文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
美国基因检测公司 23andMe 周日宣布根据破产法第 11 章申请破产保护,以帮助它寻求出售,公司联合创始人兼 CEO Anne Wojcicki 在多次尝试收购失败之后辞职。她的职位由 CFO Joe Selsavage 临时接替。Wojcicki 计划在破产过程中再次提出竞价。她此前推动的私有化收购遭到了董事会的拒绝。23andMe 在去年 11 月宣布重组之后裁掉了 200 名员工,约占员工总数的四成。23andMe 于 2021 年上市时市值 35 亿美元,Wojcicki 是控股股东,拥有 49% 的投票权,她一直试图将公司私有化,去年 8 月她提议以每股 8 美元收购所有流通股,遭董事会拒绝。她成立了新董事会,再次提议以每股 2.53 美元收购流通股,再次被董事会拒绝。本月她的收购报价降至每股 0.41 美元,再次被董事会拒绝。在此背景下,董事会决定申请破产保护,在法庭监督下出售公司。
匈牙利议员以 136 票对 27 票通过了集会法修订案,禁止 LGBTQ+社群组织的骄傲游行,并授权政府使用面部识别软件识别参与者,可能会对参与者进行罚款。这项修订案是总理奥尔班(Viktor Orbán) 及其右翼民粹主义政党针对 LGBTQ+ 权利的最新立法,是欧盟历史上第一项针对 LGBTQ+ 的禁令。国际特赦组织对此予以谴责。欧盟平等事务专员 Hadja Lahbib 表示匈牙利的新法律违反了欧盟 27 国的价值观,称和平集会的权利是整个欧盟都应倡导的基本权利。布达佩斯骄傲节的组织者谴责新法律是法西斯主义,表示将会继续计划组织游行。
百度回应副总裁谢广军的女儿开盒事件时称,开盒信息并非源自百度。百度称,公司内部实施了数据的匿名化、假名化处理;数据存储和管理实行严格隔离和权限分离,任何职级的员工及高管均无权限触碰用户数据。百度安全部门反复调取了相关日志,并查验当事人权限。结果表明,开盒信息并非源自百度。百度也说,网上流传的“当事人承认家长给她数据库”的截图,内容为不实信息。此外,事件期间,社交媒体出现了大量文案高度雷同的造谣内容。针对相关网络谣言,公司已向公安机关报案。
网友披露一位未成年人在网上参与了对一位孕妇的“开盒”,对其造谣、曝光其工作单位并对其丈夫发去辱骂信息,只因该孕妇发表了对某韩国明星的评论。有网友指认称,参与“开盒”的未成年人为百度副总裁谢广军之女。部分知情人士推测“开盒”信息可能来源于“社工库”(由泄露数据搭建的非法数据库),也有网友表达对信息泄露的担忧。谢广军发表声明证实了此事,呼吁“网友停止扩散相关内容,给未成年人改正和成长空间。”根据其女的留言,她声称“开盒”信息是其父亲提供的,而且该信息包含了社工库里不太可能提供的信息——生辰八字。
流行解压缩软件 WinRAR 释出了 v7.10 正式版,主要变化包括:启用更大的内存页以改进性能、新的设置界面、暗色模式,以及新的隐私控制功能。新隐私功能允许用户调整 Windows Mark-of-the-Web 安全标记,移除可能的敏感数据。Mark-of-the-Web 安全标记被用于标记从 Web 下载的文件,当尝试打开该文件时 Windows 会警告是否确定要运行该文件。WinRAR 7.10 的隐私设置“Zone value only ”(设置—安全)允许用户删除 Mark-of-the-Web 安全标记中可能泄露隐私的元数据如下载位置和 IP 地址。
为遵守欧洲隐私法规,微软将为欧洲经济区用户移除多项 Windows 文件管理器功能。微软向 Windows Insider 测试者释出了一个预览版本 Windows 11 24H2 build 26120.3281。其中一个变化是移除 Location History API,该 API 允许 Windows 语音助手 Cortana 在位置启用的情况下访问 24 小时位置历史。Cortana 已被弃用,Windows 的助手现在都变成了 Copilot。另一个变化适用于欧洲经济区 Entra ID 账号。为满足欧盟隐私规定,微软从 Windows 文件管理器中移除了跟踪用户活动的功能,包括 Recent(最近访问的文件)、Favorites(收藏夹)、Details Pane(详细信息窗格)和 Recommended(推荐内容)。欧盟用户的文件管理器将会更干净整洁,可能性能也会有所提升。
在《Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World》一书出版近十年之后,知名加密技术和隐私专家 Bruce Schneier 表示一切照旧,没有发生改变。NSA 及其世界各地的同行仍然竭尽所能的大规模收集数据。云服务、物联网设备和智能手机的普及使得个人几乎不可能保护自己的隐私。我们越来越多的数据储存在云端,身边有越来越多的物联网设备,以及总是随身携带智能手机,走到哪里,隐私就跟着丢到哪里。虽然欧洲颁发了 GDPR(General Data Protection Regulation)等法律对个人数据收集进行限制,但仍然未能解决监控资本主义作为一种商业模式这一核心问题。而 AI 的兴起可能会破坏端对端加密。因为 AI 助手需要云端算力处理数据,个人可能不得不向公司交出更多数据。Schneier 对未来仍然保持乐观,相信大规模监控最终会被视为不道德的,就像今天的血汗工厂。但这一转变可能需要 50 年或更长时间。
本周举行的混沌计算机俱乐部 38C3 会议披露了大众汽车收集的 80 万电动汽车车主行踪信息暴露在互联网上数个月之久。这些信息保存在亚马逊 AWS 服务中,但安全性很差,信息暴露了车主汽车精确的 GPS 位置、电池状态和习惯(用报告者的话是汽车是否曾在妓院前停留都一目了然)。受影响的车主包括了德国政客、企业家、汉堡警方,甚至可能还有情报部门的间谍。软件 bug 是在 2024 年夏天引入的,一位匿名告密者发现了问题,报告给了混沌计算机俱乐部,混沌计算机俱乐部立即报告给了德国政府以及大众旗下的软件开发商 Cariad。Cariad 迅速修复了问题,堵上了对其客户数据未经授权的访问漏洞。
微软上个月开始向部分使用 Copilot+ PC 的用户开放预览其受争议的 Windows Recall 功能。Recall 通过每隔数秒进行一次屏幕截图,在本地创造可搜索数字记忆。该功能引发了隐私和安全方面的争议,微软因为争议而推迟了 Recall 的发布。修改后的 Recall 会尝试自动模糊密码和信用卡号等敏感数据。然而测试显示,Recall 仍然会记录下信用卡号和社会安全号码。它的过滤敏感信息功能只对少数电商网站有效,它对电脑屏幕上显示的敏感信息的鉴别能力非常低,可以肯定其屏幕截图会记录下用户的敏感信息。
西班牙、英国和美国的研究人员发现,智能电视会向服务器发送用户观看数据,从而品牌可生成用户的使用习惯详细档案,并根据消费者行为调整广告内容。研究发现,该项技术利用自动内容识别(ACR)捕捉屏幕截图或音频来识别屏幕内容。即使仅将电视作为外接设备或连接到笔记本电脑上使用,也会定期将此类信息传输至特定的服务器。研究人员分析了三星和 LG 品牌电视机将截图定期传输至服务器的规律性。数据显示,三星电视每分钟发送一次信息,而 LG 设备则每 15 秒发送一次。为了测试智能电视的防 ACR 追踪性能,研究团队尝试了不同的隐私设置。结果表明,尽管用户可以选择阻止将数据传输至服务器,但默认设置为自动启用 ACR 功能。该项研究为深入探索云端互联设备(或 IoT)之间的追踪活动提供了新思路,建议制造商和监管机构加速应对这些新设备在未来可能带来的挑战。
网络安全专家发现,微软办公软件 Microsoft Office 默认启用了用户数据收集功能。用户如果要关闭数据收集选项,需要打开多重菜单:File > Options > Trust Center > Trust Center Settings > Privacy Options > Privacy Settings > Optional Connected Experiences > 取消勾选框。专家认为微软会收集用户的 Word 文档和 Excel 电子表格数据训练 AI 模型。微软官员通过社交媒体 X/Twitter 否认使用用户数据训练 AI 模型。
Microsoft Copilot 工具被发现能让客户访问敏感文档,如 HR 文档和 CEO 电邮。微软正致力于解决该问题,部署新工具和指南去解决隐私担忧。微软的 Copilot 工具是通过浏览和索引所有公司内部文件进行工作的,而很多企业的 IT 部门在内部文件的访问权限管理上十分宽松,这通常不会构成安全问题,因为普通员工缺乏工具能识别和检索公司的敏感文件。但 Copilot 的出现改变了这一切。普通员工通过登陆 Copilot 就能访问公司 CEO 的收件箱阅读其邮件,或者查看 HR 部门的文档。
研究人员调查了 Telegram 上提供社工库服务的中文数据供应商,其中 Carllnet、DogeSGK 和 X-Ray 的频道都有数万名成员,使用一种积分系统进行支付。积分通常可用 Tether 币购买,有时候也支持微信支付或支付宝。社工库提供了范围广泛的用户信息查询,包括电话号码、通话记录、银行账户、结婚记录、车辆登记、酒店预订等个人消息。如果支付更昂贵的费用,它们还会提供更敏感的信息如护照图像或地理位置记录。社工库的数据部分聚合自网上泄露的数据库,但部分数据可能是由内部人士供应的。供应商向内部人士提供了相当可观的报酬。研究人员称大规模数据收集是一把双刃剑。
微软旗下的职业社交网络 LinkedIn 被爱尔兰数据保护机构 Data Protection Commission(DPC)罚款 3.1 亿欧元。LinkedIn 的欧洲总部位于爱尔兰的都柏林,爱尔兰 DPC 是其业务在欧洲的主要监管机构。这是爱尔兰根据欧洲数据保护法 GDPR 开出的金额第五大的罚单。对 LinkedIn 的投诉始于 2018 年,LinkedIn 处理用户数据用于定向广告以及用于跟踪行为的方式被认为不符合 GDPR。微软去年已经为这笔罚款提前预留了 4.25 亿美元,最后的罚款金额略低于这一数字。
Tor 项目释出了 Tor Browser 14.0。Tor Browser 14.0 是基于 Firefox ESR 128 的第一个稳定版。Firefox ESR 115 是 Mozilla 支持 Windows 7、8 和 8.1 的最后一个版本,将至少支持到 2025 年 3 月,而 Tor Browser 13 是基于 Firefox ESR 115,这意味着 Tor Browser 13.5 将是支持这些旧操作系统的最后一个版本。Tor 项目建议相关用户升级到新操作系统。
Center for Digital Democracy(CDD)发布了一份 48 页的报告《How TV Watches Us: Commercial Surveillance in the Streaming Era》,称智能电视和流媒体播放器制造商,以及流媒体服务提供商等业内企业开发了一种监控系统,将会在长期破坏隐私和消费者的保护。CDD 同时致函 FTC、FCC、加州总检察长和加州隐私保护局 (CPPA) ,对此状况表达了担忧,它认为智能电视变成了家庭中的数字木马,呼吁加强监管。
科沃斯的 Deebot 扫地机器人会收集客户室内的照片、视频和声音去训练其 AI 模型。该公司表示客户是自愿参加其产品改进计划。但用户通过科沃斯的手机应用选择加入该计划时并不知道机器人会收集哪些数据。科沃斯的隐私政策允许全面收集客户的数据用于研究目的:客户房屋的 2D 或 3D 地图,麦克风记录的语音,摄像头拍摄的照片或视频。科沃斯还表示,客户通过应用删除的数据可能会仍然被它保留和使用。它的扫地机器人被发现存在安全漏洞,允许黑客从远处劫持机器人监视客户。网络安全研究员 Dennis Giese 去年发现一系列基础性的错误,他向该公司报告了问题,对该公司保护客户隐私的能力表示了怀疑。
酒店和民宿偷拍最近引起了外界的广泛注意。中国新闻周刊调查发现,对整个偷拍黑灰产而言,被曝光的案例只是冰山一角。在一些色情网站上,有专门的偷拍视频板块,播放量相当可观,而作案工具的购入门槛之低,令人触目惊心。路由器、烟雾报警器、插板、纸巾盒甚至是一个螺丝孔……住宿业标配的这些物件,都可能成为针孔摄像头的藏身之所。在不知情的情况下,住客就成了视频中的“男女主角”。酒店、民宿变成色情片片场,按刺激程度收费。偷录的视频,通常会在某些境内外网络平台传播,常见的如国外社交平台 Telegram(电报)、X(推特)等。据中国新闻周刊观察,在上述平台,检索偷拍视频的门槛很低。以电报软件为例,涉及酒店、民宿偷拍的私密群聊通常分为两类,一类是免费预览群,另一类是付费会员群,提供完整版视频,入会价格甚至不到百元。平台上既有录播群,也有直播群。有群聊宣称已更新偷拍视频2w+,学校周边和一些情侣主题房“备受青睐”。
网友调查了石家庄民宿内的秘密摄像头,结果遭到民宿运营者的围攻。网红博主“影子不会说谎”在社交媒体上发布视频曝光,他们在石家庄新华区几家民宿内发现多个偷拍摄像头。视频显示,该博主收到网友的举报线索“在石家庄新华区华强广场内的公寓房间内,有人安装了偷拍摄像头”,于是与朋友前往涉事公寓,利用设备定位了装有一台偷拍设备的房间,征得房间内入住的两名女性同意后,在房间找到了隐藏在空调管道上的偷拍设备,随即报警处理。在发现摄像头后他们被多人围堵,被辱骂殴打和恐吓。之后,警方将博主等人带往派出所。博主出示的视频还显示,16 日凌晨,他们的车辆轮胎遭遇了放气,车牌号也被涂抹。此前记者的调查发现,国内已经形成一套偷拍贩卖的完整产业链。
微软原计划今年六月推出 Windows Recall 功能,但在测试之后被发现存在严重的隐私问题,微软随后撤回了该功能,但并没有放弃它。软件巨人上周披露它将会在 10 月推出 Recall,为了让用户接受 Recall,它对其进行了多项更改,包括让该功能可卸载,加强了安全性,确保只有合适的人才能访问保存在本地的数据。