安全快讯Top News

泰国通过备受争议的网络安全法案 被指是为实现政府监管

泰国政府周四通过了一项备受争议的网络安全法案,该法案因模糊不清以及能够全面访问互联网用户数据而受到批评。该法案在去年年底因对潜在数据访问受到批评后进行了修订,但该法案在泰国议会以133票赞成票、16票弃权票获通过。 许多人对该法案的若干条款表示担忧,主要其有益于通过2014年军事政变上台的政府——在被视为国家紧急事件的案件中搜查和扣押数据和设备。这可以在没有法院命令的情况下实现互联网流量监控和访问私人数据,包括通信。 超越执法的权力平衡也受到质疑。批评者强调了国家网络安全委员会的作用,该委员会由总理领导,在执行法律方面具有相当大的重要性。委员会已被要求包括业界和民间团体的代表,以加强监督和平衡。 泰国民众担心法律会被政府“武器化”,以使批评者沉默。泰国已经制定了强有力的法律,这使得批评君主制成为非法行为,并已被用来监禁公民在社交媒体和上留下的评论。该国过去还审查过《每日邮报》等网站,并在2007年封杀YouTube达六个月。 “亚洲互联网联盟对泰国国民议会投票赞成一项过分强调松散定义的国家安全议程的网络安全法而非其旨在防范网络风险的目标感到非常失望,”Jeff Paine的一份声明说。亚洲互联网联盟是一个包括Facebook,谷歌和苹果在内的国际科技公司联盟。 “保护在线安全是首要任务; 然而,该法律范围模糊,模糊的语言和缺乏保障措施引起了个人和企业的严重隐私问题,特别是允许超出权限搜索和扣押数据和电子设备而没有适当的法律监督的规定。这将使该政权能够以紧急情况或作为预防措施监控在线流量,从而可能危及私人和企业数据,”Paine补充说。 泰国并不是唯一引入有争议的互联网法律的国家。越南的一项新规也引发了围绕言论自由的担忧。   (稿源:cnBeta,封面源自网络。)

Android 安全计划帮助修复了 Google Play 中的超过 100 万个问题应用

Google在周四的一篇博客文章中称,已有5年历史的Android安全计划帮助修复了Play商店中超过100万个应用程序。当应用程序提交到Google Play商店时,应用程序安全性改进计划的成员将扫描它们是否存在漏洞。如果没有任何问题,应用程序会在Play商店中显示之前进行进入正常测试阶段。 如果出现问题,团队会将应用程序标记给人员并帮助他们修复它,而他们还将提供诊断和后续步骤。 到目前为止,该计划已帮助超过30万名开发人员修复了超过100万个应用程序。就在去年,该计划帮助超过30000名开发人员修复了超过75000个应用程序。这意味着那些易受攻击的应用程序无法提供给存在安全问题的用户。 该公司在博客文章中写道:“保持Android用户的安全对Google来说非常重要。” “我们知道应用程序安全性通常很棘手,开发人员可能会犯错。我们希望看到这个程序在未来几年内不断发展,帮助全球开发人员构建用户真正信任的应用程序。” 本月早些时候Google表示,Play商店每天会在用户设备上扫描超过500亿个应用,以查找和阻止不良应用。 2017年,该公司表示已从Google Play商店中删除了超过70万个不良应用。在2018年,它拒绝了超过55%的应用程序提交量。 App Security Improvement计划涵盖了Android应用中的各种安全问题。这些可以与特定版本的流行库(例如:CVE-2015-5256)中的安全性问题一样具体,也可以与不安全的TLS / SSL证书验证一样广泛。 通过改进现有检查并启动对更多类安全漏洞的检查,不断改进该计划的功能。在2018年,Google为另外六个安全漏洞类别部署了警告,包括: SQL注入 基于文件的跨站点脚本 跨应用程序脚本 泄露的第三方证书 计划劫持 JavaScript接口注入     (稿源:cnBeta,封面源自网络。)

Google Chrome 被发现零日漏洞 可让黑客获取用户数据

谷歌浏览器Chrome中的零日漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据。由EdgeSpot发现这项安全漏洞,已经在被黑客利用,谷歌官方修复方案只会在4月底发布。 当在专用的PDF阅读器(如AdobeReader)中打开时,PDF文档似乎不会泄漏任何个人信息。恶意代码似乎专门针对Google Chrome浏览器中的漏洞,在浏览器中打开这些恶意PDF,会触发到两个不同之一的出站流量,分别称为burpcollaborator.net和readnotify.com。 黑客通过此种方式可以获得的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径等等。有趣的是,大部分安全产品无法实时检测到恶意的PDF文档,只有一些防病毒解决方案在扫描它们时才会触发警告。 目前避免此漏洞侵害的最简单方法是避免在Google Chrome浏览器中打开任何PDF文档,但是如果必须这样做,您应该远离来自不信任来源的文件。此外,在Google Chrome中打开PDF文档时,您可以暂时断开电脑与互联网的连接。     (稿源:cnBeta,封面源自网络。)

道琼斯公司 240 万高风险客户的观察名单已遭泄露

在有权访问数据库的公司将其留在没有密码的服务器上之后,道琼斯所拥有的风险个人和公司实体的观察名单已被泄露。独立安全研究员Bob Diachenko发现亚马逊网络服务托管的Elasticsearch数据库暴露了240多万个人或商业实体的记录。 这些数据是金融巨头的观察名单,该公司将其作为风险和合规工作的一部分。汤森路透(Thomson Reuters)等其他金融公司拥有自己的高风险客户(例如政治风险人士和恐怖分子)数据库, – 但多年来也出现过安全漏洞。 一个2010年的小册子指出道琼斯观察名单是为使客户能够对数据库中的任何个人或公司“轻松,准确地识别高风险客户提供详细,最新的配置文件”。这本小册子称,当时数据库有650,000个条目。 这包括现任和前任政治家,受制裁的个人或公司,或被判犯有欺诈等高调金融犯罪的人,或与恐怖主义有联系的任何人。根据TechCrunch发现的泄露数据库中的记录,名单上的许多人都包括“特殊利益者”。 Diachenko 撰写了他的调查结果,称该数据库是“索引、标记和搜索的”。 这些数据都是从公共资源中收集的,例如新闻报道和政府档案。许多个人记录都来自道琼斯的Factiva新闻档案,该档案从许多新闻来源收集数据 – 包括道琼斯旗下拥有的《华尔街日报》。然而,包含个人或公司名称,或者名称存在于数据库中的原因,是专有的并且受到严密保护。 BBC此前报道称,许多金融机构和政府机构使用该数据库来批准或拒绝融资,甚至是关闭银行账户。 Diachenko此次发现的记录变化很大,但可以包括名称、地址、城市及其位置,是否已经死亡,在某些情况下还包括照片。Diachenko还发现了出生日期和性别。每个配置文件都有从Factiva和其他来源收集的大量笔记。 随机发现的一个名字是Badruddin Haqqani,他是塔利班有关的哈卡尼游击队叛乱网络的指挥官。2012年,美国财政部对 Haqqani和其他参与资助恐怖主义行为的人实施制裁。几个月后,他在巴基斯坦的一次美国无人机袭击中丧生。Haqqani的数据库记录被列入“制裁名单”和“恐怖主义”,其中包括以下内容: DOW JONES NOTES: Killed in Pakistan’s North Waziristan tribal area on 21-Aug-2012. OFFICE OF FOREIGN ASSETS CONTROL (OFAC) NOTES: Eye Color Brown; Hair Color Brown; Individual’s Primary Language Pashto; Operational Commander of the Haqqani Network EU NOTES: Additional information from the narrative summary of reasons for listing provided by the Sanctions Committee: Badruddin Haqqani is the operational commander for the Haqqani Network, a Taliban-affiliated group of militants that operates from North Waziristan Agency in the Federally Administered Tribal Areas of Pakistan. The Haqqani Network has been at the forefront of insurgent activity in Afghanistan, responsible for many high-profile attacks. The Haqqani Network’s leadership consists of the three eldest sons of its founder Jalaluddin Haqqani, who joined Mullah Mohammed Omar’s Taliban regime in the mid-1990s. Badruddin is the son of Jalaluddin and brother to Nasiruddin Haqqani and Sirajuddin Haqqani, as well as nephew of Khalil Ahmed Haqqani. Badruddin helps lead Taliban associated insurgents and foreign fighters in attacks against targets in south- eastern Afghanistan. Badruddin sits on the Miram Shah shura of the Taliban, which has authority over Haqqani Network activities. Badruddin is also believed to be in charge of kidnappings for the Haqqani Network. He has been responsible for the kidnapping of numerous Afghans and foreign nationals in the Afghanistan-Pakistan border region. UN NOTES: Other information: Operational commander of the Haqqani Network and member of the Taliban shura in Miram Shah. Has helped lead attacks against targets in southeastern Afghanistan. Son of Jalaluddin Haqqani (TI.H.40.01.). Brother of Sirajuddin Jallaloudine Haqqani (TI.H.144.07.) and Nasiruddin Haqqani (TI.H.146.10.). Nephew of Khalil Ahmed Haqqani (TI.H.150.11.). Reportedly deceased in late August 2012. FEDERAL FINANCIAL MONITORING SERVICES NOTES: Entities and individuals against whom there is evidence of involvement in terrorism. 道琼斯公司发言人Sophie Bent表示:“这个数据集是我们的风险和合规性产品的一部分,完全来自公开的来源。Bent认为“授权的第三方”应该对此次泄露事件负责。 我们询问了道琼斯的具体问题,例如数据泄漏的来源是谁以及是否会向美国监管机构和欧洲数据保护机构报告,但该公司不会对此记录发表评论。 两年前,道琼斯承认类似的云存储错误配置暴露了220万客户的名称和联系信息,包括《华尔街日报》的订阅者。该公司将此事件描述为一个“错误”。     (稿源:cnBeta,封面源自网络。)

安全专家警告称:Ring Doorbell 智能门铃可被黑客攻击并显示虚假图像

在最近推送的一个补丁中,亚马逊旗下的智能门铃企业 Ring,修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击,将虚假的图像内容注入到视频源中。需要指出的是,尽管 Ring 会定期发布修复固件,但那些使用旧版 Ring 应用程序的客户,仍有暴露于这方面的风险。 在今日公布的一份报告中,BullGuard at Dojo 的安全研究人员,披露了有关该漏洞的详细信息。其支出,借助适当的技术手段,任何有权访问传入数据包的人,都可以收听到实时的反馈。 问题在于,Ring 所采用的方案,并未引用强加密。那些能够访问目标 Wi-Fi 的黑客,甚至可以在数据到达 App 端之前,就将虚假内容注入到消息流中。 举个极端点的例子,狡猾的攻击者能够利用该漏洞,向房主发送经过篡改的图像,以欺骗其打开门锁。当然,这并不是我们首次听说有关 Ring 设备的安全漏洞。 今年早些时候,有报道称 Ring 允许其员工观看客户家中的。对于此事,该公司拒绝了媒体的置评请求,只是声称不会在官网上暴露、且会采用其它安全措施来保护用户的数据安全。 去年 5 月,The Information 还报道了 Ring 允许密码修改,但不强制用户退出并重新登陆。 2017 年 3 月,一些用户发现,他们的 Ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。 Ring 没有给出更多的解释,只声称这是一个 bug,且该公司会定期更新固件,不至于引发这么大的关注。     (稿源:cnBeta,封面源自网络。)  

2019 年开源安全现状调查报告发布

Snyk 今天发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。 前言 为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安全性变得更好,Snyk 公司通过对大量的数据进行统计和分析,得到了2019年开源安全现状调查报告,其中数据来源包括: 由 Snyk 发起和分析的来自500多名开源项目维护者和用户填写的调查问卷 来自 Snyk 漏洞数据库的内部数据,以及由 Snyk 监控和保护的数十万个项目 从各个供应商发布的外部资源中获取到的研究报告 通过扫描数百万个公开 GitHub 仓库和包而收集到的数据 开源安全现状 先看一看报告提供的关键数据,总共包括六个方面。 1.开源项目被采用情况 数据显示,78% 的漏洞存在于间接依赖关系中。而在2017到2018年期间,工具包平台的增长情况如下: Maven Central – 102% PyPI – 40% npm – 37% NuGet – 26% RubyGems – 5.6% npm 报告2018年的下载量为3040亿次 各大工具包平台的增长情况 明显可以看到,开源项目的采用率正在持续加速增长。仅是2018年,Java 工具包翻了一番,而 npm 增加了大约 250000 个新的工具包。 PyPI 在2018年拥有超过140亿的下载量,较2017年增加了一倍,当时的下载次数约为63亿次。 PyPI 工具包在2018年的下载次数 npm 工具包在2018年的下载次数 npm 称得上是整个 JavaScript 生态系统的核心。多年来,其软件包数量和下载数量一直在稳步增长,仅2018年12月的单月下载量就超过了300亿次,而2018年全年的下载次数更是达到令人难以置信的3170亿次。 2.漏洞识别状况 37% 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试,54% 的开发者没有对 Docker 镜像进行任何安全测试 从漏洞添加至开源软件包到修复漏洞的时间中位数超过2年 持续集成期间的安全测试情况 3.已知的漏洞 两年内应用程序的漏洞数量增长了 88% 在2018年,npm 的漏洞数量增长了 47% 根据 Maven Central 和 PHP Packagist 披露的数据,它们的漏洞数量分别增长了 27% 和 56% 2018年与2017年相比,Snyk 在 RHEL, Debian 和 Ubuntu 中追踪发现的漏洞数量增加了4倍多 每种语言其生态系统的新漏洞增长情况 今天,Snyk 目睹了其跟踪的许多生态系统中报告的漏洞数量的增加,包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五种不同的语言生态系统时:PHP, Java, JavaScript, Python 和 Go 时,Snyk 发现自2014年以来,所有这些生态系统中披露的漏洞数量呈上升趋势。尤其是 npm 和 Maven 中央仓库,毕竟这两者也是工具包数量增长最多的平台。 4.谁该对开源软件的安全性负责? 81% 的用户认为开发者负责开源软件的安全性 68% 的用户认为开发者应该对他们提供的 Docker 容器镜像负安全责任 只有 30% 的开源软件维护者认为自己具有高安全性意识 谁该对开源软件的安全性负责 开发者对自身安全意识的认知情况 5.Docker 镜像中的已知漏洞 十大最受欢迎的默认 Docker 镜像中的每一个都包含至少30个易受攻击的系统库 经过扫描的 44% Docker 镜像可以通过更新其基本镜像标记(image tag)来修复已知漏洞 十大流行 Docker 镜像的漏洞数量状况 Linux 系统的漏洞数量在持续增长 系统库中的紧急漏洞和高危漏洞数量对比 6.Snyk 的统计数据 仅在2018年下半年,Snyk 为其用户打开了超过 70000 个 PR,以修复其项目中的漏洞 CVE/NVD 和公共漏洞数据库缺失了许多漏洞,仅占 Snyk 跟踪到的漏洞数据的 60% 仅在2018年,Snyk 旗下的专业研究团队就披露了500个漏洞 完整报告下载地址 https://bit.ly/SoOSS2019       (稿源:开源中国社区,封面源自网络。)

新发现的 thunderclap 漏洞允许黑客使用 Thunderbolt/USB-C 外设攻击 PC

今天早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap,影响所有主要平台,包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备,并允许黑客通过插入数据线来黑入PC。 相关论文发表在加利福尼亚州圣地亚哥举行的网络和分布式系统安全研讨会上。它描述了macos、freebsd和linux中的一组漏洞,这些漏洞名义上利用iommus来抵御DMA攻击者。该问题与Thunderbolt启用的直接内存访问有关,现有IOMMU保护系统未正确阻止该问题。 根据该论文,大多数现代电脑都受到这种问题的影响,包括通过USB-C型端口提供Thunderbolt 3的电脑,通过Mini DisplayPort端口提供旧版本Thunderbolt的电脑,自2011年以来生产的所有苹果笔记本电脑和台式机,但12英寸MacBook除外。自2016年以来生产的支持Thunderbolt的Windows或Linux笔记本电脑和一些台式机也受到影响。 2016年,操作系统供应商在其平台上添加了Thunderclap缓解措施,但这些措施并非100%有效,安全漏洞仍会影响使用IOMMU保护的系统。虽然某些平台(如Windows 7)甚至没有配备IOMMU,但在其它操作系统上,IOMMU要么作用有限(Windows 10企业版),要么是禁用的,唯一启用的平台是macOS,但即使这样,用户也不安全,因为Thunderclap漏洞仍然可以绕过IOMMU保护。 目前,抵御这个漏洞的最佳方法是确保禁用所有Thunderbolt端口,并且不要共享硬件,如充电器,因为它们可能会被更改为目标设备。保持安全的最佳做法是确保不要让笔记本电脑无人看管。安全人员表示,这种攻击在实践中是非常合理的。Thunderbolt 3端口上的电源、和外围设备DMA组合有助于创建恶意充电站或显示器,这些充电站或显示器功能正常,但同时控制连接的机器。     (稿源:cnBeta,封面源自网络。)

研究称黑客可通过漏洞劫持裸金属服务器 IBM 将修复

新浪科技讯 北京时间2月27日早间消息,据美国科技媒体ZDNet援引一份报告内容显示,当裸金属(bare-metal)云服务器重新分配给其他客户之后,黑客依然可以通过修改固件来重新接入该服务器。 裸金属服务器是云计算行业使用的一个术语,指的是一次只租给一名客户的物理服务器(硬件)。 租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整,并将服务器用于各种目的,而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技术的云计算托管方案有所不同。 这种理念认为,一旦客户使用完服务器,便可将其交还给云计算公司,而云计算公司则会删除服务器上的所有软件和客户数据,之后再提供给其他客户使用。 但在硬件安全公司Eclypsium进行的实验中,该公司的安全研究人员却发现,云计算服务提供商可能没有彻底清除裸金属服务器上的配置。 该公司的团队表示,只要对服务器的BMC固件进行修改,便可在服务器被删除并重新分配给其他客户之后,重新接入该服务器。 BMC是“基板管理控制器”的缩写,这是一种电脑/服务器组件,包含自己的CPU、存储系统和上网接口,可以让远程管理员接入PC/服务器,并发送指令,执行各种任务,包括修改系统设置、重新安装系统或者更新驱动。 Eclypsium团队之前也曾经发现过BMC固件的各种漏洞,例如,他们的研究人员去年曾经发现过Super Micro主板的BMC固件漏洞。 他们在最新的实验中使用Super Micro BMC固件漏洞展示了黑客如何以更危险的方式滥用该漏洞,最终入侵网络并窃取数据。 他们通过这次名为Cloudborne的测试成功将一台裸金属服务器的BMC固件更新为他们事先准备的固件。 这个新的固件只包含一个位反转,所以之后可以识别出来,但实际上,任何恶意代码都可以包含在BMC固件中。 Eclypsium建议云计算提供商应该在重置裸金属服务器时刷新BMC固件,并根据不同客户使用不同的BMC根密码。 IBM似乎已经采纳了Eclypsium的建议。该公司在昨天的博文中表示将会把所有的BMC刷新为出厂设置。不过,IBM认为这只能算“轻微问题”,但Eclypsium却认为该问题“非常严重”。     (稿源:新浪科技,封面源自网络。)

郭平:华为绝没有也从没有后门漏洞 合规是责任

新浪科技讯 2月26日下午消息,华为副董事长、轮值董事长郭平在2019 MWC主题演讲时表示,华为绝对没有、也从没有所谓的后门漏洞,更不会让任何人在基础设施上找漏洞,这是华为的责任。 郭平表示,5G时代,企业、运营商、技术提供商以及政府都应承担责任。作为技术提供商的华为而言,最大的责任是合规。此外,要在运营商的层面注重安全性,承诺的必须兑现。 “华为绝对没有,也从没有后门漏洞,不会让任何人在我们的基础设施上找漏洞,这是我们的责任”,郭平说,5G网络应该存在边界,监管者应该保证所有供应商的安全使用环境。 不仅如此,作为政府也必须要统一标准,“华为一直以来都支持维护3GPP标准,但如果没有政府部门的支持,一切都不可能实现。政府部门真正有权利,让标准得到统一和实行”。所以,政府和运营商应该一起努力,让网络更加安全。 “华为在过去13年都有非常好的安全历史,还有最好的技术,请大家选择华为”,郭平说道。 早些时候,郭平曾公开表示,华为在全球5G领域已取得领导地位,领先竞争对手整整一年。     (稿源:新浪科技,封面源自网络。)

多款 App 被曝与 FB 共享用户敏感数据:部分 App 已改正

新浪科技讯 北京时间2月25日早间消息,美国《华尔街日报》报道称,许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息,其中包括用户的体重和月经周期。 《华尔街日报》上周五报道称,至少有11款热门健康、健身应用通过Facebook提供给App开发商的软件,将用户敏感数据传输至Facebook。而在上周日进行的新一轮测试显示,在《华尔街日报》确认并联系的App应用程序中,至少有四个发布了更新,以切断对Facebook的敏感数据传输。测试显示,做出改变的应用程序包括FloHealth公司的Flo Period & Detation Tracker和Azumio公司的心率App应用Instant Heart Rate: HR Monitor。 上周日的测试显示,另一款热门食物和运动日志应用程序、来自FitNow公司的Lose It也停止了发送信息。在上周四的一次测试中,该应用程序向Facebook发送用户体重记录,以及他们所记录的每种食物所含热量。 这一变化的原因在于,为回应媒体报道,Facebook主动联系了一些大型广告商和应用开发商,告诉这些合作伙伴向Facebook发送任何有关用户的敏感信息。与FitNow公司联系的一位Facebook人士透露,社交媒体公司正在开发新系统,以检测和阻止应用程序上传此类信息。这位知情人士说,其中至少有一项内容是,Facebook指示一家主要开发商,希望后者确保其在App应用中发送Facebook的所有用户信息都有合法的理由。 Facebook发言人拒绝对该公司与开发商的联络事宜评论,但重申了上周五的声明,即该公司禁止开发商向其发送事关用户的敏感的健康和财务信息。 Flo Health公司的一位发言人上周日证实,该公司已从应用程序中删除了Facebook的软件,并要求Facebook删除该公司此前发送的所有用户数据。上周日,Azumio和FitNow没有回复置评请求。 Facebook分析服务允许App开发商以聚合的形式查看敏感数据,并根据这些信息在Facebook上发布定向广告以吸引用户。Facebook曾表示,不会以其它方式使用这种类型的应用程序数据,尽管该公司的业务服务条款赋予了Facebook这样做的自由。 测试显示,不管App用户是否是社交网络的一员,敏感信息都会被分享到Facebook上。 纽约州州长安德鲁·库莫(Andrew Cuomo)上周五下令州政府机构,对《华尔街日报》报道中所描述的App应用向Facebook传输个人信息的情况展开调查,并敦促华盛顿的监管机构也介入其中。在华盛顿特区,来自马萨诸塞州的民主党参议员艾德·马基(Ed Markey)认为这种行为“触及了隐私渎职行为的新底线”。 英国下议院数字、媒体、文化和体育委员会主席达米安·柯林斯(Damian Collins)上周呼吁加强对社交媒体的监管,他在Twitter上说,《华尔街日报》的报道“显示了该系统完全失控到何种境地”。 与Facebook分享如此私密的数据引发了一场关于谁应对通过所谓的软件开发工具包(SDK)共享数据负起责任的讨论,因为SDK内置于几乎所有的移动App中。根据应用分析公司Apptopia的数据,Facebook是最受欢迎的SDK之一,而苹果iOS上的应用程序平均数量为19个。 这些工具包可以帮助开发人员集成某些特点或功能,例如Facebook所提供的分析工具,使应用程序能够更好地了解用户的行为或收集数据,以便针对性地销售广告。SDK有时会向第三方发送关于用户在应用程序内部做什么的详细信息,其中一些理应受到严格的合同约束,不得使用这些信息,而另一些信息则不受控制。 Facebook发言人说,这种数据共享是“行业标准惯例”。 科技行业的一些人认为,Facebook不能对数据共享负责,即使它构建了SDK,因为开发商可自行决定使用该工具与公司共享哪些数据,而Facebook公司不可能有效地管理被发送的数据。其他人则表示,Facebook有责任帮助开发商建立系统。 北卡罗来纳大学教堂山分校副教授泽尼普·塔菲奇(Zeynep Tufekci)在Twitter上说:“数据链上的每一部分人都会说,‘哦,只是看看其它部分在做这个还是那个。’他们都没错。整个监控工业联合体存在腐败,而普通人并不清楚它的运作机制。”     (稿源:新浪科技,封面源自网络。)