近日,多位小红书用户反映该应用存在高频获取用户信息的问题,引发广泛关注。用户数据显示,在未使用软件的情况下,部分用户的定位等信息仍被频繁访问,最高达到3天内1.7万次读取。这不仅涉及地理位置、设备状态和照片视频等常规数据,还包括日程安排和剪贴板内容。
对此,小红书官方回应称,该平台不会在未经授权的情况下获取用户位置信息,且读取频次与用户使用场景相关。官方客服表示,只有当用户主动授权开启相关权限时,才会出现此类操作现象,并强调这是正常机制。
值得注意的是,除了高频数据读取问题外,网络安全专家还指出小红书存在其他风险漏洞。例如,未能有效防范的数据库注入攻击和未受保护的WebView组件等问题,均可能被用于获取用户敏感信息。
此事件引发了公众对用户隐私安全的高度关注。尽管小红书官方作出解释,但用户的担忧并未完全消除。有用户反映最早在2024年7月就注意到类似问题,并在社交媒体上引发广泛讨论。这些情况表明,社交平台的数据收集和使用机制仍需进一步规范和完善。
这一系列事件凸显了移动应用领域数据保护的重要性,如何平衡用户体验与隐私安全,成为行业需要共同面对的课题。
基因检测公司23andMe正计划将其1500多万客户的DNA信息纳入拍卖清单。这家成立于2006年的公司已申请在5月14日对其资产进行拍卖,其中包括大量客户基因数据。这些数据被认为是”世界上最大的基因研究众包平台之一”。
这一事件凸显了公众对敏感生物医学数据保护的深层担忧。尽管破产法中包含一些针对23andMe等企业敏感信息的保护措施,但关键基因数据被出售的可能性仍加剧了人们对行业隐私和安全问题的关注。
23andMe自2021年上市以来始终未能实现盈利,并声称将通过法院监督程序处理客户个人信息。此次拍卖不仅暴露了公司在财务危机中的困境,也揭示了一个残酷现实:在破产过程中,用户数据可能被视为可交易的资产,就像医院患者信息或零售连锁店的客户记录一样。
这一事件引发人们对生物医学数据隐私保护机制的深刻反思,尤其是在科技公司面临财务困境时如何确保敏感信息的安全。
深度求索的AI在几天内受到数百家公司限制
据网络安全公司称,全球各地的企业和政府机构正在采取行动限制其员工访问中国人工智能初创公司深度求索最近发布的工具。美国网络公司 Armis Inc. 的首席技术官纳迪尔·伊斯雷尔在谈到自己的客户时表示,“数百家”公司,特别是与政府有关联的公司,因担心数据可能泄露给中国政府且认为其隐私保护措施薄弱,而努力阻止对 DeepSeek 的访问。Netskope Inc. 是家网络安全公司,企业使用该公司服务来限制员工访问网站等,该公司的大多数客户也在采取类似措施限制连接。Armis 公司表示,大约 70% 的 Armis 客户已请求屏蔽,而 Netskope 公司威胁实验室主任雷·坎扎尼斯表示,52% 的 Netskope 客户已完全封锁了对该网站的访问。
—— 彭博社
DeepSeek 公开暴露了包含聊天提示和内部数据的数据库
云安全公司 Wiz 研究人员周三公布的研究结果,表明中国 AI 公司 DeepSeek 将其一个关键的 ClickHouse 数据库暴露在互联网上,并未配置身份验证过程。数据库泄露了系统日志、用户聊天提示,甚至用户的 API 身份验证令牌,总计超过 100 万条记录,任何人都可以获取这些记录。这是个非常低级的配置错误,表明这家年轻公司还未完全准备好。
Wiz 的研究人员表示,他们自己也不确定如何向该公司披露他们的发现,只是在周三将有关这一发现的信息发送给了他们能找到或猜到的每个 DeepSeek 电子邮件地址和领英个人资料。研究人员尚未收到回复,但在尝试大规模联系的半小时内,他们发现的数据库已被锁定,未经授权的用户无法访问。
—— 连线
中国依法严厉打击非法处理数据的黑灰产业
中国发改委等六部门印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》。提出防范数据滥用风险。依法严厉打击非法获取、出售或提供数据的黑灰产业,加强敏感个人信息保护,限制超出授权范围使用个人信息。依法依规惩处利用数据开展垄断、不正当竞争等行为,维护各方主体权益和市场公平竞争秩序。在国家数据安全工作协调机制统筹协调下,加强重点行业领域数据安全风险监测,持续增强风险分析、监测和处置能力,防范发生系统性、大范围数据安全风险,维护国家安全和经济社会稳定。研究完善数据流通安全事故或纠纷处置机制,提升流通风险应对能力。
—— 中国发改委
大众汽车泄露80万辆电动汽车的位置数据
大众汽车集团将旗下不同品牌的80万辆纯电动汽车的敏感信息,存储在一个未受保护且配置错误的亚马逊云存储系统上,长达数月之久。泄露的大量数据包括GPS坐标、电池电量以及其他有关车辆状态的关键细节。如此一来,汽车的位置和使用习惯便可被精通技术的人随意窥探。受影响车主的庞大名单中还包括德国政治家、企业家、警察以及疑似情报部门员工。上述明显错误来自大众汽车集团旗下软件子公司Cariad在2024年夏天所发生的一个故障。一名举报人迅速向欧洲最大的黑客协会“混沌计算机俱乐部”发出警报。Cariad 随后解决了这个问题。
—— 新浪汽车、明镜周刊
大众汽车泄露80万辆电动汽车的位置数据
大众汽车集团将旗下不同品牌的80万辆纯电动汽车的敏感信息,存储在一个未受保护且配置错误的亚马逊云存储系统上,长达数月之久。泄露的大量数据包括GPS坐标、电池电量以及其他有关车辆状态的关键细节。如此一来,汽车的位置和使用习惯便可被精通技术的人随意窥探。受影响车主的庞大名单中还包括德国政治家、企业家、警察以及疑似情报部门员工。上述明显错误来自大众汽车集团旗下软件子公司Cariad在2024年夏天所发生的一个故障。一名举报人迅速向欧洲最大的黑客协会“混沌计算机俱乐部”发出警报。Cariad 随后解决了这个问题。
—— 新浪汽车、明镜周刊
库克称中国国内苹果用户的数据是安全的
苹果CEO库克接受采访时表示:“你在中国发送信息,它会被加密,我无法修改它,我无法在美国编辑它的内容。如果你在中国锁住自己手机,我也是没有办法打开的。我们和中国企业合作,提供 iCloud 存储服务,但是解密的密钥在用户手里。”库克多次强调苹果数据在中国是安全的,主要观点如下:采用相同加密技术:苹果公司在美国、英国、阿联酋等国和中国使用相同的加密技术,例如 iMessage 信息等都是端到端加密,苹果无法查看、记录或存储用户发送的具体内容,数据的加密处理在全球保持一致。
—— 知氪科技
115网盘公布“916 网络攻击事件”的服务补偿
115网盘今日发布关于“916 网络攻击事件”的服务补偿公告。公告称,9月16日,115科技服务器遭恶意网络攻击,造成包括115生活 (115网盘) 在内的产品服务出现登录故障。截至9月17日,包括115生活在内的公司产品服务均已恢复正常运行,登录故障已得到解决。现补偿如下:即日起至9月30日24点,所有成功登录“115 生活”的账号可获得补偿,每个账号仅限获得一次;原石会员及尝鲜/体验/月费/年费 VIP:将自动获赠5天 VIP 服务时长 + 50个云下载配额 (5天有效);超级/长期VIP:将获赠500个云下载配额 (领取后31天有效)。
—— 115网盘
阿里云盘相册陌生照片“乱入”回应称已关注到相关BUG
9月14日晚, 有网友反馈,在使用阿里云盘相册时,创建新文件夹后会“自动出现”陌生照片。从用户公布的视频中可以发现,陌生照片包括自拍、风景照、家人旅游照片等等。阿里云盘相关工作人员回应时表示:“已经收到其他用户反馈此类问题,已经上报相关部门。”截至发稿,阿里云盘官方未有事件的公告,阿里云盘相关人士在接受采访时则表示,已经关注到相关BUG,将尽快对外进行回应。
—— 南方+