在嗨吃火锅的时候，作为会员的你要注意，你的手机号码等个人信息正在“裸奔”中。 1月29日，上海市网信办通报称，已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。记者通过采访了解到，作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。 据上海市网信办通报，上述知名火锅连锁品牌违法违规行为集中体现在两个环节：在收集个人信息环节，其外送微信小程序仍在强制索取精准位置信息；在存储个人信息环节，其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储，“多年来一直处于‘裸奔’状态”。 “这是对消费者最直接的风险，一旦信息发生了泄露，可能会造成无法挽回的损失。”上海市网信办相关负责人指出。 “裸奔”的会员信息 据上海市网信办介绍，上述知名火锅连锁品牌违法违规行为的查实是在2023年10月底至11月。为切实巩固“亮剑浦江”个人信息权益保护专项执法行动成效，上海市网信办其间启动了“回头看”执法检查，该火锅品牌系执法检查对象之一。 在对外发布的通报中，上海市网信办称，该火锅品牌1.5亿条会员个人信息及18万条员工信息未采取相应的加密措施。 澎湃新闻进一步获悉，1.5亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员，主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。 公开资料显示，作为知名连锁品牌，该火锅品牌创设至今已近30年，在中国大陆地区的餐厅更是超过千家。 对上述个人信息未加密、处于“裸奔”状态的隐患，据不愿透露姓名的业内专家分析，未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码，能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源，就能更精准地对用户进行画像。 上海市网信办相关人员补充说，泄露的个人信息还有可能被用于电信诈骗，“通过对个人信息的分析研判，电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。 失范的“超级管理员” 如果说1.5亿条的会员个人信息和18万条的员工信息，因为未加密存在泄露的风险，那么该知名火锅连锁品牌超范围赋予的“超级管理员”则进一步加剧了信息泄露的风险。 因为拥有最高权限和不受限制的完全访问权，所谓的“超级管理员”在设置时一般严控数量。澎湃新闻从上海市网信办了解到，在检查上述火锅品牌时，技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。 “企业运营系统设置的‘超级管理员’一般都在1-2名，且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉澎湃新闻，此举更是加剧了会员个人信息泄露风险，“会员个人信息泄露的概率一下子就会变成1:20以上”。 对为何设置如此之多的“超级管理员”，该火锅品牌称是为了系统测试需要。 至于18万条的员工个人信息，据介绍，该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。 此外，澎湃新闻了解到，在收集个人信息环节，该火锅品牌外送微信小程序在填写收货地址信息时，还强制用户同意打开位置权限获取精准位置信息，否则无法添加收货地址，存在强制索取非必要权限问题。 这一违法违规行为目前已完成整改。澎湃新闻日前点击其外送微信小程序中的“收货地址”一栏发现，当前相关小程序不再强制采集精准位置信息，用户已经可以手动选择地点或填写收货地址。 亟需提高的合规意识 针对该火锅品牌查实的违法违规行为，上海市网信办相关负责人强调，企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大，收集信息内容越敏感，企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失，就意味着消费者个人信息泄露的风险越大。” 上海市网信办相关负责人同时表示，个人信息受法律保护、关乎切身利益，任何组织和个人不得侵害。此次上海市网信办通过发布典型案例，希望对行业对相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义，有助于各企业固强补弱，提高保护消费者个人信息的合规意识，切实履行个人信息保护的义务和法律责任。 数据显示，2023年6月启动的“亮剑浦江”专项行动，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。 上海市网信办表示，下一步将深入贯彻落实个人信息保护法等法律法规要求，持续加强个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。 上海市网信办还提醒消费者，在日常点餐中可积极落实上海市网信办提出的“六不”建议，做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。   转自Freebuf，原文链接：https://www.freebuf.com/news/390992.html 封面来源于网络，如有侵权请联系删除

移动研究人员  Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。 许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据，从而有可能创建用于跟踪的指纹档案。 Mysk 指出，这些应用程序绕过了苹果公司的后台应用程序活动限制，对 iPhone 用户构成了隐私风险。 苹果应用商店审查指南中有这样一段话：应用程序不应试图根据收集到的数据偷偷建立用户档案，也不得试图、协助或鼓励他人识别匿名用户，或根据从苹果提供的应用程序接口收集到的数据重建用户档案。 唤醒并收集数据 为防止资源消耗和提高安全性，苹果公司在最初设计 iOS 时就允许应用程序在后台运行。在用户不使用应用程序时，它们就会被暂停并最终终止，因此无法监控或干扰前台活动。 不过，在 iOS 10 中，苹果引入了一个新系统，允许应用程序在后台悄悄启动，以便在设备显示新推送通知之前处理它们。 该系统允许接收推送通知的应用程序解密传入的有效载荷，并从其服务器下载更多内容，以丰富推送通知的内容，然后再提供给用户。完成这一步后，应用程序会再次终止。 通过测试，Mysk 发现许多应用程序滥用了这一功能，将其作为向其服务器发送设备数据的“机会之窗”。根据应用程序的不同，涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。 推送通知到达时 LinkedIn 的网络数据交换 研究人员认为，这些数据可用于指纹识别/用户特征分析，从而实现持续跟踪，而这在 iOS 系统中是被严格禁止的。 Mysk 在 Twitter 上表示：通过这次测试，可以看到这种做法比预想的更为普遍。许多应用程序在被通知触发后发送设备信息的频率令人震惊。 Mysk 在一段视频中演示了这一做法，他指出，苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了，该功能原本是为了让应用丰富通知内容或解密加密信息，但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现，包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用，正在利用推送通知的短暂后台执行时间，发送用户分析信息。 苹果将通过加强对使用设备信号 API 的限制来堵住漏洞，防止推送通知唤醒功能被进一步滥用。从 2024 年春季开始，应用程序将被要求准确声明为什么需要使用可能被滥用于指纹识别的 API。 这些 API 可用于检索设备信息，如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认设置。 苹果表示，如果应用程序没有正确声明其使用这些 API 的情况和用途，就不能在 App Store 上架。 在此之前，希望避免这种指纹识别的 iPhone 用户应禁用推送通知。但将通知设置为静音并不能防止滥用，想要禁用通知，需打开 “设置”，前往 “通知”，选择要管理通知的应用程序，然后点击切换按钮禁用 “允许通知”。 2023年12 月，有消息称美国政府要求通过苹果和谷歌服务器发送推送通知记录，以此来监视用户。但苹果表示，美国政府禁止他们分享有关这些请求的任何信息，并在此后更新了他们的透明度报告。   转自Freebuf，原文链接：https://www.freebuf.com/news/390735.html 封面来源于网络，如有侵权请联系删除

欧洲刑警组织在12月22日发布的新闻稿中，称由 17 个国家联合参与的执法行动已发现数百个电商平台存在恶意脚本攻击，其用户的信用卡或支付卡数据已遭到泄露。 这项已进行两个月的执法行动由希腊牵头，欧洲刑警组织参与协调，并得到网络安全公司Group-IB和 Sansec 的支持。该行动在443家电商网站上发现了窃密脚本，根据Group-IB分享的情报，已发现了包括 ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter 和 R3nin在内的 23 个 JavaScript 嗅探器。 这些恶意脚本以难以被捉摸的行为而闻名，例如滥用 Google 跟踪代码管理器来更新其恶意代码片段，以及模仿 Google Analytics 代码来躲避网站代码检查期间的检测。 在窃取攻击中，黑客将工具或恶意软件嵌入电商网站，拦截和窃取支付卡号、验证码、姓名和送货地址等数据，并将信息上传到攻击者控制的服务器。 研究人员称，者利用窃取的数据执行未经授权的交易，例如在线购买，或 将其转售给 暗网市场上的其他网络犯罪分子。用户通常不知道他们的数据已被泄露，直到攻击者已进行未经授权的交易。 根据Recorded Future在去年发布的报告，2022年，在暗网平台上出售、由窃密器导致的支付信息泄露已达 4560 万条，而在2023年度的报告中，研究人员指出这一数据在迅速上升，被盗的支付卡数量将达1.19亿张，其中有5000万张来自美国。 欧洲刑警组织建议，电商平台应使用具有特定网络浏览功能的恶意软件监视器；确保员工的 MFA 和强密码策略，并对员工应对鱼叉式网络钓鱼攻击的能力进行培训；在电子商务平台上运行自动漏洞审核，包括定期安装的第三方组件；确保只有特定 IP 可以访问您商店的控制面板，拒绝员工从未知地点访问；确保及时安装安全补丁和关键软件更新；实施内容安全策略 (CSP) 和子资源完整性 (SRI)。   转自Freebuf，原文链接：https://www.freebuf.com/news/387606.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，法国总理伊丽莎白·博尔内近期签署了一份备忘录，要求所有政府公务人员在 2023 年 12 月 8 日之前卸载 Signal、WhatsApp 和 Telegram 等外国通讯软件，使用本国开发的替代产品“Olvid”。 BleepingComputer 与法国记者沟通后，该记者澄清称，该政策仅针对部长、国务卿、办公厅主任和内阁成员，这一举措并不是彻底禁止使用外国消息应用程序，而是建议改用本地开发的更安全的软件。 法国总理表示，面向主要消费者的即时通讯软件在我们的日常通信中占据着越来越大的比重。然而，这些数字工具并非没有安全漏洞，因此无法确保通过它们共享的对话和信息的安全性。 此次法国政府主推的Olvid，宣称支持端到端加密消息，使用去中心化基础设施，且不需要电话号码或任何其他个人数据即可注册。由于Olvid拥有 ANSSI（法国国家网络安全机构）“一级安全认证”，该认证要求专家对应用程序源代码进行彻底的检查，在安全性上，Olvid被认为遥遥领先其他外国通讯软件。 此外，Olvid 还独立验证了由密码学教授米歇尔·阿布杜拉（Michel Abdalla ）设计的定制密码协议，且Olvid 的对称加密技术已经具备了抗量子能力，同时该项目还保证，一旦美国国家标准与技术研究院（NIST）的公钥算法遴选程序最终确定，其公钥加密技术也将具备类似的强度。 至于法国政府决定建议使用Olvid的确切原因，目前尚不明确，但已有不少反对者的声音。在与记者的交流中，法国数字部门对此表示不满，认为对Olvid的宣传过度，同时也传达了Signal是他们可以接受的平台。Signal 总裁梅雷迪思·惠特克 (Meredith Whittaker) 在 Twitter 上对有关该应用程序安全漏洞的模糊说法提出质疑，称其毫无根据且具有误导性。 法国正陆续收紧政府人员设备App使用策略 在2023年，法国已两度对政府人员设备的App使用设限。 此次法国的政策被认为与瑞士军方相似，该国要求士兵停止使用 Signal、WhatsApp 和 Telegram等流行的通讯软件，转而使用国内开发的加密通讯服务Threema进行官方和私人聊天。 而在3月，出于对安全考虑，法国改革和公共管理部发布通知，禁止在上述人员设备上使用TikTok、Instagram、Twitter、Netflix等社交及媒体软件，称这些软件不能服务于国家行政管理，且可能对数据安全构成威胁。 转自Freebuf，原文链接：https://www.freebuf.com/news/385573.html 封面来源于网络，如有侵权请联系删除

WeMystic是一个关于占星术、命理学、塔罗牌和精神取向的网站。近日，Cybernews 研究小组发现其开放式数据库近日暴露了该平台用户的34GB敏感数据。 WeMystic 除了为用户提供占星术、精神健康和神秘主义等内容外，还有专门的在线商店，售卖天然宝石、脉轮、塔罗牌、手链和其他产品。该平台主要为讲巴西语、西班牙语、法语和英语的用户提供服务。 据悉，WeMystic 使用 MongoDB 存储了大量信息，而作为 MongoDB 基础架构的一部分，WeMystic有一个开放且无密码的 MongoDB 数据库，其中包含 34 G的用户服务数据。虽然目前 WeMystic 已经关闭了该数据库，但研究人员表示，目前仍然可以访问五天内的数据。 此次泄露的 “用户 “数据集合包含约 1330 万条记录。被曝光的记录包括 姓名 电子邮件地址 出生日期 IP 地址 性别 星座 用户系统数据 研究团队解释称，用户个人数据泄露可能会给相关人员带来安全风险，因为攻击者很可能会利用收集到的数据进行有针对性的攻击，甚至会对这些看似迷信的数据进行“二次创作”。 威胁者有可能利用这些信息进行恶意活动，如身份盗窃、网络钓鱼、发送垃圾邮件和有针对性的广告等。同时，攻击者还可能会根据这些人的占星信仰来操纵他们，这无疑给用户的隐私和安全带来了严重风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/385561.html 封面来源于网络，如有侵权请联系删除

劳动力分析服务提供商 ZeroedIn 通知大约 200 万人，他们的个人信息在 2023 年 8 月的一次数据泄露中遭到泄露。 该公司在向缅因州总检察长办公室提交的文件中透露，该事件于 8 月 8 日被识别，并且威胁行为者在 8 月 7 日至 8 日期间未经授权访问了某些系统。 该公司立即对该事件展开调查，确定攻击者访问或窃取的部分文件包含个人信息。 在对受感染系统上的文件进行审查后，ZeroedIn 发现所访问的数据与某些客户有关，包括美国连锁杂货店 Dollar Tree 和 Family Dollar。 ZeroedIn 表示：在确定一些泄露的信息与“与他们相关的某些个人”有关后，它向 Dollar Tree 通报了这一事件。该公司表示，攻击者访问或窃取了包含姓名、出生日期和社会安全号码的文件。 在提交给缅因州总检察长办公室的通知信样本中，ZeroedIn 指出，泄露的信息与“申请人及其客户的现任和前任雇员”有关。 该公司告诉缅因州总检察长办公室，近 200 万人受到该事件的影响，文件显示，只有与 Dollar Tree 和 Family Dollar 相关的个人可能受到影响。 根据 Dollar Tree 向美国证券交易委员会提交的最新 10-Q 文件，美国和加拿大有超过 16,600 家零售折扣店和 17 个配送中心以 Dollar Tree 和 Family Dollar 品牌运营。 ZeroedIn 可能会因该事件面临集体诉讼，Console & Associates, PC 的数据泄露律师宣布他们正在代表受影响的个人调查此事。   转自安全客，原文链接：https://www.anquanke.com/post/id/291595 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，洛杉矶地区法院判处 25 岁的 Amir Hossein Golshan 八年监禁，并勒令其支付 120 万美元赔偿金。据悉，Golshan 罪名涉及 SIM 卡交换、商家欺诈、支持欺诈、账户黑客攻击和加密货币盗窃。 023 年 7 月 19 日，Golshan 承认曾劫持一位知名社交媒体影响者的 Instagram 账户，还供认出在 2019 年 4 月至 2023 年 2 月期间，实施了一系列诈骗活动。 美国司法部在公告中表示，至少从 2019 年 4 月到 2023 年 2 月开始，Golshan 精心策划、实施了多起在线欺诈活动，通过各种在线骗局和未经授权的非法访问，入侵了多个受害者的数字账户，共诈骗数百名受害者。 此外，公告还披露 Golshan 使用的手段包括社交媒体账户接管、Zelle支付欺诈和冒充苹果支持，几年来，Golshan 的诈骗活动总共给数百名受害者造成了约 74 万美元的损失。 Golshan 通过虚拟 VPN 隐藏身份 从披露的案件详情来看，Golshan 进行欺诈活动时多次试图通过使用 VPN（虚拟专用网络）工具和多个账户名来隐藏自己的身份。随着时间推移，Golshan 逐渐“磨练”了自身“技艺”，成功策划多起越来越复杂的网络犯罪。 Golshan 曾通过社会工程学，成功说服了包括 T-Mobile 在内的运营商将合法用户的手机号码转移到他自己的 SIM 卡上，这使得他可以轻松绕过基于短信的双因素身份验证（2FA），从而劫持受害者的社交媒体账户。 以 2021 年 12 月发生的一起备受瞩目的案件中为例，Golshan 从一位被其劫持的好友的账户联系上了一位洛杉矶模特，并通过 SIM 卡交换劫持了她的 Instagram 账户。 接下来，Golshan 滥用了对该账户的访问权限，给模特的许多朋友发信息，要求他们向其控制的 Zelle 和 PayPal 账户汇款。不仅如此，Golshan还以删除模特的社交媒体账户为要挟，敲诈其 2000 美元。 其他案件中，Golshan 通过宣传 Instagram 验证服务，诱骗受害者向其支付 300 至 500 美元不等的费用，以换取账户上的验证徽章。据估计，通过上述骗局，Golshan 从大约 500 名受害者身上“赚取”了 8.2 万美元。 此后，2022 年 8 月，这名“多产”的骗子 Golshan 冒充苹果公司支持人员，在未经授权的情况下访问苹果 iCloud 账户。Golshan 欺骗受害者，让这些人相信他能够加强账户安全，诱骗受害者“分享出”六位数的安全码，以此轻松绕过现有的保护措施。 通过访问受害者的 iCloud 存储，Golshan 轻松窃取了大量的数字资产，其中主要包括价值 31.9 万美元的 NFT 和价值 7 万美元的加密货币。随后，Golshan 在 NFT 市场上以 13 万美元的价格转售了这些资产。 网络安全专家指出，想要抵御 SIM 卡交换攻击，用户需要激活运营商的号码移植安全功能，使用物理安全密钥或验证器应用程序取代短信验证，并尽量减少在网上共享一些敏感信息。 目前，美国联邦通信委员会（FCC）通过了保护消费者免受 SIM 卡交换攻击的新规定，此举可能会使使欺诈性号码转移变得相对困难。   转自Freebuf，原文链接：https://www.freebuf.com/news/385302.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，Cyber news 研究小组近期发现由于系统配置错误，IT 公司 Appscook 泄露了大量敏感数据，其中包括未成年人的照片、家庭住址和出生证明。（Appscook 公司开发的应用程序主要被印度和斯里兰卡的 600 多所学校用于教育管理） 据悉，安全研究人员在例行检查时发现，在互联网上有近百万敏感文件的 DigitalOcean 存储桶向任何人开放，且无需安全验证。这种情况下泄露的私人数据会带来严重的安全风险，再加上大多数泄露的文件求实未成年人的，潜在的安全风险更是不可估量。泄露信息详情如下： 学生姓名； 家长姓名； 学前班、小学和中学学生的照片； 儿童就读的学校名称； 出生证明； 学费收据； 学生成绩单/考试成绩； 家庭住址； 电话号码。 Appscook 公司有 96 个学校专用应用程序支持在线课程，使家长和学校能够就孩子的学习成绩和日常活动进行直接交流。据该公司网站称，有 50 多万名学生和 100 多万名家长使用该平台。数据泄漏事件发生后，Cybernews 立刻联系了 Appscook，但尚未收到任何回复。 数据泄漏事件对未成年构成巨大威胁 此次数据泄密事件引发了民众对网络犯罪分子可能滥用未成年个人信息的担忧，尤其是家庭住址和个人照片都会成为潜在犯罪分子能够利用的”凭证“，并借此敲诈未成年人的父母。 Cyber news 信息安全研究员 Vincentas Baubonis 指出，泄露的未成年人数据可能会带来某种可怕的后果，鉴于这些信息会泄露未成年的日常行踪，从而使其面临安全风险。 目前来看，虽然未成年可能不像成年人那样容易受到”数字欺诈“的影响，但威胁攻击者还是可能会利用泄露的个人数据对这些儿童的父母进行身份盗窃、欺诈和有针对性的网络钓鱼活动。不仅如此，最坏的情况下，数据泄露可能会增加虐待儿童的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/384913.html 封面来源于网络，如有侵权请联系删除

济南多名新生儿父母曾接到“上门摄影”电话推销，疑似个人信息泄漏，多人报警。网警在接警后进行了跟踪调查，查明：山东某文化有限公司主营业务为新生儿摄影，公司法人席某倩于2021年5月联系在济南某单位工作的好友张某某、周某，意图通过非法渠道获取更多客户资源。与席某倩达成共识后，张、周二人利用职务之便潜入单位系统，查询获取到部分孕妇和新生儿信息，并以每条5元的价格出售给席某倩。 专案组将上述3人以及山东某文化有限公司共同经营人张某江抓获，同时查获纸质版新生儿信息2000余条，电子版6万余条。经梳理，席某某非法获利51万余元，张某某非法获利24万余元，周某非法获利12万余元。 与此同时，警方继续“顺藤摸瓜”，挖到了曾经为其提供个人信息的6家机构，以及席某倒卖新生儿个人信息的下家2个，又再次抓获犯罪嫌疑人9名。 个人信息保护法于2021年11月1日正式实施。该法规定了个人信息的收集、处理、使用和保护原则，明确了对于违法收集和处理个人信息的行为将会受到严厉的处罚。此外，相关刑法也明文规定了侵犯公民个人信息罪，涉及到侵犯未成年人个人信息的，刑罚将会更为严重。 对倒卖方的制裁： 刑事责任：倒卖新生儿个人信息属于侵犯隐私权、非法交易等罪行，将受到刑事责任的追究。在中国，可能涉及到《刑法》中的侵犯公民个人信息罪，刑罚严重，可能面临有期徒刑。 经济制裁：根据相关法规，倒卖个人信息的行为也可能受到罚款等经济制裁，罚款数额将根据涉及人数和情节的严重程度而定。 公司责任：如果倒卖方是企业或组织，除了个人刑事责任外，公司也可能面临巨额罚款，并可能被迫关闭或受到其他行政制裁。 对购买方的制裁： 刑事责任：购买新生儿个人信息的行为同样涉及到非法交易、侵犯隐私权等罪行，将受到刑事责任的制裁。刑罚可能包括有期徒刑、罚款等。 民事责任：购买方可能面临赔偿受害者的民事赔偿责任，因为他们的行为导致了个人信息的泄露和可能的财务损失。 社会声誉受损：购买方一旦被曝光，将面临社会谴责，可能导致个人和企业的声誉受损。   转自安全圈，原文链接：https://mp.weixin.qq.com/s/isHNJrBeggp26YMefaTsrg 封面来源于网络，如有侵权请联系删除

《连线》对泄露的警方文件的分析证实，一项秘密政府计划正在允许联邦、州和地方执法部门获取没有犯罪嫌疑的美国人的电话记录。 根据《连线》杂志获得的一封信，美国参议员罗恩·怀登 (Ron Wyden) 周日向司法部 (DOJ) 发送了一封信，要求司法部解释鲜为人知的监控计划，该计划每年追踪美国境内超过一万亿条国内电话记录，参议员质疑该计划的合法性。 根据这封信，十多年来，现在被称为数据分析服务（DAS）的监控计划允许联邦、州和地方执法机构挖掘美国人的通话细节，分析无数人的电话记录。没有涉嫌任何犯罪，包括受害者。该计划使用一种称为链分析的技术，不仅针对那些与犯罪嫌疑人直接电话联系的人，还针对与这些人有过接触的任何人。 DAS 项目以前称为 Hemisphere，与电信巨头 AT&T 合作运行，该项目为执法机构（从当地警察和治安部门到美国海关和邮政检查员）捕获并分析美国通话记录。根据《连线》杂志查阅的一份白宫备忘录。记录显示，白宫在过去十年中为该计划提供了超过 600 万美元，该计划允许针对使用 AT&T 基础设施（遍布美国的路由器和交换机组成的迷宫）的任何通话记录进行定位。 怀登在周日写给美国司法部长梅里克·加兰的一封信中写道，他对 DAS 计划的合法性“表示严重担忧”，并补充说，他收到的“令人不安的信息”“理所当然地会激怒许多美国人和其他国会议员”。 根据参议员的信，怀登表示，司法部秘密向他提供的这些信息被美国政府视为“敏感但非机密”，这意味着虽然它不会对国家安全构成风险，但像怀登这样的联邦官员被禁止向公众披露这些信息。 AT&T 发言人金·哈特·琼森 (Kim Hart Jonson) 拒绝了《连线》杂志就 DAS 计划发表评论的请求，仅表示法律要求该公司遵守合法传票。 没有法律要求 AT&T 出于执法目的存储美国人数十年的通话记录。《连线》查阅的文件显示，AT&T 官员最近于 2018 年参加了德克萨斯州的执法会议，培训警察如何最好地利用 AT&T 的自愿援助（尽管可以创收）。 2020 年，透明度组织“Distributed Denial”公布了从美国各地机构窃取的数百 GB执法数据。《连线》杂志对这些文件的审查揭示了有关机构用来监控犯罪嫌疑人及其配偶、孩子、父母和朋友通话记录的流程和理由的非凡细节。 虽然 DAS 是根据一个专门打击贩毒的计划进行管理的，但北加州地区情报中心 (NCRIC) 泄露的一份文件显示，戴利城和奥克兰等当地警察机构要求 DAS 提供看似与毒品无关的未侦案件的数据。 有一次，奥克兰警察局的一名警官要求进行“Hemisphere分析”，通过分析嫌疑人亲密朋友的电话来识别嫌疑人的电话号码。 在另一起案件中，圣何塞的一名执法人员要求北加州地区情报中心确认一起未具体案件中的受害者和重要证人的身份。一名警官在该计划下向 AT&T 索取信息时写道：“我们获得了[嫌疑人]手机六个月的通话数据，以及几个密切的联系信息（他的女朋友、父亲、姐妹、母亲）。” 这些记录并未表明 AT&T 如何响应每个请求。 泄露的执法文件进一步显示，从美国邮政局检查员到纽约惩教部假释官等一系列官员都参加了 DAS 培训课程。其他参与者包括港务局、美国移民和海关执法局、国民警卫队、加州公路巡逻队以及数十个较小机构的成员。 DAS 计划于 2013 年 9 月首次被《纽约时报》披露为“半球”（Hemisphere），并于 2013 年重新命名，此后基本上没有引起人们的关注。该报当时获得的有关该计划保密的内部记录显示，执法部门长期以来一直被指示永远不要“在任何官方文件中提及‘半球（Hemisphere）’”。 据《纽约时报》报道，美国前总统巴拉克·奥巴马 (Barack Obama) 在 2013 年暂停了对“半球”（Hemisphere）计划的资助。尽管在接下来的三年里，可自由支配的资金被扣留，但《连线》获得的一份白宫备忘录显示，美国各地的各个执法机构允许继续与 AT&T 直接签订合同，以维持对其数据挖掘服务的访问。 根据白宫备忘录，在前总统唐纳德·特朗普 (Donald Trump) 领导下，资金恢复了，但在 2021 年再次停止。备忘录称，去年，在乔·拜登总统的领导下，资金再次恢复。 白宫承认了《连线》杂志的询问，但尚未发表评论。 DAS计划是在一个名为 HIDTA 的附属计划下维护的，该计划由白宫国家药物管制政策办公室 (ONDCP) 资助。据白宫称，HIDTA（即“高强度贩毒区”）是对美国 33 个不同地区的指定。最初的五个地区于 1990 年绘制，包括洛杉矶、休斯顿、迈阿密、纽约周边地区以及整个美墨边境，这些地区是美国贩毒最活跃的地区。 根据 DAS 收集通话记录数据并不属于窃听，而在美国境内，窃听需要基于可能原因的搜查令。AT&T 存储的通话记录不包括任何对话录音。相反，这些记录包括一系列识别信息，例如呼叫者和接收者的姓名、电话号码以及他们拨打电话的日期和时间，每次六个月或更长时间。 根据公共记录法发布的文件显示，DAS 程序已被用来生成犯罪嫌疑人及其已知同伙的位置信息，这种做法在 2018 年未经搜查令的情况下被视为违宪。 “有关位置信息的请求需要最高级别的法律要求，即法院签发的搜查令，紧急情况除外。”AT&T 的 Hart Jonson 说。 针对个人关系的命令有时被称为“利益共同体”传票，在隐私倡导者中，这个短语相当于天罗地网的监视。 怀登在给加兰的信中表示：“半球项目下为执法部门提供的数据规模和定期搜索的数据规模令人震惊。” 根据白宫官员去年撰写的一份长达两页的备忘录，自 2013 年以来，白宫已向 DAS 计划提供了至少 610 万美元的可自由支配资金。《连线》杂志审阅的一份 HIDTA 内部“参与者指南”显示，仅 2020 年 HIDTA 的资金就超过了 2.8 亿美元。目前尚不清楚 HIDTA 花费了多少资金来支持 AT&T 的大量美国通话记录收集。 目前尚不清楚 DAS 下可访问的通话记录可以追溯到多久之前。2014 年根据《信息自由法》发布的幻灯片指出，根据该计划最多可以查询 10 年的记录，这一统计数据与其他声称 AT&T 可以追溯到几十年前的内部文件形成鲜明对比。与此同时，AT&T 的竞争对手通常保留通话记录不超过两年。 （随着长途费用的消失，电话公司长时间跟踪通话记录的必要性逐渐降低。） DAS计划与几十年前的多项天罗地网式监视计划相呼应，其中包括缉毒局于 1992 年启动的一项计划，该计划迫使电话公司交出几乎所有往返于其他 100 多个国家的通话记录；国家安全局的大量元数据收集计划，美国第二巡回上诉法院于 2014 年认定该计划非法；以及通话详细记录项目，该项目因“技术违规”而受到影响，导致美国国家安全局收集了数百万个它“无权接收”的通话。 与过去这些受国会监督的项目不同，DAS 不受国会监督。怀登的一位高级助手告诉《连线》杂志，该计划利用了联邦隐私法中的众多“漏洞”。例如，它实际上在白宫之外运行，这意味着它不受要求评估其隐私影响的规则的约束。白宫也不受《信息自由法》的约束，从而降低了公众了解该计划的整体能力。 由于 AT&T 的通话记录收集是沿着电信“骨干网”进行的，因此《电子通信隐私法》规定的保护措施可能不适用于该计划。 本月早些时候，怀登和参众两院的其他议员提出了全面的隐私立法，即《政府监视改革法案》。该法案包含许多条款，如果颁布，将修补大部分（如果不是全部）这些漏洞，从而有效地使目前形式的 DAS 计划明显非法。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHwLXxqa8w0sDbsMEELo2Q 封面来源于网络，如有侵权请联系删除