据《每日邮报》北京时间 4 月 3 日报道，据马克·扎克伯格( Mark Zuckerberg )称，Facebook 需要“数年时间”才能解决这次滥用用户数据暴露出来的问题。在接受新闻网站 Vox 采访时，扎克伯格对公司的商业模式进行了辩护，并还击了苹果 CEO 蒂姆·库克( Tim Cook )上周对 Facebook 的批评。 扎克伯格还表示，Facebook 的问题之一是它过于“理想主义”，专注于把人们联系在一起的积极影响。 扎克伯格说，他没有花足够的时间考虑使用这些工具的一些负面影响，“我认为现在人们在恰当地关注部分风险和不足之处。我认为我们将全面调查、解决存在的问题，但这需要数年时间。我当然希望我能够在 3 到 6 个月内解决所有问题。但我认为，现实情况是，即使只解决部分问题，就需要更长的时间“。 扎克伯格还反驳了库克对 Facebook 商业模式的批评。库克上周称，Facebook 的商业模式就是收集用户资料，然后卖给广告客户获利。 但扎克伯格声称，Facebook 的商业模式是向人们提供免费服务、不像苹果那样卖天价产品的唯一方式，“我们想让全世界的所有人联系在一起，但许多人无力承担所需的费用。与大量媒体一样，通过广告创收的模式是唯一合理的模式”。 自 3 月 16 日—— Facebook 承认用户数据被不恰当地泄露给剑桥分析公司——以来，Facebook 股价累计下跌了 13%，市值蒸发逾 700 亿美元。扎克伯格个人财富蒸发逾 100 亿美元，只剩下约 600 亿美元。 稿源：cnBeta、凤凰网科技，封面源自网络；

近日，安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息，其中包括密码，API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的，黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架，它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的，出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

本周四，美国著名运动装备品牌 Under Armour 称有 1.5 亿 MyFitnessPal 用户数据在上个月被泄露了，MyFitnessPal 是一款 Under Armour 旗下的食物和营养主题应用。此次关于用户数据泄露的声明使得该公司的股票价格下跌了 2.4%。 据该公司称，此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。 Under Armour 表示，该数据泄露事件并没有涉及到用户的社会安全号码（Social Security numbers）、驾驶证号、和银行卡号等隐私信息。 该运动装备制造商称，是在 3 月 25 日才发现的此次数据泄露事件，并从那时就开始通知受影响用户。 Under Armour 正在和一家数据安全公司一起协作调查此次事件，有关监管部门也参与到了其中。 MyFitnessPal 是一款在苹果和谷歌应用商店中很受欢迎的应用，允许用户跟踪每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据，还可以分享运动成果到类似 Facebook 这样的社交平台上。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒报道，尽管 Facebook 此前表示已采取措施确保 Cambridge Analytica 收集的用户数据已被删除，但 Channel 4 News 现在发现科罗拉多州数千人的数据仍在流传。Channel 4 News 称，Cambridge Analytica 来源的活动数据缓存详细描述了美国科罗拉多州的 13.6 万名 Facebook 用户资料以及每个人的个性和心理状况信息。 这些数据可追溯到 2014 年，Cambridge Analytica 使用这些数据来定位那些对他们最敏感的居民的具体信息。由于上周泄露用户资料丑闻持续发酵，Cambridge Analytica 公司坚持所有的 Facebook 数据，以及他们使用 Facebook 数据获得的任何信息“已被删除”。 Facebook 还表示，该公司已采取措施确保与收集的个人资料相关的所有信息都被“销毁”。但科罗拉多数据集以及俄勒冈州的类似数据表明，Facebook 衍生数据的副本仍然存在。这些数据也被认为是在 Cambridge Analytica 的服务器之外的非公司电子邮件系统和相关的 SCL 公司之间传递的。 现在，在披露 Cambridge Analytica 公司泄露数据事件一周多后，Channel 4 News 直接采访了那些隐私遭到破坏的人。 护士 Janice 的数据被包含在缓存中，她表示：“这是那些不是真正关心我们社会的人对社会的操纵。他们只关心他们的业务。他们关心他们的底线，他们不是为了我们所有人，除了他们想要操纵我们所有人。因为我们要么是选民，要么是消费者。这就是他们看待我的方式，他们不看我有多安全，或者我的学校有多好。” 周日，扎克伯格借助整版报纸广告为 Facebook 数据丑闻道歉。但当被问及对道歉的感受时，Janice 告诉 Channel 4 News：“他在人们删除他们的个人资料并开始关闭他们的账户之后才这样做。直到触及底线他才会关心美国，或者他认为这种趋势可能会走错路。所以呢，这让我更加讨厌他。” 当地居民 Debra 表示：“这是个人信息，却被用来让让陌生人来评估我们是谁，我们的观点是什么……是否准确或不准确……我忍不住想某人是否正在跟踪信息。我在质疑我向下滚动某些内容并点击该内容，并更多地了解该内容涉及的内容时，他们是否也在收集数据。” 消息人士告诉 Channel 4 News，科罗拉多州的共和党人使用剑桥分析数据来帮助定位选民。据《纽约时报》报道，Cambridge Analytica 收集的数据也被即将出任美国国家安全顾问的 John Bolton 所使用。在 Cambridge Analytica 成立并开始收集 Facebook 数据的数月之后，Bolton 的政治行动委员会于 2014 年 8 月首次与这家公司合作。 自从这起丑闻于 2018 年 3 月 17 日首次被披露以来，Channel 4 News 数次希望采访扎克伯格。Facebook CEO一再拒绝。 Facebook 副总裁兼副总顾问 Paul Grewal 表示：“ Cambridge Analytica 公司发生的事情代表了一种违反信任的行为，我们对此非常抱歉。现在我们清楚，我们可以做更多的事情，正如扎克伯格所说，我们正在努力解决过去的滥用问题，并致力于让人们知道他们的数据是否被不恰当地访问或滥用。 2015 年，我们了解到剑桥大学的心理学教授 Aleksandr Kogan 博士对我们说谎，并违反了我们的政策，将数据从应用程序传递到 SCL / Cambridge Analytica。当我们获悉这一违规行为时，我们从 Facebook 上删除了他的应用程序，并要求 Kogan 和他提供数据的各方证明信息已被销毁。 Cambridge Analytica 向我们证明，他们在 2015 年销毁了有关数据。 两周前，我们收到包括 Channel 4 News 在内的媒体的报道，与我们获得的认证相反，并非所有数据都被删除。Cambridge Analytica 公司已经公开证实他们不再有这些数据，其他人正在挑战这一点，我们决心找出事实。 ICO 已经启动了对 Cambridge Analytica 的调查，我们正在为此提供协助。” Cambridge Analytica 发言人表示：“我们从未将 GSR 的任何数据传递给外部方。在 Facebook 于 2015 年 12 月联系我们后，我们删除了所有 GSR 数据并采取了适当措施确保删除任何数据副本。这包括我们的律师在 2014 年底采取行动，对付一些从公司窃取数据和知识产权的前雇员。这些前雇员均承诺删除所有这些材料。我们没有采取适当措施确保 GSR 数据被删除，这是不正确的。” 稿源：cnBeta，封面源自网络；

据英国媒体爆料，尽管 Cambridge Analytica 极力否认，但是该公司并没有将从 Facebook那里获取的用户数据删除，至少是没有全部删除。大量用户的信息和数据落或许已经落到了其他第三方手中。 英国媒体 Channel 4 报道，他们从“ Cambridge Analytica 的消息源处”获得了 13.6 万用户的数据。 Channel 4 表示，他们所获得的这些数据均来自 Facebook，用户大多来自科罗拉多，这些数据也曾经被 Cambridge Analytica 使用来干扰大选。更糟糕的是，现在谁也不能确定还有哪些其他人或机构依然拥有这些数据，尽管 Cambridge Analytica 一直称他们已经删除了这些利用非正当方式所获得的数据。这对于那些个人信息被盗取的用户来说显然不是一件好事。 一位名叫詹尼斯（Janice）的用户在接受 Channel 4 采访的时候表示：“ 一些不在乎社会的人操纵了我们的社会。他们关心的只是自己的生意。他们只在乎自己，根本不关心我们。他们要操纵我们，因为我们既是选民也是消费者。” 对于 Facebook CEO 马克·扎克伯格（Mark Zuckerberg）来说，这个消息足以让他更加焦头烂额。在本月 21 日的时候扎克伯格发表了一篇博文，他在这篇博文中称 Facebook 曾经要求 Cambrige Analytica 和剑桥大学的研究人员删除这些通过不当手段所获取的数据。而且对方也的确向Facebook提供了数据删除证明。 扎克伯格表示：“他们提供了与数据删除相关的证明。” 很显然，Facebook 并没有去核实证明的真实性，也没有调查 Cambrige Analytica 是否真的删除了这些用户的数据。 稿源：，稿件以及封面源自网络；

近日据外媒报道，安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上，利用一些简单脚本即可从中获取登录凭证，如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据，其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库，通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口，并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证，但其中一些被推测是有效的，有可能会被攻击者用来侵入系统。此外，根据 Collazo 的说法，任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全，Collazo 建议启用身份验证并在不需要时使其脱机，或者设置防火墙，以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库： Etcd REST API 未授权访问漏洞 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 CNET 报道，一位使用 Facebook 已有八年时间的用户劳伦·普莱斯（Lauren Price）近日因 Cambridge Analytica 公司通过 Facebook 收集 5000 多万人的私人数据而将这两家公司告上法庭。该诉讼周二在圣何塞美国地区法院受理，诉讼称这些公司违反了加州的不正当竞争法。原告要求这些公司支付损害赔偿金，并且作为拟议的集体诉讼，向其他类似受影响的人赔偿。 此前参与涉及 Experian 和 Target 数据泄露事件集体诉讼的 Morgan＆Moran 律师事务所的 John Yanchunis 律师提起诉讼。法官需要确定它是否被认证为集体诉讼，这可能意味着许多其他 Facebook 用户可以加入案件。 “此案涉及被告（Facebook和Cambridge Analytica）选择无视原告的个人信息。虽然此信息应被保护，并且仅用于明确披露和有限的目的，但 CA 未经授权…不正当地收集了将近 5000 万 Facebook 用户的个人信息，而 Facebook 则知道这种不正当的数据收集正在发生并且未能阻止它，“这起诉讼称。“Facebook 的’信任模式’充满了安全漏洞，并且几乎完全放弃了对其自己的规则进行审核的责任，限制第三方使用 Facebook 数据。” Facebook 方面则指责 Cambridge Analytica 公司：“我们致力于大力执行我们的政策来保护人们的信息，我们将采取一切必要措施来避免这种情况发生，”Facebook 副总法律顾问 Paul Grewal 在声明中表示。“当我们在 2015 年得知这一违规行为时，我们从 Facebook 上删除了相关应用程序并要求获得来自 Cambridge Analytica 公司和业务合作伙伴 Christopher Wylie 和 Aleksandr Kogan 的证书。Cambridge Analytica、Kogan 和 Wylie 都向我们证明他们销毁了这些数据。” 但是该诉讼是 Facebook 处理隐私丑闻时遇到的另一个问题。目前一些社交媒体上已经出现了# DeleteFacebook (卸载 Facebook)的运动，并出现针对该公司首席执行官马克扎克伯格的批评以及政府对有关事件的调查。 Cambridge Analytica 公司并未立即回应置评请求。 相关阅读： Facebook COO 回应数据泄露丑闻：对监管持开放态度  Facebook 新闻发言人：威胁起诉曝光丑闻媒体是错误的 受隐私事件影响 Mozilla 暂停在 Facebook 上投放广告 稿源：cnBeta，封面源自网络；

据外媒报道，当地时间周三晚，Facebook CEO 马克·扎克伯格为公司合作商– Cambridge Analytica 用户隐私丑闻一事道歉。他在接受 CNN 采访时说道：“ 这是对信任的严重违背，对此我真的感到非常抱歉。我们现在的责任就是确保这种事情不再发生。” 与此同时，英国首相特蕾莎·梅（Theresa May）也在周三表示自己并不知道英国政府和“ 剑桥分析 ”或是其母公司之间的任何现有合同。她支持对处于 Facebook 数据泄露事件中心的“剑桥分析”（Cambridge Analytica）公司进行调查。 扎克伯格的道歉首次反映了 Facebook 存在允许第三方开发商访问用户数据的情况。这位  CEO、创始人进行了一次罕见的媒体之旅，除了 CNN，他还向 Verge 的姊妹网站–Recode 解释了公司对这次丑闻的看法。 同日早些时候，扎克伯格还在 Facebook 发帖称，公司在处理 CA 数据泄露事件中犯了错误。而实际上公司已经对此展开了一系列减少用户数据被共享给外部开发商的计划，另外他们还在 2014 年的时候就实施了需要对访问大规模数据开发商进行审计的规定。 扎克伯格在 CNN 资深科技记者 Laurie Segall 的访谈中还提及到了： 他已经通知多家媒体愿意在国会面前露脸； 他告诉 CNN 他并没有完全反对监管，“ 我不确定我们不应该受到监管，有一些东西像广告透明度规定我就很乐意看到”； 他对公司没能在 2015 年 CA 首次出现欺诈性行为的时候展开更深入的调查，并表示未来确保不再犯这样的错误； 他表示 Facebook 有信心在中期选举之前免遭有不良意图的人的利用。扎克伯格告诉 CNN：“这不是什么火箭科学。虽然我们需要做大量的工作来让像俄罗斯等国家更难干预选举，但我们可以抢先完成”； 他在接受《纽约时报》采访时表示，Facebook 今年将把安全力度提升一倍，“我们将在今年年底将安全和社区运营方面的工作人员增至 2 万多名，我想现在我们大概有 1.5 万名。” 他告诉《纽约时报》，公司已经在最近的阿拉巴马州参议院选举中部署了全新的人工智能技术以此来对付图谋不轨的人； 他为开发了一个极易为 CA 滥用的 API 平台而感到遗憾。扎克伯格告诉 Recode，自己在数据的迁移上过于理想化，它是带来了更多的良好体验，但与此同时它也带来了隐私问题； 他在接受《纽约时报》采访时表示，Facebook 将大量软件展开调查以此来确定它们是否也存在滥用用户数据访问权的情况； 当被问及内容界定范围时，他告诉 Recode：“这问题就像是‘仇恨言论的界限在哪里？’我的意思是，是谁选我成为去做这件事情的人？我想我不得不去做，因为我们现在所处的位置，但其实我也不愿意”； 然而 Facebook 并没有公布平台的新限制规定。扎克伯格告诉 Wired，未来他们将可能会对平台的数据限制进行 15 项变化，不过他暂不公布详细内容，因为它们当中许多涉及到的都是比较细微且难解释的东西。 在媒体上周末曝光该事件后，Facebook 的股价大幅下跌，同时英国和美国监管机构纷纷表示将发起调查，包括调查“剑桥分析”公司。 “剑桥分析”曾表示媒体的指控没有依据，对于其它报道给出的进一步指控，该公司也予以否认。本周二，“剑桥分析”董事会做出决定，对该公司 CEO 进行了暂时停职。 相关阅读： 扎克伯格破例上 CNN 危机公关：除道歉以外他还说了什么  Facebook COO 桑德伯格就数据泄露发表声明 紧随小扎  祸不单行，Facebook 因“网速缓慢”而被韩国通信委员会罚款 3.69 亿韩元 消息来源：据 cnBeta 报道综合整理，封面源自网络；

外媒 3 月 20 日消息，美国在线旅游巨头 Expedia 旗下的旅游网站 Orbitz 于本周二披露了一项安全漏洞，致使约 88 万 Orbitz 用户受到数据泄露影响，其中包括姓名、出生日期、性别、电话号码、电子邮件地址、账单地址以及支付卡数据等详细信息。 据悉，拥有数百万用户的 Orbitz 曾是 Expedia （艺龙大股东）的竞争对手，不过 Expedia 于 2015 年 2 月 13 日以 13.4 亿美元的价格将其收购。 据调查人员称，受到数据泄露影响的可能是 2016 年 1 月 1 日至 2017 年 12 月 22 日期间在 Orbitz 平台上进行过交易的用户。 不过目前没有证据表明 Orbitz 网站受到此次事件的影响，并且用户的护照和旅行行程信息也被认为未曾遭到泄露。 Orbitz 方面表示已通知受影响的客户和合作伙伴，并免费为其客户以及合作伙伴提供一年的信用监控和身份保护服务。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

北京时间 3 月 21 日下午消息，美国联邦贸易委员会（FTC）对 Facebook 展开了调查，此前有消息爆出该公司数千万用户的个人信息遭到泄露，被一家数据分析机构利用，为特朗普在总统大选期间获得胜利提供了帮助。 一位消息人士透露，本次 FTC 的调查是 Facebook 成立以来所遭受的最严重的政治和法律危机。本次调查有可能导致 Facebook 遭到美国政府的巨额罚款。 2011 年 11 月 Facebook 曾与 FTC 在用户隐私问题上达成协议，那时 FTC 也对 Facebook 进行了调查，理由是怀疑 Facebook 在用户隐私保护上对用户进行了欺骗。最终这次调查以双方达成协议而告终。协议要求，如果 Facebook 要在隐私设定范围之外使用用户的数据，他们必须要获得用户的许可。 然而不久前，一位前 FTC 官员表示 Facebook 与 Cambridge Analytica 可能违反了该项协议。近日有告密者表示 Cambridge Analytica 收集了用户以及好友的信息，并且在 Facebook 告之将数据删除之后依然保留了这些数据。 大约有 27 万用户下载了 Cambridge Analytica 的 APP。但是由于可以获取用户 Facebook 好友的信息，为这些Facebook用户对于自己信息被收集一事并不知情。大约有 5000 万人的信息可能遭到了泄露。 如果 FTC 最终裁决 Facebook 违反了协议，Facebook 可能将会面临巨额罚款，每泄露一个用户的信息，就要罚款 4 万美元。按照 5000 万用户的基数算的话，Facebook 可能要面临 2 万亿美元的巨额罚款。 本周二，该公司副首席隐私官罗博·谢尔曼（Rob Sherman）似乎知晓了 FTC 的意图。他在一份声明中表示：“我们依然高度重视保护用户的信息。我们很愿意回应 FTC 的问询。”上周末，该公司断然否认了他们违反了 2011 年与 FTC 签订的协议。 Facebook 的一位发言人在声明中表示：“我们否认任何有关我们违反了协议的言论。我们非常尊重与用户签订的隐私协议。隐私保护和数据保护是我们做出每一个决策时的基础。” 本周二早间，Facebook 的股价下跌 5.5%，而周一该公司股价跌幅达到了接近 7%。 FTC 方面周二表示，他们已经知晓了本次事件，但是对于他们是否会对此事件进行调查，他们现在还无法回应。但是 FTC 的一位女发言人随后重申了该机构的权力。 她表示：“对于每一起违反规定的事件，我们都会严肃对待，就像 2012 年谷歌的那次隐私事件一样。” 2012 年谷歌被指蒙骗苹果 Safari 浏览器用户，让他们认为只要不修改该浏览器的隐私设置，他们在网上的活动就不会被谷歌跟踪。但实际上，谷歌使用的特殊代码却能绕过 Safari 浏览器的隐私设置，从而不断追踪用户的上网习惯。谷歌随后因为这次事件被罚款 2250 万美元。 FTC 消费者保护局局长大卫·弗拉德克（David Vladeck）表示：“FTC 对 Facebook 发起调查是完全可以理解的事情。”他认为 Facebook 很有可能违反了与 FTC 签订的协议，而 Cambridge Analytica 则违反了联邦法律。弗拉德克也参与了 2011 年对 Facebook 发起的调查。 FTC 的调查仅仅是 Facebook 目前所面临的法律危机的一部分。此前已经有多名民主党和共和党议员要求该公司 CEO 马克·扎克伯格（Mark Zuckerberg）出庭针对该公司的隐私行为以及 Cambridge Analytica 时间进行作证。 目前美国法院尚未针对此时间安排听证会。然而美国参议院商务委员已经邀请了 Facebook 的代表对此事件进行简短陈述。 另一个法律制定者民主党参议员理查德·布卢门撒尔（Richard Blumenthal）也呼吁国会应该留意 Cambridge Analytica 这家机构。他甚至在 Twitter上 表示，在需要的时候参议院司法委员会应该向这家机构发送传票。 布卢门撒尔补充道：“国会应该留意 Facebook 以及 Cambridge Analytica ，调查这二者是否滥用了用户的个人数据，使用肮脏的手段以及为俄罗斯人提供服务。” 另外，欧洲的监管机构也表示将会对 Facebook 发起调查。英国议会周二正式要求扎克伯格出席调查。但是 Facebook 方面并未说明扎克伯格是否会出席回答法律部门的问询。 相关阅读： ○ 扎克伯格正在“全天候工作”处理 Cambridge Analytica 丑闻引发的争议  ○  操纵 5000 万人心与美国大选 这家数据分析公司啥来头 ○ *贿赂、雇间谍、毁尸灭迹……坑了 Facebook 的大数据公司，干的脏事太多了  稿源：，部分错字有修改；稿件以及封面源自网络；