者关注的事项。   稿源:网易科技,封面源自网络;