点餐必须扫码、强制索取信息…扫码消费“边界”在哪儿?
扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集?采集的数据商家有没有进行妥善保管呢? 一杯奶茶也许不贵,但订单里却包含着消费者的个人信息和消费轨迹。对商家来说,成千上万笔订单背后的用户数据堪称一笔重要的“财富”。 扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集?采集的数据商家有没有进行妥善保管呢? 大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用” 相比直接窃取个人信息的案件,人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下,被商家索取姓名、位置、手机号码等个人信息,然后由于各种原因导致信息泄露。 互联网安全专家表示,个人信息泄露主要的危害有两类:一类是黑灰产对个人信息的利用;另一类是企业滥用用户信息,获取更多非正常的商业报酬、商业利益。除此以外,还会通过个人信息建立情报体系、树立行业壁垒。 尽管消费者抱怨声不断,为什么企业仍热衷于收集消费者个人信息呢? 专家表示,在数字经济时代,数据就像石油。尤其是大量数据,具有非常大的价值。把这些数据全部整合在一起,形成每个人的画像,就是最具有商业价值的事。 一句话概括:数据就是打开财富大门的钥匙。因此,不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。 针对这些乱象,从6月中旬起,上海市网信办会同市场监管局开展了为期半年的专项执法行动,重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。 强制索取信息、信息保管、隐私权政策为执法焦点 通过对上海29家知名度较高的奶茶店、快餐店明察暗访中,执法小组发现了几个比较突出的问题。 首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所,仍被告知要通过App或者小程序扫码点餐,而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求,否则就无法完成点餐。 专家表示,这种做法既违反了最小必要原则,也剥夺了消费者的自主选择权,违反了消费者权益保护法。 门店越多,产生的数据也越多,有时甚至达到惊人的地步。比如,某知名连锁奶茶品牌每收到一笔订单,就会产生87条数据,目前已累计产生超过100亿条。其中,涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。 专家表示,在数字经济时代,数据通常被用于经营管理,这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用,但在采集信息的过程中,必须遵循“合法、正当、必要”三原则。 据了解,要搭建一个收集消费者个人信息的技术平台,门槛很低,费用也不高。网络安全专家表示,扫码点餐存在一定的风险性,尤其是在小商家扫描那些来路不明的二维码。 那么,这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢? 调查发现,不少企业在保管用户信息时,存在一定的隐患。比如,采集数据量巨大的某知名奶茶店,根据网络安全法和数据保护法,应该按照三级标准进行等级保护,但是这家企业却没有做这些工作。 此外,隐私权政策也是本次检查的重点内容之一。所谓隐私权政策,就是信息收集方就如何收集个人信息所发布的声明。简单讲,就是告诉用户采集个人信息的目的、用途以及如何保管等。 执法人员发现,不少企业要么没有隐私权政策,要么不完善。还有些企业虽然制定了隐私权政策,但过于冗长,用户体验非常不友好。有的隐私权政策洋洋洒洒近万字,与其说是为了告知用户,倒不如说是为了保护企业自己。 多地出台合规指引加强个人信息保护 为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日,北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。 多地出台合规指引加强个人信息保护 为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日,北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。 转自安全内参,原文链接:https://www.secrss.com/articles/58508 封面来源于网络,如有侵权请联系删除
一家健康科技公司正在泄露大量医疗记录和处方
据外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄露数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。 但据发现数据的安全公司称,该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch拥有超过600万条记录。 由于服务器没有密码,任何人都可以实时读取传输的传真 – 包括其内容。 根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。 传真还包括有关儿童的个人数据和健康信息。没有数据被加密。 在传真服务器上找到两份泄露的文件。(图片来源:TechCrunch) 该服务器托管于MedPharm Services的子域,MedPharm Services是总部位于波多黎各的Meditab的一家分支机构,由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来,以便为那些在岛上开展业务的人提供减税优惠。 TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。 Patel表示,关于安全证书失效问题,该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录,以查看任何潜在风险的范围,”该公司总法律顾问Angel Marrero在一封电子邮件中说。 我们询问该公司是否计划通知监管机构和客户。Marrero表示,该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知(如适用)。” Meditab和MedPharm都声称符合HIPAA,即《美国健康保险流通与责任法案》,该法案管理医疗服务提供者如何正确管理患者的数据安全。 泄露数据或违法的公司可能面临巨额罚款。 去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元,其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款,费森尤斯的解决方案为350万美元。五个不同的违规行为。 美国卫生和公共服务部的发言人没有发表评论。 (稿源:,稿件以及封面源自网络。)
5200 万用户数据泄露 谷歌将提前 4 个月关闭 Google+
讯 北京时间12月11日早间消息,谷歌周一表示,将于明年4月关闭Google+社交媒体服务,比原计划提前4个月。此前,该公司今年第二次发现Google+的软件漏洞,新漏洞导致合作伙伴应用能访问用户的个人数据。 不过谷歌在博客中表示,没有发现任何证据表明,其他应用使用该漏洞访问了这些数据,包括用户的姓名、电子邮件地址、性别和年龄。谷歌表示,在上月引入的6天时间内,该漏洞影响了5250万个Google+帐号,其中包括一些企业客户的帐号。 本周,谷歌CEO桑达尔·皮猜(Sundar Pichai)将在美国国会众议院司法委员会就谷歌的数据收集行为作证。美国两党议员正呼吁制定新的隐私保护立法,以更好地控制谷歌、Facebook和其他大型科技公司。 今年10月,谷歌表示,将于2019年8月关闭Google+的消费级版本,因为维护该服务带来了太大的挑战。当时该公司表示,来自50万用户的个人信息数据可能被一个已经存在两年多的漏洞泄露给合作伙伴应用。 谷歌表示,在获得用户授权情况下从Google+获取数据,用于服务个性化的应用将会在90天内失去数据访问权限。与此同时,为企业客户开发Google+仍将是该公司的一大关注点。 稿源:,稿件以及封面源自网络;
3000 万数据在暗网出售?陌陌:2015 年的事 内部正研究
讯 12月3日下午消息,今天有文章爆料陌陌3000万数据在暗网上以50美金的价格出售。卖家11月30日贴出的交易截图显示,这些数据包括用户的手机号、密码,写入时间是2015年7月17日。卖家透露,这是三年前撞库而来的,不保障现有时效性,且一经售出,谢绝退款。 向陌陌方面求证,对方回应称,爆料里面说的是2015年的事情,具体情况陌陌内部正在研究确认,会尽快回复。 同时,微博用户“浅黑科技”对爆料截图里面的几个账号进行了测试,发现大部分账号不存在,个别几个账号存在,但是密码错误。“经过我们的判断,存在两种情况,一是这个库是真的,但是陌陌通过安全监控提前进行了处理,把相应的账号删除或者加一道验证;二是这个库本身就是假的,暗网是匿名的,有人在上面骗钱。”目前,陌陌对具体原因和情况尚未回应。 稿源:,稿件以及封面源自网络;
英国航空承认最近发生的网络攻击比想象中还要糟糕
据外媒报道,日前,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。在与网络法医专家和英国国家犯罪署合作之后,这家公司宣布,该攻击所带来的影响比此前预测的可能还要严重。 英国航空表示,他们现在正在提醒另外一拨可能也受到影响的客户,他们的个人和支付信息可能受到损害。受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。 需要注意的是这部分受影响的客户则是在4月21日-7月28日在英国航空操作过交易的人。针对这一新发现,航空公司敦促客户尽快联系他们的借记卡或信用卡供应商,另外他们还承诺为客户提供为期12个月的信用评级监控服务并赔偿与攻击相关的任何财产损失。不过眼下,英国航空明确表示,没有迹象显示其客户的交易存在欺诈行为。 虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。 稿源:cnBeta,封面源自网络;
国泰航空 940 万名乘客个人数据在 3 月被盗 包含出行地点数据
据外媒报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。 另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。 这家航空公司在周三发布的声明中指出,公司目前没有任何证据显示任何一名乘客的信息遭到滥用,而受影响的IT系统则完全跟其飞行操作系统独立开来,所以该次网络攻击事件对其飞行安全不会带来影响。此外,国泰航空表示,没有密码遭到泄露。 国泰航空总部位于中国香港,但它的服务遍布全球包括北美、欧洲、中国内地、中国台湾地区、日本、东南亚和中东。 这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。 此外,国泰航空表示,他们现在正在与中国香港警方以及相关部门沟通。而认为自己可能受到影响的客户可以访问infosecurity.cathaypacific.com 或直接拨打公司电话或发电子邮件来获取进一步的信息。 稿源:cnBeta,封面源自网络;
卸载就完事儿了?App照样能追踪你的数据
讯 北京时间10月23日下午消息,要是你突然发现上周删除的应用突然又从其他地方冒了出来,那可能不是巧合。迎合应用开发商的公司最近在iOS和Android上发现一个新办法,可以找到最近删除了某个特定应用的用户——然后针对这些用户发布该应用的广告使他们回心转意。 提供卸载跟踪器的公司有Adjust、AppsFlyer、MoEngage、Localytics和CleverTap等。通常,卸载跟踪器只是作为更广泛的开发者工具中的一部分。这些公司的客户包括T-Mobile US、Spotify和Yelp。批评者认为,有鉴于此,我们更有必要重新评估在线隐私权并限制公司对用户数据的使用。“大多数科技公司其实在隐私选择上根本没有给用户多少选择,”电子前沿基金会的技术政策主管,也是隐私倡导者的杰里米·吉鲁拉(Jeremy Gillula)说道。 有些供应商表示,这些跟踪工具旨在评估用户对应用更新与其他更新的反应。波士顿的Localytics的首席执行官裘德·麦克考兰(Jude McColgan)表示,他还没有看到客户使用该技术向曾经的用户投放广告。位于旧金山的MoEngage的营销和销售副总裁艾伦·马爱吉(Ehren Maedge)说,要不要这么做完全在于应用开发商。“这是我们的客户与客户自己的终端用户之间的事情。如果他们打破了用户的信任,对他们自己来说并非好事。”另外几家公司并未作出评论,T-Mobile、Spotify以及Yelp也未回复评论请求。 卸载跟踪利用了苹果和谷歌移动操作系统中的核心元素:推送通知。例如,开发者总是可以使用所谓的静默推送通知定期向应用发送回显信息而无需打扰用户——以便当应用在后台运行时刷新收件箱或社交媒体源。但是如果应用未能成功向开发者发回信息,应用则会被登记为已经卸载,然后卸载跟踪工具将这些变化记录到文件中,文件与给定的移动设备唯一广告ID关联,这样就可以轻易识别手机用户然后不管到哪都可以向他们推送应用广告。 Branch Metrics是一家开发软件的公司,但拒绝提供卸载跟踪工具。公司首席执行官亚历克斯·奥斯汀(Alex Austin)表示,这些工具违反了苹果和谷歌的政策,这些政策规定不得将静默推送通知作为开发广告受众的工具。“人们在选择不再使用你的产品之后还在互联网上跟踪他们,这样的行为很草率,”他说,并补充希望苹果和谷歌能及时采取应对措施。苹果和谷歌暂未回应评论请求。 卸载跟踪工具原本是为了用于修复漏洞或以其他方式优化应用,而无需借用问卷调查或其他侵入式工具来打扰用户。但是吉鲁拉表示,在最初本意之外滥用该系统的能力体现了与现代互联网如影随形的束缚。要使用应用,用户通常不得不同意自由分享他们的数据,有时候这种分享可能是永久性的,但从来无法确切知道日后这些数据将被如何利用。“作为一名应用开发人员,我会希望知道有多少人卸载了我的应用,”他说,“但我不会说,你有这个权利知道谁安装或卸载了你的应用。” 稿源:,稿件以及封面源自网络;
日本政府要求 FB 加强数据保护 及时告知安全措施变动
讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。 稿源:,稿件以及封面源自网络;
Google+安全漏洞引欧洲关注 德国爱尔兰介入调查
网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。” 稿源:网易科技,封面源自网络;
研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库
9月17日,安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。 更重要的是,除了电子邮件地址之外,还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。 奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的。 Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。 稿源:cnBeta,封面源自网络;