标签: 个人隐私

报告显示大部分人愿意分享个人隐私数据以阻止新冠疫情

市场研究公司eMarketer刚刚发布了一份关于COVID-19与数据隐私交叉点的实质性新报告。这份报告暗示我们中的一些人在新冠疫情消退后仍会同意接触追踪等技术。eMarketer表示,部分用户一旦看到了联系人追踪应用程序,一旦现它起作用了,如果他们确信它能充分保护你的隐私,也许他们会愿意继续使用类似的东西。 eMarketer引用的一项研究发现,我们几乎大多数人都接受健康和位置追踪,以监测那些已经被检测出病毒阳性的人,而其他用途则被大多数受访者反对。当提到这个话题时,我们大多数人都会想到通过手机进行联系追踪,但eMarketer介绍了在全球各个地区,从信用卡交易到面部识别等一切都在被追踪。这些数据被用来编制谁已经或正在传播冠状病毒的档案。 尽管医疗卫生界正在就进一步了解这种病毒达成共识。但是民众处在一个非常分裂的时期。任何人都可以从不同的角度看待其中的一些数据,并有不同的看法。消费者何时会分享他们接触过的人来减缓或停止COVID-19,其中的情况很复杂,但我们大多数人仍然对这个想法持谨慎态度。基于COVID-19共享数据对用户进行定位可能是杀鸡取卵的做法,并可能限制他们在下一波或下一波病毒攻击时共享数据的意愿。     (稿源:cnBeta,封面源自网络。)

Microsoft Edge 未经允许静默导入 Firefox 数据

有用户发现通过 Windows Update 更新到设备的新版 Edge 会出现从 Firefox 导入数据的情况,即便用户未授权 Edge 进行此操作。 根据 krankie 的描述,微软在 UI 方面设计了一些元素来“欺骗和误导”用户。更新完系统,待 Edge 安装完成后,微软会显示一个最大化的 Edge 窗口给用户,但它会先弹出一个只包含”Get Started”按钮的模态对话框。因此用户无法直接关闭 Edge 也无法关闭模态对话框。唯一的选择是使用任务管理器来杀死此进程。不过即便关闭了它,Edge 也会自动固定到任务栏上。 最后他还提到,新版 Edge 未经用户允许就从其他浏览器中导入数据。 “除非通过任务管理器关闭它而不是执行强制设置,否则无论如何它都会复制数据,最糟糕的是大多数人永远不会知道 Edge 在做什么,因为他们再也不会打开它”。 除此之外,微软还会取消系统的默认浏览器设置,所以当用户点击一个 URL 时,需要重新选择默认浏览器。 微软对此一直保持沉默。因此,尽管最初的向导实际上是由用户手动杀死的,但到目前为止,仍不知道将 Edge 数据导入 Firefox 数据的原因。   (稿源:开源中国,封面源自网络。)

Facebook 起诉一开发人员窃取 5500 名用户数据

据外媒报道,据法庭文件显示,Facebook正在起诉一名开发人员,称该名开发人员参与了一场数据搜集活动并从中窃取了数千人的个人信息。该公司在诉讼中要求被告提供7.5万美元的赔偿。这家社交网络公司于周四表示,他们正在对Mohammad Zaghar及其网站Massroot8提起诉讼,指控该网站在未经许可的情况下获取Facebook用户的数据。 该行为被指违反了《计算机欺诈和滥用法案》。这起在加州北部地区提起的诉讼称,Zaghar的网站向客户提供了从Facebook好友处获取数据的能力,其中包括电话号码、性别、出生日期和电子邮件地址等。 所有这些数据都是由Facebook用户公开发布的,但据称Zaghar网站提供的自动化将使人们能够以更快的速度、更大规模地获取这些信息。Facebook还指控Zaghar使用僵尸网络,通过伪装成使用社交网络的Android设备来绕过Facebook的检测。  针对这一诉讼,Zaghar没有回复记者的置评请求。 Facebook表示,数据搜集活动从4月23日持续到5月6日,约有5500人注册了这项服务。起诉书称,除了从这5500名客户在Facebook上的朋友处收集的数据外,Massroot8还要求其客户提供登录凭证。 Facebook表示,他们已经向Zaghar发出了多次勒令停止令,另外还暂时封掉了他的Facebook和Instagram账号并要求其客户出于安全考虑更改密码。   (稿源:cnBeta,封面源自网络。)

遭隐私监管机构警告 挪威暂停新冠接触者追踪应用运营

据外媒报道,欧洲推出的首批国家新冠病毒接触追踪应用之一在挪威被叫停,原因是该国数据保护部门(DPA)担心这款名为Smittestopp的软件会对用户隐私造成严重威胁。不过继监察机构周五发出警告后,挪威公共卫生研究所(FHI)今日宣布,他们将从明天开始停止上传数据–DPA曾要求在6月23日截止日期之前暂停该应用的使用以便做出改变。 该机构补充称,它不同意监管部门的评估,但仍会尽快删除用户数据。 据FHI统计,截至6月3日,这款应用已被下载了160万次,活跃用户约为60万,占挪威人口的10%多一点,在年龄16岁以上的人口中约占14%。 FHI主管 Camilla Stoltenberg在一份声明中说道:“我们不同意数据保护机构的评估,但现在我们不得不删除所有数据并暂停工作。(然而)这样一来,我们就削弱了对不断增加的感染传播的防备的一个重要部分,因为我们在开发和测试这款应用上浪费了时间。与此同时,我们对抗感染传播的能力也在下降。” “大流行还没有结束。我们在人群中还没有免疫力、没有疫苗,也没有有效的治疗方法。如果没有Smittestopp这款应用,我们就无法预防可能在本地或全国爆发的新疫情。” 据了解,导致监管机构进行干预的则是该应用在该国的低传播率和低下载率–这意味着该机构现在认为,Smittestopp不再是一种比例干预。 跟欧洲许多国家的新冠病毒应用不同的是,挪威的这款还可以跟踪实时GPS定位数据。欧洲国家的新冠病毒应用则仅使用蓝牙信号来估计用户距离以此作为计算感染新冠病毒的风险的手段。 这个国家还在欧洲数据保护委员会提出指导方针之前对GPS追踪下了决定。据悉,该委员会特别指出新冠接触者追踪应用不需要对个人用户的位置展开追踪,另外还建议使用邻近数据来代替。 此外,挪威还选择了一个集中应用架构,也就是说用户数据被上传到为健康机构控制的中央服务器上而非本地储存设备。 FHI一直在使用该应用中所谓的“匿名”用户数据来跟踪全国各地的移动模式,该机构称这些数据将用于监控旨在限制病毒传播的限制措施是否奏效。 针对这种情况,DPA今日表示,该应用用户没有只允许追踪新冠病毒接触者的权利,这违反了欧盟数据保护目的限制原则。 另一个反对意见是关于应用数据是如何被匿名化和聚合到FHI上的–因为众所周知,定位数据是很难做到完全匿名化。 尽管如此,FHI今日表示,它希望用户能暂停该应用程序–通过在设置中禁用其对GPS和蓝牙的访问,而不是将其全部删除–这样该软件在未来被认为是必要和合法的情况下就可以更容易地得到重新激活。     (稿源:cnBeta,封面源自网络。)

谷歌遭亚利桑那州司法部长起诉 被指欺诈用户

据外媒报道,当地时间周三,谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼,后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道,谷歌的绝大部分收入来自其庞大的广告业务,而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此,Brnovich在Twitter上发文指出,用户被一种虚假的安全感欺骗了,因为谷歌让用户认为他们禁用了位置数据收集的设置,而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿,但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示:”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。”     (稿源:cnBeta,封面源自网络。)  

Adobe Flash 爆出严重漏洞:可导致代码任意执行 获取个人隐私

众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Adobe于6月9日发布了安全更新,修复了漏洞。 Adobe 被爆出的漏洞: 两个严重的越界写入漏洞(代号分别为:CVE-2020-9634,CVE-2020-9635),一个内存损坏而导致的严重漏洞(代号:CVE-2020-9636)。 对于CVE-2020-9634,特定的漏洞存在于GIF文件的解析中,该问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致写操作超出了分配对象的末尾。 对于CVE-2020-9635,PDF文件的解析中存在特定漏洞。问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致在分配的对象开始之前进行写操作。 攻击者可以利用CVE-2020-9634,CVE-2020-9635两个漏洞在当前进程的上下文中执行代码,诱使用户打开特定文件或访问恶意页面。 对于CVE-2020-9636,该漏洞是在释放内存后尝试访问的。这可能导致一系列恶意影响,从导致程序崩溃到潜在地导致执行任意代码-甚至启用完整的远程代码执行功能。 受影响的产品版本 1.包括Adobe Flash Player桌面运行时(Windows,macOS和Linux),适用于Google Chrome的Adobe Flash Player(适用于Windows,macOS,Linux和Chrome OS)以及适用于Microsoft Edge / Internet Explorer 11(适用于Windows 10和8.1)的Adobe Flash Player,均适用于32.0版.0.330及更早版本。 2.适用于Windows的Adobe Framemaker版本2019.0.5及更低版本。 升级修复版本 Adobe Flash Player更新到32.0.0.387版本,加强安全性。该版本除了修复最近爆出的漏洞,还可以解决历史上风险较高的产品中的漏洞。 Adobe Framemaker版本升级到2019.0.6版本或最新版本。 其他漏洞 Adobe还修补了与Experience Manager(其用于构建网站,移动应用程序和表格的内容管理平台)中的六个重要级别的漏洞。这些包括可能允许敏感信息泄露的服务器端请求伪造故障(CVE-2020-9643和CVE-2020-9645)和跨站点脚本漏洞(CVE-2020-9647,CVE-2020-9648,CVE-2020 -9651和CVE-2020-9644),可以在浏览器中启用任意JavaScript执行。 受影响的产品版本 Adobe Experience Manager (AEM)所有平台6.5版本 升级修复版本 建议所有用户迅速更新到AEM 最新版本(目前最新版本为:6.5.5.0),加强安全性。     (稿源:TechWeb,封面源自网络。)

WhatsApp 漏洞或已暴露用户的手机号码

某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示,WhatsApp 高管已经知晓了这个问题,但却对此无动于衷。据悉,该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式,不同于新的二维码功能,但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时,如果该网址被谷歌爬虫抓取,便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入,请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前,如果通过 site:api.whatsapp.com 的方式检索,谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题,否则此事的负面影响肯定还会持续。     (稿源:cnBeta,封面源自网络。)

Zoom 并未给免费用户提供端到端加密 “以防有人将其用于不良目的”

由于COVID-19迫使更多的人在家办公,Zoom的使用量迅猛攀升,导致人们对这款视频会议工具的安全性和隐私性产生了极大的兴趣。端到端加密的缺失是很多用户最关心的问题,但在最近收购Keybase之后,Zoom CEO袁征(Eric S.Yuan)表示,将 “帮助我们建立能够达到当前Zoom扩展性的端到端加密”。 不过据外媒报道,Zoom只是给其付费用户提供端到端加密。任何使用免费账户的人都将无法获得该功能。为什么这么说呢?袁征解释说,”我们也希望与FBI、与当地执法部门合作,以防有人将Zoom用于不良目的”。 这个说法是在一次财报电话会议上提出的。在谈及付费用户端到端加密的到来时,袁征表示:“我们肯定不想给免费用户提供该服务,因为我们也想和FBI、和地方执法部门一起合作,以防有人将Zoom用于不良目的。” 隐私组织Privacy Matter发推文回应了这一消息。 来自Fight for the Future的隐私倡导者Evan Greer表示: 基本的安全性不应该是一个高级功能,这只是提供给富有的个人和大公司。该公司表示,只有在你支付额外费用的情况下,他们才会保证你的通话安全,这实在是太恶心了。 Zoom一位发言人告诉《卫报》:“我们不会与执法部门分享信息,除非是在儿童性虐待的情况下。我们没有后门,任何人都可以在不被他人看到的情况下进入会议。这些都不会改变。”他还指出,该公司不会“主动监控会议内容”。     (稿源:cnBeta,封面源自网络。)

Hyperbeard 窃取儿童数据被美国联邦贸易委员会罚款

儿童向游戏开发者HyperBeard工作室由于非法窃取青少年用户数据信息,将向美国联邦贸易委员会(FTC)缴纳1.5万美元的和解费用。本次纠纷最初是FTC方面怀疑HyperBeard 违反“儿童线上隐私保护法案”并提起诉讼。FTC认为HyperBeard 工作室在没有获得家长统一的情况下,使用身份识别手段收集13岁以下儿童的信息。身份识别获得的数据则被用于定向广告。 FTC的消费者保护局分管负责人Andrew Smith表示:“如果你开发的app或者网站面向儿童,那就必须保证让家长知道,然后才能收集儿童的个人信息。具体做法包括允许其他人,比如广告商收集身份信息,比如广告ID或者cookie,从而进行行为广告。” HyperBeard工作室的CEO Alexander Kozachenko和经理Antonio Uribe都在诉状中被提及。他们被勒令销毁数据并缴纳400万美元罚款。 由于HyperBeard工作室没有能力缴纳400万美元的罚款,他们可以缴纳1.5万美元和解费用,暂停执行罚款。     (稿源:cnBeta,封面源自网络。)

Zoom 正在为付费客户提供更强大的加密功能

上个月,Zoom决定将功能冻结90天,以修复全球研究人员发现的各种漏洞。随后,该公司对Zoom的工作方式进行了修改,并增加了新的安全功能,使App上的通话更加安全。现在,Zoom正计划为该应用添加更强大的加密功能,但该公司的安全顾问Alex Stamos证实,这将只针对付费用户和机构。 安全专家们一直在警告说,不良行为者滥用端到端的加密技术来躲避侦查以进行非法活动。美国公民自由联盟的技术研究员乔恩-卡拉斯(Jon Callas)表示,向加密等功能额外收费“是摆脱流氓的一种方”。”他补充说,在Zoom努力提高安全性的同时,他们也在力求大幅升级让客户信任方面的工作。 “Zoom公司的端到端加密方法是一项正在进行中的工作 – 从我们上周刚刚公布的加密设计草案,到我们继续讨论它将适用于哪些客户,”公司发言人在对媒体的回复中表示。 视频会议平台在冠状病毒大流行期间蓬勃发展,但一直受到无数安全问题的困扰。其中包括Zoombombing,即不请自来的客人入侵视频通话,并以色情或其他震撼内容破坏视频通话。 然而,在每个视频通话中添加完整的端到端加密,将会导致后打进来的客户被排除在会议外,更严格的加密甚至不允许Zoom自己的安全团队在通话中添加自己,以便实时帮助客户。 Zoom在5月22日发布了一份文件草案,概述了其部分加密计划。     (稿源:cnBeta,封面源自网络。)