涉嫌强迫用户共享数据,印度对 Meta 处以 2500 万美元罚款
近日,印度竞争委员会已对社交媒体巨头 Meta 处以超过 2500 万美元的罚款,原因系该公司强迫 WhatsApp 用户同意与其他 Meta 平台全面共享数据。 该委员会指责WhatsApp 于2021 年 1 月更新的服务条款协议,该条款告知用户,他们的数据将与Meta的其他平台共享,以提升产品安全性、完整性并改善产品使用及广告推送体验。但用户面临的只有两种选择,要么接受,要么拒绝并无法使用应用。 对此,委员会表示,这一条款违反了印度2002年发布的“竞争法”当中的相关法规,是一种不公平竞争行为。此外,委员会还发现Meta 滥用其在消息应用和在线显示广告市场的主导地位,强迫 WhatsApp 现有用户同意其新的数据共享规则。 委员会最终裁定对Meta处以 21.314 亿卢比(约合2500万美元)的罚款,同时规定Meta在未来五年不得出于广告目的与其他 Meta 平台共享用户数据。出于其他目的收集数据,平台必须向用户详细说明此类数据共享的目的、与其他 Meta 平台共享的数据量,并将每种类型的数据与其相应的目的相关联。 委员会还明确表示,Meta必须让印度用户能够自由选择数据共享处理方式,有权拒绝并能随时修改相关选择。 Meta计划对这一裁决提起上述,称2021年1月的条款对用户来说完全是可选的。“2021 年的更新并没有改变人们个人信息隐私,而是作为当时用户的选择。此次更新是为了在 WhatsApp 上引入可选的业务功能,并进一步提高了我们如何收集和使用数据的透明度 ,”Meta表示。 对于涉及用户的不适当条款,Meta在欧盟已多次受罚。2021年,爱尔兰数据保护委员会对Meta处以 2.25 亿欧元的罚款,原因是该平台使用“强制同意”策略来处理用户数据,而没有为用户提供简单透明的方式选择是否要共享相关数据。 而就在刚过去不久的11月14日,欧盟委员会决定对Meta处以7.9772 亿欧元(约合 8.41 亿美元)的罚款,原因涉及在未事先获得用户是否同意的情况下,将在线分类广告服务 Facebook Marketplace 与个人社交网络Facebook集成。 转自Freebuf,原文链接:https://www.freebuf.com/news/415712.html 封面来源于网络,如有侵权请联系删除
注意!安卓手机芯片供应商偷偷收集用户数据
据称,一家制造无线电信硬件的跨国高通公司一直在秘密收集私人用户数据。大约三分之一的安卓设备使用了高通制造的芯片,包括三星和苹果智能手机。 高通的技术用于各种移动设备,包括智能手机、可穿戴设备以及工业和汽车应用。他们为 5G、蓝牙和 Wi-Fi 6 等无线技术的发展做出了贡献。该公司专注于无线生态系统中使用的其他几种技术,包括 AR/VR 和设备充电功能。 4 月 27 日,Nitrokey 发布的研究称,高通公司生产的硬件在未经用户同意的情况下将用户的私人数据(包括 IP 地址)上传到属于该公司的云端。 由于索尼的服务条款(研究人员使用的设备的供应商)、Android 或 /e/OS 均未提及与高通的数据共享,这可能违反了通用数据保护条例 (GDPR)。 报告背后的研究员 Paul Privacy 声称,除了对同意的担忧之外,数据包是通过 HTTP 协议发送的,没有使用 HTTPS、SSL 或 TLS 加密。这使它们容易受到攻击。 通过收集这些数据并使用手机的唯一 ID 和序列号创建历史记录,网络上的任何人——包括恶意行为者、政府机构、网络管理员和电信运营商都可以轻松地监视用户。 该公司回应研究人员称,上述数据收集符合高通XTRA隐私政策。此服务与辅助 GPS (A-GPS) 相关,有助于为移动设备提供准确的卫星位置。 “XTRA 服务”隐私政策规定: 通过这些软件应用程序,可能会收集位置数据、唯一标识符(例如芯片组序列号或国际用户 ID)、有关设备上安装和/或运行的应用程序的数据、配置数据(例如品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据,例如芯片组性能、电池使用情况和热数据。还可能从第三方来源获取个人数据,例如数据经纪人、社交网络、其他合作伙伴或公共来源。 据报道,该政策最初并未说明正在收集 IP 地址,但在研究完成后,该公司更新了其隐私政策,将 IP 地址包含在收集的数据中。此外,更新后的政策披露,公司出于“质量目的”将此数据存储 90 天。 研究人员说:“Qualcomm 的专有软件不仅将一些文件下载到我们的手机以帮助更快地建立 GPS 位置,而且还上传我们的个人数据。这为我们创建了一个完全独特的签名,可以进行行为跟踪并显着减少用户的隐私。不管我们是否关闭了 GPS。” 正如公司隐私政策中所述,高通可能会从用户手机中收集多种类型的数据。该列表包括: 唯一身份 芯片组名称 芯片组序列号 XTRA软件版本 移动国家代码 移动网络代码(允许识别国家和无线运营商) 操作系统类型和版本 设备品牌和型号 设备上的软件列表 IP地址 据称,虽然研究人员使用的是索尼制造的智能手机,但研究结果也适用于其他采用高通芯片的智能手机,例如 Fairphone。 发表文章后,高通向 Cybernews 发送了官方评论。据该公司称,Nitrokey 发表的研究“充满了不准确之处”,并且“似乎是出于作者销售其产品的愿望。” 该公司发言人声称,高通仅在适用法律允许的情况下收集个人信息。 高通发言人表示:“正如我们公开的隐私政策所披露的那样,高通技术使用非个人的、匿名的技术数据,使设备制造商能够为其客户提供终端用户期望从当今智能手机获得的基于位置的应用程序和服务。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/Kn-OPEWw3mnSsUAvt-H-sQ 封面来源于网络,如有侵权请联系删除
泄露的 Facebook 工程师文件承认违法使用用户数据 或将面临全球收入 4% 的罚款
Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去年撰写的,该团队的任务是“在人与企业之间建立有意义的联系”,根据最近一份Facebook工作清单上对该团队的描述,该团队“处于Facebook货币化战略的中心,是推动公司发展的引擎”。 这个团队的任务是建立和维护Facebook庞大的广告系统,这是该公司业务的核心。在这份文件中,该团队发出了警告,并呼吁改变Facebook处理用户数据的方式,以防止该公司与欧洲、美国、印度和其他国家的监管机构发生冲突,这些国家正在推动对社交媒体公司实施更严格的隐私限制。 文件中写道:“我们无法完全掌控系统如何使用这些用户数据,因此我们无法自信地对外界做出‘不会将X数据用于Y用途’这样坚定的承诺。然而,这正是监管机构希望我们做到的事情,这增加了我们出错和误报的风险。”。 换句话说,在这份文件中,连Facebook自己的工程师也承认,一旦用户数据进入Facebook的系统,他们也很难弄清楚数据的去向。Facebook内部将这个问题称为“数据沿袭” 近年来,世界各地的监管机构都试图限制Facebook等平台对用户数据的使用。其中最著名、最重要的法规之一是欧盟的《通用数据保护条例》(GDPR),该条例于2018年5月生效。其中第5条规定,个人数据必须“为特定、明确和合法的目的收集,不得使用与这些目的不符的方式对数据进行处理。” 这意味着,Facebook获取的每一条数据,例如用户的位置或宗教取向,都只能被收集并用于特定目的,而不能再用于其他目的。 Facebook发言人否认这份泄露的文件显示公司违反了隐私规定。 “考虑到本文件没有描述我们在遵守隐私法规过程中的大量流程和控制措施,因此将这份文件作为我们违反隐私法规的证据是不严谨的。全球各地的新隐私法规引入了不同的要求,本文件反映了我们正在构建的技术解决方案,以扩展我们现有的数据管理和履行法律义务的措施。”这位发言人在通过电子邮件发送的声明中说。 一些隐私专家表示,他们认为该文件承认Facebook无法遵守法规。这些专家此前一直在与Facebook进行抗争,希望Facebook对私人数据的使用受到限制。 “这份文件证明了我们长期以来的质疑:Facebook内部有一个对所有人都免费开放的数据,而且该公司对其持有的数据没有任何控制权,”隐私活动人士、爱尔兰公民自由委员会高级研究员Johnny Ryan在一次采访中表示。“这是Facebook对自己没有对用户数据进行任何保护的明确承认。Facebook详细说明了它是如何违反数据保护法的各项原则的。它对我们的数据所做的一切都是非法的。人们不应该拥有免费的内部数据。” Facebook还安排了两名员工讨论如何在内部处理数据。在电话中,Facebook代表告诉媒体,他们正试图抢在隐私法律规定之前建设基础设施,以满足公司可能面临的要求。 这意味着要在工具上进行投资,使分析用户数据和数据用途的过程更加自动化,减少过程中对人工的依赖。 Digital Content Next的CEO Jason Kint表示,“消费者和监管机构会也将对Facebook系统内数据的规模和无序程度感到震惊。” Kint认为,Facebook无法跟踪其收集的用户数据的“来源和目的”。他指的是GDPR的第5条,其中有一项被称为“目的限制”的细则。 Ryan认为,这项细则意味着Facebook等公司必须告诉用户和监管机构,每一条特定数据的处理过程及用途。例如,如果你在Facebook个人简历上标明了宗教取向,这项个人信息就不应该用于广告推广。 设立这项“目的限制”的细则是为了保护人们的隐私。2020年,Ryan在爱尔兰对Google提起诉讼,指控这家科技巨头违反了这项细则,他们将“数百个需要处理的数据使用目的混在一起,形成了一个庞大的、对所有人都免费开放的内部数据库”。 Ryan当时的代理律师、隐私专家Ravi Naik告诉媒体,如果监管机构认为Facebook违反了GDPR的规定,该公司不仅可能面临高达其全球收入4%的行政罚款,而且还为监管机构将来进一步严格控制他们对用户数据的使用撕开了一道口子。 个人用户同样可以起诉Facebook,要求告诉他们告知自己数据的用途,比如Naik和Ryan当初对Google的指控。 转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263537.htm 封面来源于网络,如有侵权请联系删除
苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据
据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。 据彭博社报道,一个名为“Recursion Team”的网络犯罪组织与2021年发送给多家公司的一些伪造的法律请求有关。一些黑客被认为是美国和英国的未成年人,并且至少其中一名未成年人还参与了攻击微软、三星和英伟达。 据上述知情人士透露,通常情况下,此类请求会获得一份搜查令或由法官签署的传票,但紧急请求不需要法院命令。Snap也收到了来自同一群黑客的伪造法律请求,但不知道它是否提供了用户数据。 苹果表示需参照公司的法律指引,Meta发言人表示将阻止已知的被盗账户发出请求,并与执法部门合作对涉及可疑欺诈性请求的事件作出回应。 转自 新浪科技 ,原文链接:https://t.cj.sina.com.cn/articles/view/6192937794/17120bb4202001splu 封面来源于网络,如有侵权请联系删除
Facebook 起诉盗用并出售其 1.78 亿用户数据的一名乌克兰人
Facebook周五对一名乌克兰人提起诉讼,因为他涉嫌在一个地下网络犯罪论坛上出售盗用自Messenger即时通信服务中的超过1.78亿用户的个人数据。根据今天提交的法庭文件,该男子被确认为亚历山大·亚历山德罗维奇·索隆琴科,是乌克兰基洛沃格勒的居民。Facebook称,索隆琴科滥用了Messenger服务中的一项功能,即联系人导入器。 该功能允许用户同步他们的手机地址簿,并查看哪些联系人有Facebook账户,以便让用户通过Facebook Messenger与他们的朋友联系。 在2018年1月至2019年9月期间,Facebook表示,索隆琴科使用自动化工具冒充Android设备,以便向Facebook服务器提供数百万个随机电话号码。 当Facebook服务器返回哪些电话号码在该网站上有账户的信息时,索隆琴科收集了这些数据,后来他于2020年12月1日在RaidForums(一个臭名昭著的网络犯罪论坛和被盗数据的市场)上发了一个帖子,将这些数据收集并出售。 索隆琴科在论坛上使用Solomame(后来改名为barak_obama)的用户名进行操作,并出售了多家公司的数亿用户的数据。 “自2020年以来,索隆琴科已经出售了从乌克兰最大的商业银行、乌克兰最大的私人快递服务中窃取或搜刮的数据,除此之外还有一家法国数据分析公司。”Facebook今天在法庭文件中说。在被告在招聘门户网站和电子邮件账户上使用相同的用户名和联系方法后,安全技术人员能够将索隆琴科与RaidForums用户联系起来。 “索隆琴科曾是一名自由职业的计算机程序员,有使用几种编程语言的经验,包括Python、PHP和Xrumer,这是一种用于发送垃圾邮件的软件;在Android模拟器上自动执行任务;以及进行联盟营销,直到2019年6月或前后,索隆琴科还以’Drop Top’的商业名称在网上销售鞋子,”Facebook补充说。 Facebook要求法官发布禁令,禁止索隆琴科访问Facebook网站,并禁止他出售更多Facebook的相关数据,同时正寻求未指明的赔偿。 2021年4月,另一个威胁行为者泄露了5.33亿Facebook用户的电话号码,Facebook也说这是通过同样的滥用方法收集的。 在这一事件发生几天后,Facebook透露,在发现索隆琴科和其他威胁行为者滥用Messenger Contact Importer功能后,早在2019年9月就已经将这一功能停用了。 (消息及封面来源:cnBeta)
西数:黑客利用远程漏洞抹除 My Book 用户数据 正研究潜在恢复方案
在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。 在公告中写道:“西部数据已经确定,一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下,攻击者已经触发了出厂重置,似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472,这是一个根远程命令执行(RCE)漏洞,在 CVSS 严重性评级为 9.8。 攻击者能够以 root 身份进行远程操作,他们可以触发重置并擦除这些便携式存储设备上的所有内容,这些设备在 2010 年首次亮相,在 2015 年获得了最后的固件更新。当产品进入报废期时,它们通常无权获得新的安全更新。 正如Bleeping Computer首次报道的那样,论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为,由于他们的信息被删除,自己 “完全完蛋了”。 另一位用户评论道:“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响,因为我失去了所有的项目数据和文件…”。 在撰写本文时,论坛用户正在交易潜在的恢复方法和想法,并有不同程度的成功。西部数据说:“我们正在审查我们从受影响的客户那里收到的日志文件,以进一步确定攻击和访问机制的特征”。 到目前为止,这些日志文件显示,My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证(PoC)代码。在某些情况下,攻击者还安装了一个木马程序,其样本已被上传到VirusTotal。 My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。 西部数据说:”我们知道我们客户的数据非常重要。”我们还不明白为什么攻击者触发了出厂重置;但是,我们已经获得了一个受影响设备的样本,正在进一步调查”。该公司还在调查受影响客户的潜在恢复方案。 (消息及封面来源:cnBeta)
研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据
安全漏洞和bug时有发生,这本就是软件开发过程的一部分,但缺陷是由糟糕的编程人员造成的时候,这个问题就会特别令人生气。在应用程序中硬编码认证密钥或未能在在线数据库中设置认证是开发人员无法接受的,然而,这是一个相当普遍的现象。 周四,网络安全公司Check Point Research发布了一份报告,详细介绍了23个Android系统的不良云配置和实施,可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。 一半以上的应用程序的下载量都超过1000万,因此受影响的用户范围很大,Check Point估计,这些应用程序可能已经暴露了超过1亿用户的数据。 大多数应用程序都有实时数据库,开发人员对公众敞开了大门,这个问题非常常见且分布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。 技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因,研究人员没有访问这些记录,但通过代码分析验证了他们可以这样做。 他们发现的一个不太常见的问题仍然值得注意,那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重,但CPR解释说,这也是同样糟糕的一种做法。 “虽然推送通知服务的数据并不总是敏感的,但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下,如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。 Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制造商跟进了更新,以修复这些问题。然而,被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本,可能有更多的人在使用这些同样糟糕的做法。 (消息及封面来源:cnBeta)
受加州新隐私法推动 Firefox 将允许用户删除其收集的数据
据外媒CNET报道,Firefox 浏览器制造商Mozilla表示,它使所有用户都可以更好地控制自己的数据。这项改变是由《加州消费者隐私法案》(CCPA)推动的,该法案于周三正式生效。新的数据隐私法赋予加州居民了解科技公司收集哪些个人数据的权利。它还使人们可以要求公司删除其数据,而不是将其出售。Mozilla表示,根据CCPA进行的更改将适用于每个Firefox用户,而不仅限于加州的用户。 Mozilla在周二发布的一篇博文中表示,它将使Firefox用户可以选择删除该公司在下一版浏览器(该版本将于1月7日发布)中收集的数据。Firefox不会在浏览网站或进行搜索查询时收集数据。Mozilla表示,它将允许用户选择删除遥测数据,其中包括打开了多少标签或会话持续了多长时间。Mozilla称,它使用这些数据来改善Firefox的性能和安全性。 包括微软在内的其他公司也表示,将把新法律要求的权利扩展到加州以外的用户。该公司表示,法律的要求符合其认为隐私是一项基本人权的信念。 出于意识形态或实践原因,可能会有更多公司效仿。一些法律观察家表示,一些公司可能认为为两个州的用户创建两个不同的界面,或者确定哪些用户符合法律规定的加州居民资格是不值得的。此外,其他州也考虑了类似的隐私法,因此未来的要求可能会超出加州。 CCPA还禁止公司歧视依法行使权利的用户,并允许用户起诉公司因疏忽造成的数据泄露。CCPA与欧洲的《通用数据保护条例》相似,该条例于2018年生效。 (稿源:cnBeta,封面源自网络。)
美国基因检测公司 Veritas Genetics 客户数据遭泄露
网易科技讯 11月8日消息,据国外媒体报道,美国DNA检测初创公司Veritas Genetics表示,该公司发生一起数据泄露事件,导致一些客户的信息被盗。 这家总部位于美国马萨诸塞州丹弗市的公司承认,其面向客户的门户网站“最近”遭到了黑客攻击,但没有说明何时遭到攻击。该公司拒绝透露具体哪些信息被盗,只表示该门户网站不包含客户的检测结果或医疗信息,以及仅有少数客户受到了影响。 该公司尚未发表正式的公开声明,也没有在其网站上承认此事。Veritas Genetics的一位发言人没有回复记者的置评请求。 美国彭博社首先报道了这一消息。 Veritas Genetics的竞争对手包括23andMe、Ancestry和MyHeritage。该公司表示,它可以利用个人的一小部分DNA来分析和理解人类基因组,从而让客户更好地了解他们今后生活中可能面临的健康风险,或将该风险遗传给子女的风险。 尽管此次被盗的数据不包括个人健康信息,但这可能会进一步加剧人们的担忧,即健康初创公司,尤其是处理敏感DNA和基因组信息的公司,可能无法保护好用户的数据。 在此之前,美国执法部门曾获得法律授权,要求DNA采集和基因检测公司帮助识别犯罪嫌疑人,从而使隐私成为基因检测领域的一个备受人们关注的问题。就在本周,有报道称,美国佛罗里达州颁发了一份具有“游戏规则改变者”性质的授权令,允许警方搜索本地DNA检测公司GEDmatch的全部数据库。去年,警方曾利用该公司的数据库帮助抓捕臭名昭著的“金州杀手”(Golden State Killer)。 在美国,约有2600万消费者使用了家用遗传检测试剂盒。(刘春) (稿源:网易科技,封面源自网络。)
GitLab 在产品中收集用户行为数据,遭遇强烈吐槽撤回
上周 GitLab 给所有用户发送题为《关于服务协议以及用户行为数据收集重要通知》的邮件(详情)。GitLab 希望借此来收集来自 GitLab 产品中的用户使用习惯,以改进产品从而为用户提供更好的产品体验。 GitLab 原计划不会针对所有产品都收集遥测数据。如下图所示,对于社区版和企业版,GitLab 都没有添加收集遥测数据的服务。唯一会收集数据的地方来自 GitLab.com 提供的服务。 但作为独立部署的产品,此举遭到来自社区开发者的强烈抗议。日前,迫于压力,GitLab 再次发布撤回并重新思考关于收集用户行为的措施以及道歉邮件。 GitLab 官方称将不会在产品中激活用户的产品使用行为的分析。同时希望用户根据此行为提供反馈意见。 (稿源:开源中国,封面源自网络。)