分类: 数据泄露

Facebook 首次因数据泄密丑闻遭罚款:金额 66.4 万美元

新浪科技讯 北京时间7月11日早间消息,Facebook将因为剑桥分析(Cambridge Analytica)数据泄露事件而面临第一次处罚——来自英国的66.4万美元罚单。 英国信息委员会办公室(ICO)周二宣布对Facebook罚款,66.4万美元是处罚金额上限。他们认为Facebook缺乏强有力的隐私保护措施,而且忽视了有望阻止剑桥分析操纵舆论的重要信号,其中也包括2016年英国脱欧公投。 在与Facebook进一步沟通之后,此项处罚可能会有所调整。ICO通常不会披露初步结果,但他们表示,此次之所以这么做,主要是因为公众对此十分关注。该机构还承诺将在10月份更新内容。 Facebook首席隐私官艾琳·伊根(Erin Egan)在周二的声明中承认,Facebook本应采取更多措施调查跟剑桥分析有关的声明,并在2015年采取行动。 英国的处罚可能只是开始。欧洲其他地区和美国同样也在调查此事。例如,美国联邦贸易委员会也有可能对Facebook处以巨额罚款。美国联邦调查局和证券交易委员会也在调查Facebook与剑桥分析之间的联系。 伊根提到了很多与该公司有关的调查。“我们一直在与ICO就剑桥分析的调查展开密切合作,同时也在跟美国和其它国家的政府合作。”她说,“我们会评估这份报告,并尽快对ICO作出回应。” 英国的调查范围很广,不仅局限于Facebook,还包括整个生态系统,涉及172家组织和285名个人,涵盖为政治目的而收集和销售网民数据的行为。英国信息专员伊利莎白·德纳姆(Elizabeth Denham)对科技公司、政党和其他在线收集敏感信息的各方“极度缺乏透明度”的行为表达了不安。 “ICO调查得出一项重要结论是,Facebook的透明度不足,难以让用户明白政党或竞选活动将通过何种方式、因为何种原因而瞄准他们。”德纳姆说,“虽然这些关于Facebook广告模式的担忧普遍存在于商业应用之中,但在用于政治竞选时显得格外突出。” 英国监管者在大约40页的报告中指责Facebook允许剑桥大学研究员亚历山大·科根(Aleksandr Kogan)开发了一款代表剑桥分析收集Facebook用户及其好友数据的应用。这家社交媒体巨头允许应用在2015年之前收集这些信息,但英国监管者周二表示,他们担心该网站的很多用户“可能并没有充分了解他们的数据被人以这种方式获取”。 英国调查人员还质疑Facebook可能没有提供充足的保护措施,确保其他第三方应用开发者不会滥用社交数据。该机构称,Facebook在2014年错过了一次机会,未能阻止科根在该网站上的行为。 他们还表示,目前正在考虑对科根和剑桥分析公司前CEO亚历山大·尼克斯(Alexander Nix)进行处罚。 英国的主要担忧是Facebook的数据在多大程度上被用于操纵脱欧公投。英国政府周二还表示,他们将对剑桥分析母公司SCL Elections发起刑事诉讼。 英国监管者承诺对Facebook展开更严格的审查。剑桥分析曾经表示,在2015年收到Facebook的通知后,他们已经删除了相关数据。但英国监管者正在对此调查。他们发现,有证据显示,这些数据的副本被分享给其他机构,甚至分享到系统外部的机构,这也导致剑桥分析的陈述真实性存疑。 自从数据泄露丑闻遭到曝光后,Facebook承诺对其平台上的所有第三方应用进行评估,同时采取新的透明度措施,包括针对其网站上的所有政治广告设立一个在线“储藏室”。 但这并非欧洲首次处罚Facebook。欧盟反垄断监管者去年对Facebook罚款1.22亿美元。欧盟竞争专员认为,这家社交网络公司在2014年收购聊天应用WhatsApp时针对其隐私承诺提供误导性信息。Facebook还因为没有遵守法国的数据保护规定而遭到过16.4万美元罚款。   稿源:新浪科技,封面源自网络;

澳部门起诉 Facebook 违反隐私政策 资金方出资推动集体诉讼

新浪科技讯 北京时间7月10日下午消息,诉讼资金提供商IMF Bentham周二表示,公司正在资助一项针对社交网站Facebook被指控违反澳大利亚隐私政策的代表申诉。 公司表示将资助澳大利亚信息专员办公室针对Facebook Australia(Facebook澳大利亚)、Facebook和Facebook Ireland(Facebook爱尔兰)提出的诉讼。该诉讼已由悉尼法律事务所Johnson Winter & Slattery进行处理。 IMF Bentham还说,澳大利亚信息专员办公室亦对此事进行了单独调查,且或可根据专员的调查结果发起集体诉讼。 Facebook自三月份发生剑桥分析的数据丑闻以来一直处于严格的审查之下。另外,Facebook在四月份宣布,有超过31.1万名澳大利亚用户的信息可能被剑桥分析不当获取。 Facebook的澳大利亚分公司并未立即予以置评。   稿源:新浪科技,封面源自网络;

美国众议院致函苹果谷歌:就隐私和数据问题提出质疑

新浪科技讯 北京时间7月10日早间消息,4名美国共和党众议员周一致函苹果和谷歌母公司Alphabet CEO,希望了解与定位数据、手机隐私措施以及用户数据处理有关的问题。 众议院能源和商务委员会主席格雷格·瓦尔登(Greg Walden)和该委员会的另外3名资深共和党众议员,希望了解第三方对用户数据的获取行为,以及对录音数据的收集和使用,还包括通过iPhone和Android手机获得的定位信息。 Alphabet周一表示,该公司将会回答该委员会提出的问题。“保护我们用户的隐私和信息安全对谷歌至关重要。”该公司发言人说。 苹果发言人拒绝对此置评。该信周一由该委员会对外公布,他们表示,这些企业可能使用用户数据,包括“通过用户不希望的方式”获取定位信息和录音。 众议员的致信中引用多项报道,其中包括—— 智能手机在某些情况下会收集非触发式音频数据,以便听到“Okay Google”或“Hey Siri”等触发短语。并且第三方应用也可以获取这些信息,并在用户不知情的情况下使用这种“非触发”数据。 谷歌Android或苹果iPhone可能在未获用户许可的情况下收集音频数据。信中同时表示,该委员会“正在评估可能影响美国人隐私期望的商业行为。” 根据《华尔街日报》上周的一篇报道称,“谷歌仍然允许第三方获取用户邮件内容,包括消息文本、电子邮件签名、收据数据和个性化内容。”同时信中还肯定谷歌去年暂停为投放广告而进行的用户Gmail邮件内容扫描行为,认为这项调整对隐私和安全有利。 他们要求这两家公司在7月23日之前作出回应。 在此之前,Facebook CEO马克·扎克伯格(Mark Zuckerberg)曾于今年4月因为隐私问题出席国会听证会。   稿源:新浪科技,封面源自网络;

AI 公司面临隐私问题 不少仍坚持原则拒绝商业机会

TechWeb报道,7月8日消息,据国外媒体报道,当一家由美国中央情报局支持的风险投资基金表示对拉纳·埃尔·卡利乌比(Rana el Kaliouby)的面部扫描技术感兴趣时,这位计算机科学家和她的同事进行了一些反思——然后拒绝了这笔投资。 卡利乌比是波士顿初创公司Affectiva的联合创始人兼首席执行官,该公司已经对其人工智能系统进行了培训,创建了一个包含600多万张面孔的摄影库,可识别出一个人的情绪,是高兴还是悲伤、疲倦还是愤怒。 她说:“我们公司对你们监视别人的事情不感兴趣。” 由人工智能驱动的计算机视觉技术不断更新,不仅加速了自动驾驶汽车的竞争,并为Facebook和谷歌上越来越复杂的照片标注功能提供了动力。但是,随着这些能够窥探人们的“人工智能之眼”被安装在商店的收银台、警察的随身相机,以及在战场上找到了新的用武之地,科技公司正在努力平衡商业机会和道德决策,而这些决策可能会导致他们失去客户或是员工失去工作。 卡利乌比说,“不难想象,利用实时的人脸识别技术可识别撒谎行为——或者,在一个专制政权的手中,监控人们对政治言论的反应,以根除不同意见。”但是,这家从麻省理工学院一个研究实验室中走出来的小公司,已经为自己做出限制。 卡利乌比说,该公司已经避开检测“任何安保、机场,甚至是谎言检测的事项”。相反,Affectiva与汽车制造商合作,试图帮助那些外表看上去疲惫的司机保持清醒,并与消费者品牌合作,商家希望了解人们对某款产品的反应是喜欢还是厌恶。 这种不安反映出,人们对这个时刻都在监视的人工智能全视系统的能力和可能存在的弊端感到不按——就连当局也越来越渴望能使用它们。 上个月,在马里兰州安纳波利斯的一家报纸报道一起致命枪击事件后,警方说,他们在确认这名不愿合作的嫌疑人后,立即开始了面部识别。他们这样做的目的是利用一个国家数据库,其中包括过去被捕者的照片。更有争议的是,这其中还包括每个注册了马里兰州驾照的人。 向执法部门提供的初步信息显示,警方之所以利用面部识别技术,是因为嫌疑人显然是为了逃避被确定而损坏了指纹。后来那份报告被证明是错误的,警方说他们使用面部识别是因为指纹识别结果受到延迟。 今年6月,位于佛罗里达州的奥兰多国际机场宣布,计划在今年年底前,对所有进出国际航班的乘客进行面部识别扫描。美国其他几个机场已经在对一些国际航班进行扫描,但不是全部。 中国公司已经在使用智能相机来实时地记录那些乱穿马路的人。亚马逊在西雅图的新开的无收银员商店中配备了头顶摄像头和传感器,目的是通过追踪购物者拿起和放回的每一件商品,解决了店内行窃行为。 即使是最大的科技公司,对这项技术的担忧也受到了动摇。例如,谷歌最近表示,在员工抗议谷歌的人工智能技术应用到军事应用后,该公司将退出一份防御合同。这项工作涉及对来自伊拉克和其他冲突地区的无人机视频进行计算机分析。 类似对政府合同的担忧也激起了亚马逊和微软内部的不和。谷歌此后发布了人工智能指南,强调使用“对社会有益”和避免“不公平偏见”。 然而,到目前为止,亚马逊已经顶住了来自员工和隐私倡导人士日益增长的压力,他们要求其停止向警察部门和其他政府机构出售的公司强大人脸识别工具Rekognition。 自本世纪初计算机视觉技术出现突破以来,商业和政府对这项技术的兴趣迅速增长,人们使用类似大脑的“神经网络”来识别图像中的物体。2012年,在YouTube视频中训练电脑识别猫还是一项早期的挑战。现在,谷歌有款APP不仅能识别猫,还能告诉你这猫是哪个品种。 今年6月,在盐湖城举行了一场计算机视觉和模式识别领域的重要学术会议。多伦多约克大学的计算机科学家、会议的组织者迈克尔·布朗说,这原本是一个充满“书呆子”令人昏昏欲睡的学术会议,现在成为淘金热的商业世博会,吸引了很多大公司和政府机构。 布朗说,研究人员当场被给予高薪工作。但在提交给会议的数千份技术文件中,很少有涉及公众对隐私、偏见或其他道德困境的广泛担忧。他说:“对于这个原本应当重视的问题,我们可能不会进行过多的讨论。” 创业公司正在开辟自己的道路。迈阿密面部识别软件公司Kairos的首席执行官布赖恩·布雷斯基恩(Brian Brackeen)制定了一项全面政策,禁止向执法部门或政府监控部门出售该技术。他在最近的一篇文章中辩称,该技术“为道德败坏者的严重不当行为打开了大门”。 相比之下,总部位于波士顿的创业公司Neurala正在为摩托罗拉开发软件,用于警察佩戴的随身相机,它可以根据人们的穿着和长相在人群中确定一个人。首席执行官马克斯·范思哲(Max Versace)表示,“人工智能是社会的一面镜子”,因此该公司只选择有原则的合作伙伴。 他说,“我们不是那种极权主义、奥威尔式的阴谋的一员。”   稿源:TechWeb,封面源自网络;

可穿戴设备品牌 Polar 旗下 App 出现漏洞:泄露用户位置

新浪科技讯 北京时间7月9日早间消息,据美国科技网站The Verge援引欧洲媒体报道,法国可穿戴智能设备公司Polar提供的App在隐私设置上存在漏洞,导致App中有一项功能会泄露用户的位置信息。目前该公司已停止相关服务。 Polar是一家法国公司,它生产多种智能设备,包括Polar Balance智能体重秤、M600智能手表、M430跑步手表,所有这些设备都可以连接到公司的健身App,也就是Polar Flow。 Explore是Polar Flow的一项功能,它相当于用户的活动地图,可以追踪全球许多用户的活动数据。如果用户决定通过Explore公开分享数据,其他人就能看到他的所有锻炼信息。用户也可以将信息设置为私有,这样一来,Polar服务就不会与第三方App分享信息。 调查发现,恶意使用者可以利用Polar地图数据确定敏感军事基地的位置,而且还可以获取用户的名字、地址信息。在Explore地图中可以看到用户的活动,甚至包括士兵的活动,这些士兵在伊拉克打击ISIS。 周五时,Polar发表声明,对自己的疏忽表达歉意,它还说公司已经在Flow App中停用Explore功能,并说之前没有泄露过数据,公司称:“我们正在分析最佳选择,希望能让Polar客户继续使用Explore功能,同时还会采取其它措施提醒客户,让他们不要公开分享与敏感位置有关的GPS文件。”   稿源:新浪科技,封面源自网络;

研究称你的手机没有偷听你 但可能监视你

网易科技讯7月4日消息,据国外媒体Gizmodo报道,研究人员称,你的手机没有偷听你,但有可能在监视你在手机上的一举一动。 围绕智能手机的阴谋论不会消失:很多人相信他们的手机在偷听他们说话,以便向他们精准推送广告。Vice最近刊文称“你的手机是在偷听,这并不是妄想症“。它得出的结论是基于作者的5天实验,他在实验期间有意在他的手机面前谈到“回到大学”和“需要廉价的衬衫”,之后他在Facebook上看到了衬衫和大学课程方面的广告。 美国东北大学的一些计算机科学学者对于人们谈论这种说法感到非常厌烦,于是他们决定做一项严格的研究来解决这个问题。在过去的一年中,艾琳·潘(Elleen Pan)、任晶晶(Jingjing Ren音译)、玛蒂娜·林多弗(Martina Lindorfer)、克里斯托·威尔逊(Christo Wilson)和大卫·乔夫内斯(David Choffnes)进行了一项实验,研究了Android上超过1.7万个热门应用,以确定当中是否有应用在秘密地利用手机的麦克风来获取音频。这些应用既包括那些属于Facebook的应用,也包括8000多个向Facebook传送信息的应用。 对不起,阴谋论者:他们没有发现任何证据表明应用在没有提示的情况下会突然启用麦克风或发送音频。就像优秀的科学家一样,他们拒绝说他们的研究确切无误地证明你的手机没有在偷听你说话,但他们没有发现任何一个这样的例子。相反,他们发现了另一种令人不安的做法:应用记录手机的屏幕,并将相关信息发送给第三方。 在研究人员所研究的17260个应用中,有超过9000个获得了访问摄像头和麦克风的许可,因此有可能无意中听到手机用户谈论他们需要猫砂,或者他们有多喜欢某一品牌的冰淇淋。研究人员同时使用10部Android手机,利用一个自动程序与这些应用进行交互,然后分析所产生的流量。(这项研究的一个限制是,手机上的自动程序不能做人类能做的事情,比如创建用户名和密码,然后在应用上登录到一个账号上。)他们特意观察是否有媒体文件被发送出去,尤其是有没有被发送到意想不到的第三方。 研究人员让这些手机运行数千个应用,看当中是否有应用秘密激活麦克风来进行偷听。 他们开始看到的奇怪做法是,记录人们在应用中所做的事情的屏幕截图和视频录像被发送到第三方域名。例如,其中一部手机使用了GoPuff的应用(一款专为突然想吃垃圾食品的人开发的配送应用),与该应用的互动被录制了下来,然后发送到一个与移动分析公司Appsee关联的域名。该视频包含可让你在上面输入个人信息的屏幕——这个例子是输入邮区编号。 这并不完全出乎意料:Appsee在其网站上自豪地吹嘘它能够记录用户在应用中所做的事情。令研究人员感到困扰的是,用户并不知道他们的行为被记录下来,GoPuff的隐私政策中并没有披露这一点。在研究人员与GoPuff取得联系后,该公司在政策中增加了一项披露,承认Appsee可能会获得用户个人识别信息(PII)。“作为一项额外的预防措施,我们还从最新的Android和iOS版本中撤出了Appsee的软件开发工具包(SDK)。”GoPuff的发言人通过电子邮件表示。 与此同时,Appsee则声称是GoPuff的问题。Appsee的首席执行官扎希·布斯巴(Zahi Boussiba)表示,他的公司的服务条款“明确规定我们的客户必须披露第三方技术的使用情况,我们的条款禁止客户利用Appsee跟踪任何的个人数据。”他说,他们的客户可以屏蔽其应用的敏感部分,来防止Appsee进行录像。他还指出,许多Appsee的竞争对手也为iOS和Android应用提供“全会话回放技术”。 “在这个情况中,Appsee的技术似乎被客户滥用了,我们的服务条款被违反了。”布斯巴在一封电子邮件中说,“在注意到这个问题以后,我们立即禁用了被提及应用的跟踪功能,并从我们的服务器上清楚了所有的记录数据。” 不过,谷歌的一位发言人说,Appsee并不是完全没有责任的。“我们一直非常感谢研究社区努力帮助改善网络隐私和安全措施。”谷歌发言人称,“在审查了研究人员的发现后,我们确定AppSee服务的一部分可能会使一些开发人员面临违反Google Play政策的风险。我们正与他们密切合作,以帮助开发人员恰当地向他们的应用的最终用户解释该SDK的功能。” Google Play政策说,你必须向用户披露他们的数据将会被如何收集。 GoPuff使用Appsee来帮助优化其应用的性能,所以后者的记录行为它并不是没有预料到的,但让人担忧的是,第三方可以在不通知你的情况下记录你的手机屏幕。这意味着不法分子很轻易就能从你的手机中窃取信息。应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。 应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。 换句话说,除非智能手机制造商在你的屏幕被记录下来的时候通知你,或者给你提供关闭该功能的选项,否则你又有了一个要担心的问题。研究人员将于下月在巴塞罗那的隐私增强技术大会上展示他们的研究成果。 研究人员之所以不敢保证你的手机没有偷偷地听你说话,部分因为他们的研究没有涵盖一些使用场景。他们的手机是由一个自动程序操作的,而不是真人操作的,所以他们可能不会像有血有肉的用户那样触发应用开启摄像头。另外,手机在一个受控的环境中,而不是游荡在外部世界:在研究的最初几个月,那些手机放置在东北大学学生实验室里的学生附近,因此会被周围的对话环绕,但手机制造了许多噪音,因为应用在持续不断地被使用,最终,它们被转移到了一个橱柜里。(如果研究人员再做一次实验,他们会在手机旁边的壁橱里循环播放播客。)还有一种可能性:应用将对话录音转换成文本以后再发送出去,因此研究人员可能会看不到对话的录音。所以说,阴谋论还没有被完全扼杀。 人们对他们的手机的偏执妄想程度是可以理解的。毕竟,我们几乎任何时候都随身携带着它,它有无数个传感器,能够监控我们的一举一动。然而,你看到的广告精准得可怕,几乎肯定不是手机偷听你的结果;那是根据通过应用捕捉到的你的线上线下行为信息定向投放的,而且你并不像你自己认为的那么独特。广告商知道你在线上谈论些什么,因为其他像你这样的人也在谈同样的东西,买同样的东西。 “我们没有看到任何证据表明人们的谈话被秘密记录下来。”论文作者之一大卫·乔夫内斯指出,“而人们似乎不清楚的是,在日常生活中,还有很多其他的追踪活动没有涉及到你手机的摄像头或麦克风,这些活动也同样能够让第三方全面地了解你。”   稿源:网易科技,封面源自网络;

第三方 App 曝隐私丑闻 竟允许员工阅读用户的邮件

新浪数码讯 7月3日上午消息,《华尔街日报》今日发表的一篇文章警告称,一些基于Gmail的第三方邮件App竟允许自己员工阅读用户的邮件,用以优化其服务体验。 第三方服务商被点名 这类第三方邮件解决方案提供商扮演的是用户和邮箱之间的角色:比如用户通过Gmail收邮件,但它的客户端App功能不完善(例如不能批量回复或发超大附件之类),所以第三方开发者做一种体验更好的方案给用户活企业选择。 华尔街日报提到一个叫“Return Path”的电子邮件解决方案供应商,这家公司曾与163个App有合作。两年前,他们允许员工阅读约8000封完整的用户邮件,用来训练自己的软件。 Return Path官网宣传语是“We Konw Email(我们了解邮件)”,现在看起来极具讽刺意味 另外还有个叫Edison Software的公司,他们曾在iOS平台开发过一款叫Edison Mail的App,也曾让员工阅读数百名用户的电子邮件,用来打造自己的“智能回复”功能。 没人看的用户协议 根据《华尔街日报》的消息,两家公司都没有要求用户获得阅读其电子邮件的许可,但他们都表示,用户协议中已经包含了这种做法。并且有权限阅读用户邮件的员工受到严格的管理,用户的具体信息也是被隐藏的。 《华尔街日报》在文采访了20多位电子邮件和数据公司的现任和前任雇员,还得知Edison、Return Path和其他第三方电子邮件服务也会用机器扫描分析电子邮件,这是一种常见的做法。 由于隐私原因,谷歌去年不再扫描Gmail用户的收件箱,但仍允许第三方软件开发人员这样做。而诸如雅虎(Yahoo)和微软(Microsoft)等其他电子邮件服务也会有类似的问题,他们可以在用户同意的情况下访问邮件内容。 虽说Return Path、Edison以及使用Gmail或类似电子邮件服务的其他开发人员似乎没有滥用客户隐私信息,但许多用户仍有担忧。 并且许多客户在注册第三方电子邮件App时,可能也没有意识到他们同意这种做法,因为很少有人会把用户条款仔细看完。此前就曾有安全专家说,互联网上最大的欺骗就是“我已阅读并同意这些条款和条件”。 不止是大公司才能收集用户数据 谷歌在一份书面声明中表示,它向第三方开发人员提供数据,这些开发人员经过审查,并得到用户的许可,可以访问他们的电子邮件。谷歌说,他们自己员工只在“非常具体的情况下,用户要求我们同意,或者出于安全目的,比如调查一个bug或滥用行为”才会阅读电子邮件。 但用户仍应警惕电子邮件App,因为谷歌在电子邮件方面没有强有力的用户保护措施。 这种第三方邮件App搭建过程并不复杂,开发者只要构建一个连接到Gmail账户的应用程序,并且允许访问Gmail收件箱(有点像给Gmail套了个壳),这款App开发者就可以看到收件箱的全部内容。 所以你看,不仅仅是大公司才能够获得用户数据——谷歌也允许个人创业者用,而且数据隐私保护政策可能会有所不同。 如果你对也担心这种情况,那就不要使用这种第三方邮件App,只用邮件服务商原生产品,或者仔细查看此App的隐私政策,并了解清楚数据使用情况。   稿源:新浪科技,封面源自网络;

Facebook再曝数据丑闻:1.2亿用户数据面临泄露风险

新浪科技讯 北京时间6月29日早间消息,研究发现一个名为“NameTests”的第三方测验应用令1.2亿名Facebook用户的数据面临泄露风险,而这个应用的漏洞直到上个月才得到修复,这就使得Facebook数据丑闻进一步升温。 Facebook隐私权丑闻是在今年3月首次曝光的,当时曾在唐纳德·特朗普(Donald Trump)竞选美国总统期间受聘的政治数据公司“剑桥分析”(Cambridge Analytica)被曝从一名教授那里非法购买了Facebook用户数据,该教授运作过一个名为“thisisyourdigitallife”(这是你的数字生活)的测验应用。随后,Facebook在5月对第三方应用进行了一次审计,其结果是约200个应用遭到封停。 但现在看来,Facebook还面临着更多问题。根据道德黑客Inti De Ceukelaire的发现,NameTests应用存在安全缺陷。 周三,De Ceukelaire描述了向Facebook新推出的“数据滥用悬赏”(Data Abuse Bounty)计划上报NameTests应用背后网站的一个漏洞的过程。这个漏洞可能只是一个错误而已,也可能是个疏忽大意的例子,但可以肯定的是,这表明Facebook对用户数据的监管过少,而黑客可以利用这些数据来从事各种恶意活动。 NameTest漏洞的发现不仅表明人们仍不了解能够获取自己数据的第三方应用,同时也表明Facebook“数据滥用悬赏”计划的程序存在问题。De Ceukelaire称,他在4月22日就上报了这个问题,但直到8天以后Facebook才作出回应称其正在展开调查。到5月14日,他去查看Facebook是否已经联系过NameTest的开发者;又过了8天,Facebook才回复称其可能需要3到6个月来进行调查。 到6月25日,De Ceukelaire注意到NameTest已经修复这个漏洞。在与Facebook取得联系后,该公司承认该漏洞已被修复,并同意向“新闻自由基金会”(Freedom of the Press Foundation)捐赠8000美元,以此作为悬赏计划的一部分奖金。换而言之,根据De Ceukelaire的说法,Facebook至少花了一个月才解决了这个问题,而且是在不得已的情况下才履行了悬赏承诺。   稿源:新浪科技,封面源自网络;

警惕!美国出现黑客盗取并兜售幼儿个人信息

环球网综合报道,据美国“侨报网”6月27日报道,盗窃身份的网络黑客现在已将黑手伸向了持有社会安全号码(SSN)的年幼孩子——甚至包括新生婴儿,因为这些孩子从来没有购买过任何东西,这意味着他们有一个“完美”的信用记录,而黑客在窃取了这些拥有“完美”信用记录的身份信息后,会在黑市网站上进行兜售,并会向买家解释如何使用这些信息伪造欺诈性税务记录或申请信用卡而不被抓获。不幸的是,当这些孩子长大后,他们可能会发现自己的信用出了问题,但纠正信用历史问题或欺诈性购买等将是非常困难或根本不可能做到的事情。 纽约医疗保健公司Cynerio首席执行官里尔曼(Leon Lerman)指出,该公司研究人员已发现,在“黑暗网站”上有一个复杂的市场,被盗数据可通过一定的渠道分销给最终用户,而黑客作为黑市价值链的顶端,已将大量原始患者数据出售给买家。而这对公众尤其是孩子的家长也提出了警示。 对此,他表示,为了避免个人信息外泄,除非绝对需要,否则应尽量保护个人信息的安全。一旦有孩子信息被盗,家长必须为孩子注册新的社安号。 BTB安全管理公司合伙人施乐西特(Ron Schlecht)也指出,黑客之所以窃取儿童数据,还因为它可以与其他数据相结合。例如,由于SSN和出生日期数据是真实的,黑客可使用伪造的名称和地址建立信用记录,而这是一种将真实信息和虚假信息结合起来的欺诈行为。 对此,消费及商业专家建议,孩子家长最好定期检查孩子们的信用记录。黑客对婴幼儿下手主要因为很多家长多年来疏于对孩子信用历史的检查。若孩子信用被滥用,可能需要他们靠年份积累来补救和恢复他们的身份和名誉,在极端情况下,他们可能需要获得一个新的社安号。此外,父母还应注重保护孩子的身份信息,切勿随意向外透露,包括学校、医院等。   稿源:环球网,封面源自网络;

美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。 Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。 最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。 虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。 目前,Exactis已经对数据进行了加密防护。在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息。   稿源:快科技,封面源自网络;