HackerNews 编译，转载请注明出处： 法国数据保护机构国家信息与自由委员会（CNIL）宣布，因违反Cookie使用规则，对谷歌和希音（Shein）分别处以3.25亿欧元（约合3.79亿美元）和1.5亿欧元（约合1.75亿美元）的罚款。 CNIL指出，两家公司在未征得用户同意的情况下，在其浏览器上设置了广告Cookie。希音此后已更新系统以符合法规要求。据路透社报道，希音计划对此决定提出上诉。 CNIL特别说明，“在创建谷歌账户时，用户被引导选择与个性化广告展示相关的Cookie，而非通用广告相关的Cookie，且未明确告知用户为广告目的存储Cookie是使用谷歌服务的前提条件”。以此方式获得的用户同意无效，违反了《法国数据保护法》第82条。尽管谷歌在2023年10月增加了拒绝Cookie的选项，但“缺乏知情同意的问题依然存在”。 谷歌还因在Gmail“促销”和“社交”标签页中以邮件形式插入广告而受到指责。CNIL强调，根据《法国邮政与电子通信法典》（CPCE），展示此类广告需获得用户明确同意。法国电信运营商Orange曾在2024年12月因类似行为，未经用户同意在邮件中插入广告而被罚款5000万欧元。谷歌被要求六个月内完成整改，否则将面临每日10万欧元的罚款。 与此同时，美国一个陪审团裁定谷歌侵犯用户隐私，即在用户选择退出“网页与应用活动”跟踪后仍收集其数据。该集体诉讼最终判决谷歌支付4.25亿美元赔偿金。谷歌在给路透社的声明中表示，该裁决“误解了其产品的工作原理”，强调其隐私工具赋予用户数据控制权，并计划上诉。 此外，美国联邦贸易委员会（FTC）宣布，迪士尼已同意支付1000万美元以了结指控，因其未经家长通知或同意收集观看YouTube视频的儿童个人数据，违反了美国《儿童在线隐私保护规则》（COPPA）。FTC指出，迪士尼未正确标注其上传至YouTube的部分视频为“儿童制作”，从而收集了13岁以下儿童观看内容的数据并用于定向广告。拟议和解方案要求迪士尼在收集13岁以下儿童个人数据前开始通知家长并征得同意，并启动一个项目确保上传到YouTube的视频被正确标注。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

中国跨境电商应用Shein的一个版本在谷歌Play商店中的下载量已超1亿次。但研究发现该软件会对Android设备的剪贴板进行非必要访问，并将内容传输至远程服务器，从而引发安全问题。 在3月6日发布的博文中，微软研究人员表示他们发现的问题存在于2021年12月16日发布的Shein 7.9.2版本，并确认问题已经在2022年5月得到解决。用户只要更新已安装应用，即可防止潜在的恶意攻击。 剪贴板已经成为网络攻击中备受关注的目标，移动用户经常通过剪贴板来复制和粘贴敏感信息，例如登录凭证、财务数据及个人信息。恶意黑客可以窃取剪贴板数据，进而发动钓鱼攻击、密码窃取或实施其他欺诈活动。甚至有攻击者会篡改剪贴板内容以开展恶意活动，例如修改剪贴板内的加密货币钱包地址，导致用户向钱包应用中粘贴的内容发生变化。 微软表示，他们无法断言Shein事件是否存在恶意意图，但表示该应用没有必要访问剪贴板。外媒SC Media已经就此事向Shein发出置评请求。 微软指出，“即使Shein复制剪贴板的行为不存在恶意，此事也凸显出已安装的应用可能带来的风险，包括那些极受欢迎、从官方应用商店下载的手机软件。” 微软安全检测并验证了Shein的剪贴板操作，方法是对该应用执行静态分析以查找“对应此项操作的代码”，之后再通过动态分析“在检测环境中运行该应用，进一步观察代码行为”。 图：Shein应用中导致剪贴板访问的调用链示例。   根据微软的研究结果等，谷歌意识到涉及剪贴板的潜在威胁，并做出以下调整以保护Android平台。 在Android 10及更高版本中，除非在默认输入法编辑器内明确设置，否则应用无法访问剪贴板数据。 在Android 12及更高版本中，当应用首次调用并访问来自其他应用的剪贴数据时，会有提示消息向用户报告这一访问行为。 在Android 13中，剪贴板内容会在一段时间后被清除，借此加强保护。     转自 安全内参，原文链接：https://www.secrss.com/articles/52651 封面来源于网络，如有侵权请联系删除

据The Verge报道，超快速时尚品牌Shein和Romwe背后的公司将向纽约州支付190万美元，因为数据泄露影响了数百万客户。罚款源于对Zoetop公司的指控，即该公司未能保护客户的数据，没有适当地通知客户数据泄露，并试图对泄露的程度保持沉默。 罚款是在司法部长办公室对2018年的一次黑客攻击进行调查后作出的，其中信用卡和个人信息，如姓名、电子邮件和哈希密码被盗。该数据泄露事件影响了3900万Shein和700万Romwe账户，包括属于纽约人的80多万个账户。 据OAG称，在Zoetop得知黑客攻击后，该公司只联系了部分受影响的客户，没有为任何账户重置密码。对于3250万个Shein账户，Zoetop没有提醒用户他们的登录信息已被暴露。该公司还被指控虚报数据被盗的客户数量，并说它没有证据表明信用卡信息被盗。 两年后，在Zoetop在暗网上发现据信来自2018年黑客攻击的客户登录信息后，Romwe的客户被告知有数据泄露。当Zoetop最终在2020年12月为所有Romwe客户重新设置密码时，调查发现它告诉客户他们的密码在一年内没有被更改后就过期了。次年2月，它用一条不同的信息取代了这一信息，只说：“我们发现了可疑的活动，请核实您的身份，以便恢复您的账户。” OAG的调查还发现，Zoetop在黑客攻击时“未能保持合理的安全措施”，包括使用不充分的密码管理系统，以及未能监测安全问题或在发生网络攻击时有一个全面的计划。 该电子商务网站深受世界各地年轻人的欢迎，以最低的价格不断推出服装和配件。据Politico报道，Shein今年的估值超过1000亿美元。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326527.htm 封面来源于网络，如有侵权请联系删除