微软处理儿童数据的方式违反欧盟法律
HackerNews 编译,转载请注明出处: 奥地利数据保护机构于周三作出裁定,认定微软通过其教育软件非法追踪学生 —— 具体违规行为包括未向学生提供数据访问权限,以及在未获得同意的情况下使用 Cookie(小型数据存储文件)。 奥地利数据保护局(Datenschutzbehörde,简称 DSB)的这一裁决,源于 2024 年奥地利隐私倡导组织 “noyb”(全称 “none of your business”,意为 “与你无关”,专注于数据隐私维权)提起的投诉。该组织指控这家科技巨头在处理儿童数据时,违反了欧盟《通用数据保护条例》(General Data Privacy Regulation,简称 GDPR)。 本案的投诉人是一名未成年人的父亲,其孩子所在的学校正使用微软教育软件。他表示,自己从未同意微软使用 Cookie,也无法获取关于孩子数据被如何使用的相关信息。 微软 365 教育版(Microsoft 365 Education)是学校区域(指学区)常用的工具,用于技术管理、支持协作及在云端存储数据。该套件包含 Word、Excel、Outlook、PowerPoint 等 Office 办公应用,同时涵盖安全工具与 Teams 等协作平台。 noyb 组织的数据保护律师菲利克斯・米科拉施(Felix Mikolasch)于周五(同注,未明确具体日期)在一份事先准备好的声明中表示:“该裁决凸显了微软 365 教育版在透明度上的缺失。学校几乎无法向学生、家长及教师说明他们的数据正被如何处理。” 微软发言人在一份事先准备好的声明中回应称,公司将对该裁决进行审查,并强调:“微软 365 教育版符合所有必需的数据保护标准,教育领域的机构可继续合规使用该产品,完全符合 GDPR 要求。” 目前,奥地利数据保护机构已责令微软采取两项整改措施:一是向本案投诉人提供其孩子的数据访问权限;二是开始更清晰地说明其收集的数据将被用于何种用途。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
监管机构发现 YouTube 博主违规收集儿童信息
HackerNews 编译,转载请注明出处: 某行业监管机构发现,知名 YouTube 博主 “野兽先生”(MrBeast,本名吉米・唐纳森)在未获得家长同意的情况下收集儿童信息,这一问题促使其频道的数据收集及广告投放流程全面整改。 美国商业改进局全国项目(BBB National Programs)旗下的 “儿童广告审查组”(CARU)于周四表示,唐纳森违反了该机构的隐私准则,且其行为可能触犯了美国联邦《儿童在线隐私保护规则》(COPPA)。根据《儿童在线隐私保护规则》(COPPA)规定,网站在收集、使用或共享 13 岁以下儿童的个人信息前,必须获得家长可验证的同意。 该监管机构指出,唐纳森的 YouTube 频道拥有 4.36 亿订阅者,此次违规源于他向观众发起两项抽奖活动时,未提供任何让参与者填写家长或监护人信息的渠道,导致无法获取相关同意授权。 据 “儿童广告审查组”(CARU)透露,唐纳森向包括 13 岁以下儿童在内的受众承诺,参与者只要频繁提交 “已购买其关联品牌‘Feastables’巧克力棒” 的二维码凭证,获奖者便可获得 1 万美元奖金。 而参与该抽奖活动的用户需提供全名、电话号码、地址及电子邮箱等信息。 此外,“Feastables” 官网还存在不当行为:网站弹出全屏弹窗,反复要求访客提供电子邮箱地址,并显示 “野兽先生邀你加入‘团队’”(MrBeast Wants You to Join the Crew)的诱导语。 监管机构工作人员通过测试发现,在输入电子邮箱地址后,网站会弹出第二个弹窗,要求用户填写电话号码;且用户提供的邮箱与电话联系方式随后会被发送至第三方。 “儿童广告审查组”(CARU)表示,唐纳森已与该机构合作,更新了其频道的数据收集流程,并已解决相关问题。 “Feastables” 品牌发布声明称,“认可 CARU 推动负责任儿童广告的使命”,但同时指出,“并不认同该决定中的所有结论及其依据的前提”。 声明还提到:“尽管如此,‘野兽先生’与‘Feastables’在未来策划面向儿童群体的广告内容时,定会认真考虑 CARU 提出的关切。” 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
个人数据大曝光:特斯拉、日产等 25 大汽车品牌疯狂泄露客户隐私
Mozilla分析了25个主要汽车品牌,并在隐私和安全方面给所有品牌打了不及格的分数。他们收集大量的个人数据,并与其他人共享这些数据,而通常未经客户的明确许可。 Mozilla是为支持和领导开源的Mozilla项目而设立的一个非营利组织。该组织制定管理开发政策,经营关键基础组织并管理商标及其他知识产权。他们把自己描述为“一个致力于在互联网领域提供多样化选择和创新的公益组织”。 作为“不包括隐私”项目的一部分,Mozilla分析了汽车制造商提供的隐私政策和应用程序。目标品牌包括宝马、雷诺、斯巴鲁、菲亚特、吉普、克莱斯勒、大众、丰田、雷克萨斯、福特、奥迪、梅赛德斯-奔驰、本田、林肯、讴歌、起亚、GMC、雪佛兰、现代、日产和特斯拉。研究表明,这些公司提供的隐私政策文件向客户通报了所收集的各种数据,包括健康和遗传信息、种族、移民身份、体重、面部表情、位置、驾驶速度、多媒体内容。 这些数据是通过移动应用程序、经销商、公司网站、车辆远程信息处理、传感器、摄像头、麦克风和连接到车辆的电话收集的。Mozilla根据数据使用、数据控制、跟踪记录和安全性对公司进行了排名。最好的是雷诺及其子公司达西亚,它们是需要遵守欧盟通用数据保护条例的欧洲公司。而最差的则是日产和特斯拉。 主要汽车制造商经常披露出影响其客户个人隐私的数据泄露事件。此外,超过一半的品牌的隐私政策显示,他们可以与执法部门和其他政府机构共享收集的信息。此外,84%的受访者表示他们可以与服务提供商、数据经纪人和其他人共享个人数据,而76%的受访者表示他们可以出售收集的个人数据。该组织指出,虽然消费者可以选择不使用汽车应用程序或尽量不使用连接服务,但这可能意味着他们的汽车无法正常工作或者根本无法正常工作。消费者在隐私方面几乎没有控制权和选择权,除了简单地购买旧型号,监管机构和政策制定者在这方面没有提供保障。 Mozilla研究人员试图联系每个被分析的品牌,以澄清他们的隐私政策,但只有梅赛德斯以模糊的声明回应。Mozilla得出的结论是,在所有类型的产品中,汽车的隐私安全是最糟糕的。 转自E安全,原文链接:https://mp.weixin.qq.com/s/sCx8qK3Yo_2nUgvLWtEEpQ 封面来源于网络,如有侵权请联系删除
警惕伪装成 OfficeNote 的新变种 XLoader macOS 恶意软件
Hackernews 编译,转载请注明出处: 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面,它伪装成一款名为“OfficeNote”的办公生产力应用程序,将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中,”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说,“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现,被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现,以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境,因此,恶意的.jar文件无法在macOS的安装中执行,因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制,并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示,在整个2023年7月,他们在VirusTotal上检测到多次该工件的提交,证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金,每月199美元或299美元/3个月。有趣的是,与Windows版本的XLoader(每月59美元和每月129美元)相比,这个价格相对昂贵。” 一旦执行,OfficeNote就会抛出一条错误消息,提示“无法打开,因为找不到原始项目”。实际上,它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而,Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外,恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明,其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密,这些机密可能被使用或出售给其他威胁行为者,以进一步危害用户。” 消息来源:thehackernews,译者:Linn; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。” 消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
YouTube 在英面临 30 亿美元诉讼:被指非法收集儿童数据
据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。 (稿源:cnBeta,封面源自网络。)
Clearview AI 因未经授权收集人像数据而遭到起诉
鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律,ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉,Clearview AI 涉及在几个月的时间里,从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息,本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。 《纽约时报》在今年 1 月揭开了 Clearview AI 的灰暗面,报道中详细介绍了该公司计划如何使用人脸识别技术,然而其庞大的数据库却来自 Instagram、YouTube、LinkedIn 等社交媒体平台的未经授权收集。 之所以在伊利诺伊州发起诉讼,是因为目前只有该州通过了《生物识别信息隐私法案》,要求企业必须在使用包括面部识别等个人生物特征信息前获得知书面授权。今年 1 月的时候,Facebook 就已经支付过 5.5 亿美元的和解赔偿金。 ACLU 在一份声明中称,Clearview AI 的所作所为,正是立法机构需要应对的隐私威胁,同时呼吁其它州迅速跟进制定类似的法律。 此外 BuzzFeed News 获得的资料显示,警方正在使用 Clearview AI 来识别性工作者,且该公司一直在向美国移民与海关执法局、以及沃尔玛等私营企业提供面部识别工具。 为了提起本次诉讼,ACLU 特地与 Edelson PC 律师事务所达成了合作,后者曾参与今年 1 月落定的针对社交媒体巨头 Facebook 的面部识别诉讼。 目前原告方正寻求伊利诺伊州的法院命令,以迫使 Clearview AI 删除未经同意手机的该州居民的照片、并停止收集新的照片,直到其行为符合《生物识别信息隐私法案》的要求为止。 (稿源:cnBeta,封面源自网络。)
皮尤:大部分美国人认为不收集个人数据是不可能的事情
据外媒报道,皮尤研究中心的一项新研究显示,对于许多美国人来说,数据收集现在可能已经被视为是其日常生活的一部分。据统计,超60%的美国成年人表示他们认为政府或公司不收集他们的数据是不可能的。 资料图 报告显示,81%的成年认为广泛收集数据的风险大于益处。不过大多数美国人表示,他们担心自己的数据可能会被公司和政府使用。而超80%的受访者表示,他们觉得对自己的数据缺乏控制。超一半的人则表示,他们对数据收集和使用知之甚少。 25%接受调查的成年人认为,他们几乎每天都在同意一项隐私政策。而在表示同意隐私政策之前他们当中阅读了相关内容的人的数量则更少。 对于许多公司来说,收集数据是为了帮助建立客户档案进而可以根据他们的习惯展示更好的销售行为。然而现在越来越多的入侵让大多数成年人感到自己已越来越控制自己的个人数据。 (稿源:cnbeta,封面源自网络。)
英国当局正在申请对 Cambridge Analytica 办公室的搜查令
据外媒报道,陷入误用 Facebook 用户数据丑闻的数据分析公司 Cambridge Analytica 可能很快就要遭到英国当局的突击搜查。当地时间周一,英国信息专员 Elizabeth Denham 称,她正在申请搜查这家公司办公室及服务器的搜查令。 上周六,《纽约时报》披露,Cambridge Analytica 在 2016 年美总统大选期间在未经允许的情况下从 5000 万 Facebook 用户那里收集数据并将它们用到政治广告中。 Denham 告诉媒体,其办公室已经就这一事件展开了数月调查,而在他们调查的过程中也听到了对 Cambridge Analytica 的类似指控。 在此之前,该家公司顾问被拍到向政客行贿并在互联网上用视频换钱。同时,为了挖出政治候选人的肮脏事迹他们还利用来自乌克兰的性服务人员并还雇佣前间谍工作人员。 对此,Cambridge Analytica 否认了任何带有目的地的贿赂或圈套。 而 Facebook 方面已在上周五宣布暂停跟 Cambridge Analytic 和 Cambridge 教授 Aleksandr Kogan 的合作。获悉,Kogan 是 Global Science Research 创始人兼总裁,另外他还开发了一款叫做 thisisyourdigitallife 的个人猜谜软件。Global Science Research 跟 Cambridge Analytica 也有合作关系,它们用从上面这款猜谜软件中收集数据。 虽然 Kogan 的数据收集符合 Facebook 的相关规定,但这家社交网络公司表示,Kogan 在没有用户的允许下将数据交给 Cambridge Analytica 则违反了他们的规定。 相关阅读: — FB 将召开紧急会议 让员工提出有关 Cambridge Analytica 的问题 — Facebook 数据泄露案主角:我不是间谍 我愿意作证 — Facebook 数据滥用丑闻发酵:英国将调查相关咨询公司 稿源:cnBeta,封面源自网络;