标签: 信息泄露

手机位置信息可分析出隐私信息

在 iPhone 和某些 Android 机型中首次运行应用程序的时候,在使用位置数据之前需要征求你的许可。其中有个选项是只允许本次运行启用定位服务,而不是永久授权该应用程序。但这样严苛的地理位置策略并不意味着就能妥善保护你的数据,尤其在 Android 平台上。近日一项新研究揭示了如何仅从位置信息中就推断出可怕的额外数据量,并提出了处理应用程序可访问的位置数据的新方法,从而更好地保护个人隐私。 来自意大利博洛尼亚大学的 Mirco Musolesi 以及来自英国伦敦大学学院的 Benjamin Baron 两位安全研究专家试图确认通过位置追踪能够收集多少用户个人信息。他们为此开发了一款名为 TrackAdvisor 的应用程序,安装在 69 名用户的设备上。该应用在每台设备上运行了至少两周,追踪了超过 20 万个地点。 该应用识别了大约 2500 个地点,并收集了 5000 条与人口统计学和个性有关的个人信息。TrackAdvisor 只需查看收集到的位置信息,就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等数据。这就是用户会认为是敏感和隐私的数据。 Musolesi 在一份声明中说:“用户在很大程度上没有意识到他们授予应用程序和服务的一些权限对隐私的影响,特别是在涉及位置跟踪信息时。由于机器学习技术,这些数据提供了敏感信息,如用户居住的地方,他们的习惯,兴趣,人口统计学,以及用户的个性信息”。 作者表示,这是第一次广泛的研究,阐明了可以从位置跟踪中了解到什么样的信息。在新闻稿中写道:“因此,这项研究也表明了收集这些信息是如何代表侵犯用户隐私的”。研究人员表示,这样的研究可以为改进应用程序中的位置跟踪政策铺平道路,以更好地保护用户隐私。这将涉及更细化的隐私控制,允许用户选择哪些类型的位置信息不应该与应用程序共享。       (消息及封面来源:cnBeta)

App 称可随意展示健康码红绿码 研发者被采取刑事强制措施

据杭州市人民政府新闻办公室消息,1月13日,杭州市通报近期查处两起涉疫网络违法案件,其中一起通报案件为41岁的男子擅自研发“健康码演示”APP并上传至应用市场,扰乱社会秩序,已被警方采取刑事强制措施。 据杭州市人民政府新闻办公室通报,经杭州市公安机关查明,安某某(男,40岁)于2021年1月4日未经核实将一个有关“因疫情原因,浙江杭州将于今日18时关闭11个高速路口”的虚假视频信息在微信和抖音上进行转发散布,严重扰乱了社会秩序。目前,安某某已被江干区公安分局处以行政拘留7天的处罚。 在另一起通报的案件中,解某某(男,41岁)于2020年4、5月份擅自研发“健康码演示”APP并上传至应用市场,严重扰乱了社会秩序。目前解某某已被西湖区公安分局采取刑事强制措施,案件在进一步侦办。           (消息来源:cnBeta;封面源自网络)

土耳其就新隐私政策对 WhatsApp 和 Facebook 发起反垄断调查

彭博社报道,土耳其目前已经就更新的隐私政策对Facebook和WhatsApp展开了反垄断调查。WhatsApp在新年伊始更新了其隐私政策,用户在打开应用时通过弹出消息通知,他们的数据现在将在2月8日开始与Facebook和其他公司共享。 土耳其反垄断委员会对Facebook和WhatsApp进行了调查,因为新的使用条款引发了人们对隐私的关注,监管机构周一表示,它还表示正在停止执行这些条款,根据声明,新条款将导致 “更多数据被Facebook收集、处理和使用”。 然而,怀疑论者担心,这项调查是否是政府遏制异见的又一举措。土耳其总统塔伊普·埃尔多安过去几年一直以 “消除不道德”为幌子,加强政府对社交媒体的控制。 去年7月,他对他的正义与发展党成员说:”你们明白我们为什么反对YouTube、Twitter和Netflix等社交媒体吗?为了杜绝这种不道德的行为”。这是否是对WhatsApp更新政策的真正批评,还有待观察。不过,一旦调查在未来几个月内开始运作,事情应该会变得更加清晰。       (消息及封面来源:cnBeta)

NSO 被指仍无视用户隐私

据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,即这是真实数据。因此,数据集很可能不是‘虚拟的’也不是计算机生成的数据,而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据)。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现,同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示,人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图,郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据,他指出这“看起来跟真实的手机数据一致”。此外,Miller还表示,即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息,如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用,这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据,它看起来很像这个。”Scott-Railton还表示,使用模拟数据进行接触追踪系统将会“适得其反”,因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明,一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查,必须质疑这些结论是如何得出的。尽管如此,我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据,”一位不愿透露姓名的发言人回应称,“正如我们上一份声明所述,演示所用的资料并不包括任何可辨识个人身分的资料。而且,如前所述,这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据,也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题,包括数据从何而来以及如何获得。该公司在其网站上称,Fleming已经在世界各国运营,但当被问及其政府客户时,该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式,眼下,该公司正在美国打一场官司,而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉,NSO卷入了一场跟Facebook旗下WhatsApp的诉讼,后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus,其中包括记者和人权捍卫者。NSO表示,它应获得法律豁免权,因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持,另外它们还呼吁法庭驳回NSO的豁免权要求。           (消息及封面来源:cnBeta)

澳大利亚监管部门指控 Facebook 数据保护应用误导用户

据报道,澳大利亚公平竞争和消费者委员会(ACCC)本周在澳大利亚联邦法院起诉Facebook及其两家子公司。ACCC认为,被告方在向澳大利亚用户推广Facebook Onavo Protect移动应用时,存在虚假、误导或欺诈行为。 Onvao Protect是一款免费下载的应用,提供VPN服务。ACCC指控称,从2016年2月1日到2017年10月,Facebook及其子公司Facebook以色列有限公司和Onavo公司宣称Onavo Protect应用能确保用户的个人活动数据是私密的、受保护的以及安全的,而除了提供Onavo Protect的产品之外,数据不会被用于任何其他目的。然而,这样的说法误导了澳大利亚用户。 ACCC指控,Onavo Protect会基于Facebook的商业利益,收集、聚合并使用大量的用户个人活动数据,其中包括Onavo Protect用户使用互联网和移动应用的情况,用户的应用访问记录,以及每天使用每个应用的时长。 这些数据被用于支持Facebook的市场研究项目,例如识别未来潜在的收购目标。 ACCC主席罗德•希姆斯(Rod Sims)说:“通过Onavo Protect,Facebook基于自己的商业目的,收集并使用数千名澳大利亚用户非常详细且极具价值的个人活动数据。我们认为,这与Facebook推广这款应用的核心主张,即数据的保护、安全和隐私,完全背道而驰。” 据悉,ACCC在本案中寻求对Facebook的正式通报和经济处罚。       (消息及封面来源:新浪科技)

澳大利亚情报机构被发现利用 COVID-19 接触者追踪应用收集民众数据

澳大利亚的一个政府监察机构发现,澳大利亚的情报机构在该国的COVIDSafe接触者追踪应用推出的前六个月,“偶然 ”收集了数据。澳大利亚政府负责监督政府间谍和窃听机构的情报界监察长周一公布的报告称,该应用数据是在 “合法收集其他数据的过程中 ”被收集的。 但该监督机构表示,“没有证据”表明任何机构“解密、访问或使用任何COVID应用数据”。澳大利亚政府发言人告诉最先报道这一消息的一家媒体,偶然的收集也可能是 “执行手令 “的结果。报道没有说附带收集何时停止,但指出各机构正在 “采取积极措施确保遵守”法律,并将 “在切实可行的情况下尽快删除”这些数据,但没有确定日期。 对一些人来说,担心政府间谍机构能够获取COVID-19联系追踪数据是最坏的结果。 自COVID-19大流行开始以来,各国纷纷建立了接触者追踪应用程序,以帮助防止病毒的传播。但这些应用程序在功能和隐私方面差异很大。大多数都采用了对隐私更友好的方法,即使用蓝牙来追踪人们可能接触过的带有病毒的人。许多人选择实施苹果-谷歌系统,数百名学者支持该系统。但其他国家,比如以色列和巴基斯坦,则采用了更多侵犯隐私的技术,比如追踪位置数据,政府也可以利用这些数据来监控一个人的行踪。在以色列的案例中,这种追踪引起了很大的争议,以至于法院关闭了它。 澳大利亚的情报监督机构没有具体说明间谍机构收集了哪些数据。该应用使用蓝牙而非位置数据,但该应用要求用户上传一些个人信息–如姓名、年龄、邮政编码和电话号码–让政府卫生部门联系那些可能接触过感染者的人。 自疫情开始以来,澳大利亚已经出现了超过27800例新冠确诊病例,900多人死亡。       (消息来源:cnBeta;封面来自网络)

儿童游戏 Animal Jam 制作公司 WildWorks 确认发生数据泄漏事件

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据,Animal Jam 是美国最受欢迎的儿童游戏之一,在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息,但是 WildWorks 采取了比大多数公司更积极的措施,从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说,黑客在 10 月初偷走了 4600 万条 Animal Jam 记录,但直到 11 月才获悉该漏洞。 该公司表示,有人闯入了公司用于员工之间进行通信的系统之一,并访问了一个秘密密钥,该密钥使黑客能够侵入公司的用户数据库。坏消息是,已知被盗数据至少在一个网络犯罪论坛上流传,这意味着恶意黑客可能会使用(或正在使用)被盗信息。 该公司表示,被盗的数据可以追溯到过去 10 年,因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感,但该公司警告说,这些失窃记录中有3200万具有玩家的用户名,2390万记录具有玩家的性别,1480万条记录包含了玩家的出生年份,而 570 万条记录了玩家的完整的出生日期。 该公司表示,黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说,有12653个父母帐户具有父母的全名和帐单地址,有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示,除了帐单地址外,没有其他帐单数据(例如财务信息)被盗。 WildWorks还表示,黑客窃取了玩家的密码,促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密,这使得密码可能无法解密并有可能被破解,或者使用和 Animal Jam 相同密码的其他账户。       (消息及封面来源:cnBeta)

谷歌聘请的律师事务所 Fragomen 确认一起数据泄露事件

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务,以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案,以确保他们拥有合法的工作许可,并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息,包括护照、身份证和驾照等政府文件,以及其他个人身份数据,这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示,上个月发现,未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中,Fragomen没有说明被访问的数据是什么样的,也没有说明有多少谷歌员工受到影响。根据州法律规定,受违规事件影响的加州居民超过500人的公司,必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     (消息来源:cnbeta;封面来自网络)

推特向开发者警示:私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)