标签: 个人隐私

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

Clearview AI 因未经授权收集人像数据而遭到起诉

鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律,ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉,Clearview AI 涉及在几个月的时间里,从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息,本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。 《纽约时报》在今年 1 月揭开了 Clearview AI 的灰暗面,报道中详细介绍了该公司计划如何使用人脸识别技术,然而其庞大的数据库却来自 Instagram、YouTube、LinkedIn 等社交媒体平台的未经授权收集。 之所以在伊利诺伊州发起诉讼,是因为目前只有该州通过了《生物识别信息隐私法案》,要求企业必须在使用包括面部识别等个人生物特征信息前获得知书面授权。今年 1 月的时候,Facebook 就已经支付过 5.5 亿美元的和解赔偿金。 ACLU 在一份声明中称,Clearview AI 的所作所为,正是立法机构需要应对的隐私威胁,同时呼吁其它州迅速跟进制定类似的法律。 此外 BuzzFeed News 获得的资料显示,警方正在使用 Clearview AI 来识别性工作者,且该公司一直在向美国移民与海关执法局、以及沃尔玛等私营企业提供面部识别工具。 为了提起本次诉讼,ACLU 特地与 Edelson PC 律师事务所达成了合作,后者曾参与今年 1 月落定的针对社交媒体巨头 Facebook 的面部识别诉讼。 目前原告方正寻求伊利诺伊州的法院命令,以迫使 Clearview AI 删除未经同意手机的该州居民的照片、并停止收集新的照片,直到其行为符合《生物识别信息隐私法案》的要求为止。     (稿源:cnBeta,封面源自网络。)

泰国移动运营商泄露 83 亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     (稿源:solidot,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

黑客 Sanix 在乌克兰被捕 曾贩卖数十亿用户的登陆凭证

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk,但官方为披露黑客的真名。作为地下黑客论坛的老成员,有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来,Sanix 的身份更像是一位二道贩子(数据中间商 / Data Broker)。其收集了被黑客入侵的企业泄露的大量数据,将之整理汇总出大量的用户登陆凭证(ID 和密码)。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者,比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上,Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合,并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合,合计容量达到了数 TB,并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出,部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露(Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手)。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据,却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日,Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉,Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中,Azatej 已于本月早些时候被逮捕。 乌克兰特勤局(SSU)在今日的新闻发布会上表示,其在 Sanix 的计算机上找到了 Collection#1 的副本,以及至少七个类似的被盗密码数据库。 除了收集用户名和密码,Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现,SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳(约 7000 美元)的赃款。   (稿源:cnBeta,封面源自网络。)

EFF 呼吁阻止谷歌收购 Fitbit:会收集大量用户的敏感数据

5月14日,欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则,可能会损害消费者利益,同时阻碍创新。在近日电子前沿基金会(EFF)发布的公开信中,该机构也持相同的观点,希望能够阻止谷歌收购Fitbit,并希望得到之前已购买Fitbit产品用户的支持。 更具体来说,EFF认为只有Fitbit的用户才能帮助阻止这次收购,并向Fitbit用户发出了灵魂拷问。EFF问道:“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据?谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉?” EFF表示科技巨头并不一定会投资创新,而是更喜欢收购能够为创新加油的公司。EFF表示:“谷歌的两个标志性项目搜索和Gmail都是内部项目,但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道:“现在谷歌正尝试在Fitbit旧戏重演,这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中,而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易,通过收购Fitbit,谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域,华为和小米也是主要竞争者。 然而,批评人士表示,收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。   (稿源:cnBeta,封面源自网络。)

美 FTC 证实正在调查视频会议软件公司 Zoom 侵犯隐私问题

5月12日消息,据国外媒体报道,受新冠疫情影响,视频会议需求大增,而其中最大的受益者包括视频会议软件公司Zoom。虽然,该公司目前风头正盛,但它也被曝光了很多问题,比如侵犯隐私问题。 加州众议员杰里·麦克纳尼(Jerry McNerney)和其他人对收集到的关于注册用户和非注册用户的信息、Zoom用户可能存储在云中的通信记录表达了担忧。 当地时间周一,美国联邦贸易委员会(FTC)主席约瑟夫·西蒙斯(Joseph Simons)表示,该机构正在调查有关Zoom的隐私投诉问题。 除了隐私问题外,Zoom还存在一些其它的负面新闻,比如,谷歌以担心安全性为由,禁止员工在电脑上安装和使用Zoom,超50万Zoom账户信息在暗网售卖等等。 随着视频会议需求大增,Zoom的用户人数也迅速增长。此前,该公司宣布,它已拥有3亿日活跃用户,较4月初的2亿活跃用户增长约50%。但后来,该公司又纠正了具有误导性的说法,承认自己并没有3亿日活跃用户,而是“每天有3亿个Zoom会议参与者”。 此外,由于视频会议需求大增,Zoom选择甲骨文作为其关键的云基础设施提供商,以增加其云计算能力。   (稿源:网易科技,封面源自网络。)

2020Q1网络钓鱼报告:苹果用户是诈骗者最热衷的目标

根据安全公司Check Point Research公布的最新季度《品牌网络钓鱼报告》,苹果依然是网络钓鱼诈骗者最惯用的品牌,而去年第四季度的排名是第七位。Check表示:“部分原因是新款Apple Watch的预期发布,诈骗者利用在线预热发起了数次钓鱼攻击”。 和去年第三/四季度相比,针对移动平台的网络钓鱼已经成为第二大常见攻击媒介。Check Point推测这可能是由于人们现在比以往任何时刻都依赖通过智能手机来获取信息,而新冠疫情的影响让更多人困在家中。 报告中指出,网络钓鱼在2020年第一季度的钓鱼攻击类型中占比达到59%,主要针对以下品牌的消费者: Apple Netflix PayPal eBay 移动网络钓鱼攻击,主要针对以下品牌 Netflix Apple WhatsApp Chase 为了避免自己成为受害者,报告建议采取以下步骤: ● 确认您使用的是真实网站或正在从真实网站订购。一种方法是不单击电子邮件中的促销链接,而是通过谷歌搜索零售商并直接从Google结果页中单击链接。 ● 另外,提防特别优惠。有一些常识可以知道,最新款iPhone的80%折扣并不是一个可靠或值得信赖的机会。 ● 最后,请尝试留意电子邮件或网站以及不熟悉的电子邮件发件人的拼写错误。   (稿源:cnBeta,封面源自网络。)

加州新法允许互联网用户删个性数据 影响有多大

12月21日消息,据《财富》网站报道,到2020年,许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律,将要求企业告诉消费者它们收集了消费者哪些数据,而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏,因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据,这些广告的效果就会下滑。 例如,由于在线广告不再像以前那样个性化,沃尔玛可能会错过一些销售机会。与此同时,谷歌面临着失去一大部分收入的风险,因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿,其影响可能是巨大的。但只有在明年1月1日新法律生效后,人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》(GDPR)类似法律,但利用该法律维权的人数并不很多,因此加州这部法律究竟会带来怎样影响,目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示:“这对数千、数十万还是数百万的人来说是件大事?我们还不知道。” 然而,对于受到这部隐私保护法律影响的企业来说,遵守规则的负担是非常现实的。例如,这部法律要求,企业要求消费者提供数据或消费者要求删除自己的数据,企业要给消费者提供两种方式,如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称,加州的企业将不得不额外支出550亿美元的前期成本,包括法律咨询和更改系统等,就单个企业而言,其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律,但美国大多数大公司都在加州做生意,因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声,一些大公司,如微软,以及一些小公司,包括波士顿的互联网服务提供商Starry,已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称,到目前为止,只有少数客户要求删除他们的数据,还有几十人写信给公司,感谢给了他们这样做的选择。 其他人,如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称,这部法律将使成千上万的小型企业陷入困境,比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是,那些拥有至少5万用户数据的公司——例如,收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示:“大企业有能力解决这个问题,但对于小企业来说,这是一个极端沉重的负担,而小企业是美国经济的支柱。” 因此,克里斯·梅预测,美国许多中小企业可能不会遵守这部法律,因为他们认为自己不会受到惩罚,或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期,加州司法部将于7月1日开始执行这项法律。克里斯·梅表示,小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示:“我们被赋予了执行这部法律的责任,所以我们要做的就是尽我们所能与消费者和企业合作,确保他们遵守这部法律。” 然而,这可能不是最后的结论,因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了,但戴恩表示,美国商会的这次推动不同于以往,因为该组织希望保留加州法律的广泛原则,尤其是要求和删除大部分个人数据的权利,同时更多地保护中小企业。 在美国国会,民主党和共和党罕见地就通过这样一部法律达成了一致,尽管两党对哪个部门应该执行这项法律,以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法,但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为,美国对隐私的态度已经发生了巨大变化,可能会在2020年总统大选之前通过一项法律。 克里说:“随着越来越多的国会议员将更多时间花在网络上,并担心数据隐私对他们的后代带来影响,情况已发生变化。”   (稿源:网易科技,封面源自网络。)

安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。 安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。 但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。 这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。 Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。 Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。   (稿源:cnBeta,封面源自网络。)