标签: 个人信息

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)

洛杉矶警察局数据泄露致 2500 名警官个人信息被盗

据外媒报道,据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称,被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此,LAPD建议受影响的警官要监控起自己的信用报告和银行账户,另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的,我们致力于保护跟我们机构有关的任何人的隐私,”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   (稿源:cnBeta,封面源自网络。)  

多款 App 被曝与 FB 共享用户敏感数据:部分 App 已改正

讯 北京时间2月25日早间消息,美国《华尔街日报》报道称,许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息,其中包括用户的体重和月经周期。 《华尔街日报》上周五报道称,至少有11款热门健康、健身应用通过Facebook提供给App开发商的软件,将用户敏感数据传输至Facebook。而在上周日进行的新一轮测试显示,在《华尔街日报》确认并联系的App应用程序中,至少有四个发布了更新,以切断对Facebook的敏感数据传输。测试显示,做出改变的应用程序包括FloHealth公司的Flo Period & Detation Tracker和Azumio公司的心率App应用Instant Heart Rate: HR Monitor。 上周日的测试显示,另一款热门食物和运动日志应用程序、来自FitNow公司的Lose It也停止了发送信息。在上周四的一次测试中,该应用程序向Facebook发送用户体重记录,以及他们所记录的每种食物所含热量。 这一变化的原因在于,为回应媒体报道,Facebook主动联系了一些大型广告商和应用开发商,告诉这些合作伙伴向Facebook发送任何有关用户的敏感信息。与FitNow公司联系的一位Facebook人士透露,社交媒体公司正在开发新系统,以检测和阻止应用程序上传此类信息。这位知情人士说,其中至少有一项内容是,Facebook指示一家主要开发商,希望后者确保其在App应用中发送Facebook的所有用户信息都有合法的理由。 Facebook发言人拒绝对该公司与开发商的联络事宜评论,但重申了上周五的声明,即该公司禁止开发商向其发送事关用户的敏感的健康和财务信息。 Flo Health公司的一位发言人上周日证实,该公司已从应用程序中删除了Facebook的软件,并要求Facebook删除该公司此前发送的所有用户数据。上周日,Azumio和FitNow没有回复置评请求。 Facebook分析服务允许App开发商以聚合的形式查看敏感数据,并根据这些信息在Facebook上发布定向广告以吸引用户。Facebook曾表示,不会以其它方式使用这种类型的应用程序数据,尽管该公司的业务服务条款赋予了Facebook这样做的自由。 测试显示,不管App用户是否是社交网络的一员,敏感信息都会被分享到Facebook上。 纽约州州长安德鲁·库莫(Andrew Cuomo)上周五下令州政府机构,对《华尔街日报》报道中所描述的App应用向Facebook传输个人信息的情况展开调查,并敦促华盛顿的监管机构也介入其中。在华盛顿特区,来自马萨诸塞州的民主党参议员艾德·马基(Ed Markey)认为这种行为“触及了隐私渎职行为的新底线”。 英国下议院数字、媒体、文化和体育委员会主席达米安·柯林斯(Damian Collins)上周呼吁加强对社交媒体的监管,他在Twitter上说,《华尔街日报》的报道“显示了该系统完全失控到何种境地”。 与Facebook分享如此私密的数据引发了一场关于谁应对通过所谓的软件开发工具包(SDK)共享数据负起责任的讨论,因为SDK内置于几乎所有的移动App中。根据应用分析公司Apptopia的数据,Facebook是最受欢迎的SDK之一,而苹果iOS上的应用程序平均数量为19个。 这些工具包可以帮助开发人员集成某些特点或功能,例如Facebook所提供的分析工具,使应用程序能够更好地了解用户的行为或收集数据,以便针对性地销售广告。SDK有时会向第三方发送关于用户在应用程序内部做什么的详细信息,其中一些理应受到严格的合同约束,不得使用这些信息,而另一些信息则不受控制。 Facebook发言人说,这种数据共享是“行业标准惯例”。 科技行业的一些人认为,Facebook不能对数据共享负责,即使它构建了SDK,因为开发商可自行决定使用该工具与公司共享哪些数据,而Facebook公司不可能有效地管理被发送的数据。其他人则表示,Facebook有责任帮助开发商建立系统。 北卡罗来纳大学教堂山分校副教授泽尼普·塔菲奇(Zeynep Tufekci)在Twitter上说:“数据链上的每一部分人都会说,‘哦,只是看看其它部分在做这个还是那个。’他们都没错。整个监控工业联合体存在腐败,而普通人并不清楚它的运作机制。”     (稿源:,稿件以及封面源自网络。)

谷歌遭起诉:被指非法追踪 iPhone 和 Android 用户位置

讯 北京时间8月21日早间消息,谷歌在一桩最新的法律诉讼中被指非法追踪成百上千万iPhone和Android智能手机用户的活动,哪怕用户试图利用隐私权设置来避免被追踪也不例外。 根据上周五提起的一桩诉讼,谷歌欺骗性地向用户保证,如果他们将手机上的“位置历史”(Location History)功能设置为“关闭”,那么就不会被追踪;但在实际上,谷歌则仍会监控和存储用户的活动,从而侵犯 了其隐私权。 这桩诉讼的原告方是来自圣地亚哥的拿破仑·帕塔希尔(Napoleon Patacsil),他在向旧金山联邦法庭提起的诉讼中指称:“谷歌表示用户‘可在任何时候关闭位置历史功能,当此功能关闭时,你们去的地方就不会再被存储下来’,但这并非事实。” 帕塔希尔正寻求代表关闭了追踪功能的美国iPhone和Android智能手机用户对谷歌发起集体诉讼,要求谷歌为故意违反加利福尼亚州隐私权法和侵犯用户私人事务支付数额不明的赔偿金。 美联社曾在8月13日刊文,对谷歌被指追踪用户活动一事作出过描述,该报当时指出普林斯顿大学的计算机科学研究人员证实了此事。 谷歌周一并未就此置评,代表帕塔希尔的律师事务所Lieff Cabraser Heimann & Bernstein合伙人迈克尔·索博尔(Michael Sobol)也尚未置评。 帕塔希尔指称,谷歌先是在他使用Android手机时对其进行了非法追踪,随后当他改用iPhone并下载了一些谷歌应用后,谷歌又对他进行了追踪。 他说道,谷歌的“主要目标”是“秘密监控”手机用户,并允许第三方也这样做。 根据谷歌网站帮助页面现在的说法,关闭“位置历史”功能“不会影响到其他位置服务”,并表示有些位置数据可能通过搜索和地图等其他服务被存储下来。   稿源:,稿件以及封面源自网络;

美国自动语音话务公司数以千计的选民信息遭曝光

据外媒ZDNet报道,一家位于弗吉尼亚州的主营政治竞选的自动语音话务公司Robocent的选民信息记录遭到外泄, 约有2600条选民的个人信息遭到曝光,记录包含选民的姓名、住址和政治倾向以及音频通话记录。 Kromtech信息安全公司的安全研究员 Bob Diachenko率先在个人博客中披露了其数据遭到曝光,并向媒体分享了经过隐私处理的数据记录截图,除了上述信息还包括选民的性别、电话、年龄和出生年月,邮编,民族,语言和教育水平。经过“计算”的政治倾向,例如“弱支持民主党”“坚定支持共和党”或“摇摆”。尽管美国大部分州的选民注册信息属于公开记录,但这些数据严格限于特定的目的,有些州严格防止选民数据用于商业用途。 Robocent 的联合创始人Travis Trawick确认公司的数据被安全保管,被曝光的数据记录来自于2013-2016年的公司统计,在过去两年中并未被使用。目前公司正在调查被公开数据,“所有曝光的数据都是公开访问信息,如果’法律需要’他会联系受影响的用户”。   稿源:cnBeta,封面源自网络;

警惕!美国出现黑客盗取并兜售幼儿个人信息

环球网综合报道,据美国“侨报网”6月27日报道,盗窃身份的网络黑客现在已将黑手伸向了持有社会安全号码(SSN)的年幼孩子——甚至包括新生婴儿,因为这些孩子从来没有购买过任何东西,这意味着他们有一个“完美”的信用记录,而黑客在窃取了这些拥有“完美”信用记录的身份信息后,会在黑市网站上进行兜售,并会向买家解释如何使用这些信息伪造欺诈性税务记录或申请信用卡而不被抓获。不幸的是,当这些孩子长大后,他们可能会发现自己的信用出了问题,但纠正信用历史问题或欺诈性购买等将是非常困难或根本不可能做到的事情。 纽约医疗保健公司Cynerio首席执行官里尔曼(Leon Lerman)指出,该公司研究人员已发现,在“黑暗网站”上有一个复杂的市场,被盗数据可通过一定的渠道分销给最终用户,而黑客作为黑市价值链的顶端,已将大量原始患者数据出售给买家。而这对公众尤其是孩子的家长也提出了警示。 对此,他表示,为了避免个人信息外泄,除非绝对需要,否则应尽量保护个人信息的安全。一旦有孩子信息被盗,家长必须为孩子注册新的社安号。 BTB安全管理公司合伙人施乐西特(Ron Schlecht)也指出,黑客之所以窃取儿童数据,还因为它可以与其他数据相结合。例如,由于SSN和出生日期数据是真实的,黑客可使用伪造的名称和地址建立信用记录,而这是一种将真实信息和虚假信息结合起来的欺诈行为。 对此,消费及商业专家建议,孩子家长最好定期检查孩子们的信用记录。黑客对婴幼儿下手主要因为很多家长多年来疏于对孩子信用历史的检查。若孩子信用被滥用,可能需要他们靠年份积累来补救和恢复他们的身份和名誉,在极端情况下,他们可能需要获得一个新的社安号。此外,父母还应注重保护孩子的身份信息,切勿随意向外透露,包括学校、医院等。   稿源:环球网,封面源自网络;

本田印度在 AWS S3 服务器上暴露 50,000 个客户的详细信息

根据Kromtech Security发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源:Freebuf,封面源自网络;

Facebook新“罪过”:利用宗教性取向等敏感信息发布广告

由英国《卫报》和丹麦广播公司进行的调查发现,Facebook平台允许广告客户根据用户的政治信仰、性行为和宗教信仰等敏感个人信息,向用户发布广告。 根据现行欧盟数据保护法律及5月25日即将生效的欧盟《通用数据保护条例》,这些信息均属于敏感信息。 由两家公司联合进行的调查发现,Facebook利用用户的敏感个人信息,允许广告客户根据推测的用户个人兴趣发布广告。根据相关法律,在使用用户敏感信息前,Facebook需要获得用户明确同意。 当然,Facebook可以声称,它收集的有关用户亲密关系/兴趣的资料,即使包含性行为和宗教信仰等敏感信息,也不属于个人信息。 针对两家媒体的调查,Facebook发言人发表声明称, “与其他互联网公司一样,Facebook根据我们认为用户可能感兴趣的主题发布广告,但没有使用敏感的个人信息。这意味着,某一用户被认为对‘同性恋自豪日’广告感兴趣,原因只是他对与‘同性恋自豪日’有关的网页点赞或点击了‘同性恋自豪日’广告,并不反映用户的性格——例如性别取向或性行为。我们提供有Ad Preferences工具,用户可以管理他们会看到的广告类别。我们的广告业务符合欧盟法律,与其他公司一样,我们也在备战《通用数据保护条例》,确保业务符合其要求。” Facebook或因此在近期遭到起诉。之前就有业内人士称,《通用数据保护条例》就是针对Facebook而推出的。根据这一条例,违法企业可能被处以相当于全球营收4%的罚款。 《通用数据保护条例》是Facebook广告业务面临更严格审查的原因之一,最近爆发的剑桥分析数据泄露丑闻是另外一个原因。 Facebook通过收集用户信息发布广告,但根据欧盟现行和未来的数据保护框架,在收集、处理用户的特殊类型数据时,企业需要征得用户的明确同意。这意味着,在收集、处理敏感数据时,Facebook需要确保事先征得用户同意,例如通过弹出式窗口形式。 Facebook声称其核心业务是社交媒体,而非收集、处理用户数据用于运营微定位(microtargeted)广告平台。有业内人士称,如果Facebook所言不虚,它为什么把社交服务与广告定位功能捆绑在一起——向用户表示不接受精准广告就不能享用社交服务?   稿源:凤凰网科技,编译:霜叶,封面源自网络;

谁在倒卖用户个人信息?新华社:内鬼是泄露主要渠道

去年以来,在公安部部署下,全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动,取得了明显成效。但当前侵犯公民信息安全违法犯罪活动仍时有发生,非法收集、贩卖公民个人信息手法多样,手段更为隐蔽。“ 新华视点 ”记者在多地反诈骗中心了解到,目前电信网络诈骗案件 90% 以上是违法分子靠掌握公民详细信息进行的精准诈骗,从已破获案件看,“ 内鬼 ”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。 有犯罪分子专门收集老人信息设置骗局 “ 鲜活信息 ”单条能卖数十元 12 月以来,福建厦门连续发生 7 起老年人被骗警情,单笔被骗最高金额达 13 万元。诈骗分子冒充公检法办案人员,以受害者涉嫌洗钱、身份被冒用等为由,骗老人到银行转账汇款至安全账户。厦门市公安局反诈骗中心负责人告诉记者,诈骗人员通过收集老人信息,对老人的姓名、电话甚至家庭情况掌握得一清二楚,精心设计骗局。 厦门市公安局刑侦支队副支队长吴世勇说,非法获取、买卖公民个人信息已形成黑色产业链。一方面,大数据营销方兴未艾,各类广告公司、大数据运营商、保险公司、中介公司等机构对于公民个人信息存在庞大需求;另一方面,侵犯公民个人信息犯罪为电信网络诈骗、金融诈骗、敲诈勒索等提供了作案便利,这是此类违法犯罪活动屡禁不绝的重要原因。 据记者了解,在公安机关严厉打击下,网站、论坛、QQ 群公开叫卖、求购公民个人信息大幅减少,现在更多表现为买卖方单线联系、熟人介绍,在小规模的同业 QQ 群、微信群用隐晦的关键词交流买卖信息。据深圳警方抓获的犯罪嫌疑人谢某交代,他从网上搜索到售卖信息资源的 QQ 号,联系上后,对方提出要求,购买 7 万多条信息资源需先付 600 元定金,资源到手后再付款 700 元。“ 付款完成后,对方就把我删除了。”谢某说。 更令人吃惊的是,根据买方的需求,在互联网上能精准买到相应的个人信息。福州福清市法院判决的一起绑架案中,两名犯罪人员为谋财寻找作案目标,在福清市区发现受害者驾驶一辆豪华轿车,通过车牌号在网上求购到车主信息,准确掌握了受害者及其家庭人员信息,并策划实施了绑架,因受害者激烈反抗未成功。 据记者调查,根据信息质量和倒卖的层级,从几分钱一条到几百元一条,价格不等。“含金量高”的个人信息价格较高,新开楼盘业主、新购车辆车主、新生儿、入学新生、新近下单的网络购物订单等“鲜活”信息,单条能卖到十几元乃至数十元。 “ 内鬼 ”是信息泄露主要渠道 黑客攻击窃取信息呈增长趋势 福建公安机关相关负责人告诉记者,从破获案件看,“内鬼”监守自盗和黑客攻击仍然是公民个人信息泄露的主要渠道。福州公安机关近日破获一起特大侵犯公民个人信息案,查获公民个人房产、征信报告、车辆、联系方式等信息超过千万条,抓获的 19 名犯罪嫌疑人绝大多数是房产开发、销售、中介等内部人员。他们利用职务便利,非法收集、交换、出售公民个人信息,从中牟利。 从公安机关破获和法院判决的案例看,车辆、征信报告、银行账户、房产、教育、医疗等信息成为“抢手货”,相关部门内部人员监守自盗案件时有发生。在深圳福田的某资产管理有限公司,警方缴获非法公民个人信息 1 万余条、非法个人银行征信报告 1000 余份。警方最终摸查出非法提供这些个人信息的是 3 名某银行深圳分行个贷部在职员工。 此外,黑客攻击窃取个人信息呈增长趋势。“ 网络安全形势十分严峻。” 从事网络安全保护业务的厦门服云信息科技有限公司技术人员朱一帆告诉记者,“ 从对政府机构、大型国企、高校、电商、交通等重点客户遭遇互联网黑客攻击的实时监测数据看,网络黑客入侵重点网站窃取信息有增无减,攻击手段日益多样化,而大量掌握公民个人信息的一些机构网络安全防护意识不强,投入不足,特别是没有对不断出现的网络安全漏洞及时采取修复措施,很容易被黑客攻陷,造成大规模信息泄露。” 筑牢源头“ 防护墙 ” 重拳整治“ 买方市场 ” 公安、网络安全等部门人士提出,保护公民个人信息安全,筑牢源头“防护墙”是关键,要建立有效的事前预防、实时监测、主动预警机制。厦门市公安局刑侦支队民警陈鸿说:“ 调查发现,一些掌握大量公民个人信息的单位在防范信息泄露方面缺乏有效机制,对内部人员缺乏监督、制约,有的工作人员随意浏览、下载相关内部信息,而单位长期不知情,直至发生大规模泄露严重后果。” 陈鸿等人建议,应在大量掌握公民个人重要信息的部门,如银行、房产中心、税务、车管等部门建立数字证书制度,工作人员必须使用专属于个人的数字证书才能登录、查看、下载单位信息系统数据,实现全程留痕,一旦发生信息泄露,可以倒查责任人员。 不少办案民警提出,目前我国对收集、购买公民个人信息的买方市场打击力度明显不够。对信息买方市场的整治应当加强。今年 5 月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,规定利用非法购买、收受的公民个人信息获利 5 万元以上等情形的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息 50 条以上等情形的,应当认定为“情节严重”,面临承担刑事责任的法律后果。此外,不少公安、法院人士提出,这一司法解释出台后,长期困扰司法机关的法律适用难题得到缓解,多部门共同打击的合力正在形成。 稿源:cnBeta、新华社,封面源自网络;