文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
英国和爱尔兰大学的研究人员在预印本平台 arXiv 上发表研究报告《Android OS Privacy Under the Loupe -- A Tale from the East》,分析了一加、小米和 Oppo Realme 手机上预装的系统应用软件,假定用户没有登陆,退出个性化和分析,没有使用任何云储存等第三方服务。这些手机预装了 30 多个第三方软件包,其中小米 Redmi Note 11 预装了百度输入法、科大讯飞和搜狗输入法等,OnePlus 9R 和 Realme Q3 Pro 预装了百度地图和高德地图,此外还捆绑了各种新闻、视频和在线购物应用。研究人员发现,即使手机没有插入 SIM 卡或 SIM 卡属于不同运营商,手机仍然会向厂商、百度和中国移动网络运营商发送个人身份识别信息,传输的数据包括 IMEI、MAC 地址、GPS 坐标、用户配置文件和社交联系(通话/短信历史/时间、联系电话号码等)。研究人员称,每当打开预安装设置、便签、录音机、电话、消息和相机应用时,小米的 Redmi 手机都会向 tracking.miui.com/track/v4 发送 post 请求,不管用户如何设置选择退出跟踪都会发送。研究人员注意到,国行版的 Android 手机预装第三方应用数量是其它国家 Android 手机系统的 3-4 倍。
在 TikTok 短视频时代,任何人都可能会被拍摄到视频中,不知不觉成为娱乐的一部分。现在许多人开始抵制这一潮流,发出了“2023 年不要把我拍进视频里”的呼声。在 TikTok 诞生之前,公共空间就日益成为内容创造的一个舞台。只要你走出去,就可能出现在其他人的视频中。在监视资本主义时代,这种临时性的、个性化的监控设备让很多人反感的一个原因是我们被监控的足够多了。如果有人想拍摄其他人的视频,那么最好征得对方的同意。
消息应用 WhatsApp 宣布加入代理服务器支持功能,允许用户通过代理服务器绕过封锁访问 WhatsApp。WhatsApp 称帮助被封锁地区用户继续使用该应用是开发这项功能的主要动机,它举了伊朗的例子,称连续数个月的访问中断是剥夺人权切断获得紧急援助的途径。WhatsApp 称,使用代理服务器之后通信仍然是端对端加密,无论是中间人还是代理服务器以及 WhatsApp 或 Meta 都看不到用户的通信内容。
欧盟隐私监管机构 Irish DPC 对 Meta 开出了 3.9 亿欧元约 4.11 亿美元的罚单,社交巨人的在线广告被指违反了欧盟的隐私法。Meta 不服裁决表示将提起上诉。诉讼有可能将持续数年,如果 Meta 最终败诉,它的核心商业模式可能会严重受损。根据 GDPR 隐私法律,欧盟禁止 Meta 旗下的 Facebook 和 Instagram 使用用户个人数据用于在线广告,Meta 必须向用户提供明确的同意反对选项,让用户选择加入它的个性化广告,而不是根据其服务的用户条款默认加入。
隐私搜索引擎 DuckDuckGo 宣布将默认启用名为 Google Sign-in Pop-up Protection 的功能,将屏蔽 Google 烦人的登陆提示。用户仍然可以随时登陆 Google,但不再需要应付 Google 的提示。DuckDuckGo 产品总监 Peter Dolanjski 认为 Google 的登陆提示窗口是侵入性的,对用户隐私造成了破坏。通过在未登陆的情况下督促用户登陆,Google 跟踪用户在不同网站的行为,并将其与用户身份关联起来。如果能让更多用户登陆,Google 和出版商能收集更多的数据,能更好的投放定向广告,每个人能获得更多的钱,但用户除外。
你的扫地机器人在看着你。它可能会拍摄你的私密照片,而照片可能会被泄露到网上。iRobot 公司的扫地机器人 Roomba 会使用摄像头拍摄房间照片用于数据注释目的——由人类零工确认或否定 AI 是否正确标记。这个过程对 AI 扫地机器人是必不可少的,但大部分人并不知道。iRobot 证实有美国之外的零工在社交网络上泄露了机器人拍摄的照片,其中包括有女性在厕所。iRobot 称泄露的照片来自开发机器人,上面有明显的标记显示“视频在录制中”。
TikTok 母公司字节跳动周四表示,该公司有数名员工误用职权不当读取了两名记者在 TikTok 上的用户数据。两名记者分别是一名 BuzzFeed 前记者和一名《金融时报》的记者。这几名员工试图通过查看 IP 地址以确定记者是否与涉嫌泄露机密信息的员工处于同一地点。这些员工已经遭到解雇。字节跳动总法律顾问 Erich Andersen 表示,TikTok 将重组内部审计和风控部门,该部门接触用户数据的所有途径和权限已被取消,并且将不再雇用任何被发现参与或监督过该计划的人。
蔚来在港交所发布公告,2022 年 12 月 20 日,公司得知 2021 年 8 月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。此外,公司承诺其对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。
Anker 旗下 Eufy 安全监控探头被发现会在未启用云服务的情况下将用户信息和人脸的缩略图上传到云端服务器。安全顾问 Paul Moore 购买了一个 Eufy Doorbell Dual,发现在未启用云服务时用户信息的缩略图会被上传。他发布了一则视频,演示了拍摄自己脸部视频,相关信息被上传到云端。即使没有注册云服务,从 Eufy 应用中删除视频,缩略图仍然能从网站访问。Eufy 没有上传完整视频,只是上传了缩略图。对于 Moore 的询问,Eufy 回应承认向其 AWS 服务上传了缩略图,表示数据不会向外泄露,因为 URL 是受限的,时间也有限制,而且需要账号登陆。Moore 还发现未加密的 Eufy 探头内容可以在没有身份认证的情况下访问。
加拿大安大略省 Guelph 大学的研究人员将笔记本电脑留在 12 家电脑维修店过夜,然后在拿回笔记本电脑后恢复日志,检查数据访问情况。结果显示有 6 家店里的技术人员访问了个人数据,其中两家还将数据拷贝到个人设备上。研究是在 2021 年 10 月-12 月之间展开的,研究人员将笔记本电脑带到安大略省的 16 家维修店,其中两个设备的访问日志无法恢复,还有两次是在当场维修的,技术人员没有机会查看个人数据。在三次案例中技术人员删除了 Windows 快速访问和最近访问的文件。维修店通常没有隐私政策,而技术人员通常会要求客户提供登陆密码,即使这对于修电脑是非必要的。作为研究的一部分,研究人员将一台华硕 UX330U 笔记本电脑带到 11 家电里去更换电池,这种电池更换不需要登陆电脑,可以在 BIOS 中检查电池健康情况,但只有一家维修店没有要求提供登陆密码。有三家店拒绝在不提供登陆密码的情况下修电脑。他们的研究报告发表在预印本平台 arxiv 上。
德国联邦数据保护局和 17 个州的监管机构发表联合声明,在两年的谈判之后他们得出结论,微软的办公软件订阅服务 Microsoft 365 不兼容于欧洲的隐私监管法律 GDPR。Microsoft 365 会收集用户数据,并授予自己广泛的权利去处理这些数据。微软把自己打扮成一个值得信赖和负责任的科技巨头,但实际上它却在破坏监管,正常化企业数据滥用。这一报告并非是执行决定,Microsoft 365 是一个广泛使用的办公软件,要限制它的数据收集行为可能需要整个欧盟的努力。
法国将禁止学校和公共机构使用免费版 Office 365 和 Google Docs,原因是它们缺乏遵守欧洲数据监管法律的机制。Office 365 和 Google Docs 只有付费版本才提供此类数据保护功能。法国教育部门的预算仅次于医保/社保,他们并不缺乏购买付费版本所需的资金。
意大利暂停使用面部识别技术和能识别汽车牌照的红外智能眼镜。隐私监督机构数据保护局称,在相关法律采用前或至少到明年年底之前,不允许使用生物识别数据的面部识别系统。司法调查或打击犯罪行为将作为例外情况。数据保护局表示要对面部识别相关的做法进行规范。该机构表示,根据欧盟和意大利的法律,公共机构使用视频设备处理个人数据,基于公共利益的理由且与公共当局活动有关,这些通常是允许的。
匿名读者 写道 "Apple正面临一起集体诉讼,起诉该公司违反隐私设置承诺收集iPhone用户数据。该诉讼于当地时间上周四向加州联邦法院发起。此前, 两名独立研究员在测试中发现,即使用户关闭iPhone Analytics选项,iPhone上的AppStore仍会向Apple发送用户在该商店中所做几乎所有事情的详尽信息。研究人员发现,大多数苹果内置的iPhone应用均存在此问题,包括Apple Music、Apple TV等。我们不可能知道Apple对这些数据做了什么。Apple到目前为止一直保持沉默。"
TikTok 更新了其隐私政策,通知欧洲用户包括中国在内的非欧盟国家的员工能访问用户数据,此举旨在确保用户在其平台上的体验是一致的、愉快的和安全的。TikTok 在其它国家的员工能访问欧盟用户数据还包括巴西、加拿大、以色列,美国和新加坡,TikTok 欧洲用户数据储存在这些国家。新隐私政策适用于英国、欧洲经济区和瑞士,将于 12 月 2 日生效。
Mozilla 的一项服务 Firefox Relay 能为用户生成随机电邮地址,保护用户真正的电邮地址免受广告商和垃圾信息发送者的侵扰。Firefox Relay 会将随机电邮地址的邮件转发给用户真正的邮箱,如果用户收到的邮件是垃圾信息,用户可以删除该电邮地址。现在 Firefox Relay 扩大到了为用户生成虚拟电话号码,避免广告电话或短信的侵扰。今天很多服务都需要用户提供电话号码,比如需要手机接收验证码。如果你担心手机号码会被共享会被用于打广告电话,那么 Firefox Relay 的虚拟电话号码能隐藏你真正的手机号码。电话隐藏服务需要付费,每月 5 美元能提供 50 分钟的通话和 75 条短信,电邮隐藏服务则有免费和付费两种选项。
美国监管机构公布了与十多家华尔街银行就使用 WhatsApp 等加密消息应用违反记录保存监管要求而达成的和解协议,总罚款金额逾 20 亿美元。美国证券交易委员会(SEC)公布了 11 亿美元的罚款,美国商品期货交易委员会(CFTC)则公布了 7.1 亿美元罚款,加上摩根大通此前公布的 2 亿美元罚款,总罚款金额 20.1 亿美元。
一位用户名叫 Data 的卖家在一个流行黑客论坛出售包含 3.5 亿用户信息的 Ask.FM (ASKfm)数据库。这可能是有史以来最大规模的数据泄露事件之一。Ask.FM 是一个问答社交网络,2010 年上线,有逾 2.15 亿注册用户。Data 公布了数据样本,透露数据库字段包括 user_id、username、mail、hash、salt、fbid、twitterid、vkid、fbuid、iguid。Ask.FM 的密码使用了 SHA1 加密,因此比较容易破解。Data 表示最早是在 2019 年访问 Ask.FM 服务器,2020-03-14 获得了它的数据库。Ask.FM 在 2020 年就知道了这次入侵,但未予以披露。它至今没有对此作出回应。
《连线》报道称 Telegram 存在严重的人肉搜索问题。来自中东、东南亚和东欧的活动人士和专家表示,Telegram 平台无视他们对于政治动机人肉搜索的警告。Telegram 目前有逾 7 亿活跃用户,它几乎不对内容进行审查,因此在独裁专制国家居民、阴谋论者、反疫苗者等人群中非常受欢迎。但数字权利活动人士 Victoire Rio 指出这也导致政治人肉搜索的扩散,容易被用于发动众包攻击。攻击者可以发布一个目标,鼓励追随者挖掘或分享目标的私人信息。虚假信息或人肉搜索内容可以交叉发布通过有数以千计用户的频道进行病毒式传播。
TikTok 首席运营官 Vanessa Pappas 周三在美国参议院国土安全和政府事务委员会接受议员们的询问。美国参议员和监管机构担心 TikTok 会将美国用户的数据交给中国政府,Pappas 对此坚决否认,称从未向中国政府提供数据,而且母公司字节跳动的总部也不在中国,因为它根本没有总部。她说字节跳动有严格的数据访问控制,中国政府没有影响到该公司的企业政策。TikTok 最近开始通过甲骨文的服务器发送流量,但部分数据仍然会备份在字节跳动位于新加坡和美国弗吉尼亚州的服务器上。