标签: 谷歌

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;

Chrome 70 即将发布,数千个网站或因安全证书受影响​​​​​​​

由于使用了旧的安全证书,互联网上的数千个网站将会在谷歌发布 Chrome 70 后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为 Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。 一年多前,当谷歌发现赛门铁克不正当地颁发安全证书时,谷歌方面就警告说它将放弃对来自赛门铁克受影响的批量证书的支持。简单来说,赛门铁克在2016年6月之前发布的安全证书都将不会受到 Chrome 70 的信任。因为谷歌早已在一年前就已公布时间表,所以 Web 开发者有一年多的时间来准备此更改。 安全研究员斯科特·赫尔姆(Scott Helme)在 Alexa 排名前 100 万个网站中发现超过 1000 个网站依然使用赛门铁克旧的安全证书,这些网站可能会受到谷歌推出 Chrome 70 的影响,其中包括一些来自印度和特拉维夫的知名政府网站。 据 TechCrunch 报道,除赛门铁克证书外,在2016年6月之前使用 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL 颁发的证书的网站也将受到 Chrome 70 的影响。   稿源:开源中国,封面源自网络;

谷歌高管在美国会低头:谷歌在隐私问题上犯过错误

新浪科技讯 北京时间9月26日上午消息,根据彭博社获取的一份文件,Alphabet的一位高管周三将在美国参议院委员会举办的听证会上发表证词,表示谷歌曾在隐私问题上犯过“错误”。 “我们承认在过去我们犯过错,我们从中吸取了教训并改进了隐私项目。”谷歌的首席隐私官基思·恩利特(Keith Enright)在书面证词中将这样说道。大众对于数据隐私问题的担忧日益增加,谷歌将会与AT&T、亚马逊、苹果以及其他公司一同出席作证。 谷歌的书面证词并没有明确指出先前发生的具体错误是什么,但是公司一直以来都因隐私问题而饱受抨击。 2012年,谷歌同意支付高达2250万美元的民事罚款,以解决美国联邦贸易委员会(FTC)对其的指控。指控称谷歌曾向苹果Safari互联网浏览器用户歪曲事实,称自己不会设置追踪“Cookie”文件或为其投放定向广告。 一年之前,当谷歌推出其社交网络Google Buzz时,政府指控其使用了欺骗性策略并且违反了消费者隐私承诺。之后,谷歌同意与FTC就隐私问题达成和解并接受长达20年的定期隐私审查。 八月,Alphabet被指控非法追踪数百万台iPhone以及Android手机用户的活动,即便用户已经设置了隐私权限阻止其获取信息。 美国商务部表示,在欧盟和加州陆续推出更严格的新规定之后,他们正就在全国范围内推出数据隐私规定征求意见。 此外,司法部表示自己也与州检察长举办了“意见听取会”,就政府可以如何在网络上保护消费者一事进行探讨。 美国参议院商务委员会主席约翰·图恩(John Thune)表示国会必须将消费者数据隐私保护落实到立法。 国会对于互联网公司是如何出售广告并利用邮件账户以及其他服务中的数据提出了质疑。图恩写道,有“越来越多的争议”让大家开始质疑科技公司是否能“自我管制并在收集和使用用户数字数据的问题上采取真正意义上的隐私保护措施”。 大规模侵犯数据隐私的事情已经危及到数百万美国互联网及社交媒体用户的个人信息,大型零售商和信用报告机构Equifax都曾遇过此类事件。 恩利特的证词表示:“就广告还有我们的产品来说,用户信任我们能够对其个人信息保密并将信息交由用户自己控制。我们不会出售个人信息。说完了。” 亚马逊的副总裁安德鲁·德沃尔(Andrew DeVore)将会告知委员会,新的欧盟隐私规定“要求我们将大量资源用于行政和记录保存任务上,而不是为用户发明新的功能”。 Twitter的数据保护官达米安·基兰(Damien Kieran)将敦促开发“一个强大的隐私框架,以期保护用户个人权利……与此同时也能留有创新的自由”。 美国商务部下属的国家电信和信息管理局(NTIA)今年夏天与科技公司、互联网供应商、隐私倡导者等进行了50多次会面,希望能够制定出一个在全国范围内推广的标准。 代表着40多家互联网和科技公司的互联网协会在本月表示,它支持数据隐私规定现代化并推出一个在全国范围内适用的方式,能够比在2020年生效的加州数据隐私法规抢先推出。 加州州长杰里·布朗(Jerry Brown)签署了这一法案,旨在让消费者可以更好地控制企业收集和管理其个人信息的方式。欧洲新出台的法律甚至更为严格。 欧盟的《通用数据保护条例》于5月份生效。违反隐私法的公司最高将面临其全球营收4%的罚款或是2000万欧元(折合2320万美元)罚款,按两者间的较高数额为准。   稿源:cnBeta,封面源自网络;

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;

Mozilla 创始人投诉谷歌:违反 GDPR 法规 泄露用户数据

新浪科技讯 北京时间9月13日晚间消息,Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款, Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。 对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。   稿源:新浪科技,封面源自网络;

谷歌接受批评:新版 Chrome 恢复显示域名中的 www

日前,谷歌为庆祝 Chrome 浏览器10周年,发布了全新的 Chrome 69 正式版,带来了全新的 Material Design 等特性。不过,新版 Chrome 隐藏域名中的 www 遭到了用户批评,并认为会带来安全问题。 Chrome 69 隐藏了网址中的 HTTP/HTTPS,用户随后又发现 Chrome 69 还会隐藏网址中的 WWW,也就是 www.google.com 在地址栏显示的是 google.com。此举引发了争议。WWW 被 Chrome 视为是无关紧要的子域名。但 www.example.com 和 example.com 是有区别的,它们很可能是不同的网站,有着不同的 DNS 记录。Google 的做法被认为会带来安全问题。 对于用户的批评和担心,谷歌坦然接受,并对 Chrome 浏览器作出了更改,在9月12日发布的最新版 Chrome v69.0.3497.92 默认设置中,已经弃用了不再显示协议名称的功能,恢复显示域名中的 www。   稿源:开源中国,封面源自网络;

因追踪用户定位数据:谷歌可能在美国遭遇重罚

新浪科技讯 北京时间9月12日早间消息,据《华盛顿邮报》援引知情人士消息称,美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私,该州总检察长马克·布诺维奇(Mark Brnovich)就有可能对谷歌处以高额罚款。 目前布诺维奇的办公室并未确认此事。 美联社上月的一项研究发现,谷歌通过Android设备提供的服务会追踪并存储用户的地理位置,即便用户在隐私设置中关闭地理位置历史也无济于事。 据悉,谷歌应用会存储带有时间戳的定位数据,借此发布精准的地理定位广告。谷歌对美联社表示,他们让用户了解这些定位数据获取工具,并且提供了“强大的控制,让人们可以自行打开或关闭功能,或者随时删除历史。” 布诺维奇可能将此事作为一起消费者保护官司进行起诉,并按照违规次数寻求每次最高1万美元的罚款,这有可能导致谷歌面临巨额处罚。 谷歌发言人对此发表声明称:“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务,例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验,包括:定位历史、上网和应用活动,以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”   稿源:新浪科技,封面源自网络;

Google 搜索再现诈骗:“苹果技术支持”可能是假的

新浪科技讯 北京时间 9 月 3 日早间消息,Alphabet 旗下谷歌正在采取行动,打击涉嫌诈骗的搜索页面广告投放。此前《华尔街日报》调查发现,诈骗者利用谷歌广告系统购买搜索广告,并伪装成苹果等公司的授权服务代理进行诈骗活动。 例如在谷歌上搜索关键词“苹果技术支持”时,第一个结果中包括指向 Apple.com 的链接、一个免费电话号码,并显示:“立即从我们的专家处得到帮助。”但《华尔街日报》发现,这个电话号码并不属于苹果,而是指向一个从事诈骗活动的呼叫中心。 伪装的苹果技术支持链接 上周早些时候,谷歌一名发言人回应称,谷歌致力于删除不良广告,去年因为违反该公司政策而被删除的广告超过每秒 100 个。 上周五,谷歌宣布对技术支持广告中的诈骗活动展开更严厉的打击。谷歌全球产品策略总监大卫·格拉夫(David Graff)在官方博客中表示:“我们已经看到,来自第三方技术支持提供商的误导性广告体验正在上升,我们决定开始在全球范围内限制这些广告。” 他同时表示,谷歌计划推出验证项目,“以确保只有合法的第三方技术支持服务提供商可以使用我们的平台触达消费者”。 知情人士表示,此前谷歌已经针对其它类型的广告设计了验证项目,包括本地的开锁服务和治疗中心,此外谷歌还禁止了保释金服务和发薪日贷款服务的广告。 政府和业内专家表示,技术诈骗导致不知情的美国人交出自己的支付信息,损失了数十亿美元。涉及远程技术支持的诈骗尤为猖獗。在这些骗局中,搜索计算机使用帮助的用户有时会看到欺骗性质的广告,以及提示有病毒感染的弹窗消息。 2018 年的一项研究发现,在主要搜索引擎,与技术支持查询相关的赞助商广告中,有 72% 指向欺诈网站。       稿源:新浪科技,封面源自网络;        

谷歌新推出 Titan 安全密钥 开发商为一家中国公司

新浪科技讯 北京时间8月31日上午消息,据CNBC报道,谷歌为确保网页服务登录安全而推出的新产品Titan安全密钥是由中国飞天诚信科技股份有限公司(Feitan)开发的。 谷歌目前正在与LG和三星等设备制造商进行直接竞争。考虑到近些年来谷歌一直致力于推广硬件,此次安排确实有些不同寻常之处。去年,谷歌又加大了对于硬件的投资,从HTC手中收购了大量人才和知识产权。 谷歌在上个月举办的Next云计算大会上宣布了“泰坦”密钥的推出并表示将在谷歌开发的固件上验证其完整性,不过公司并未指出这款产品的制造商。但是这款无线密钥与飞天的一款无线密钥产品非常类似,这是一家位于北京的安全公司,于2014年在深圳证券交易所上市。 CNBC电话联系了飞天驻加州圣克拉拉的办公室,接电话的员工表示飞天在“泰坦”项目上正与谷歌进行合作。另外一位熟悉此项目的知情人士也证实了这一合作关系。周四,The Information媒体也单独报道了双方之间的合作。 谷歌发言人表示,谷歌是泰坦密钥“名义上的制造商”,但实际上开发泰坦密钥的是不具名的第三方制造商。不过发言人拒绝回应飞天是否是密钥的制造商。 这种安排在谷歌早有先例。2016年,谷歌强调自己是其首款Pixel智能手机“名义上的设计者”,而其实HTC才是其代工制造商。 谷歌一直以来的倡议 谷歌一直以来都推崇可以阻止不必要尝试登录用户账户行为的技术。现在,除了要求员工输入密码之外,公司还要求员工使用物理安全密钥。新增加的信息核实措施旨在防止网络钓鱼攻击,即黑客会通过欺诈消息获取个人信息。 泰坦密钥不但看上去与飞天密钥很相似,而且和美国一家名叫Yubico公司的USB密匙也非常相似。Yubico的密钥可以用于安全登录谷歌的Gmail、Dropbox、GitHub和其他网络服务。 但是Yubico的首席执行官斯蒂娜·埃伦斯瓦尔(Stina Ehrensvard)在博客文章中明确表示泰坦密钥不是由Yubico制造的。埃伦斯瓦尔还对该密钥使用蓝牙一点提出了批判。 “尽管Yubico之前也开发过蓝牙低能耗(BLE)安全密钥,并促成了BLE U2F标准的问世,但由于它不符合我们的安全、可用性和耐用性标准,因而我们决定不推出这款产品。”埃伦斯瓦尔写道,“BLE无法提供NFC和USB级别的安全保障,而且需要电池和配对,这就会带来非常糟糕的用户体验。”Yubico公司在瑞典和加州均设有办公处。 周日,谷歌产品经理克里斯蒂安·布兰德(Christiaan Brand)在博客中宣布用户可以通过谷歌在线商店获得泰坦密钥。她还表示谷歌的固件被密封在特殊的芯片中,这些芯片是直接配送到生产线上的。“对于泰坦密钥的信任便是源于这些密封芯片,而不是基于在设备制造过程中的后续步骤。” 在泰坦密钥发布之后,飞天也在社交媒体上分享了一些关于谷歌的消息,但并未正式发表公开声明表示两者之间的合作关系。 谷歌在自己的“高级保护”计划网站上建议美国公民——如果他们没有两个安全密钥的话,可以通过亚马逊购买飞天无线密钥以及Yubico的USB密钥。但这两款密钥均不是以谷歌泰坦品牌的名义进行销售的。   稿源:新浪科技,封面源自网络;