分类: 数据泄露

拥有上百万名用户的月经追踪应用被指将敏感数据分享给 Facebook

据外媒报道,一项新的研究发现,经期追踪应用正在向Facebook发送有关女性健康和性行为的敏感个人信息。总部位于英国的倡导组织Privacy International跟外媒BuzzFeed News分享了这一调查结果。 该组织发现,包括MIA Fem、Maya在内的数款月经跟踪应用会将女性避孕措施的使用情况、月经周期、腹部绞痛等症状等信息直接发送到Facebook上。 女性使用这类应用的目的多种多样,从跟踪月经周期到最大化怀上孩子的几率等等。在Google Play应用商城中,由印度Plackal Tech公司持有的Maya拥有超500万的下载量。塞浦路斯的Mobapp开发有限公司旗下的月经追踪软件MIA Fem: Ovulation Calculator表示,该公司在全球拥有200多万名用户。 据了解,这些应用跟Facebook的数据共享则是通过Facebook的软件开发工具包(SDK)实现。该SDK可以帮助应用开发人员整合特定功能并收集用户数据,这样Facebook就可以向他们展示有针对性的广告和其他功能。当用户将个人信息放入到应用时,这些信息就有可能由SDK发送给Facebook。 当被问及该报道时,Facebook告诉BuzzFeed News,它已经跟Privacy International指明的应用取得了联系并就可能违反其服务条款的行为展开讨论。 Privacy International发现,只要Maya用户打开应用,该应用就会通知Facebook甚至在用户同意应用隐私政策之前就开始将数据分享给Facebook。 分析发现,该应用还会分享用户输入的关于避孕使用情况的数据以及她们的情绪。另外,应用还会要求用户输入有关他们何时发生过性行为以及使用了何种避孕措施的信息。同样的,这些信息也被分享给了Facebook。 通常情况下,广告商对人们的情绪非常感兴趣,因为这有助于他们在更有可能购买的时候有策略地针对他们投放广告。怀孕或想要怀孕的女性可能就会改变她们的购物习惯。   (稿源:cnBeta,封面源自网络。)

4 亿个账户信息泄露!Facebook 再曝安全丑闻

据外媒报道,一个拥有超4.19亿条来自Facebook用户记录的公开服务器在网上被发现。该服务器没有采取任何密码保护措施,这意味着任何人都能访问。据了解,这个服务器拥有1.33条来自美国Facebook用户、1800万条来自英国用户、5000万条来自越南用户的记录。 记录包含了每位用户在Facebook上的唯一ID以及账号中列出的手机号码。Facebook ID是跟可以发现一个人用户名相关账号的独特数字。 由于Facebook在一年多钱限制了对手机号码的访问,所以现在曝光的这些数据比较老。Facebook一位发言人表示,这些数据是在Facebook切断手机号码访问之前被窃取的并称这些数据集“老旧”。 外媒TechCrunch可以通过将一个已知Facebook用户的手机号码跟一个列出的Facebook ID相匹配以此来验证数据库中的多条记录。其他记录则可通过将手机号码跟Facebook的密码重置功能相匹配来验证。虽然这些记录主要包含的是手机号码,但在某些情况下它还包含了用户名、性别和国家位置。 据悉,这个数据库最初由安全研究员Sanyam Jain发现,他表示他能找到几个名人的电话号码。目前还不清楚谁拥有这个数据库,也不清楚它来自哪里,但在TechCrunch联系了这个网站host后其被下线。目前还不清楚这些数据为何会从Facebook上被盗走,也不清楚这些数据的用途。   (稿源:cnBeta,封面源自网络。)

人气网络漫画 XKCD 论坛遭网络攻击:大量用户数据被盗

据外媒报道,黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击,此前,负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在,这个论坛已经下线。 论坛方面表示,等到他们能够检查漏洞并确保论坛已经安全之后才会重新上线这个论坛。“如果你是echochamber.me/xkcd用户,那么你应当立即更改你使用了同一个或类似密码的另一个账号的密码。” XKCD是Randall Munroe创作的流行网络漫画,其已经有14年的历史、主要关注科技、科学和互联网文化。Munroe还以其现在的标志性简笔人物画风格出过几本书,包括《How To》、 《Thing Explainer》、《What If》。 Hunt表示,这些数据由白帽子公安全研究员Adam Davies发现。   (稿源:cnBeta,封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:,稿件以及封面源自网络。)

荷兰称 Windows 10 远程收集用户数据 或违反隐私法

北京时间8月27日晚间消息,据路透社报道,荷兰数据保护局(DPA)今日表示,微软远程收集Windows 10家庭版和专业版用户的数据,这可能违反了荷兰的隐私保护法。 事实上,DPA早在2017年10月就曾表示,Windows 10违反了该国的数据保护法。在使用默认设置时,微软不断收集有关应用程序的使用记录。 DPA今日表示,虽然微软按照要求在去年对相关设置进行了而调整。但在测试这些调整后的隐私保护措施时,又发现了新的问题。 DPA称:“测试发现,微软还远程收集用户的其他信息。因此,微软还是潜在地违反了隐私保护法。” DPA还表示,已将这一发现转交给爱尔兰数据保护机构,因为微软在爱尔兰设有欧洲总部。 微软对此表示,公司始终致力于保护用户隐私。最近几年,微软已针对个人和小企业用户对Windows 10的隐私功能进行了改进。 微软说:“有机会进一步改进我们为用户提供的工具和选择,我们也很高兴。” 早在2017年1月,瑞士数据保护机构“瑞士联邦数据保护与信息委员会”曾表示,经调查发现,Windows 10因自动上传用户隐私信息而违反了瑞士的数据保护法。   (稿源:,稿件以及封面源自网络。)

12 万人数据被泄露?雪球回应:已进行核实

8月21日消息,今日网上流传称雪球网数据泄露,涉及12万人的数据只卖75美元,包含姓名,身份证,手机,账号/邮箱,密码,持股前3支,持股数,交易风格。对此雪球回应称,不会以任何方式将个人信息泄露给第三方,对此问题已进行核实。 雪球网还称,会持续提升对用户信息的保护能力。 近年有部分企业发生数据泄露事件,2018年8月,有人在暗网出售华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,9月犯罪嫌疑人被抓。同年12月,有人在网上宣称12306平台旅客信息泄露,低价出售60万账户信息、410万联系人数据,还免费公开部分账号供买家验证。   (稿源:网易科技,封面源自网络。)

入侵 Capital One 的黑客还涉嫌入侵其他 30 多家公司

联邦检察官透露,在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月,美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击,1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统,并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson(33),她将要对此次数据泄露事件负责。 根据 DoJ 报道,美国司法部长 Brian T. Moran 宣布,“一名前 Seattle 科技公司的软件工程师今天被捕,此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON,网名 erratic,33 岁,她今天在西雅图地方法院出庭,并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实,在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据,但他们尚不清楚这些受影响组织的名字。 检察官称,绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源:SecurityAffairs,译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

文件:去年数据泄露前 FB 未能提醒用户已知账户风险

北京时间8月16日上午消息,据路透社报道,周四提交的一份法庭文件显示,Facebook用户针对2018年发生的一起数据泄露事件,正对这家全球最大的社交媒体网络发起诉讼。这些用户称,公司未能向他们提醒单一登录工具的风险,但却有能力保护公司的员工。 单一登录可以让用户使用Facebook凭据登录第三方社交应用和服务。 该诉讼涉及多项法律行动,源于去年9月发生的公司历史上最严重的一起安全漏洞事故。当时,黑客窃取了登录代码——或“访问令牌”——从而使得近2900万个Facebook账户被非法访问。 “Facebook清楚这些访问令牌的漏洞,但多年来尽管公司有能力却始终未修复该漏洞,”原告在提交给位于加州旧金山的美国北部地区法院的诉状中写道,“更令人震惊的是,Facebook已经采取措施保护自己的员工免受安全风险的影响,却无视大多数用户面临的安全隐患。” 法官威廉阿尔苏普(William Alsup)在1月的时候,告诉Facebook,其愿意允许在本案中采取“bone-crushing discovery”方式,来调查用户数据被窃取的程度。 自最初披露数据泄露事故以来,Facebook几乎没有公开任何细节,仅仅表示“广泛”用户受到影响,但未根据国家分类给出具体数据。 对于另外的1500万名用户而言,受影响程度仅限于姓名和联系方式。此外,黑客可以看到大约40万名用户的帖子和朋友与群组列表。Facebook称,黑客未窃取用户的个人信息或财务数据,也没有访问用户的其他网站账户。 Facebook尚未立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

Facebook 聘请评估员收听语音信息,用户毫不知情

北京时间8月16日早间消息,Facebook本周证实,该公司开展了一项计划,允许承包商收听和转录一些用户的音频剪辑。这家社交网络表示,只有同意将其音频信息转录的人才会受此影响。 这似乎表明用户同意让第三方阅读聊天记录。但从Messenger权限的弹出对话框来看,这种说法并不属实。 在Messenger移动应用中,只要有人发送语音消息,就会立即看到一个提问对话框:“在此聊天中启用语音识别成文本功能?”用户可以选择“否”和“是”两个。Facebook的描述信息是:“显示您发送和接收的语音剪辑的文本。您可以控制每次聊天时文本是否可见。“ 其中并未提到人类参与。即使在专用于理解语音识别成文本的应用的单独信息页面中,Facebook也解释说用户可以在每次聊天中关闭它,并提示人们更多地使用这项功能。“语音识别成文本使用机器学习技术。”该公司说,“你使用这个功能的次数越多,对语音识别成文本就越有帮助。”其中并未阐述机器学习不仅限于软件代码。 包括苹果、亚马逊和谷歌在内的公司一直依赖人类来检查和改进他们的人工智能系统,但却并未告知用户。当科技企业面临的监管形势日益加剧的当下,这一错误可谓十分严重。负责执行欧盟隐私法的爱尔兰数据保护委员会表示,他们正在了解Facebook的转录做法。 斯坦福大学法学院互联网与社会中心的消费者隐私主任詹妮弗·金(Jennifer King)说:“人工智能只是处于可以解释人类对话的水平,”这意味着公司需要依靠监控来为系统训练提供帮助。“但从我的角度来看,最重要的问题是不披露。用户显然不知道这种事情。“ 有关Facebook人类转录计划的报道引起了美国立法者的愤怒,其中一些人已经呼吁加强隐私保护。弗吉尼亚州民主党参议员马克·华纳(Mark Warner)表示,关于Facebook音频收集行为的最新消息,“进一步证明了消费者对他们的数据收集和使用方式的期望与Facebook公司实际所做的完全不同。” 一些隐私律师表示,信息披露不足与公司跟FTC的50亿美元和解协议相冲突。 Fox Rothschild律师事务所首席隐私官马克·麦克雷利(Mark McCreary)表示,“如果没有其他人向用户披露关于人类收听行为的信息,我相信这可能就存在违规。”   (稿源:cnBeta ,文章标题《Facebook 聘请评估员收听语音信息用户知道吗?不知道》,封面源自网络。)

外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕

据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。 外媒认为,如果仔细阅读所泄露的数据,与过去的其他大规模数据泄露事件相比,Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法,这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。 但这里有一些关键的因素。首先,这是几个旧数据泄露的集合。事实上,在这个系列中的7.73亿个唯一的电子邮件地址中,只有1.41亿(约18%)未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中,有一半不在数据库中。 这意味着很可能,用户旧的简单密码之前已经被窃取,并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样,“我的希望是,对于许多人来说,这将是他们需要对他们的在线安全态势做出重大改变的提示。” 外媒认为,用户需要做的重要改变是确保使用唯一的密码,并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时,网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户,这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击,黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的账户。 而如果用户使用唯一的密码和双因素身份认证,这些攻击将无法正常工作。   (稿源:cnBeta,封面源自网络。)