标签: 法国

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

新浪科技讯 北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。 法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。 CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。 根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。 CNIL发表声明称,谷歌在信息披露的问题上缺乏透明度,并指出用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度。声明还称,即便是谷歌已经提供的信息,“对用户来说也是不易获得的”,原因是这些信息“过度分散于多个文件中”,需要用户经过五六个步骤才能访问。 “举例来说,就谷歌出于个性化目的或为了提供地理追踪服务而收集的数据而言,当用户想要获得有关这些数据的完整信息时,就会发生这种情况。”声明写道。 除此以外,CNIL还表示,用户“无法完全了解”谷歌对用户数据进行处理的程度。鉴于谷歌提供的服务多达20项,加之这些服务所涉及的用户数据十分庞大,因此CNIL将谷歌的数据处理描述为“大规模的、侵入性的”。CNIL还补充道:“谷歌对数据处理目的作出的描述过于笼统和模糊,而就谷歌为不同目的而处理的数据类别而言,情况也是如此。 ” 与此同时,用户也无法了解谷歌到底是将用户许可作为法律依据来根据“通用数据保护条例”处理数据,还是根据公司自身利益来处理数据。 根据CNIL作出的评估,谷歌为广告个性化而收集的用户许可是无效的,因为这种许可不是具体而明确的,而且用户也并未获得充分的通知。 CNIL表示:“有关广告个性化数据处理的信息被分散到了多个文件中,这就使得用户无法了解其程度如何。” 该机构承认,在用户创建帐户之后,可以对其进行一些修改,但同时指出“这并不意味着‘通用数据保护条例’受到了尊重”。相反的,CNIL指出,不仅用户修改数据的选项被隐藏在了“更多选项”(more options)按钮之下,而且广告个性化的选择是一个预先打勾的方框(这就违反了“通用数据保护条例”的规定,因为只有在用户明确作出肯定之后,许可才能被视为明确无误的)。 CNIL还指出,用户许可不够具体,因为谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如广告个性化或语音识别等)来同意各项条款。 这是一家公司因数据保护违规行为而被处以的最大一笔罚款,同时也是CNIL采取的第一次处罚行动。该机构称,这笔罚款“就其违规行为的严重程度来看是合理的”。CNIL指出:“此外,这些违规行为是持续违反‘通用数据保护条例’的行为,因为直到今天,我们还能看到这种行为。这不是一次性的、时间有限的违规行为。“ 在“通用数据保护条例”正式生效之后,到目前为止已经处以的罚款金额都要小得多:德国当局此前对一个聊天应用处以2万欧元(约合2.3万美元)罚款,奥地利当局针对CCTV被非法使用一事处以4800欧元(约合5460万美元)罚款,葡萄牙当局则已对一家亿元处以40万欧元(约合45万美元)罚款,原因是其允许员工非法获取数据。 NOYB董事长施雷姆斯对此表示欢迎。“像谷歌这样的大公司惯于‘以不同的方式解读法律’,而且往往只会在表面上修改自己的产品。”他说道。“当局应该明确表示,光是自称做到了合规是不够的,这一点很重要。” 谷歌尚未就此置评。   稿源:新浪科技,封面源自网络;

法国德国财长呼吁:取缔比特币等加密货币

北京时间 2 月 11 日上午消息,法国与德国财政部长及资深央行高官都站出来力挺政治家、监管者,要求取缔比特币及其它虚拟货币。在一封给 G20 成员国财政部长的信件中,法国、德国认为数字代币 “ 可能会给投资者造成严重威胁 ”,甚至有可能影响金融系统的长期稳定。 法国财政部长布鲁诺·勒梅尔(Bruno le Maire)、德国代理财政部长彼得·阿尔特迈尔(Peter Altmaier)、法国央行行长德加诺(Fran?ois Villeroy de Galhau)和德国中央银行行长延斯·魏德曼(Jens Weidmann)都在信上签名。 就在几天前,一些地区的监管者开始干预虚拟货币交易,比如国际清算银行(BIS)、欧洲中央银行、香港证券及期货事务监察委员会。欧洲中央银行理事伊夫·梅尔施(Yves Mersch)周四曾说,虚拟货币不是钱,在可预见的未来也不会成为期货;法国德国显然也抱有相同的看法。信件还说,媒体与互联网将虚拟货币称为“货币”显然贴错了标签,对代币的属性缺乏清晰的解释只会助长投机行为。 两国财长还认同梅尔施的看法,说加密货币目前对全球金融稳定造成的影响很有限,不过以此作为基础,代币市值快速膨胀,新金融工具涌现,应该密切关注市场动向。对于散户投资加密货币,他们认为应该加强保护,个人投资者涌入极不稳定的新市场,由于对风险理解不足,被误导的投资者可能会蒙受巨大损失。 信件还说,从更广泛的角度来看,近年来各国推行许多政策,保护零散投资者和消费者,采取相应的措施保护代币投资者也是理所当然的,找不到拒绝的理由。对于底层区块链技术,两国都会寻找机会加以利用,不过对于加密货币及其它可能实用的技术,在使用时会划清界线,区别对待。 稿源:cnBeta,封面源自网络;

模糊水印“打码”照片并不安全:法国黑客复原 QR 码后获 1000 美元比特币钱包

据外媒报道,比特币企业家 Roger Ver 在法国电台接受采访时发布了一份有关比特币钱包的私人密钥和 QR 码作为观众奖品,并表示节目在播出后第一位访问该账户的人员可以转账并保留这笔奖金。当时,Ver 并不知道法国法律禁止电台播放账户私钥和 QR 码。因此,电台在未获取法院权限播出时模糊了 QR 码相关细节。 但是,这一消息还是立即引发了法国黑客与比特币爱好者的兴趣,他们开始寻找各种途径还原账户 QR 码,以获取这项观众奖金。不久,两名法国研究人员 Michel Sassano 和 Clement Storck 在率先复原了这个模糊的 QR 码后转走了比特币钱包中的 1000 美元。Michel Sassano 表示,他们共计耗费了 16 个小时对这个模糊的图像进行了逆向工程,并试图将模糊的点与 QR 码的标准格式联系起来,从而恢复了这份模糊的 QR 码图像。 由此可见,在社交网络上发布模糊的二维码或条形码图片是不安全的,因此研究人员建议用户在分享数据时,应使用完全的颜色块处理敏感细节,从而防止网络犯罪分子利用黑客工具获取其敏感信息。 详细分析报告:传送门 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件 Babar 出现新变种,疑似由法国情报机构开发使用

HackerNews.cc 9 月 7 日消息,网络安全公司 Palo Alto Networks 研究人员近期发现黑客组织正利用一款恶意软件 Babar 新变种操控刚果民主共和国常设理事会(cpcc-rdc.org)官方网站,旨在破坏命令与控制(C&C)服务器、窃取国家重要信息。 Babar 是一款强大的间谍软件,不仅能够监控当前流行媒体平台(包括 Skype、MSN、Yahoo 等)的通讯记录,还可记录受害用户击键次数,窃取登录凭证等敏感信息。据斯诺登泄露的文件显示,Babar 此前曾被法国情报机构外部安全总指挥部(DGSE )用于监控伊朗核武器研究机构、欧洲知名企业的金融活动。 调查显示,法国黑客组织 Animal Farm 曾利用该恶意软件瞄准政府机构、军事承包商、媒体企业、私营公司展开攻击活动。然而 PaloAlto Networks 研究人员近期发表声明,宣称 Babar(也被称为 Snowball)最早可追溯至 2007 年。不过,卡巴斯基早于 2015 年就已得出该结论,但当初因缺乏证据并未分享任何相关细节。 研究人员在此次攻击活动中通过分析该恶意软件样本的加载程序发现其代码编译时间戳为 11/09/2007 11:37:36 PM。 研究人员注意到,该恶意软件新变种无法在默认的 Chrome 浏览器上收集信息。不过,Babar 变种新添另一功能,可以导致配置数据加密后以便攻击者以明文形式访问。研究人员通过分析其恶意软件代码与结构后认为,该变种可能由同一黑客组织开发。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

匿名攻击者向 7.11 亿电子邮件账户群发银行木马病毒 Ursnif

据外媒 8 月 29 日报道,法国安全研究人员近期在荷兰的一台 “ 开放且可访问 ” 的垃圾邮件服务器上发现一个庞大的数据库,其中包含逾 7.11 亿电子邮件地址,以及来自全球数百万个 SMTP 登录凭证。调查显示,匿名攻击者主要利用该批电子邮件账户群发银行木马病毒 Ursnif。 研究人员经调查发现,通常情况下垃圾邮件主要是为发布广告以获取流量收益, 但这次的垃圾邮件群发主要是为了盗取银行账号信息,即邮件冒充各种通知信件或订单确认信息等,诱骗受害者点击链接进入攻击者事先设置的钓鱼网站。与此同时,攻击者还利用该邮件传播木马病毒 Ursnif。目前,研究人员称全球超过 10 万台电脑已感染该病毒。 据悉,群发垃圾邮件进行广告营销或者钓鱼攻击本身不是新鲜事件,因绝大多数邮箱也会自动拦截这钓鱼邮件。但这次事件中的攻击者改变了策略:利用其它资料泄露事件暴露的正常邮箱分批群发垃圾邮件躲避拦截。网上现今仍可找到诸如 LinkedIn 等泄露的数据,其中很多用户的电子邮件账户密码至今还未进行更改。因此攻击者利用这些正常邮件账户群发垃圾邮件可有效躲避拦截,最终达到广告传播并进行钓鱼攻击的目的。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门迅速获取这些数据,之后将由执法部门继续追查服务器所有者以及背后操纵者真实身份。此外,研究人员强烈建议受影响用户当即更改密码并启用双重身份认证。 本文根据 thehackernews 与 蓝点网 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

法国公司 Fireworld 出售新间谍软件,可监控目标 Facebook 帐号是否访问同性网站

据外媒报道,法国公司 Fireworld 近期在推出监控软件后备受谴责,因该公司推出了一款能够帮助用户入侵并监控目标 Facebook 帐号是否访问同性网站的间谍软件。 据 BBC 报道,Fireworld 在推出该软件时发布的一篇文章,还配上了一张《少狼》“ 队长 ” 科尔顿·海恩斯(Colton Haynes)的照片,他在去年宣布出柜。海恩斯曾透露,他的父亲因为他是名同性恋而自杀。Fireworld 于 21 日发布的这篇文章被法国青年 LGBT 权利组织 L’Amicale des jeunes du Refuge 发现,并在 Twitter 传播。 法国国务卿 MarlèneSchiappa 转发了权利组的推文,并补充说:“同性恋歧视与性别歧视根源在同一性别刻板印象上,我们将平等对待他们。随后,Fireworld 删除了这篇文章。Fireworld 发言人表示,“我们为造成的苦恼和伤害表示歉意 ”。他表示,内容仅仅是为了提升网站的搜索引擎优化,“不是被人们阅读”。这名发言人补充说:“我们应该更多地考虑到后果。” 稿源:cnBeta,封面源自网络;

法德计划联合打击苹果谷歌等美国科技巨头避税行为

据《 财富 》杂志 8 月 8 日报道,法国正在与德国和其他伙伴合作,堵住允许谷歌、苹果、Facebook 和亚马逊等美国科技巨头进行合法避税的漏洞。这些漏洞让美国科技巨头能够更轻松地攻占欧洲市场,但当地的本土公司却无法利用这些漏洞。法国财政部长上勒梅尔上周五接受采访时称,该国将在 9 月中旬的一场欧盟官员会议上,提出更简单的法规,对科技公司真正进行征税。 勒梅尔表示:“ 欧洲必须学会更加坚定地保护自己的经济利益,中国是这么做的,美国也是这么做的。你不能在其他公司正常纳税、而自己却不纳税的情况下,在法国和欧洲经商赚钱 ”。法国此次举动反映出,欧洲部分政府、监管方和选民对国际公司通过转移利润和成本进行避税的行为越来越失望。这些公司将利润和成本转移至对它们纳税最有利的地方,要么是利用当地的漏洞,要么是与某些政府达成特殊协议。 法国和德国曾在上月的一次联合内阁会议上讨论税收问题。德国财政部发言人丹尼斯·科尔伯格(Denis Kolberg)本周一称,在 9 月 24 号的全国大选后,德国预计讨论其具体提案。2016 年,欧盟委员会曾命令苹果支付约 130 亿欧元的欠缴税款和利息,称爱尔兰非法降低了这家 iPhone 制造商的纳税义务,以吸引该公司在爱尔兰落脚。眼下,苹果和爱尔兰政府正就这一决定上诉。 此次镇压国外科技公司避税,是法国新任总统马克龙铁腕政策的一部分,他在选举期间亲眼目睹,法国公司在与税收和社会保障金水平低的国家竞争时是多么困难。为此,马克龙号召 19 个欧元区国家更好地统筹它们的税收系统。据勒梅尔称,马克龙承诺在其第一个五年任期内将企业税降低至 25%,而这应当被视为上述举措的开端。同时,马克龙还敦促税率较低的国家提高税率。 稿源:cnBeta、凤凰科技,封面源自网络;

WikiLeaks 在线公开法国 Macron 竞选团队电子邮件

法国中间派候选人 Emmanuel Macron 在今年上半年举行的法国总统大选中获胜。媒体当时报道称,Macron 的竞选团队遭到了源自俄罗斯的黑客攻击。人手不足的技术团队知道他们无法抵御攻击,因此他们通过创建假的蜜罐账号迫使攻击者花费时间去识别真正的账号和文件。 目前,攻击者终于完成验证,通过否认与俄罗斯情报机构有关联的 WikiLeaks 公开。WikiLeaks 称他们发布了一个包含 21,075 封 Macron 竞选团队电子邮件的可搜索档案。 稿源:solidot奇客,封面源自网络;

谷歌与法国的 “ 被遗忘权 ” 纠纷闹到欧盟

法国最高行政法院 7 月 19 日表示,已将谷歌与该国数据保护机构在 “ 被遗忘权 ” 方面的纠纷交由欧盟法院审理。 欧盟最高法院 2014 年 5 月裁定,允许用户从搜索引擎结果页面中删除自己的名字或相关历史事件,即所谓的 “ 被遗忘的权 ” 。根据该裁决,用户可以要求搜索引擎在搜索结果中隐藏特定条目。 当年 6 月,谷歌宣布开始根据欧盟最高法院的裁定,在搜索结果中删除一些特定内容,给予用户 “ 被遗忘权 ”。但法国数据保护机构国家信息与自由委员会(CNIL)认为,谷歌所有版本的搜索网站都要执行 “ 被遗忘权 ”, 包括 Google.com,而不只是欧洲网站。否则,CNIL 可能启动一项制裁程序。为此,双方已将该分歧诉诸于法庭。目前,法国最高行政法院表示,已将该分歧的解释权交由欧盟法院来处理。 稿源:cnBeta、新浪科技;封面源自网络

法国警方缴获 WannaCry 攻击事件中的 Tor 中继服务器

据外媒 6 月 11 日报道,法国网络犯罪调查机构 OCLCTIC 于近期调查勒索软件 WannaCry 攻击活动时成功缉获一台运行两个 Tor 中继节点的服务器。目前,该服务器已被法国警方扣押审查。 据悉,该服务器由 Online SAS 公司托管,其两个 Tor 中继节点可作为 Tor 入口保护节点( 即用户连接匿名网络时采用的 Tor 路由关键组件)。此外,操控该服务器的法国激进主义分子 Aeris 于 5 月 15 日通过邮件向 Tor Project 透露警方行动,并要求其他 Tor 运营商撤销对这两个中继节点的信任。 5 月 12 日,感染法国某家大型企业设备的流量纷纷指向这两个 Tor 中继节点,其感染这家公司设备的 WannaCry 样本当时正与托管在 Tor 网络上的命令与控制服务器进行通信。因此,这极有可能是该服务器被用作 Tor 通信的首次尝试。 知情人士透露,出于隐私保护考虑,Tor 服务器一般被配置为无记录或极少记录用户细节(例如:运行时间与状态指标)。若不是 Aeris 将其更改为默认配置,法国警方极有可能在所缉获的服务器上无迹可寻。Aeris 证实,位于法国的其他数十个 Tor 节点在 WannaCry 攻击事件结束后当即消失。目前,他已向法国媒体 Bleeping Computer 提供了警方正在调查的其他 30 台服务器清单。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。