分类: 数据收集

欧洲药品管理局就 COVID-19 疫苗数据泄露发出警告

欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)

NSO 被指仍无视用户隐私

据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,即这是真实数据。因此,数据集很可能不是‘虚拟的’也不是计算机生成的数据,而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据)。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现,同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示,人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图,郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据,他指出这“看起来跟真实的手机数据一致”。此外,Miller还表示,即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息,如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用,这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据,它看起来很像这个。”Scott-Railton还表示,使用模拟数据进行接触追踪系统将会“适得其反”,因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明,一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查,必须质疑这些结论是如何得出的。尽管如此,我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据,”一位不愿透露姓名的发言人回应称,“正如我们上一份声明所述,演示所用的资料并不包括任何可辨识个人身分的资料。而且,如前所述,这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据,也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题,包括数据从何而来以及如何获得。该公司在其网站上称,Fleming已经在世界各国运营,但当被问及其政府客户时,该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式,眼下,该公司正在美国打一场官司,而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉,NSO卷入了一场跟Facebook旗下WhatsApp的诉讼,后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus,其中包括记者和人权捍卫者。NSO表示,它应获得法律豁免权,因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持,另外它们还呼吁法庭驳回NSO的豁免权要求。           (消息及封面来源:cnBeta)

YouTube 在英面临 30 亿美元诉讼:被指非法收集儿童数据

据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。     (稿源:cnBeta,封面源自网络。)

Hyperbeard 窃取儿童数据被美国联邦贸易委员会罚款

儿童向游戏开发者HyperBeard工作室由于非法窃取青少年用户数据信息,将向美国联邦贸易委员会(FTC)缴纳1.5万美元的和解费用。本次纠纷最初是FTC方面怀疑HyperBeard 违反“儿童线上隐私保护法案”并提起诉讼。FTC认为HyperBeard 工作室在没有获得家长统一的情况下,使用身份识别手段收集13岁以下儿童的信息。身份识别获得的数据则被用于定向广告。 FTC的消费者保护局分管负责人Andrew Smith表示:“如果你开发的app或者网站面向儿童,那就必须保证让家长知道,然后才能收集儿童的个人信息。具体做法包括允许其他人,比如广告商收集身份信息,比如广告ID或者cookie,从而进行行为广告。” HyperBeard工作室的CEO Alexander Kozachenko和经理Antonio Uribe都在诉状中被提及。他们被勒令销毁数据并缴纳400万美元罚款。 由于HyperBeard工作室没有能力缴纳400万美元的罚款,他们可以缴纳1.5万美元和解费用,暂停执行罚款。     (稿源:cnBeta,封面源自网络。)

皮尤:大部分美国人认为不收集个人数据是不可能的事情

据外媒报道,皮尤研究中心的一项新研究显示,对于许多美国人来说,数据收集现在可能已经被视为是其日常生活的一部分。据统计,超60%的美国成年人表示他们认为政府或公司不收集他们的数据是不可能的。 资料图 报告显示,81%的成年认为广泛收集数据的风险大于益处。不过大多数美国人表示,他们担心自己的数据可能会被公司和政府使用。而超80%的受访者表示,他们觉得对自己的数据缺乏控制。超一半的人则表示,他们对数据收集和使用知之甚少。 25%接受调查的成年人认为,他们几乎每天都在同意一项隐私政策。而在表示同意隐私政策之前他们当中阅读了相关内容的人的数量则更少。 对于许多公司来说,收集数据是为了帮助建立客户档案进而可以根据他们的习惯展示更好的销售行为。然而现在越来越多的入侵让大多数成年人感到自己已越来越控制自己的个人数据。   (稿源:cnbeta,封面源自网络。)