文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。
公安部公布了最新一季度的 APP 专项整治结果:查处违法违规收集公民个人信息 APP 服务单位 386 个,其中 97 个 APP 被予以行政处罚,192 个 APP 被责令改正违法行为,51 个 APP 被下架、停运。公安报公布的十大案例包括了猎豹清理大师和印象笔记,猎豹清理大师隐私协议中对于索取用户通讯录、通话记录等权限的行为没有进行详细说明,印象笔记隐私协议中未以显著位置、显著字体申明收集用户信息数据项,未明示各数据项收集用途。印象笔记是 Evernote 的中国版本。
加拿大多伦多大学公民实验室发表报告称,微信监视所有用户的内容,无论是中国用户还是非中国用户,他们发送的内容都受到监视。微信是中国最流行的社交媒体平台,截至 2019 年底有 11.5 亿月活用户。微信曾被认为主要审查中国用户的账号,但公民实验室发现非中国国籍或者使用非中国手机注册的账号同样受到监视,这些用户发送的文件和图像都面临内容监视和审查。
成人网站 CAM4 因错误配置的 ElasticSearch 数据库泄露了 108 亿条数据,包括名字、性取向、支付记录、电邮和聊天记录,总容量 7 TB。目前没有证据表明 CAM4 遭黑客入侵或数据库被恶意攻击者访问,但由于其数据库敞开了大门,所以并不意味着没有。泄露的数据非常全面,还包括国籍、注册日期、语言偏好、哈希密码和用户企业之间的电邮通信。在 108.8 亿条记录中,研究人员发现 1100 万条记录包含电子邮件地址,26392,701 条记录包含用户账号和网站系统的哈希密码。泄露的美国用户大约有 660 万,巴西 540 万,意大利 490 万,法国 420 万。CAM4 的母公司 Granity Entertainment 在收到报告之后迅速将数据库下线。
安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。另一位网络安全专家 Andrew Tierney 展开了更进一步的调查,发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件,有数以百万计的用户受到影响。小米的设备以低价但高配置著称,但用户付出的代价是隐私。对于这一发现,小米公司回应声称不真实。该公司发言人承认浏览器会收集数据,但表示数据是匿名收集的。
Tor 项目以新冠疫情为由裁掉了 13 名雇员,保留 22 名雇员。作为一个非盈利组织,Tor 项目主要依赖于捐款。对于 Tor 项目的说辞,一部分人持怀疑态度。Tor 项目官方博客在声明中称,Tor 遭遇了 COVID-19 危机,类似其他非盈利组织和小型企业,危机给他们带来了沉重打击,不得不做出困难的决定。危机之后的世界也不再原来的世界,对隐私和安全的需求将会更迫切,做出裁员的决定是为了确保项目继续存在。
莫斯科周三开始要求强制性使用电子通行证系统。莫斯科是俄罗斯的新冠疫情中心,该国的 18,328 确诊病例中有 11,513 人是在莫斯科。电子通行证系统要求年龄在 14 岁以上的莫斯科居民如果想要外出必须下载一个二维码。通过在官方网站登记或下载一个官方应用,居民可以提前制定好出行路线和目的,然后收到一个能被当局检查的二维码。警方将能扫描二维码,对未获许可外出或故意提供虚假信息的人进行罚款。必须外出工作的人将获得一个特别的无限制通行证,而出于个人事务外出的人每周只能获得两个通行证,每个的有效期为一天。
美国参议院成为了最新一个告知其成员不要使用 Zoom 的机构,原因是他们担心这家视频会议平台的数据安全。Zoom 的使用人数在疫情期间迅速上升。据三名听取了意见简报的人士表示,参议院警卫官警告所有参议员不要使用 Zoom 的服务。一位看到过参议院警告文件的人士表示,该警告要求每位参议员的办公室都寻找另一种平台用于远程办公,尽管美国大部分地区目前仍处于封闭状态。但这位人士补充称,参议院并未正式禁止 Zoom 的产品。在美国参议院采取这一行动之前,包括 Google 在内的多家企业已做出了类似的决定。
匿名发行版 Tail OS 发布了 4.5 版本,主要新特性为支持在启用 Secure Boot 的计算机上启动。Tail OS 设计作为 Live CD 或 Live USB 使用,不在主系统留下使用痕迹。Tails 4.5 的其他变化包括:Tor Browser 9.0.9,修复了多个安全漏洞,其中一个是高危。Tails 基本上每个月会发布一个小的更新版本,Tails 4.6 将在下个月发布,4.7 将在 6 月发布,而大版本更新则将间隔更长时间,Tails 5.0 计划在明年 6 月发布。
“我们在监视你,我们在记录你的按键,我们在记录你访问的网站,每 10 分钟我们会截屏。”所以好好工作,否则将要面临后果。金融科技公司 Axos Financial 的 CEO Gregory Garrabrants 告诉雇员,不要把远程工作当作休假,如果日常工作没有完成,将会受到纪律处分,严重的话将会解雇。新冠疫情让许许多多的人远程工作,间谍软件的销量也随之大涨,企业试图利用间谍软件来维持一定程度的安全性和生产力。Axos 发言人 Gregory Frost 没有回答 Garrabrants 是否也受到同等监视的询问。监视软件公司 InterGuard 的 CEO Brad Miller 表示,企业使用间谍软件不是因为缺乏信任,而是因为不这么做将是鲁莽的。但企业这么做其实就是缺乏对雇员的信任。
匿名读者 写道 "在多个浏览器内建广告拦截器后,Vivaldi 浏览器也开始内建广告与跟踪拦截器。跟踪拦截器使用了 DuckDuckGo Privacy Essentials 浏览器扩展同样的列表,列表基于 DuckDuckGo Tracker Radar 跟踪器雷达的数据集生成,可以识别出能完全拦截而不破坏网站的跟踪器。拦截跟踪的方法是在发送之前停止对跟踪器 URL 的请求。对于多数用户而言,拦截跟踪就足够了,而网站需要广告获得收入,Vivaldi 则坚信用户说了算。"
新冠疫情让提供远程会议服务的 Zoom 成为最受瞩目的科技公司之一,它的服务对于居家隔离和远程工作者来说是必不可少的。但 Zoom 的 iOS 客户端引发了批评,被发现会向 Facebook 发送数据,即使用户没有 Facebook 账号。Zoom 官方博客回应称,原因是它的客户端使用了 Facebook SDK。Zoom 称,它非常重视用户的隐私,它使用 Facebook SDK 实现了 Login with Facebook 的功能,让用户能更方便的访问其平台。它刚刚获悉,Facebook SDK 收集了设备操作系统类型,版本号,时区,型号,屏幕大小,处理器核心、可用储存空间和运营商等信息。这些信息对于 Zoom 提供服务并非是必要的,因此它决定移除 Facebook SDK,重新配置 Facebook 登陆功能,用户在更新之后仍然可通过浏览器使用 Facebook 账号登陆。
在韩国,政府机构正在利用监控录像、智能手机的位置数据和信用卡消费记录来帮助追踪冠状病毒患者的近期活动,并确立病毒传播链。在意大利伦巴第,当局正在分析市民手机传送的位置数据,以确定有多少人遵守政府的封锁令,以及他们每天通常行走的距离。一位官员最近说,大约有40%的人走动得“太多”。在以色列,内务安全部门准备开始使用手机位置数据的缓存——最初是用于反恐行动——以精确寻找可能已感染该病毒的国民。随着世界各国争分夺秒地遏制这一大流行,许多国家正在部署数字监视工具,用于施加社会控制,甚至将安全机构的技术用在自己国民身上。卫生和执法部门有理由如此迫切地使用所有可用的工具来阻止病毒传播——即使这样使用监控有可能在全球范围内改变公共安全与个人隐私之间的脆弱平衡。
以色列政府授权国家安全局辛贝特将电话监听策略用于新冠病毒感染者。总理内塔尼亚胡表示政府将采取严厉措施保护公众健康,虽然这在一定程度上会侵犯隐私。以色列的新冠确诊病例已超过 200 例,卫生官员已要求与确诊者有过接触的人进行居家隔离。新的计划将使用手机跟踪技术更精确的掌握感染者的行踪,识别可能暴露在病毒下的人。此类技术此前从未用于跟踪平民,内塔尼亚胡以病毒造成的巨大健康威胁合理化手机跟踪。
Amnesia Incognito Live System Tails 发行版释出了 4.4 版本,该版本修正了上一个版本的多个安全漏洞,建议用户尽可能快的升级。其它更新包括 Tor Browser 9.0.6,Thunderbird 68.5.0,Linux 5.4.19,修复了与 Wi-Fi 相关的问题。Tails 是基于 Debian GNU/Linux 和 Tor 的 Live 操作系统,能安装在光盘、U 盘和 SD 卡上,可以随身携带,需要时直接从光盘、U 盘或 SD 卡启动。它预先配置让所有流量都经过 Tor,不留下任何跟踪痕迹。它最著名用户可能是 NSA 告密者 Edward Snowden。
中国科学报报道了如何识别戴口罩人脸的技术。报道称,为保障全国复工复产,以 BAT、商汤科技、云从科技等为代表企业开发出诸多戴口罩人脸识别产品,近日这些产品陆续投入使用。中国信通院云大所人工智能部工程师刘硕表示,以前的人脸识别主要是针对全脸进行扫描,疫情暴发后,研发人员考虑到居民戴口罩的情况,加强了对眼睛、眉毛等重点区域的识别。北京邮电大学模式识别实验室教授邓伟洪坦言,戴口罩、墨镜等遮挡条件下的人脸识别其实是一项“老”技术,此前研究人员在解决军事刑侦和视频监控问题时就曾长期研究过该技术,并发展出诸多成熟应用。因此,该技术的稳定性和准确率是有一定基础的。以往的技术基础并没有完全打消人们对戴口罩人脸识别“先天不足”的顾虑。相较于以往,口罩遮挡住面部,这使得人脸识别系统收集到的面部信息大量减少。邓伟洪表示,人脸识别的关键信息集中于眉毛和眼睛,只要模型训练得当,戴口罩人脸识别的准确率并不会大幅下降。
市场营销公司 Sensor Tower 被发现从 2015 年起控制了至少 20 款 Android 和 iOS 应用——其中 Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus 通过 Google Play,Adblock Focus 和 Luna VPN 通过苹果 App Store 提供给用户,在报告之后苹果和 Google 移除了部分应用,表示正继续展开调查。一旦安装 Sensor Tower 的应用,它会提示安装 root 证书。这些应用都没有披露它们与 Sensor Tower 的关系。该公司的一名高管表示不披露所有权是出于竞争因素,称这些没有收集敏感数据或个人身份信息。调查人员是通过这些应用的开发者发现它们与 Sensor Tower 的关系。