标签: 个人信息

以色列 20 多万名学生的个人信息遭到泄露

据外媒报道,上周,约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道,Think Safe Cyber Facebook组织的May Brooks-Kempler估计,约有28万名在校或在校学生的个人信息被盗。 AcadeME是以色列一个全国性的服务提供商,为在11000个不同的行业中寻找工作的学生提供支持。6月20日,它成为了亲巴勒斯坦的马来西亚黑客组织DragonForce的受害者。 虽然AcadeME否认了这一指控,但所附的代码截图、服务器地址和包含电子邮件地址和姓名的表格却表示并非如此。基本上,证据表明学生的电话号码、地址、全名、电子邮件和密码都遭到了泄露。 这些黑客在Telegram上写道:“这是对全世界所有黑客、人权组织和活动人士的紧急呼吁,让他们再次团结起来并发起针对以色列的运动、分享那里的真实情况、向世界揭露他们的恐怖活动……我们永远不会对以色列的战争活动保持沉默。” 去年,针对以色列企业和组织的网络攻击频率有所增加,Amital软件、Ami Insurance和Israel Aerospace Industries等公司受到了影响。事实上,周五早些时候,该组织对以色列的机构进行了DDoS攻击,包括以色列银行(Bank of Israel)、Leumi银行和Mizrahi Tefahot。这些网络罪犯还声称在同一天释放了大量以色列护照。 今年年初,以色列国家网络局(INCD)局长Yigal Unna表示担心,如果不采取适当措施,黑客有能力破坏以色列的学术机构。委员会主任表示担心,学术机构和其他机构和组织之间的广泛联系可能会对其他机构和组织构成威胁进而导致它们承担法律责任。   (消息及封面来源:cnBeta)

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)

洛杉矶警察局数据泄露致 2500 名警官个人信息被盗

据外媒报道,据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称,被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此,LAPD建议受影响的警官要监控起自己的信用报告和银行账户,另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的,我们致力于保护跟我们机构有关的任何人的隐私,”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   (稿源:cnBeta,封面源自网络。)  

多款 App 被曝与 FB 共享用户敏感数据:部分 App 已改正

讯 北京时间2月25日早间消息,美国《华尔街日报》报道称,许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息,其中包括用户的体重和月经周期。 《华尔街日报》上周五报道称,至少有11款热门健康、健身应用通过Facebook提供给App开发商的软件,将用户敏感数据传输至Facebook。而在上周日进行的新一轮测试显示,在《华尔街日报》确认并联系的App应用程序中,至少有四个发布了更新,以切断对Facebook的敏感数据传输。测试显示,做出改变的应用程序包括FloHealth公司的Flo Period & Detation Tracker和Azumio公司的心率App应用Instant Heart Rate: HR Monitor。 上周日的测试显示,另一款热门食物和运动日志应用程序、来自FitNow公司的Lose It也停止了发送信息。在上周四的一次测试中,该应用程序向Facebook发送用户体重记录,以及他们所记录的每种食物所含热量。 这一变化的原因在于,为回应媒体报道,Facebook主动联系了一些大型广告商和应用开发商,告诉这些合作伙伴向Facebook发送任何有关用户的敏感信息。与FitNow公司联系的一位Facebook人士透露,社交媒体公司正在开发新系统,以检测和阻止应用程序上传此类信息。这位知情人士说,其中至少有一项内容是,Facebook指示一家主要开发商,希望后者确保其在App应用中发送Facebook的所有用户信息都有合法的理由。 Facebook发言人拒绝对该公司与开发商的联络事宜评论,但重申了上周五的声明,即该公司禁止开发商向其发送事关用户的敏感的健康和财务信息。 Flo Health公司的一位发言人上周日证实,该公司已从应用程序中删除了Facebook的软件,并要求Facebook删除该公司此前发送的所有用户数据。上周日,Azumio和FitNow没有回复置评请求。 Facebook分析服务允许App开发商以聚合的形式查看敏感数据,并根据这些信息在Facebook上发布定向广告以吸引用户。Facebook曾表示,不会以其它方式使用这种类型的应用程序数据,尽管该公司的业务服务条款赋予了Facebook这样做的自由。 测试显示,不管App用户是否是社交网络的一员,敏感信息都会被分享到Facebook上。 纽约州州长安德鲁·库莫(Andrew Cuomo)上周五下令州政府机构,对《华尔街日报》报道中所描述的App应用向Facebook传输个人信息的情况展开调查,并敦促华盛顿的监管机构也介入其中。在华盛顿特区,来自马萨诸塞州的民主党参议员艾德·马基(Ed Markey)认为这种行为“触及了隐私渎职行为的新底线”。 英国下议院数字、媒体、文化和体育委员会主席达米安·柯林斯(Damian Collins)上周呼吁加强对社交媒体的监管,他在Twitter上说,《华尔街日报》的报道“显示了该系统完全失控到何种境地”。 与Facebook分享如此私密的数据引发了一场关于谁应对通过所谓的软件开发工具包(SDK)共享数据负起责任的讨论,因为SDK内置于几乎所有的移动App中。根据应用分析公司Apptopia的数据,Facebook是最受欢迎的SDK之一,而苹果iOS上的应用程序平均数量为19个。 这些工具包可以帮助开发人员集成某些特点或功能,例如Facebook所提供的分析工具,使应用程序能够更好地了解用户的行为或收集数据,以便针对性地销售广告。SDK有时会向第三方发送关于用户在应用程序内部做什么的详细信息,其中一些理应受到严格的合同约束,不得使用这些信息,而另一些信息则不受控制。 Facebook发言人说,这种数据共享是“行业标准惯例”。 科技行业的一些人认为,Facebook不能对数据共享负责,即使它构建了SDK,因为开发商可自行决定使用该工具与公司共享哪些数据,而Facebook公司不可能有效地管理被发送的数据。其他人则表示,Facebook有责任帮助开发商建立系统。 北卡罗来纳大学教堂山分校副教授泽尼普·塔菲奇(Zeynep Tufekci)在Twitter上说:“数据链上的每一部分人都会说,‘哦,只是看看其它部分在做这个还是那个。’他们都没错。整个监控工业联合体存在腐败,而普通人并不清楚它的运作机制。”     (稿源:,稿件以及封面源自网络。)

谷歌遭起诉:被指非法追踪 iPhone 和 Android 用户位置

讯 北京时间8月21日早间消息,谷歌在一桩最新的法律诉讼中被指非法追踪成百上千万iPhone和Android智能手机用户的活动,哪怕用户试图利用隐私权设置来避免被追踪也不例外。 根据上周五提起的一桩诉讼,谷歌欺骗性地向用户保证,如果他们将手机上的“位置历史”(Location History)功能设置为“关闭”,那么就不会被追踪;但在实际上,谷歌则仍会监控和存储用户的活动,从而侵犯 了其隐私权。 这桩诉讼的原告方是来自圣地亚哥的拿破仑·帕塔希尔(Napoleon Patacsil),他在向旧金山联邦法庭提起的诉讼中指称:“谷歌表示用户‘可在任何时候关闭位置历史功能,当此功能关闭时,你们去的地方就不会再被存储下来’,但这并非事实。” 帕塔希尔正寻求代表关闭了追踪功能的美国iPhone和Android智能手机用户对谷歌发起集体诉讼,要求谷歌为故意违反加利福尼亚州隐私权法和侵犯用户私人事务支付数额不明的赔偿金。 美联社曾在8月13日刊文,对谷歌被指追踪用户活动一事作出过描述,该报当时指出普林斯顿大学的计算机科学研究人员证实了此事。 谷歌周一并未就此置评,代表帕塔希尔的律师事务所Lieff Cabraser Heimann & Bernstein合伙人迈克尔·索博尔(Michael Sobol)也尚未置评。 帕塔希尔指称,谷歌先是在他使用Android手机时对其进行了非法追踪,随后当他改用iPhone并下载了一些谷歌应用后,谷歌又对他进行了追踪。 他说道,谷歌的“主要目标”是“秘密监控”手机用户,并允许第三方也这样做。 根据谷歌网站帮助页面现在的说法,关闭“位置历史”功能“不会影响到其他位置服务”,并表示有些位置数据可能通过搜索和地图等其他服务被存储下来。   稿源:,稿件以及封面源自网络;

美国自动语音话务公司数以千计的选民信息遭曝光

据外媒ZDNet报道,一家位于弗吉尼亚州的主营政治竞选的自动语音话务公司Robocent的选民信息记录遭到外泄, 约有2600条选民的个人信息遭到曝光,记录包含选民的姓名、住址和政治倾向以及音频通话记录。 Kromtech信息安全公司的安全研究员 Bob Diachenko率先在个人博客中披露了其数据遭到曝光,并向媒体分享了经过隐私处理的数据记录截图,除了上述信息还包括选民的性别、电话、年龄和出生年月,邮编,民族,语言和教育水平。经过“计算”的政治倾向,例如“弱支持民主党”“坚定支持共和党”或“摇摆”。尽管美国大部分州的选民注册信息属于公开记录,但这些数据严格限于特定的目的,有些州严格防止选民数据用于商业用途。 Robocent 的联合创始人Travis Trawick确认公司的数据被安全保管,被曝光的数据记录来自于2013-2016年的公司统计,在过去两年中并未被使用。目前公司正在调查被公开数据,“所有曝光的数据都是公开访问信息,如果’法律需要’他会联系受影响的用户”。   稿源:cnBeta,封面源自网络;

警惕!美国出现黑客盗取并兜售幼儿个人信息

环球网综合报道,据美国“侨报网”6月27日报道,盗窃身份的网络黑客现在已将黑手伸向了持有社会安全号码(SSN)的年幼孩子——甚至包括新生婴儿,因为这些孩子从来没有购买过任何东西,这意味着他们有一个“完美”的信用记录,而黑客在窃取了这些拥有“完美”信用记录的身份信息后,会在黑市网站上进行兜售,并会向买家解释如何使用这些信息伪造欺诈性税务记录或申请信用卡而不被抓获。不幸的是,当这些孩子长大后,他们可能会发现自己的信用出了问题,但纠正信用历史问题或欺诈性购买等将是非常困难或根本不可能做到的事情。 纽约医疗保健公司Cynerio首席执行官里尔曼(Leon Lerman)指出,该公司研究人员已发现,在“黑暗网站”上有一个复杂的市场,被盗数据可通过一定的渠道分销给最终用户,而黑客作为黑市价值链的顶端,已将大量原始患者数据出售给买家。而这对公众尤其是孩子的家长也提出了警示。 对此,他表示,为了避免个人信息外泄,除非绝对需要,否则应尽量保护个人信息的安全。一旦有孩子信息被盗,家长必须为孩子注册新的社安号。 BTB安全管理公司合伙人施乐西特(Ron Schlecht)也指出,黑客之所以窃取儿童数据,还因为它可以与其他数据相结合。例如,由于SSN和出生日期数据是真实的,黑客可使用伪造的名称和地址建立信用记录,而这是一种将真实信息和虚假信息结合起来的欺诈行为。 对此,消费及商业专家建议,孩子家长最好定期检查孩子们的信用记录。黑客对婴幼儿下手主要因为很多家长多年来疏于对孩子信用历史的检查。若孩子信用被滥用,可能需要他们靠年份积累来补救和恢复他们的身份和名誉,在极端情况下,他们可能需要获得一个新的社安号。此外,父母还应注重保护孩子的身份信息,切勿随意向外透露,包括学校、医院等。   稿源:环球网,封面源自网络;

本田印度在 AWS S3 服务器上暴露 50,000 个客户的详细信息

根据Kromtech Security发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源:Freebuf,封面源自网络;

Facebook新“罪过”:利用宗教性取向等敏感信息发布广告

由英国《卫报》和丹麦广播公司进行的调查发现,Facebook平台允许广告客户根据用户的政治信仰、性行为和宗教信仰等敏感个人信息,向用户发布广告。 根据现行欧盟数据保护法律及5月25日即将生效的欧盟《通用数据保护条例》,这些信息均属于敏感信息。 由两家公司联合进行的调查发现,Facebook利用用户的敏感个人信息,允许广告客户根据推测的用户个人兴趣发布广告。根据相关法律,在使用用户敏感信息前,Facebook需要获得用户明确同意。 当然,Facebook可以声称,它收集的有关用户亲密关系/兴趣的资料,即使包含性行为和宗教信仰等敏感信息,也不属于个人信息。 针对两家媒体的调查,Facebook发言人发表声明称, “与其他互联网公司一样,Facebook根据我们认为用户可能感兴趣的主题发布广告,但没有使用敏感的个人信息。这意味着,某一用户被认为对‘同性恋自豪日’广告感兴趣,原因只是他对与‘同性恋自豪日’有关的网页点赞或点击了‘同性恋自豪日’广告,并不反映用户的性格——例如性别取向或性行为。我们提供有Ad Preferences工具,用户可以管理他们会看到的广告类别。我们的广告业务符合欧盟法律,与其他公司一样,我们也在备战《通用数据保护条例》,确保业务符合其要求。” Facebook或因此在近期遭到起诉。之前就有业内人士称,《通用数据保护条例》就是针对Facebook而推出的。根据这一条例,违法企业可能被处以相当于全球营收4%的罚款。 《通用数据保护条例》是Facebook广告业务面临更严格审查的原因之一,最近爆发的剑桥分析数据泄露丑闻是另外一个原因。 Facebook通过收集用户信息发布广告,但根据欧盟现行和未来的数据保护框架,在收集、处理用户的特殊类型数据时,企业需要征得用户的明确同意。这意味着,在收集、处理敏感数据时,Facebook需要确保事先征得用户同意,例如通过弹出式窗口形式。 Facebook声称其核心业务是社交媒体,而非收集、处理用户数据用于运营微定位(microtargeted)广告平台。有业内人士称,如果Facebook所言不虚,它为什么把社交服务与广告定位功能捆绑在一起——向用户表示不接受精准广告就不能享用社交服务?   稿源:凤凰网科技,编译:霜叶,封面源自网络;