分类: 国际动态

沙特政府从亚马逊 CEO 贝索斯手机获取到个人数据

安全主管加文·德贝克尔(Gavin De Becker)在周六表示,沙特政府黑入了亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)的手机并获取到了个人数据。贝索斯先前曾要求德贝克尔调查《国家问讯报》是如何获取到其与电视主持人劳伦·桑切斯(Lauren Sanchez)发送的私密信息一事。 在二月被曝出的新闻中,贝索斯指控这家小报的母公司AMI曾试图敲诈他,威胁其如果不公开声明这家小报的报道无任何政治动机,便会将这些不雅照片公之于众。AMI坚持表示,自己的报道均是合法的。 德贝克尔表示自己在完成调查之后,非常确信“沙特曾经黑入贝索斯的手机并获取了个人信息”。 贝索斯也是《华盛顿邮报》的老板。一直以来,《华盛顿邮报》对于特朗普政府以及沙特政府的报道大多是负面信息。十月,《华盛顿邮报》的记者贾马尔•卡舒吉(Jamal Khashoggi)在沙特领事馆被杀,此举在全球范围内引发公众的愤慨。 “一些美国人也许会对此感到很惊讶,事实上沙特政府从去年十月开始便一直试图对杰夫·贝索斯不利,当时《华盛顿邮报》报道了卡舒吉被残酷迫害一事。” 德贝克尔之后表示,目前尚不清楚AMI是否知道其中详情,但他指出AMI董事长戴维·佩克尔(David Pecker)与沙特政府关系密切。 沙特方之前回应,自己与《国家问讯报》报道贝索斯一事毫无任何关系。 德贝克尔表示自己已经将调查结果交给了联邦官员。 沙特大使馆以及AMI尚未回应置评请求。     (稿源:新浪科技,封面源自网络。)

HMD 回应 Nokia 7 Plus 事件:从未向第三方共享用户数据

日前有诺基亚手机的非中国用户发现,手机会向域名 http://zzhc.vnet.cn 发送未加密的数据包。数据包含了地理位置、IMEI、SIM 卡号和 MACID。vnet.cn 域名的注册人是 CNNIC,但 CNNIC 表示它实际上属于中国电信。对此HMD在官方博客中做出回应,表示这是由于固件错误导致,目前已在更新固件移除了相关软件包。 HMD Global表示表示只有单个批次的 Nokia 7 Plus 设备受到影响,包含了向中国电信服务器发送数据的软件包。该软件包会在手机启用、解锁、从休眠恢复时候收集用户数据将其发送到中国服务器。 HMD官方回应原文如下 HMD Globa一直以来非常重视消费者的隐私和安全。关于近期Nokia 7 Plus的相关新闻,在这里我们有必要向消费者说清楚这件事情,并公示我们是如何收集和存储数据的。 在对手头上的案例进行深入调查之后,我们可以确定并没有向第三方共享任何个人的隐私信息。在分析之后我们发现,单个批次的Nokia 7 Plus的手机软件包中错误的包含了面向中国地区的设备激活软件。由于这个错误,错误的将这些数据发送给第三方服务器。 但是这些数据从未被处理过,也无法根据这些数据识别出任何人。而且要强调的是,HMD从未和任何第三方共享任意用户的个人身份信息。通过将客户端切换至正确的国家和地区,已经于2019年2月修复了这个错误。所有受影响的设备都已收到此修复程序,几乎所有设备都已安装它。如果您想检查诺基亚7 Plus是否已收到安全修复程序,可以根据文章下方的步骤进行查看。 在事件发生之后,市面上有一些关于诺基亚手机和第三方服务器共享类似数据的猜测。对此我们可以明确表示这些猜测都是不正确的,诺基亚的手机未来也不会发生这样的事情。除中国市场之外的诺基亚所有设备数据都存储在由Amazon Web Services提供支持、位于新加坡的服务器上的。 HMD Global一直严苛对待消费者的安全和隐私,并遵守所有适用的隐私条款,而且我们是遵循法律合法收集和存储这些数据。关于设备信息收集的详细说明我们会另行详细介绍。我们鼓励消费者尽可能熟悉这些信息,以了解他们的信息被收集和使用的。再次强调的是,HMD Global非常注消费者的隐私和安全。   相关文章: 诺基亚手机被发现向中国电信服务器发送设备识别码 HMD Global 称固件错误导致手机向中国服务器发送设备数据   (稿源:cnBeta,封面源自网络。)

谷歌 Facebook 等公司被曝在政府网站上追踪欧盟用户

新浪科技讯 北京时间3月19日凌晨消息,丹麦浏览器分析公司Cookiebot公布研究报告称,欧盟各国政府将允许包括谷歌和Facebook在内的100多家广告公司在敏感的公共部门网站上秘密跟踪公民,而这显然是违反欧盟数据保护规则的。 Cookiebot在欧盟25个成员国的官方政府网站上发现了可记录用户位置、设备和广告主浏览行为的广告追踪工具,其中法国政府网站上的广告追踪工具数量最多,共有25家不同公司在其网站上跟踪用户行为。 在22个主要政府网站的前五大追踪域名中,谷歌、YouTube和谷歌旗下DoubleClick广告平台占据了三席。 研究人员还对欧盟公共卫生服务机构的网站进行了研究,结果发现在接受分析的网站中,就堕胎、艾滋病毒和精神疾病等敏感话题寻求健康建议的人而言,他们在超过一半的网站上都遇到了商业广告追踪工具。 Cookiebot对爱尔兰卫生服务网站的15个页面进行了扫描,发现其中近四分之三页面都含有广告追踪工具;而就法国政府有关流产服务的一个页面而言,有21家不同的公司正在对这个页面进行监控。一个有关产假的德国网页遭到了63个追踪工具的监控,而在提供艾滋病病毒症状、精神分裂症和酒精中毒相关信息的卫生服务网页上则发现了谷歌DoubleClick追踪工具。 研究人员还发现,虽然很多政府都在隐私政策中提到了谷歌用于运行网站的分析cookie,但该公司并未披露任何广告相关cookie。 “任何网站都有责任将其网站上发生的任何数据收集和处理行为告知用户。”非营利组织“隐私国际”(Privacy International)的技术专家埃利奥特·本迪内利(Eliot Bendinelli)说道。“这些网站没有遵循这项基本要求,这个事实表明当前的追踪生态系统已经失控。” 许多商业追踪工具应该是通过后门访问这些公共网站的,其中包括通过ShareThis等社交共享插件进行访问。 “我们发现,在未经用户本人同意或政府不知情的情况下,很多广告技术追踪工具都通过这些插件从其他第三方渠道访问网站。”Cookiebot CEO丹尼尔·约翰森(Daniel Johannsen)说道。“虽然政府应该并没有控制或是受益于有文件证明的数据收集行为,但其仍旧允许公民的隐私权受到损害,这违反了各国政府自己制定的法律。” 行业专家称,广告技术公司正在获取访问欧盟政府网站的访客的个人数据,并将这些数据与其他来源的数据结合起来,组合成每名独立用户的详细信息,并可能将其出售给数据掮客。 “浏览历史是非常私密的信息,能表明我们担心些什么,有什么计划,对什么感兴趣,日常生活是怎样的,工作的重点是什么。”本迪内利说道。“政府网站(的问题)是特别令人关注的案例,因为这些网站提供至关重要的信息和服务,人们依赖这些信息和服务,而且往往无法选择不使用这些信息和服务。” 布鲁塞尔民权组织“欧洲数字权利”(European Digital Rights)高级政策顾问迭戈·纳兰乔(Diego Naranjo)表示,Cookiebot的调查结果引发了人们的疑问,令人质疑这些公共网站是否违反了去年刚刚生效的欧盟“通用数据保护条例”(General Data Protection Regulations)。 “我们需要欧盟数据保护官员对这一行为是否符合‘通用数据保护条例’的问题进行分析。”他说道。“在我看来,这种行为没有任何明显的法理基础,并表明在线广告追踪的问题已经变得多么普遍,需要尽快加以解决。” 谷歌表示:“我们的政策很明确:如果网站出版商选择使用谷歌网站或广告产品,那就必须获许使用与这些产品相关的cookie才行。”此外谷歌还补充称,该公司不允许出版商“根据怀孕或艾滋病毒等健康状况相关的用户敏感信息来建立目标选择清单”。 Facebook发言人称,这项调查“让那些选择使用Facebook商业工具——如‘喜欢’和‘共享’按钮或Facebook像素等——的网站凸显了出来”。 “我们的商业工具能帮助网站和应用程序扩大社区,或是使其更好地了解人们如何使用它们的服务。”Facebook补充道。“Facebook认为,网站所有者有责任就哪些公司可能正在追踪用户的问题向后者发出通知。”     (稿源:新浪科技,封面源自网络。)

美国会议员提出了改善物联网设备安全性的新法案

预计到 2020 年,联网设备的数量会增加到 204 亿台,但它们的安全水平却不尽相同。那些没有内置安全特性的物联网设备,成为了黑客眼中的一道脆弱防线。在默认的密码和无法修复的漏洞等问题面前,形势显得非常严峻。去年的参议院听证会上,国防情报局长罗伯特·阿什利中将(Lt. General Robert Ashley)向议员们表示:“对美国国家安全来说,不安全的物联网设备,是需要被重点考量的新兴网络威胁之一”。 有鉴于此,美参众两院议员在本周一提出了一项《物联网网络安全改进法案》,希望能够对缺乏国家标准的新兴技术展开立法。 除了要求每家企业都提升其制造的联网设备的安全性,该法案还希望对联邦政府使用的任何物联网设备设定最低的安全标准。 来自弗吉尼亚州的民主党参议员 Mark Warner 在一份声明中称: 虽然对它们改变生活的潜力感到兴奋,但我也担心许多物联网设备在缺乏适当的安全保障措施的情况下被出售。市场更多地考虑性价比和便利性,而忽略了安全性。 需要指出的是,该法案并为物联网企业制定全面的安全标准,而是针对那些想要向美国政府出售物联网设备的情况。 联邦政府作为该市场的大客户之一,其带头提升的安全标准,有望带动整个物联网行业的安全保障水平。 与加州去年 9 月通过的全美首个物联网安全法案(SB 327)不同,加州法律要求制造商必须遵守特定的安全措施,比如不得使用默认密码、要用用户在访问设备前设置新密码等。 如果本周一提出的《物联网安全法案》获得通过,下一步将交由美国国家标准与技术研究院(NIST)去制定相应的联邦安全标准。 据悉,向美国政府出售的所有物联网设备供应商,必须制定漏洞披露政策,以便政府官员及时了解到相关状况。此外根据该法案,NIST 将每隔五年重新审查一次相关政策。     (稿源:cnBeta,封面源自网络。)

Facebook 起诉两名乌克兰人 指控使用恶意扩展造成 75000 美元损失

援引外媒Daily Beast报道,Facebook于上周五向两位乌克兰公民提起诉讼,指控后者利用一系列问答游戏秘密窃取用户的数据。根据起诉书显示,Gleb Sluchevsky和Andrey Gorbachov为一家名为Web Sun Group的公司工作,他们制作了大量类似于”Supertest” “Megatest”和”FQuiz”的问答APP和浏览器扩展,允许开发者收集数据并在Facebook页面上注入广告。   根据Facebook的起诉书显示,这些恶意扩展程序主要发生在2016至2018年间,主要受害者为俄罗斯用户,已经影响了6.3万个浏览器用户。与此前剑桥分析的策略不同,Sluchevsky和Gorbachov所创建的问答应用是通过浏览器扩展方式完成,会要求受害者下载恶意工具。 安装之后这些问答应用程序会收集用户姓名、性别、年龄、好友等个人资料,此外这些恶意程序也会在Facebook账号上插入广告,并且假装是来自社交网络。据称,Sluchevsky和Gorbachov使用“Amanda Pitt”和“Elena Stelmah”这样的名字来创建这些恶意软件。在问答应用中会测试诸如:“谁是现代的吸血鬼?”以及“检查下你的电脑,你是否拥有所有这些东西?”两人在Facebook上创建了至少13个虚假账号和页面。 在法庭文件中,Facebook表示它在2018年10月12日删除了所有虚假账户。大约一个月后,黑客告诉BBC他们有来自至少81,000个Facebook账户的私人消息,这些账户主要属于乌克兰和俄罗斯的用户。对此Facebook表示本次恶意软件攻击至少损失75,000美元。     (稿源:cnBeta,封面源自网络。)    

华为决定起诉美国政府 称其涉嫌入侵华为服务器

华为今天在深圳总部宣布,正起诉美国政府,并要求对禁止使用公司设备的政策进行合宪性审查,这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定,阻止了主要政府承包商使用华为设备,该措施主要针对华为和中兴,以及其他一些中国公司。 华为本次起诉的对象是去年美国国会通过、并由白宫签署的“国防授权法案”中的一项条款。 华为表示,该措施违反了制定“剥夺公权法案”的法律标准,同时还指控政府侵犯了公司的正当程序权,因法案中的条款对华为构成了明显的 “未审先判”,而美国的宪法则禁止美国国会通过这样的法律。 华为在深圳总部发布会上同时向外界透露,有证据表明美国政府涉嫌入侵华为服务器。 美国官员多次将华为称为潜在的安全威胁,并称该公司可能被用作间谍工具。华为一直否认这种可能性,并称美国未能提供其担忧的证据。 近年来,总部设在俄罗斯的网络安全公司卡巴斯基实验室也美国政府认为其存在潜在的间谍活动为由而受到阻拦,该公司也曾提起了类似华为的诉讼,但尚未成功。不过华为要求法院裁定美国目前的政策违宪,这与卡巴斯基的案例并不相同。 作为全球最大的电信设备供应商,华为面临着立法者和情报官员对其运营的严格审查,这一切似乎没有尽头。特朗普政府一直在考虑一项进一步限制华为产品销售的订单,美国也一直在敦促盟国放弃该公司的设备。     (稿源:cnBeta,封面源自网络。)

华为呼吁各国政府:建立一套统一的网络安全标准

新浪科技讯 北京时间3月5日晚间消息,据路透社报道,华为今日敦促各国政府、电信业和监管机构共同努力,制定一套统一的网络安全标准。 华为轮值董事长胡厚崑发出的这一呼吁,正值这家全球最大的电信设备制造商在布鲁塞尔开设一家网络安全中心之际。该网络安全中心允许其客户和政府测试华为的源代码、软件和产品解决方案。 此外,华为在英国、波恩(德国)、迪拜、多伦多和深圳也设有类似的安全中心。 胡厚崑在新闻发布会上称:“当前的事实是,无论是公共机构,还是私营机构,对这个问题都缺乏基本的共识。因此,不同的利益相关方有不同的期望,也没有一致的责任。总体来说,该行业缺乏一套统一的安全技术标准和验证系统。” 胡厚崑认为,一个共同的标准,法律和技术上的验证,将有助于在行业建立起新任。 胡厚崑周一还会见了欧盟委员会(EC)数字业务主管安德鲁斯·安西普(Andrus AnSIP)。胡厚崑称,他们讨论了按照GDPR的思路制定网络安全标准的可能性。 GDPR是欧盟去年通过的具有里程碑意义的数据保护法,它让欧洲人对自己的在线信息拥有更多控制权,并适用于所有与欧洲人有业务往来的企业。     (稿源:新浪科技,封面源自网络。)

美国安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

援引外媒TechCrunch报道,美国政府官员近期向安全专家提供了被认为曾在去年被朝鲜黑客用于发动数十次有针对性网络攻击而扣押的服务器,而这种举动非常的罕见。这批被扣押的服务器叫做Operation Sharpshooter(神枪手),于去年12月首次发现,用于专门针对政府、电信公司和国防承包商传播恶意软件。 黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。 根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。 在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。 研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。 尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。   (稿源:cnBeta,封面源自网络。)

Facebook、谷歌等或因有害信息面临英政府数十亿美元罚款

英国政府计划打击社交媒体公司。如果这些公司不清除平台上被认为有害的内容,将被处以数十亿美元的罚款。在接受Business Insider采访时,英国数字部长詹姆斯(Margot James)表示,新的独立技术监管机构将获得惩罚包括Facebook和谷歌等公司的权力,如果发现这些公司不能妥善保护用户的话。 这个计划将在下个月的互联网安全政策文件中详细叙述,但詹姆斯给了Business Insider一些关于政府对新制裁制度如何运作的思考和见解。该计划响应了目前世界各地的立法者正在制定新规则,要求最大的科技巨头顺从。 英国政府的部长们正计划建立一个强大的独立于政府的新技术监管机构。它将确定什么构成有害内容,并对未能迅速采取措施消除不适当内容的公司进行处罚。 詹姆斯表示,政府将制定一项制裁制度,“与ICO(Information Commissioner’s Office )已经具备的权力并无太大差别”。根据欧洲新的GDPR隐私法,ICO有权力对重大数据泄露事件处以高达全球收入4%的罚款。 对Facebook而言,意味着其2018年的558亿美元收入中将产生高达22亿美元(16.5亿英镑)的罚款。对谷歌来说甚至更高,4%意味着母公司Alphabet 2018年收入1368亿美元中的54亿美元。 Business Insider联系了Facebook和Google以征求意见。最近几个月,两家公司都多次表示他们对监管持开放态度。 詹姆斯说:“我们将会有一个强大的制裁制度,它不会包含经济处罚,这是不可思议的。” “而且它们的大小必须具有威慑作用。如果你看一下ICO的罚款权力,这可能是我们所考虑的有用指南。” 政府最关注的是有害内容的罚款制度如何适用于社交网络和科技公司。 这不仅仅是正在考虑的经济处罚。政府还表示,如果技术公司的高管们未能控制他们的平台,他们可能会面临刑事制裁。 “我们将考虑所有可能的处罚选项,”英国文化部长杰里米赖特(Jeremy Wright)本月早些时候告诉BBC。 有害内容的定义非常广泛 詹姆斯表示,政府正在采取“整体”的角度来看待什么是有害内容。这意味着英国的新处罚制度将比德国更广泛。例如,在所谓的NetzDG禁止在线仇恨言论的法律下,公司可能被处以高达5000万欧元(5700万美元/ 4300万英镑)的罚款。 英国新监管机构将审查从非法仇恨言论,如恐怖主义招募或种族主义,到更难以发现的滥用行为等各种内容,例如在线诱拐儿童或有关自杀和自残的问题内容。错误信息也属于监管机构的职权范围。 “这些判断并不一定清晰,”詹姆斯说,并补充说,其中一条指导原则是“线下非法和不可接受的内容,线上一样非法”。 许多科技巨头所在的美国通常比欧洲国家的言论限制较少。例如,它并不禁止仇恨言论。 尽管如此,在美国,像谷歌这样的公司,因其算法决定的广告发布位置与恐怖主义宣传等令人反感的视频一起,也面临着广告压力。而Facebook一直被呼吁该公司应该采取更多措施控制虚假信息传播。 詹姆斯表示,当有害内容出现在他们的平台上时,并不一定是社交媒体公司的错。然而,如果他们未能迅速将其删除,那是他们的错,她说。 “你必须在它扩散之前把它取下来,”詹姆斯说。 “这就是我们要说的。如果事件发生三周过去才处理已经太晚了。” 上周,詹姆斯和赖特都在旧金山。文化部长赖特会见了Facebook首席执行官马克扎克伯格谈论监管,而詹姆斯在位于加利福尼亚州门洛帕克的公司总部与数名高管举行了多次会议。 “我会说,Facebook对一个值得信赖的独立第三方机构的前景感到宽慰,他们正在承担一些困难的决定,当有些事情处于灰色地带和非法之间时……但是我们正试图减少其他一些伤害,“詹姆斯说。 英国需要世界领先的科技法规 部长们尚未决定是否会成立新的监管机构,或者只是将权力交给英国的媒体监管机构Ofcom,后者已经对电视上的不当内容做出定义。 詹姆斯补充说,新的权力必须“谨慎的使用”,因为政府不想阻碍创新。 “我们显然不希望出现这样的一种监管环境,其默认功能是拒绝和压制,因为我们希望鼓励创新,”她说。 部长补充说,英国希望推出可以作为其他国家模板的法规,并确保“其他政府跟随我们”。 保守党国会议员达米安·科林斯(Damian Collins)上周公布了对Facebook和在线虚假信息进行为期18个月的调查结果,他在结论中表示,如果科技公司违反了有害内容行为准则,那么他们应该遭受“巨额罚款”。他对詹姆斯在接受Business Insider采访时所做的评论表示欢迎。 柯林斯告诉Business Insider说:“强有力的制裁计划对于确保科技公司遵守政府即将提出的建议至关重要。” “我对部长的立场表示欢迎。正如我们从德国的NetzDG立法等例子中看到的那样,科技公司知道什么影响他们的收入,如果他们没有履行职责,那么他们应该面临相当大的惩罚。”     (稿源:新浪科技,封面源自网络。)

泰国通过备受争议的网络安全法案 被指是为实现政府监管

泰国政府周四通过了一项备受争议的网络安全法案,该法案因模糊不清以及能够全面访问互联网用户数据而受到批评。该法案在去年年底因对潜在数据访问受到批评后进行了修订,但该法案在泰国议会以133票赞成票、16票弃权票获通过。 许多人对该法案的若干条款表示担忧,主要其有益于通过2014年军事政变上台的政府——在被视为国家紧急事件的案件中搜查和扣押数据和设备。这可以在没有法院命令的情况下实现互联网流量监控和访问私人数据,包括通信。 超越执法的权力平衡也受到质疑。批评者强调了国家网络安全委员会的作用,该委员会由总理领导,在执行法律方面具有相当大的重要性。委员会已被要求包括业界和民间团体的代表,以加强监督和平衡。 泰国民众担心法律会被政府“武器化”,以使批评者沉默。泰国已经制定了强有力的法律,这使得批评君主制成为非法行为,并已被用来监禁公民在社交媒体和上留下的评论。该国过去还审查过《每日邮报》等网站,并在2007年封杀YouTube达六个月。 “亚洲互联网联盟对泰国国民议会投票赞成一项过分强调松散定义的国家安全议程的网络安全法而非其旨在防范网络风险的目标感到非常失望,”Jeff Paine的一份声明说。亚洲互联网联盟是一个包括Facebook,谷歌和苹果在内的国际科技公司联盟。 “保护在线安全是首要任务; 然而,该法律范围模糊,模糊的语言和缺乏保障措施引起了个人和企业的严重隐私问题,特别是允许超出权限搜索和扣押数据和电子设备而没有适当的法律监督的规定。这将使该政权能够以紧急情况或作为预防措施监控在线流量,从而可能危及私人和企业数据,”Paine补充说。 泰国并不是唯一引入有争议的互联网法律的国家。越南的一项新规也引发了围绕言论自由的担忧。   (稿源:cnBeta,封面源自网络。)