标签: Facebook

内部邮件披露:Facebook 开发者明知高风险仍收集用户隐私以吸纳新成员

今年3月,不少Android用户震惊地发现Facebook正在收集他们的电话、短信等历史记录;今天英国议会披露的Facebook内部邮件显示开发人员明知这些数据非常敏感,但他们仍倾向于将其收集起来以此帮助公司吸纳更多用户。 这些电子邮件显示,Facebook的增长团队希望调用这些日志数据来改善Facebook的算法,并通过“你可能知道的人”功能来吸纳更多用户。值得注意的是,项目经理认为“从公关角度来说,这是一个风险非常高的事情”,但这种高风险似乎已经被潜在的用户增长所忽视。 起初,通常以应用内弹出对话框的方式要求用户选择加入。不过在者尝试探索各种方式来让用户注册的过程中,很明显利用Android的数据权限来自动注册新用户。在另一个邮件链中,开发该功能的小组将Android权限屏幕的作为不必要的摩擦点,并尽可能的避免。当测试过程中发现调用日志可以在没有权限对话框的情况下进行,开发人员随后就大肆利用这种方式收集用户信息。 一位开发人员在邮件中写道:“基于我们的初步测试,在不会向用户发出Android权限对话框的情况下允许我们来升级用户。”在3月份爆发故事之后,Facebook坚称未经许可未收集任何通话记录,并且任何受影响的用户都选择加入该功能。这与许多Facebook用户的体验相矛盾,他们报告说,使用最少的权限安装Messenger,但仍然收集了日志。   稿源:cnBeta,封面源自网络;

Facebook 收集信息远超想象:用户家人也成分析目标

新浪科技讯 北京时间11月19日下午消息,国外媒体报道称,Facebook收集用户的许多信息已不是什么新鲜事儿了,但据近日曝光的一项专利申请文件显示,Facebook准备要收集的用户信息远超出了人们想象。 这份专利申请文件是Facebook于2017年提交的,近日才得以曝光。申请文件显示,这项专利将允许Facebook根据用户向其网站和Instagram上传的信息,包括帖子、状态更新、照片、好友、消息记录和网页浏览记录等信息,对用户的家庭成员进行分析。 业内人士称,Facebook此次专利申请旨在防止其他公司利用这一技术,从而继续维持其作为广告平台的优势。如果知道用户的家庭成员信息,和哪些人生活在一起,有助于向用户发布更有针对性的广告。 Facebook向《洛杉矶时报》表示,不对此发表评论,但Facebook同时指出,有时只是简单的申请一项专利,并没有真正利用这项专利技术的意图。 今年,Facebook已被用户信息隐私问题弄得焦头烂额。自今年3月份大规模用户信息泄露事件被曝光后,Facebook股价就一直萎靡不振。当时,Facebook承认有8700万用户的信息被第三方不当分享。 虽然Facebook CEO马克·扎克伯格(Mark Zuckerberg)亲自赴国会作证,但至今仍未彻底摆脱该问题。 雪上加霜的是,Facebook 9月底又宣布,该公司发现一处安全漏洞,允许黑客获取访问权限,从而控制用户账号,受漏洞影响的账号数量高达5000万个。 有分析人士称,隐私问题拖得时间越久,Facebook的核心业务就越可能会受到影响。   稿源:新浪科技,封面源自网络;

Facebook 前安全主管:政府和媒体对 FB 丑闻也应担责

新浪科技讯 北京时间11月19日早间消息,Facebook前安全主管亚历克斯·斯塔莫斯(Alex Stamos)周日在《华盛顿邮报》发表文章,他认为,虽然Facebook在俄罗斯干扰大选一事上的处理很失败,但是美国国会、媒体和情报机构在这一问题上也没有做好。 此前《纽约时报》报道称,在美国大选期间,俄罗斯利用Facebook散布虚假言论,但Facebook CEO扎克伯格和COO桑德伯格有意掩盖此事,还将重要决策权分派给下属。 斯塔莫斯表示,Facebook此前在与公众沟通时确实在“坚持最小化+否认的公共交流原则”,这是不对的,Facebook“当时应该在面对威胁时及早响应,并且以更透明的方式公开信息”。不过斯塔莫斯强调:“在公司内,没有任何人告诉我应该无视俄罗斯活动,对于发现的问题,也没有人告诉我应该撒谎。” 他还表示,不只Facebook在这个事情上犯了错,其他人也一样,比如情报机构。“在大选之前,围绕俄罗斯信息战目标及能力问题,美国庞大的情报界并没有提供可操作情报,事后也没有提供足够的援助。” 而对于国会,斯塔莫斯认为议员在调查听证会上哗众取宠,忽视事实,未能对行政机构进行有效监督,也未能建立共同防御战线。 同时,斯塔莫斯还指责媒体推波助澜,发表大量关于民主党高层政要内部邮件的文章,从而“激励”俄罗斯黑客的行动。 斯塔莫斯认为,在面对未来的信息战时,各方应该团结一致,保护社会。他还警告说,2020年总统竞选黑客肯定会关注,各方应更加小心。   稿源:新浪科技,封面源自网络;

第三方网站可窃取无防备用户的个人数据?Facebook 刚刚堵上漏洞

今年 5 月的时候,安全公司 Imperva 曝光了 Facebook 的一个 bug,其导致第三方网站可以读取毫无戒心的 Facebook 用户(及其好友)的私人信息。万幸的是,该漏洞现已被成功修复。此前,安全研究员 Ron Masas 发现了 Facebook 的跨站请求伪造(CSRF)漏洞,意味着另一个网站可以通过代码查询的方式,接触到 Facebook 的用户数据。 视频截图 为了利用该漏洞,站点可以嵌入 iFrame(站点内的站点)来“吸取”用户的数据: 当已登录的 Facebook 用户访问带有恶意代码的,并在任意位置点击时触发脚本。 其通过向该社交网络发送查询来收集用户数据,例如‘用户是否喜欢跑步?’、或‘是否有朋友在加拿大?’ 据悉,Masas 是在研究 Chrome 漏洞时发现的 Facebook bug,攻击者可借此窃取 Facebook 用户的私人信息。 可怕的是,即便设置了仅对自己可见,其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询,就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。 Facebook Proof of Concept(via) 对于此事,Facebook 发言人在致外媒 TechCrunch 的回复中写到: 感谢这位安全研究人员对我司 bug 赏金计划的支持,报告中的行为并非特定于 Facebook,但我们的用户数据没有丢失。 我们已经向浏览器制造商和相关 Web 标准组提出了建议,鼓励它们采取措施防止此类问题在其它 Web 应用上发生。 据悉,Facebook 向 Masas 发放了两份单独的赏金,总额为 8000 美元。   稿源:cnBeta,封面源自网络;

Facebook 将为 Workplace 提供单独域名保障商户数据安全

新浪科技讯 北京时间11月1日凌晨消息,9月28日,在Facebook公布了一项影响数百万用户的安全漏洞的那一天,该公司创业企业业务负责人向顶级客户沃尔玛确保其数据尚未泄露。 沃尔玛是Facebook的Workplace的客户。而Workplace是Facebook社交网络的工作版本,公司付费以后,他们的员工可以使用Facebook风格的功能进行沟通,例如私人消息,新闻提要和实时流。根据Facebook在2017年10月分享的最多数据显示,该服务与Slack和其他企业通信服务竞争,被包括星巴克和雪佛龙在内的30,000家组织使用。 在9月28日的沟通中,Facebook的Workplace负责人Julien Codorniou向沃尔玛企业首席信息官Clay Johnson表示,Facebook正在采取措施进一步将Facebook的企业业务与其消费者服务分开。根据沃尔玛副总裁乔·帕克(Joe Park)的说法,Facebook告诉该公司,Facebook很快会为Workplace提供单独的域名。 Park称,“我们得到的保证是(企业)数据将会存在于Facebook的消费者版本之外,这是彻底的改变,他们甚至会改变域名以反映这一点。” 新域名Workplace.com现已成为营销网站。 Facebook的Workplace产品经理卢克泰勒(Luke Taylor)周三告诉CNBC,预计在2019年的某个时候,Facebook企业客户将会从Workplace页面登录。 泰勒表示,这一域名的改变来自于一部分Facebook的Workplace客户先前对企业工具与Facebook的消费者业务托管在同一域名表示担忧。该公司已经逐一告知客户有关域名转移的信息。 泰勒告诉CNBC,“我们已经处于和他们分开这样的一个位置。继续把他们一起放在Facebook.com域名上有点困难了。从品牌的角度来看,这是我们想做的事情,当然我认为这也让我们的客户对产品本身更加信任。” 泰勒说,该公司希望首先对新客户开始使用该域名,然后帮助现有客户迁移进入。 “我们将与客户合作,确保客户以他们的节奏进行迁移”,泰勒表示:“当你看到Oculuses,Instagrams甚至Facebook的消费业务时,他们都拥有自己的域名和自己的品牌标识。正如我们看到我们的增长如此迅速增长以及我们对市场的牵引力增加,我们感到现在恰好是推进自有品牌的正确时机。”   稿源:新浪科技,封面源自网络;

欧洲议会要求全面审计 Facebook:评估个人数据安全性

新浪科技讯 北京时间10月26日上午消息,据美国科技媒体TechCrunch报道,在Facebook出现一系列数据泄露丑闻之后(包括此前“剑桥分析”事件),欧洲议会提出要对Facebook进行全面审计。 之前Facebook有870万用户的数据被不正当获取及滥用,为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计,以评估数据保护和用户个人数据的安全性。 在决议中,他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任,还“违反了欧盟法律”。 本月早些时候,欧盟议会的民权委员会通过了一项类似的决议,要求对Facebook进行全面且独立的审计,并要求该公司进一步调整其平台。 民权委员会还要求欧盟竞争法进行更新以反映它所称的“数字现实”,并调查大型科技社交媒体平台“可能出现的垄断行为”。 在议会投票之后,民权委员会主席克劳德·莫拉斯(Claude Moraes)在声明中表示:“这是一个全球性的问题,已经影响了我们的公民公投和选举。这一决议规定了一些需要落实的措施,包括对Facebook进行独立审计、更新我们的竞争法以及采取额外的措施保护我们的选举。我们必须立刻采取行动,这么做不仅是要恢复公民对于在线平台的信任,也是要保护公民的隐私,恢复他们对于我们民主体系的信任和信心。” 在该决议通过之前,Facebook的创始人马克·扎克伯格(Mark Zuckerberg)曾出席欧盟议会的党团主席联席会议。此前,欧盟议会委员会也举办了一系列的听证会,Facebook工作人员参与出席。 欧盟新出台的数据保护框架《一般数据保护条例》(GDPR)在今年五月才生效——因此,Cambridge Analytica数据泄密事件的处理依然是依据先前的数据保护网络,即由成员国法东拼西凑而得的一个规定。 今天早些时候,英国数据监管机构表示对于Facebook的违规行为进行罚款的决定维持原判。根据英国之前的数据保护制度,罚款金额最高可达50万英镑。 在新的决议中,欧洲议会成员表示Cambridge Analytica获取的数据也许被用于政治用途,包括英国脱欧的公投以及2016年的美国总统大选——并称选举法将数字竞选因素考虑在内一事刻不容缓。 为了应对社交媒体干预选举一事,欧洲议会成员提议: – 在网络上采用传统的“离线”选举保障措施:制定关于花费透明度以及限制的规定、尊重静默期、平等对待候选人; – 便于识别线上付费政治广告以及活动背后的组织; – 严禁出于选举目的进行介绍,包括利用线上行为来揭露政治偏好; – 社交媒体应当标记机器人分享的内容,加快删除虚假账号,并与独立的事实核查人及学术界合作,以解决虚假信息的问题; – 成员国在欧洲检察官组织的支持下对于境外势力滥用在线政治空间的问题进行调查。 最近,英国的一个议会委员会敦促政府优先考虑民主流程面临的数字风险并据以调整选举法。不过至今为止,政府对此的态度依旧是较为谨慎,称还在通过审查该问题的不同方面以收集证据。 与此同时,Facebook也在一些地区推出了针对政治广告商的监测系统——包括英国。但是议会成员国显然认为这家公司需要采取更多措施。 英国DPA此前曾呼吁从道德角度认真考虑在线平台出现的政治微目标定位问题,并表示对于数据的使用方式以及可能被滥用一事有诸多担忧。   稿源:新浪科技,封面源自网络;

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

新浪科技讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;