某安全研究人员透露，WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露，但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过（未使用过群组邀请链接），便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示，WhatsApp 高管已经知晓了这个问题，但却对此无动于衷。据悉，该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式，不同于新的二维码功能，但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时，如果该网址被谷歌爬虫抓取，便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入，请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前，如果通过 site:api.whatsapp.com 的方式检索，谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题，否则此事的负面影响肯定还会持续。     （稿源：cnBeta，封面源自网络。）

由于COVID-19迫使更多的人在家办公，Zoom的使用量迅猛攀升，导致人们对这款视频会议工具的安全性和隐私性产生了极大的兴趣。端到端加密的缺失是很多用户最关心的问题，但在最近收购Keybase之后，Zoom CEO袁征（Eric S．Yuan）表示，将 “帮助我们建立能够达到当前Zoom扩展性的端到端加密”。 不过据外媒报道，Zoom只是给其付费用户提供端到端加密。任何使用免费账户的人都将无法获得该功能。为什么这么说呢？袁征解释说，”我们也希望与FBI、与当地执法部门合作，以防有人将Zoom用于不良目的”。 这个说法是在一次财报电话会议上提出的。在谈及付费用户端到端加密的到来时，袁征表示：“我们肯定不想给免费用户提供该服务，因为我们也想和FBI、和地方执法部门一起合作，以防有人将Zoom用于不良目的。” 隐私组织Privacy Matter发推文回应了这一消息。 来自Fight for the Future的隐私倡导者Evan Greer表示： 基本的安全性不应该是一个高级功能，这只是提供给富有的个人和大公司。该公司表示，只有在你支付额外费用的情况下，他们才会保证你的通话安全，这实在是太恶心了。 Zoom一位发言人告诉《卫报》：“我们不会与执法部门分享信息，除非是在儿童性虐待的情况下。我们没有后门，任何人都可以在不被他人看到的情况下进入会议。这些都不会改变。”他还指出，该公司不会“主动监控会议内容”。     （稿源：cnBeta，封面源自网络。）

儿童向游戏开发者HyperBeard工作室由于非法窃取青少年用户数据信息，将向美国联邦贸易委员会（FTC）缴纳1.5万美元的和解费用。本次纠纷最初是FTC方面怀疑HyperBeard 违反“儿童线上隐私保护法案”并提起诉讼。FTC认为HyperBeard 工作室在没有获得家长统一的情况下，使用身份识别手段收集13岁以下儿童的信息。身份识别获得的数据则被用于定向广告。 FTC的消费者保护局分管负责人Andrew Smith表示：“如果你开发的app或者网站面向儿童，那就必须保证让家长知道，然后才能收集儿童的个人信息。具体做法包括允许其他人，比如广告商收集身份信息，比如广告ID或者cookie，从而进行行为广告。” HyperBeard工作室的CEO Alexander Kozachenko和经理Antonio Uribe都在诉状中被提及。他们被勒令销毁数据并缴纳400万美元罚款。 由于HyperBeard工作室没有能力缴纳400万美元的罚款，他们可以缴纳1.5万美元和解费用，暂停执行罚款。     （稿源：cnBeta，封面源自网络。）

上个月，Zoom决定将功能冻结90天，以修复全球研究人员发现的各种漏洞。随后，该公司对Zoom的工作方式进行了修改，并增加了新的安全功能，使App上的通话更加安全。现在，Zoom正计划为该应用添加更强大的加密功能，但该公司的安全顾问Alex Stamos证实，这将只针对付费用户和机构。 安全专家们一直在警告说，不良行为者滥用端到端的加密技术来躲避侦查以进行非法活动。美国公民自由联盟的技术研究员乔恩-卡拉斯（Jon Callas）表示，向加密等功能额外收费“是摆脱流氓的一种方”。”他补充说，在Zoom努力提高安全性的同时，他们也在力求大幅升级让客户信任方面的工作。 “Zoom公司的端到端加密方法是一项正在进行中的工作 – 从我们上周刚刚公布的加密设计草案，到我们继续讨论它将适用于哪些客户，”公司发言人在对媒体的回复中表示。 视频会议平台在冠状病毒大流行期间蓬勃发展，但一直受到无数安全问题的困扰。其中包括Zoombombing，即不请自来的客人入侵视频通话，并以色情或其他震撼内容破坏视频通话。 然而，在每个视频通话中添加完整的端到端加密，将会导致后打进来的客户被排除在会议外，更严格的加密甚至不允许Zoom自己的安全团队在通话中添加自己，以便实时帮助客户。 Zoom在5月22日发布了一份文件草案，概述了其部分加密计划。     （稿源：cnBeta，封面源自网络。）

谷歌周四公布了一个网站，旨在教人们如何发现和避免网上诈骗，因为在冠状病毒大流行的情况下，数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式，比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”（Cybercrime Support Network）合作推出了这一网站。该网站包括一个小测验，通过常见的诈骗场景，比如收到一条关于赢得夏威夷之旅的消息，通过这个小测验来测试用户反欺诈的能力。 谷歌表示，这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局，已经损失了超过4000万美元。联邦贸易委员会预计，今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候，美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗，这些骗局要求提供个人信息，如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示，该网站特别针对教育老年人，他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     （稿源：cnBeta，封面源自网络。）

鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律，ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉，Clearview AI 涉及在几个月的时间里，从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息，本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。 《纽约时报》在今年 1 月揭开了 Clearview AI 的灰暗面，报道中详细介绍了该公司计划如何使用人脸识别技术，然而其庞大的数据库却来自 Instagram、YouTube、LinkedIn 等社交媒体平台的未经授权收集。 之所以在伊利诺伊州发起诉讼，是因为目前只有该州通过了《生物识别信息隐私法案》，要求企业必须在使用包括面部识别等个人生物特征信息前获得知书面授权。今年 1 月的时候，Facebook 就已经支付过 5.5 亿美元的和解赔偿金。 ACLU 在一份声明中称，Clearview AI 的所作所为，正是立法机构需要应对的隐私威胁，同时呼吁其它州迅速跟进制定类似的法律。 此外 BuzzFeed News 获得的资料显示，警方正在使用 Clearview AI 来识别性工作者，且该公司一直在向美国移民与海关执法局、以及沃尔玛等私营企业提供面部识别工具。 为了提起本次诉讼，ACLU 特地与 Edelson PC 律师事务所达成了合作，后者曾参与今年 1 月落定的针对社交媒体巨头 Facebook 的面部识别诉讼。 目前原告方正寻求伊利诺伊州的法院命令，以迫使 Clearview AI 删除未经同意手机的该州居民的照片、并停止收集新的照片，直到其行为符合《生物识别信息隐私法案》的要求为止。     （稿源：cnBeta，封面源自网络。）

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果，直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     （稿源：solidot，封面源自网络。）

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象，围绕数据保护问题，欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称，针对Twitter数据泄露问题，5月22日确定一份草案，委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说，在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求，针对任何提出的制裁，Facebook服务必须发表评论，然后方便欧盟各国进行评估。 2018年5月，《通用数据保护条例》(General Data Protection Regulation，GDPR)正式生效，之后爱尔兰当局加大调查力度，但并没有给出最终决定。一些美国大型科技公司成为调查对象，包括Twitter、Facebook、谷歌、苹果，爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规，《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单，这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说，其它一些案件也取得进展，比如针对Facebook当地部门的尽职调查，委员会想知道Facebook是否为个人数据处理确立法律基础。     （稿源：新浪科技，封面源自网络。）

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客，其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk，但官方为披露黑客的真名。作为地下黑客论坛的老成员，有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来，Sanix 的身份更像是一位二道贩子（数据中间商 / Data Broker）。其收集了被黑客入侵的企业泄露的大量数据，将之整理汇总出大量的用户登陆凭证（ID 和密码）。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者，比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上，Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合，并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合，合计容量达到了数 TB，并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出，部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露（Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手）。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据，却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日，Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉，Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中，Azatej 已于本月早些时候被逮捕。 乌克兰特勤局（SSU）在今日的新闻发布会上表示，其在 Sanix 的计算机上找到了 Collection＃1 的副本，以及至少七个类似的被盗密码数据库。 除了收集用户名和密码，Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现，SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳（约 7000 美元）的赃款。   （稿源：cnBeta，封面源自网络。）

5月14日，欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则，可能会损害消费者利益，同时阻碍创新。在近日电子前沿基金会（EFF）发布的公开信中，该机构也持相同的观点，希望能够阻止谷歌收购Fitbit，并希望得到之前已购买Fitbit产品用户的支持。 更具体来说，EFF认为只有Fitbit的用户才能帮助阻止这次收购，并向Fitbit用户发出了灵魂拷问。EFF问道：“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据？谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉？” EFF表示科技巨头并不一定会投资创新，而是更喜欢收购能够为创新加油的公司。EFF表示：“谷歌的两个标志性项目搜索和Gmail都是内部项目，但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道：“现在谷歌正尝试在Fitbit旧戏重演，这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中，而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易，通过收购Fitbit，谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域，华为和小米也是主要竞争者。 然而，批评人士表示，收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。   （稿源：cnBeta，封面源自网络。）