标签: Facebook

又一最新罚款!Facebook 将支付 7.25 亿美元,处理数据泄露诉讼

近日,Facebook、Instagram 和 WhatsApp 的母公司 Meta Platform 已同意支付 7.25 亿美元来解决 2018 年提起的长期集体诉讼。这场法律纠纷是因为这家社交媒体巨头允许第三方应用程序(例如Cambridge Analytica使用的应用程序)在未经用户同意的情况下访问用户的个人信息以进行政治广告。 路透社上周首次报道的拟议和解协议是该公司多年来在一系列隐私事故之后支付的最新罚款。当然,目前仍然需要美国地方法院旧金山分院的联邦法官的批准。 值得一提的是,Facebook此前曾于2019年9月试图驳回该诉讼,声称用户在社交媒体上提供给朋友的任何信息都没有合法的隐私利益。 数据收集丑闻于2018年3月曝光,涉及一个名为“thisisyourdigitallife”的性格测验应用程序,该应用程序允许收集用户的公开个人资料,页面喜欢,出生日期,性别,位置,甚至消息(在某些情况下)用于建立心理档案。 该应用程序由剑桥大学讲师亚历山大·科根(Aleksandr Kogan)于2013年创建,声称通过抓取用户的个人资料信息以换取小额付款,根据用户在Facebook上喜欢的内容来揭示用户的个性特征。 通过Kogan于2014年成立的全球科学研究(GSR),这些数据随后被传递给SCL集团旗下的英国政治咨询公司Cambridge Analytica,作为研究项目的一部分。据说大约有30万用户参加了心理测试,但该应用程序在没有寻求明确许可的情况下收集了安装该应用程序的人及其Facebook朋友的私人数据,从而形成了一个涵盖8700万个个人资料的数据集。 thisisyourdigitallife随后于2015年因违反其平台政策而被Facebook禁止,该公司还向GSR和Cambridge Analytica发送了法律要求,要求删除不当获取的数据。只是后来发现,未经授权的数据从一开始就没有被清除,这家现已倒闭的咨询公司使用来自数百万Facebook帐户的个人信息,用于2016年美国总统大选前的选民分析和定位。 重磅炸弹的曝光引发了大西洋两岸的政府审查,促使该公司在2019年与美国证券交易委员会(SEC)和英国信息专员办公室(ICO)达成和解。 同年,在美国联邦贸易委员会(FTC)对其隐私实践进行调查并解决该公司破坏用户选择控制其个人信息隐私的指控后,Meta也被处以创纪录的50亿美元罚款。 元维基(Meta)尚未承认与有问题的数据共享存在其他任何不当行为,此后已采取措施限制第三方访问用户信息并推出了一个名为Off-Facebook Activity的工具,供用户“查看向我们发送有关您的活动信息的应用程序和网站的摘要,并根据需要从您的帐户中清除此信息。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/353691.html 封面来源于网络,如有侵权请联系删除

30 万安卓用户 Facebook 凭证遭“Schoolyard Bully”木马窃取

The Hacker News 网站披露,一种名为“Schoolyard Bully”木马程序攻击遍布 71 个国家的 30 多万Android用户。该木马程序伪装成合法的教育主题应用程序,引诱毫无戒心的用户下载,随后便窃取其 Facebook 凭证。 据悉,这些应用程序可以从官方Google Play商店下载,目前已经被删除了。但是,用户仍然可以在第三方应用商店中下载并继续使用。 Zimperium 研究人员 Nipun Gupta 和 Aazim Bill SE Yaswant 在与 The Hacker News 分享的一份报告中表示,“Schoolyard Bully”木马程序使用了 JavaScript 注入来窃取 Facebook 凭证。 研究人员进一步分析发现,“Schoolyard Bully”通过在 WebView 中启动 Facebook 的登录页面来实现这一目的,该页面还嵌入了恶意 JavasCript 代码,将用户电话号码、电子邮件地址和密码渗透到配置的命令和控制(C2)服务器。 此外,“Schoolyard Bully”木马还进一步利用诸如“libabc.so”之类的本地库,以避免防病毒解决方案的检测。 虽然“Schoolyard Bully”木马专门针对越南语应用程序,但在 70 多个国家的其它应用程序中也发现了其踪迹。 一年多前,Zimperium 在代号为 FlyTrap 的活动中发现了类似活动,攻击者旨在通过恶意 Android 应用程序危害 Facebook 账户。 Zimperium 移动威胁情报主管理查德·梅里克(Richard Melick)强调,攻击者窃取 Facebook 密码会造成很大破坏,如果攻击者冒充受害者,就很容易诱使其朋友和其它联系人发送金钱或敏感信息。 值得注意的是,许多用户重复使用相同密码,如果攻击者窃取了受害者 Facebook 密码,很可能掌握其电子邮件和密、银行或金融应用程序、公司账户等。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351387.htmll 封面来源于网络,如有侵权请联系删除

针对 Facebook 业务和广告帐户的 DUCKTAIL 恶意软件又回来了

一群可能位于越南的攻击者专门针对可能访问 Facebook 业务和广告管理帐户的员工,在几个月前首次曝光后,他们重新出现并改变了其基础设施、恶意软件和作案手法。 该组织被WithSecure的研究人员称为 DUCKTAIL,该组织使用鱼叉式网络钓鱼来针对 LinkedIn 上的个人,从这些个人的职位描述来看可能他们有权管理 Facebook 企业帐户。最近,还观察到攻击者通过 WhatsApp 瞄准受害者。受感染的 Facebook 商业帐户用于在平台上投放广告,以获取攻击者的经济利益。 DUCKTAIL 攻击者进行研究 帐户滥用是通过恶意软件程序使用受害者的浏览器实现的,该恶意软件程序伪装成与品牌、产品和项目规划相关的文档。攻击者首先建立一个在 Facebook 上有业务页面的公司列表。然后,他们在 LinkedIn 和其他来源上搜索为这些公司工作并拥有可以让他们访问这些业务页面的职位的员工。这些包括管理、数字营销、数字媒体和人力资源角色。 最后一步是向他们发送一个链接,其中包含一个伪装成 .pdf 的恶意软件的存档,以及看似属于同一项目的图像和视频。研究人员看到的一些文件名包括项目“发展计划”、“项目信息”、“产品”和“新项目预算业务计划”。 DUCKTAIL 组织自 2021 年下半年以来一直在开展这项活动。在今年 8 月WithSecure 曝光他们的行动后,该行动停止了,攻击者重新设计了他们的一些工具集。 攻击者改用 GlobalSign 作为证书颁发机构 今年早些时候分析的恶意软件样本使用以一家越南公司的名义从 Sectigo 获得的合法代码签名证书进行了数字签名。由于该证书已被报告和撤销,攻击者已切换到 GlobalSign 作为他们的证书颁发机构。在他们继续以原公司的名义向多个 CA 申请证书的同时,他们还建立了其他六家企业,全部使用越南语,其中三个获得了代码签名证书。 2021 年底出现的 DUCKTAIL 恶意软件样本是用 .NET Core 编写的,并使用框架的单文件功能编译,该功能将所有必需的库和文件捆绑到一个可执行文件中,包括主程序集。这确保恶意软件可以在任何 Windows 计算机上执行,无论它是否安装了 .NET 运行时。自 2022 年 8 月活动停止以来,WithSecure 研究人员观察到从越南上传到 VirusTotal 的多个开发 DUCKTAIL 样本。 其中一个示例是使用 .NET 7 的 NativeAOT 编译的,它提供与 .NET Core 的单文件功能类似的功能,允许二进制文件提前本地编译。然而,NativeAOT 对第三方库的支持有限,因此攻击者转而使用 .NET Core。 坏演员一直在试验 其他实验也被观察到,例如包含来自 GitHub 项目的反分析代码,但从未真正打开过,从命令和控制服务器发送电子邮件地址列表作为 .txt 文件的能力在恶意软件中对它们进行硬编码,并在执行恶意软件时启动一个虚拟文件,以减少用户的怀疑——观察到文档 (.docx)、电子表格 (.xlsx) 和视频 (.mp4) 虚拟文件。 攻击者还在测试多级加载程序以部署恶意软件,例如 Excel 加载项文件 (.xll),它从加密的 blob 中提取二级加载程序,然后最终下载信息窃取程序恶意软件。研究人员还确定了一个用 .NET 编写的下载程序,他们高度信任 DUCKTAIL,它执行 PowerShell 命令,从 Discord 下载信息窃取程序。 infostealer 恶意软件使用电报频道进行命令和控制。自从 8 月被曝光以来,攻击者更好地锁定了这些频道,一些频道现在有多个管理员,这可能表明他们正在运行类似于勒索软件团伙的附属程序。研究人员说:“聊天活动的增加和新的文件加密机制可确保只有特定用户能够解密某些泄露的文件,这进一步加强了这一点。” 浏览器劫持 部署后,DUCKTAIL 恶意软件会扫描系统上安装的浏览器及其 cookie 存储路径。然后它会窃取所有存储的 cookie,包括存储在其中的任何 Facebook 会话 cookie。会话 cookie 是网站在身份验证成功完成后在浏览器中设置的一个小标识符,用于记住用户已经登录了一段时间。 该恶意软件使用 Facebook 会话 cookie 直接与 Facebook 页面交互,或向 Facebook Graph API 发送请求以获取信息。此信息包括个人帐户的姓名、电子邮件、生日和用户 ID;个人帐户可以访问的 Facebook 业务页面的名称、验证状态、广告限制、名称、ID、账户状态、广告支付周期、货币、adtrust DSL 以及任何相关 Facebook 广告账户的花费金额。 该恶意软件还会检查是否为被劫持的帐户启用了双因素身份验证,并在启用时使用活动会话获取 2FA 的备份代码。“从受害者机器窃取的信息还允许威胁行为者从受害者机器外部尝试这些活动(以及其他恶意活动)。研究人员说:“窃取的会话 cookie、访问令牌、2FA 代码、用户代理、IP 地址和地理位置等信息,以及一般帐户信息(如姓名和生日)可用于隐藏和冒充受害者。” 该恶意软件旨在尝试将攻击者控制的电子邮件地址添加到被劫持的 Facebook 企业帐户中,这些帐户可能具有较高的身份:管理员和财务编辑。根据 Facebook 所有者 Meta 的文档,管理员可以完全控制帐户,而财务编辑可以控制存储在帐户中的信用卡信息以及帐户上的交易、发票和支出。他们还可以将外部业务添加到存储的信用卡和月度发票中,从而使这些业务可以使用相同的付款方式。 冒充合法客户经理身份 在目标受害者没有足够的访问权限以允许恶意软件将攻击者的电子邮件地址添加到预期的企业帐户的情况下,攻击者依靠从受害者的机器和 Facebook 帐户中泄露的信息来冒充他们。 在 WithSecure 事件响应人员调查的一个案例中,受害者使用的是 Apple 机器,并且从未从 Windows 计算机登录过 Facebook。系统上未发现恶意软件,无法确定初始访问向量。目前尚不清楚这是否与 DUCKTAIL 有关,但研究人员确定袭击者也来自越南。 建议 Facebook Business 管理员定期审查在 Business Manager > Settings > People 下添加的用户,并撤销对任何授予管理员访问权限或财务编辑角色的未知用户的访问权限。 在我们的调查中,WithSecure 事件响应团队发现业务历史日志和目标个人的 Facebook 数据与事件分析相关。“然而,对于与个人 Facebook 帐户相关的日志,门户网站上可见的内容与下载数据副本时获得的内容之间存在广泛的不一致。作为对其他调查人员的建议,WithSecure 事件响应团队强烈建议尽快捕获业务历史日志的本地副本,并为其帐户请求用户数据的副本。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351010.html 封面来源于网络,如有侵权请联系删除

因泄露 5.33 亿用户隐私,Facebook 被罚 2.65 亿欧元

据BleepingComputer 11月28日消息,近日,爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件,向其母公司Meta开出 2.65 亿欧元(约20亿人民币)巨额罚单。 2021年4月,黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛,其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。DPC 于 2021 年 4 月 14 日正式启动了对 Meta 可能违反 《通用数据保护条例》(GDPR )的 调查。 Facebook 当时表示,黑客通过利用Contact Importer工具中的一个缺陷将电话号码与 Facebook ID 关联,然后抓取其余信息来为用户建立个人资料来收集数据。Facebook表示该漏洞已在2019年修复,黑客在此之前窃取了数据。 根据DPC 的调查结论,Meta违反了 GDPR 第 25章第1及第2条: 25.1 数据控制者应实施适当的技术和管理措施,比如将数据进行假名化,并在处理过程中纳入必要的保障措施,以满足本规定的要求并保护数据主体的权利。 25.2 数据控制者应该使用适当的技术及管理措施,来保证在默认情况下,仅使用处理目的所必要的个人数据。 特别注意这类措施应应确保在默认情况下,不应允许任何个人干预,同时只向有限数量的自然人提供个人数据。 数据抓取 数据抓取器是一种自动化机器人工具,能利用 Facebook 等保存用户数据平台的开放网络 API 来提取公开信息并创建大量用户资料数据库。 虽然不涉及黑客攻击,但爬虫收集的数据集可以与来自多个点(站点)的数据相结合,创建完整的用户档案,从而使黑客的攻击目标更加精准有效。在 Meta 的案例中,黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一个缺陷将电话号码与这些公开收集的信息相关联,从而允许他们创建包含个人和公共信息的配置文件。 由于许多科技公司在爱尔兰运营,DPC 被认为是欧盟 GDPR 合规的先锋,因此其决定势必会给其他掌控大量数据的企业带来影响,迫使他们重新评估其反抓取机制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351014.html 封面来源于网络,如有侵权请联系删除

Meta 警告 100 万 Facebook 用户可能被安装了密码窃取应用

Meta公司警告100万Facebook用户,他们的账户信息可能已经被来自苹果或Google商店的第三方应用程序泄露了。在一份新的报告中,该公司的安全研究人员说,在过去的一年里,他们已经发现了400多个旨在劫持用户的Facebook账户凭证的诈骗应用程序。 据该公司称,这些应用程序被伪装成”有趣或有用”的服务,如照片编辑器、相机应用程序、VPN服务、星座应用程序和健身追踪工具。这些应用程序通常要求用户在访问所承诺的功能之前”登录Facebook”。但这些登录功能只是窃取Facebook用户账户信息的一种手段。而Meta的威胁破坏总监大卫-阿格拉诺维奇指出,Meta发现的许多应用程序几乎没有功能。 阿格拉诺维奇在介绍情况时说:”许多应用程序在你登录之前几乎没有提供任何功能,大多数甚至在一个人同意登录之后也没有提供任何功能。” 值得注意的是,Meta在Google的Play Store和苹果的App Store都发现了恶意应用程序,不过绝大多数是Android应用程序。有趣的是,虽然恶意的Android应用大多是消费者应用,如照片滤镜,但47个iOS应用几乎都是Meta所说的”商业实用”应用。这些服务的名称包括”Very Business Manager”、”Meta Business”、”FB Analytic”和”Ads Business Knowledge”,似乎是专门针对使用Facebook商业工具的人。 x Agranovich说,Meta公司与苹果和Google分享了它的发现,但最终还是要由商店来确保这些应用程序被删除。与此同时,Facebook正在向100万可能使用过这些应用程序的人发出警告。这些通知告知用户,他们的账户信息可能已被一个应用程序泄露–它没有指明是哪一个–并建议重新设置他们的密码。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1324651.htm 封面来源于网络,如有侵权请联系删除

Meta 打击南亚滥用 Facebook 的网络攻击活动

Facebook母公司Meta披露,它对南亚的两个攻击组织采取了反制行动,这两个组织都是利用其社交媒体平台向潜在目标分发恶意软件。 Bitter APT 第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征,是由一个以Bitter APT(又名APT-C-08或T-APT-17)为名追踪的黑客组织进行,目标是新西兰、印度、巴基斯坦和英国的个人。 Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们,用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。 这些攻击者会在平台上创建虚构的角色,伪装成有吸引力的年轻女性,以期与目标建立信任,引诱目标点击带有恶意软件的假链接,攻击者说服受害者通过苹果TestFlight下载一个iOS聊天应用程序,TestFlight是一个合法的在线服务,可用于测试应用程序并向应用程序开发人员提供反馈。 研究人员表示该行为意味着黑客不需要依靠漏洞来向目标提供定制的恶意软件,只要攻击者说服人们下载苹果Testflight并欺骗他们安装他们的聊天应用程序,就可以利用苹果的官方服务来分发该恶意应用程序,使得该欺诈行为变得合法化。 虽然该应用程序的功能尚不明确,但它被怀疑是作为一种社会工程上的欺诈手段,通过专门为此目的策划的聊天媒介对活动的受害者进行监控。 此外,Bitter APT运营商使用了一个全新的安卓恶意软件,称为Dracarys,它滥用操作系统的可访问性权限,安装任意应用程序,录制音频,捕捉照片,并从受感染的手机中获取敏感数据,如通话记录、联系人、文件、文本信息、地理位置和设备信息。 Dracarys是通过冒充YouTube、Signal、Telegram和WhatsApp的木马程序传递的,延续了攻击者倾向于部署伪装成合法软件的恶意软件来侵入移动设备的趋势。 此外,作为对抗性适应的一个标志,Meta注意到该组织通过在聊天线程中发布破碎的链接或恶意链接的图片来反击其检测和阻止工作,要求接收者在他们的浏览器中输入链接。 Bitter的起源是一个谜,其行为特征难将其与任何一个特定的国家联系起来,该组织被认为是在南亚运作的,最近扩大了重点,打击孟加拉国的军事实体。 Transparent Tribe 第二个被Meta反制的集体是Transparent Tribe(又名APT36),这是一个据称以巴基斯坦为基地的APT组织,该组织使用定制的恶意工具攻击印度和阿富汗的政府机构的记录。 最新的一系列入侵事件表明该组织是一个综合体,专门针对阿富汗、印度、巴基斯坦、沙特阿拉伯和阿联酋的军事人员、政府官员、人权和其他非营利组织的雇员以及学生。 这些攻击者通过冒充公司的招聘人员、军事人员或希望建立浪漫关系的年轻女性,使用这些虚假身份进行社交骗局,最终诱使受害者打开承载恶意软件的链接。 下载的文件包含LazaSpy,这是一款名为XploitSPY的开源安卓监控软件的修改版,同时还利用非官方的WhatsApp、微信和YouTube克隆应用来传递另一款名为Mobzsar(又名CapraSpy)的商品恶意软件。 这两款恶意软件都带有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能,并启用了设备的麦克风,使它们成为有效的监视工具。 研究人员表示这个组织的行动体现了在全球APT攻击中的一种趋势,即低级别的团体更多地选择依靠公开的恶意工具,而不是投资开发或购买复杂的进攻能力。这些 低成本工具基本不需要多少专业技术即可使用,这就使得攻击门槛大幅度降低,黑客攻击与监视也会变得更加普遍。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341370.html 封面来源于网络,如有侵权请联系删除

大规模 Facebook 网络钓鱼活动,预计产生数百万美元收益

据 Bleeping Computer 网站披露,研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面,诱骗用户输入帐户凭据。 经研究人员分析,钓鱼活动背后的操作者可以利用这些被盗账户,向用户的朋友进一步发送钓鱼信息,通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称,钓鱼活动至少从 2021年 9 月就开始活跃,在 2022 年 4 月至 5 月达到顶峰。 PIXM 通过追踪威胁攻击者,绘制了钓鱼活动地图,发现其中一个被识别出的钓鱼网页承载了一个流量监控应用程序(whos.amung.us)的链接,该应用程序无需认证即可公开访问。 大规模的滥用 目前,尚不清楚钓鱼活动最初是如何开始的,但 PIXM 表示,受害者是通过一系列源自 Facebook 、Messenger 的重定向到达钓鱼登陆页面的,在更多的 Facebook 账户被盗后,威胁攻击者使用自动化工具向被盗账户好友进一步发送钓鱼链接,造成了被盗账户大规模增长。 另外,虽然 Facebook 有自身保护措施,可以阻止钓鱼网站 URL 的传播,但威胁攻击者使用某个技巧,绕过了这些保护措施。 再加上,钓鱼信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服务,当合法的应用程序使用这些服务时,阻止这些服务成为了一个很难解决的问题。 网络钓鱼活动中使用的一些 URL(PIXM) 值得注意的是,研究人员未经身份验证,成功访问了网络钓鱼活动统计页面,经过对数据信息分析后发现,在 2021 年,有 270 万用户访问了其中一个网络钓鱼门户,这个数字在 2022 年上升到 850 万,侧面反映了钓鱼活动在大规模增长。 通过深入研究,研究人员确定了 405 个用作钓鱼活动标识符的独特用户名,每个用户名都有一个单独的 Facebook 网络钓鱼页面,这些钓鱼网页的页面浏览量从只有 4000 次到数百万次不等,其中一个页面浏览量更是高达 600 万次。研究人员认为,这 405 个用户名仅仅占钓鱼活动所用账户的一小部分。 已识别的传播用户样本 (PIXM) 另外,研究人员披露,当受害者在钓鱼网站的登陆页面上输入凭证后,新一轮重定向就会开始,立刻将用户带到广告页面、调查表等。 一个向钓鱼用户展示的广告 (PIXM) 威胁攻击者能够从这些重定向中获得推荐收入,在这种如此大规模的钓鱼活动中,估计能有数百万美元的利益。 追踪威胁攻击者 值得一提的是,PIXM 在所有登陆页面上都发现了一个通用代码片段,其中包含一个是对已被查封网站的引用,该代码片段是对名为 Rafael Dorado 的哥伦比亚男子调查的一部分。 目前尚不清楚是谁查封了该域名并在网站上发布了通知。通过反向 whois 查询,指向了伦比亚一家合法的网络开发公司和提供 Facebook “like bots” 和黑客服务的旧网站链接。 PIXM 已经和哥伦比亚警方与国际刑警组织分享了调查结果,同时强调尽管许多已识别的 URL 已下线,但钓鱼活动仍在进行中。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335701.html 封面来源于网络,如有侵权请联系删除

泄露的 Facebook 工程师文件承认违法使用用户数据 或将面临全球收入 4% 的罚款

Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去年撰写的,该团队的任务是“在人与企业之间建立有意义的联系”,根据最近一份Facebook工作清单上对该团队的描述,该团队“处于Facebook货币化战略的中心,是推动公司发展的引擎”。 这个团队的任务是建立和维护Facebook庞大的广告系统,这是该公司业务的核心。在这份文件中,该团队发出了警告,并呼吁改变Facebook处理用户数据的方式,以防止该公司与欧洲、美国、印度和其他国家的监管机构发生冲突,这些国家正在推动对社交媒体公司实施更严格的隐私限制。 文件中写道:“我们无法完全掌控系统如何使用这些用户数据,因此我们无法自信地对外界做出‘不会将X数据用于Y用途’这样坚定的承诺。然而,这正是监管机构希望我们做到的事情,这增加了我们出错和误报的风险。”。 换句话说,在这份文件中,连Facebook自己的工程师也承认,一旦用户数据进入Facebook的系统,他们也很难弄清楚数据的去向。Facebook内部将这个问题称为“数据沿袭” 近年来,世界各地的监管机构都试图限制Facebook等平台对用户数据的使用。其中最著名、最重要的法规之一是欧盟的《通用数据保护条例》(GDPR),该条例于2018年5月生效。其中第5条规定,个人数据必须“为特定、明确和合法的目的收集,不得使用与这些目的不符的方式对数据进行处理。” 这意味着,Facebook获取的每一条数据,例如用户的位置或宗教取向,都只能被收集并用于特定目的,而不能再用于其他目的。 Facebook发言人否认这份泄露的文件显示公司违反了隐私规定。 “考虑到本文件没有描述我们在遵守隐私法规过程中的大量流程和控制措施,因此将这份文件作为我们违反隐私法规的证据是不严谨的。全球各地的新隐私法规引入了不同的要求,本文件反映了我们正在构建的技术解决方案,以扩展我们现有的数据管理和履行法律义务的措施。”这位发言人在通过电子邮件发送的声明中说。 一些隐私专家表示,他们认为该文件承认Facebook无法遵守法规。这些专家此前一直在与Facebook进行抗争,希望Facebook对私人数据的使用受到限制。 “这份文件证明了我们长期以来的质疑:Facebook内部有一个对所有人都免费开放的数据,而且该公司对其持有的数据没有任何控制权,”隐私活动人士、爱尔兰公民自由委员会高级研究员Johnny Ryan在一次采访中表示。“这是Facebook对自己没有对用户数据进行任何保护的明确承认。Facebook详细说明了它是如何违反数据保护法的各项原则的。它对我们的数据所做的一切都是非法的。人们不应该拥有免费的内部数据。” Facebook还安排了两名员工讨论如何在内部处理数据。在电话中,Facebook代表告诉媒体,他们正试图抢在隐私法律规定之前建设基础设施,以满足公司可能面临的要求。 这意味着要在工具上进行投资,使分析用户数据和数据用途的过程更加自动化,减少过程中对人工的依赖。 Digital Content Next的CEO Jason Kint表示,“消费者和监管机构会也将对Facebook系统内数据的规模和无序程度感到震惊。” Kint认为,Facebook无法跟踪其收集的用户数据的“来源和目的”。他指的是GDPR的第5条,其中有一项被称为“目的限制”的细则。 Ryan认为,这项细则意味着Facebook等公司必须告诉用户和监管机构,每一条特定数据的处理过程及用途。例如,如果你在Facebook个人简历上标明了宗教取向,这项个人信息就不应该用于广告推广。 设立这项“目的限制”的细则是为了保护人们的隐私。2020年,Ryan在爱尔兰对Google提起诉讼,指控这家科技巨头违反了这项细则,他们将“数百个需要处理的数据使用目的混在一起,形成了一个庞大的、对所有人都免费开放的内部数据库”。 Ryan当时的代理律师、隐私专家Ravi Naik告诉媒体,如果监管机构认为Facebook违反了GDPR的规定,该公司不仅可能面临高达其全球收入4%的行政罚款,而且还为监管机构将来进一步严格控制他们对用户数据的使用撕开了一道口子。 个人用户同样可以起诉Facebook,要求告诉他们告知自己数据的用途,比如Naik和Ryan当初对Google的指控。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263537.htm 封面来源于网络,如有侵权请联系删除

Facebook 因算法漏洞连推糟糕内容 一直持续半年

Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。 内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本(Joe Osborne)说:“我们追踪根本原因,最终发现是软件有漏洞,然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。” 多年来,Facebook一直鼓吹公司开发的降序系统,认为它可以提高动态消息的质量,随着自动系统的优化未来能处理更多种类的内容。很明显,Facebook系统仍然不完美。   转自 新浪科技 ,原文链接:https://finance.sina.com.cn/tech/2022-04-01/doc-imcwipii1733635.shtml 封面来源于网络,如有侵权请联系删除

Signal 创始人:Telegram 并不安全,甚至还不如 Facebook

Telegram已经赢得了越来越多的声誉,并且正如一些人可能认为的那样,成为了WhatsApp或Messenger的更安全的替代品–跟Signal应用一样的东西。然而,Telegram在提供额外网络安全方面的声誉被过分夸大了–这是Signal创始人Moxie Marlinspike在本周强调的东西。 更新:来自Telegram方面的回应 更新: Telegram方面回应称,Signal创始人的说法是错误的,Telegram 上发送的所有消息都经过安全加密,Telegram 云中保存的内容也经过加密。除了云聊天外,Telegram 还提供端到端加密的秘密聊天,不会在 Telegram 的服务器上留下任何痕迹。 Marlinspike对这位Signal最大的竞争对手之一提出了一些严厉的批评,它抨击了Telegram提供任何端到端加密的流行观点。Marlinspike指出,通过Telegram发送的信息会以其原始形式或纯文本存储在Telegram的服务器上,并且这家公司没有进行任何形式的加密来保护用户的私人数据。  他继续说道,在这方面,甚至Facebook的Messenger和WhatsApp都比Telegram提供了更大的隐私。据其披露,这两个由现在改名为Meta的公司运营的应用至少为通过其平台发送的所有文本信息提供端对端加密。 Telegram将所有通过该应用发送的数据存储在其云端并以完全暴露的格式存储:文本、共享媒体、联系人,所有东西对任何愿意查看的人来说基本上都是免费的。 这是一个即使按照Facebook的标准也无法接受的现实,因为Facebook在涉及到个人在线隐私时以缺乏关怀而闻名。甚至Messenger也为存储在其服务器上的数据提供最低标准的端到端加密协议。然而,任何能访问Telegram服务的人都可以直接访问整个用户的无保护数据数据库。 正如Winfuture(首次报道此事)所指出的那样,Telegram应用本质上是一个开放的窗口,它可以进入存储该平台上所有历史的服务器,使私人用户的一切可见,就像另一边的服务器运营商可见一样,需要零的额外努力才能直接访问。 重点是,如果任何人如黑客有任何兴趣窥探你在Telegram中的个人信息,那么他们可以很容易地做到这点。 因此如果有任何关于Telegram是“安全”的陈旧观念挥之不去,最好是一劳永逸地删掉它。   (消息及封面来源:cnBeta)