分类: 数据泄露

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;

FB 被曝收集儿童信息 多个保护组织呼吁关闭相关应用

多家儿童和消费者保护组织表示,Facebook 通过 Messenger Kids 应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood(CCFC)和其他保护组织上周都要求美国联邦贸易委员会(FTC)调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》(COPPA)。 这些组织认为,Facebook 在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉信显示,Messenger Kids 并没有满足 COPPA 的要求,因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。 他们表示,有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。 Facebook 上周三回应称,他们尚未对投诉信进行评估。 该公司曾经表示,不会在 Messenger Kds 中投放广告,也不会出于营销目的而收集数据,但他们的确会收集一些运营这项服务所必须的数据。 但相关组织表示,Messenger Kids 的隐私政策“既不完整,还很模糊”,使得 Facebook 可以将数据提供给第三方和 Facebook 的其他服务,以便用于“广泛而未明确的商业目的”。 CCFC 执行总监乔希·高林(Josh Golin)在声明中说:“虽然有证据显示过度使用社交媒体会对少年儿童的健康产生负面影响,但Facebook 还是希望勾住那些只有 5 岁的孩子。” 该公司对父母表示,Messenger Kids 是为了保护儿童安全,但却并没有遵守最基本的隐私法律要求。“父母的最佳选择很明确:让孩子远离 Facebook。”高林补充道。 Facebook 去年推出了 iOS 版 Messenger Kids,之后又扩大到 Android 和亚马逊的设备,而且从美国推向墨西哥和加拿大以及世界其他地方。 这款产品瞄准的是 13 岁以下儿童,从技术上讲,这些用户应该都没有 Facebook 帐号(尽管他们中很多人其实都已经注册了Facebook)。 投诉信写道:“我们自己的测试显示,想要创建一个虚假帐号来认证一个 Messenger Kids 帐号并不困难。我们用一个虚构的18岁身份创建了全新的 Facebook 帐号,然后使用这个帐号认证了一个虚构的 Messenger Kids 用户。整个过程只用了 5 分钟。” 虽然该公司表示,他们已经收到父母和儿童成长专家的许多建议和意见,但CCFC等组织一直都希望能彻底关闭 Messenger Kids。     稿源:新浪科技,封面源自网络;

Telegram 被指默认设置状态下会在用户通话过程中曝光 IP 地址

据外媒报道,Telegram 是一款可以让用户在互联网上与其他用户展开加密聊天和通话的通信应用。这款程序自称是一款安全的私人通信应用程序,然而一项研究发现,在它的默认配置下,它会在用户通话过程中泄露出 IP 地址。 在默认设置下,Telegram 的语音通话通过 P2P2 进行。当使用 P2P 的时候,用户通话对象的IP地址则会出现在 Telegram 控制日志上。不过不是所有的版本都有控制日志。比如 Windows 版不会,但 Linux 版却有。 Telegram 应用确实表明过用户可以通过改变设置防止 IP 地址被泄露,操作入下:设置-私人与安全-语音电话-将 Peer-to-Peer 改成 Never 或 Nobody 。这样设置后,用户将需要通过 Telegram 服务器拨打语音电话,虽然隐藏了 IP 地址但却要付出音频质量下降的代价。 问题是虽然 iOS 和 Android 用户可以关掉 P2P 电话功能,但安全研究员 Dhiraj 发现,官方桌面版和 Windows 版都无法禁用这个功能。这意味着这部分用户的 IP 地址会在他们使用语音通话时遭到泄露。下面是 Ubuntu 桌面版 Telegram 的一个例子: 作为一个以安全和私密性而著称的应用,Telegram 为何会存在这样一个漏洞呢?当外媒 BleepingComputer 询问 Dhiraj Telegram 这么做是否存在任何原因时,后者给出的回应是:“没有,关于这个并没有得到任何评论。” 此外,BleepingComputer 还联系了 Telegram 但也还未收到回复。   稿源:cnBeta.COM,封面源自网络;

苹果并不绝对安全 iPhone 可能泄露企业 WiFi 密码

网易科技讯 9月27日消息,许多企业都青睐苹果设备,其中一部分原因就是苹果公司的iPhone和Mac在安全方面有着出色的表现。 就在上周,福布斯杂志透露民主党全国委员会(民主党全国委员会)正在放弃Android,转而使用iOS设备,因为人们担心在中期选举中出现黑客攻击行为。 但苹果设备并不完美。 研究人员周四声称,他们发现了一种通过苹果的产品窃取商业Wi-Fi和应用密码的新方法。 他们破解了苹果旨在帮助公司管理和保护iPhone和Mac的技术。 最近被思科以23.5亿美元收购的安全公司Duo Security的研究人员称,软件漏洞问题在于苹果的设备注册计划(DEP)的开放性。 他们发现,通过在DEP系统中注册恶意设备,可以窃取Wi-Fi密码和更多内部商业机密。 利用Apple的开放性 虽然研究人员利用了苹果的注册技术,但iPhone制造商苹果确实支持在DEP上注册iPhone时的用户身份验证。 但苹果并不绝对要求用户证明他们是谁。 这取决于使用技术的公司对实名注册是否有要求。 注册iPhone设备后,研究人员需要在独立的移动设备管理(MDM)服务器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的服务中。 当使用苹果技术的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM服务器上设置的,真实设备的已注册DEP序列号。 研究人员说,这可以通过员工的社会工程检索来获取,也可以检查人们经常发布序列号的MDM产品论坛。 最传统的“暴力破解”方法也可行,计算机可以在DEP上搜索所有可能的数字,直到它击中正确的数字,这是效率最低的一种选择。 然后,攻击者可以使用所选的序列号在MDM服务器上注册他们的恶意设备,并作为合法用户出现在目标公司的网络上。 据研究人员称,随后他们就可以检索受害者业务中的应用程序和Wi-Fi密码。 但是有一个重要的警告:攻击者必须抢在合法员工之前将他们的设备注册到公司的MDM服务器上。 因为MDM服务器每个序列号只能注册一次。 但这可能性实际上还是很大的。 本周晚些时候在布宜诺斯艾利斯举行的Ekoparty会议期间提出攻击技术的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索过去90天内生产的所有设备的序列号。 他告诉福布斯杂志:“你找到尚未注册的设备绝对是可行的。“ 不要放弃MDM 巴克莱补充道:“总的来说,这并不意味着你不应该使用DEP或MDM。这些服务提供的好处超过了具有的风险。但苹果和客户可以采取措施来减少这种风险。” 在一篇论文中,研究人员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上使用加密技术,在注册DEP时唯一识别该设备。 他们补充说,苹果也可以采用更强大,强制性的身份验证。 巴克莱说,袭击方法是在5月向苹果报道的。 苹果没有透露是否会因研究成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些攻击没有利用苹果产品中的任何漏洞。 发言人表示,苹果关于注册设备的说明手册是建议开启身份验证的,许多MDM提供商建议或要求采取此类安全措施。 但巴克莱认为,苹果公司将进行更新以防止此类攻击。 “我不能代表他们计划做什么,但我相信会做出一些改变。”   稿源:网易科技,封面源自网络;

GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道,公司网站GovPayNow.com允许任意人访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。 美国用户在完成付款处理之后,GovPayNow.com就会发出确认收款的数字收据,而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中,通过简单地修改收据URL中的ID数字,就能轻松访问GovPayNet支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。 在发现安全问题后,研究人员向GovPayNet发出了关于该问题的警报,并在两天后收到答复,确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户,收据中不包含可用于启动金融交易的信息。”   稿源:cnBeta,封面源自网络;

研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

9月17日,安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。 更重要的是,除了电子邮件地址之外,还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。 奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的。 Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。   稿源:cnBeta,封面源自网络;

Mozilla 创始人投诉谷歌:违反 GDPR 法规 泄露用户数据

新浪科技讯 北京时间9月13日晚间消息,Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款, Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。 对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。   稿源:新浪科技,封面源自网络;

因追踪用户定位数据:谷歌可能在美国遭遇重罚

新浪科技讯 北京时间9月12日早间消息,据《华盛顿邮报》援引知情人士消息称,美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私,该州总检察长马克·布诺维奇(Mark Brnovich)就有可能对谷歌处以高额罚款。 目前布诺维奇的办公室并未确认此事。 美联社上月的一项研究发现,谷歌通过Android设备提供的服务会追踪并存储用户的地理位置,即便用户在隐私设置中关闭地理位置历史也无济于事。 据悉,谷歌应用会存储带有时间戳的定位数据,借此发布精准的地理定位广告。谷歌对美联社表示,他们让用户了解这些定位数据获取工具,并且提供了“强大的控制,让人们可以自行打开或关闭功能,或者随时删除历史。” 布诺维奇可能将此事作为一起消费者保护官司进行起诉,并按照违规次数寻求每次最高1万美元的罚款,这有可能导致谷歌面临巨额处罚。 谷歌发言人对此发表声明称:“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务,例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验,包括:定位历史、上网和应用活动,以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”   稿源:新浪科技,封面源自网络;