Facebook的母公司Meta因将该地区用户的个人数据转移到美国，被欧盟数据保护监管机构处以破纪录的13亿美元罚款。 在欧洲数据保护委员会（EDPB）发布的一项具有约束力的政策中，Meta公司被勒令使其数据转移符合GDPR的规定，并在六个月内删除非法存储和处理的数据。 此外，给Meta五个月的时间调整，禁止今后向美国转移Facebook用户的数据。 EDPB主席Andrea Jelinek在一份声明中说：EDPB发现Meta IE的侵权行为非常严重，因为它涉及系统性、重复性和连续性的转移。 Facebook在欧洲有数百万用户，因此转移的个人数据量是巨大的。此次破纪录的罚款也是向其他组织发出的一个强烈信号，即对用户数据的侵权行为会带来严重的后果。 欧洲数据保护当局一再强调，美国缺乏与GDPR对等的隐私保护措施，这让美国情报部门可以通过数据转移获取属于欧洲人的数据。 NOYB的创始人Schrems说，最简单的解决方法是美国出台类似GDPR的隐私保护措施。大西洋两岸都有一个共识，即我们需要有正当理由和司法保护的监控。 为了实现对欧洲用户数据的基本保护，接下来将会对美国云计算供应商进行审查了。任何其他大型美国云计算供应商，如亚马逊、谷歌或微软，都可能根据欧盟法律受到类似决定的打击。 Schrems进一步补充说：”Meta公司计划通过新的协议进行数据处理，但这很可能只是一个临时性的修复”。”在我看来，新协议被欧盟法院通过的概率很低。除非美国的监控法律得到完善，否则美公司很可能必须将欧盟的数据保留在欧盟”。 Schrems还指责爱尔兰数据保护委员会(DPC)一直试图阻止案件的进展，并试图保护Meta公司不被罚款和不得不删除已经转移的数据。但这两项均被EDPB驳回。 Meta公司回应说，他们打算对裁决提出上诉，称罚款是 “不合理且不必要的”，美国政府的数据访问准则与欧洲的隐私权之间存在着 “根本的法律冲突”。 Meta公司的Nick Clegg和Jennifer Newstead说：如果没有跨境传输数据的能力，互联网有可能被分割成国家和地区的孤岛，限制了全球经济，使不同国家的公民无法获得我们已经开始依赖的许多共享服务。 去年，该公司曾表示表示，如果被勒令暂停向美国传输数据，它可能不得不停止在欧盟提供 “我们最重要的一些产品和服务”。据《华尔街日报》报道，一项新的跨大西洋数据传输协议有望在今年晚些时候敲定，以取代隐私保护。 这笔罚款是建立欧盟GDPR隐私法有史以来最大的一笔罚款，超过了2021年7月对亚马逊类似隐私侵犯行为的7.46亿欧元（约为8.866亿美元）的罚款。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367289.html 封面来源于网络，如有侵权请联系删除

据称，一家制造无线电信硬件的跨国高通公司一直在秘密收集私人用户数据。大约三分之一的安卓设备使用了高通制造的芯片，包括三星和苹果智能手机。 高通的技术用于各种移动设备，包括智能手机、可穿戴设备以及工业和汽车应用。他们为 5G、蓝牙和 Wi-Fi 6 等无线技术的发展做出了贡献。该公司专注于无线生态系统中使用的其他几种技术，包括 AR/VR 和设备充电功能。 4 月 27 日，Nitrokey 发布的研究称，高通公司生产的硬件在未经用户同意的情况下将用户的私人数据（包括 IP 地址）上传到属于该公司的云端。 由于索尼的服务条款（研究人员使用的设备的供应商）、Android 或 /e/OS 均未提及与高通的数据共享，这可能违反了通用数据保护条例 (GDPR)。 报告背后的研究员 Paul Privacy 声称，除了对同意的担忧之外，数据包是通过 HTTP 协议发送的，没有使用 HTTPS、SSL 或 TLS 加密。这使它们容易受到攻击。 通过收集这些数据并使用手机的唯一 ID 和序列号创建历史记录，网络上的任何人——包括恶意行为者、政府机构、网络管理员和电信运营商都可以轻松地监视用户。 该公司回应研究人员称，上述数据收集符合高通XTRA隐私政策。此服务与辅助 GPS (A-GPS) 相关，有助于为移动设备提供准确的卫星位置。   “XTRA 服务”隐私政策规定： 通过这些软件应用程序，可能会收集位置数据、唯一标识符（例如芯片组序列号或国际用户 ID）、有关设备上安装和/或运行的应用程序的数据、配置数据（例如品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据，例如芯片组性能、电池使用情况和热数据。还可能从第三方来源获取个人数据，例如数据经纪人、社交网络、其他合作伙伴或公共来源。 据报道，该政策最初并未说明正在收集 IP 地址，但在研究完成后，该公司更新了其隐私政策，将 IP 地址包含在收集的数据中。此外，更新后的政策披露，公司出于“质量目的”将此数据存储 90 天。 研究人员说：“Qualcomm 的专有软件不仅将一些文件下载到我们的手机以帮助更快地建立 GPS 位置，而且还上传我们的个人数据。这为我们创建了一个完全独特的签名，可以进行行为跟踪并显着减少用户的隐私。不管我们是否关闭了 GPS。” 正如公司隐私政策中所述，高通可能会从用户手机中收集多种类型的数据。该列表包括： 唯一身份 芯片组名称 芯片组序列号 XTRA软件版本 移动国家代码 移动网络代码（允许识别国家和无线运营商） 操作系统类型和版本 设备品牌和型号 设备上的软件列表 IP地址 据称，虽然研究人员使用的是索尼制造的智能手机，但研究结果也适用于其他采用高通芯片的智能手机，例如 Fairphone。 发表文章后，高通向 Cybernews 发送了官方评论。据该公司称，Nitrokey 发表的研究“充满了不准确之处”，并且“似乎是出于作者销售其产品的愿望。” 该公司发言人声称，高通仅在适用法律允许的情况下收集个人信息。 高通发言人表示：“正如我们公开的隐私政策所披露的那样，高通技术使用非个人的、匿名的技术数据，使设备制造商能够为其客户提供终端用户期望从当今智能手机获得的基于位置的应用程序和服务。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/Kn-OPEWw3mnSsUAvt-H-sQ 封面来源于网络，如有侵权请联系删除

据路透社4月6日报道，虽然特斯拉曾向其数百万电动车车主保证其隐私的安全性，但根据路透社对九名前员工的采访，发现在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。 据这些前员工描述，他们分享视频的都包含一些自认为比较有意思的内容，比如一名男子赤身裸体接近一辆汽车，以及一些车祸现场，比如某车主在居民区驾驶时碰撞了一名骑自行车的儿童，但儿童和自行车却被撞飞至完全不同的方向。他们透露，这段视频通过一对一的私人聊天在加利福尼亚州圣马特奥的特斯拉办公室传播开来，“就像野火一样”。 他们还分享了一些图片，例如狗的图片和有趣的路标，员工在将它们发布到私人群聊之时，会刻意取一些吸引眼球的标题。据几位前雇员称，虽然有些帖子只在两名员工之间共享，但其他帖子可能会被数十名员工看到。 特斯拉的在线客户隐私声明里提到”摄像头记录保持匿名，与车主或车主的车辆无关。” 但这些前员工告诉路透社，他们在工作中使用的计算机程序可以显示录音的位置——这可能会暴露车主的住所。除此以外，一名前雇员还表示，他还获取了车辆停放或熄火时所记录的音频，而在几年前，如果车主同意，特斯拉甚至会在车辆关闭时接收视频记录，他们因此还可以看到车主车库中的一些私人物品。目前特斯拉已经不允许车辆在未启动的情况下记录视频内容。 即便是特斯拉首席执行官埃隆·马斯克似乎也不能幸免被侵犯隐私。一位员工曾分享一段车库内视频，里面停放着一辆曾在 1977 年詹姆斯邦德电影《爱我的间谍》中出现的独特潜水车 Lotus Espirit。而这辆车被马斯克于2013 年以近 100 万美元的价格拍下。 被马斯克于2013年拍下的Lotus Espirit，该车曾出现于1977 年詹姆斯邦德电影《爱我的间谍》中 到目前，特斯拉和马斯克均未回应路透社的置评请求。路透社也无法获得前特斯拉员工描述的任何视频或图像。目前还不清楚这种做法是否在特斯拉内部持续至今，或者共享录音的做法有多普遍。一些前员工声称他们只看到与合法工作相关的共享图像。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362852.html 封面来源于网络，如有侵权请联系删除

由周四发布的“网络垃圾”（Webspam）报告可知，谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉，作为 Alphabet 旗下子公司，Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统，并且可在超过 99% 情况下实现“不受垃圾所困扰”（spam-free）的搜索体验。 （来自：Google Search Central Blog） 此前，SpamBrain 已被这家搜索巨头用于防止用户点击那些可能被注入了恶意软件的有害网站、或旨在诱骗人们泄露个人信息 / 汇款的诈骗站点。 Google 表示，鉴于垃圾信息散播者在持续不断地找到绕过过滤机制的方法，基于人工智能的筛查系统也是相当必要的。 需要指出的是，搜索是 Google 的重要收入来源之一。而高质量和安全的网站搜索结果，也对该公司来说至关重要。 经过多年摸索，垃圾网站制作方早已精通搜索引擎优化（SEO）技术，来人为地提升其搜索排名。 作为应对，Google 也迫切需要排除掉那些利用欺诈算法的垃圾网站。 截至目前，Google 已借助 SpamBrain 将垃圾站点砍掉 70%，其中包括被黑客入侵并植入有害代码的感染站点。若被其得逞，受害者将被窃取登录凭据等机密信息。 其它类型的垃圾站点，还涉及将恶意软件注入受害者的计算机、或诱导重定向至恶意站点。庆幸的是，Google 声称 SpamBrain 能够将这类害群之马排除在搜索结果之外。 Google 政策沟通经理 Ned Adriance 在一封电子邮件中提到： 欺诈者经常拙劣地模仿其它网站，常见套路是填充替换关键词、假借品牌徽标、并附上想要引诱受害者拨打的电话号码。 而 Google 的 SpamBrain 算法方案，能够基本上确保此类欺诈型站点出现在相关搜索结果页面中，且过滤了 75% 的乱码垃圾站点。 这些垃圾站点往往在一堆无意义的文本中填充大量关键词，以试图提升其搜索排名。有时甚至会砸钱挂上垃圾链接，来诱骗搜索引擎的爬虫和抬升 PageRank 品质评分。 对于用户来说，时间总是相当宝贵的。而 Google 的各种解决方案，就希望为用户带来更好的内容检索体验。 【背景资料】 Google 于 2018 年推出的 SpamBrain 系统，且与近 20 年前刚开始治理恶意网站时相比，去年搜索过滤的垃圾站点数量已暴增 200 倍。 即便如此，这场“道高一尺魔高一丈”的垃圾信息攻防战，显然不会轻易完结。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261185.htm 封面来源于网络，如有侵权请联系删除

Google 安全团队 Project Zero 近日分享了过去几年安全研究的统计数据，在 2019 年 1 月至 2021 年 12 月期间，团队共计报告了 376 个漏洞，期限为 90 天。其中 351 个（93.4%）已被修复，14 个（3.7%）被供应商标记为“WontFix”，11 个（2.9%）仍未修复。然而，在最后一类中，有 3 个仍在 90 天的期限内。 在所有被发现的漏洞中，微软产品中检测到了 96 个（26%），苹果检测到了 85 个（23%），而 Google 自己检测到了 60 个（16%）。具体数据如下： 从上面可以看出，供应商的情况都有积极的变化。然而，有趣的是，在 2021 年，宽限期被要求了 9 次，其中一半是由微软提出的。 在移动方面，iOS 有 76 个 BUG 被报告，三星产品有 10 个，Pixels 有 6 个。iOS 的平均修复时间为 70 天，而其他两个品牌为 72 天。如果你想知道为什么在iOS上检测到如此多的安全缺陷，这是因为苹果将大量的应用程序作为操作系统的一部分，而 Android 的应用程序更新主要是通过 Google Play 管理，所以不属于操作系统级别的缺陷。 在浏览器方面，Chrome 有 40 个 BUG，苹果的 WebKit 有 27 个 BUG，Firefox 有 8 个 BUG。WebKit 修补缺陷的速度最慢，为72天，Chrome 为30天，而 Firefox 为 38 天。 Google Project Zero 指出： 总的来说，我们看到数据中出现了一些有希望的趋势。供应商正在修复他们收到的几乎所有的 BUG，而且他们通常在 90 天的期限内完成，必要时还有14天的宽限期。在过去的三年里，供应商在大多数情况下都加快了他们的补丁，有效地将整个平均修复时间减少到约52天。 在2021年，只有一个 90 天的期限被超过。我们怀疑这种趋势可能是由于负责任的披露政策已经成为行业的事实标准，供应商更有能力对不同期限的报告做出快速反应。我们还怀疑，由于行业的透明度越来越高，供应商已经从彼此那里学到了最佳做法。 一个重要的注意事项：我们知道，与其他错误报告相比，来自Project Zero的报告可能是异常值，因为它们可能会得到更快的行动，因为存在着公开披露的实际风险（因为如果最后期限条件没有得到满足，团队就会披露），而且Project Zero是可靠的错误报告的可信来源。 我们鼓励供应商发布指标，即使是高水平的指标，以便更好地全面了解整个行业安全问题的修复速度，并继续鼓励其他安全研究人员分享他们的经验。   （消息及封面来源：cnBeta）