近日,多位小红书用户反映该应用存在高频获取用户信息的问题,引发广泛关注。用户数据显示,在未使用软件的情况下,部分用户的定位等信息仍被频繁访问,最高达到3天内1.7万次读取。这不仅涉及地理位置、设备状态和照片视频等常规数据,还包括日程安排和剪贴板内容。
对此,小红书官方回应称,该平台不会在未经授权的情况下获取用户位置信息,且读取频次与用户使用场景相关。官方客服表示,只有当用户主动授权开启相关权限时,才会出现此类操作现象,并强调这是正常机制。
值得注意的是,除了高频数据读取问题外,网络安全专家还指出小红书存在其他风险漏洞。例如,未能有效防范的数据库注入攻击和未受保护的WebView组件等问题,均可能被用于获取用户敏感信息。
此事件引发了公众对用户隐私安全的高度关注。尽管小红书官方作出解释,但用户的担忧并未完全消除。有用户反映最早在2024年7月就注意到类似问题,并在社交媒体上引发广泛讨论。这些情况表明,社交平台的数据收集和使用机制仍需进一步规范和完善。
这一系列事件凸显了移动应用领域数据保护的重要性,如何平衡用户体验与隐私安全,成为行业需要共同面对的课题。
研究人员发现针对安卓的间谍取证软件
安全研究人员发现一种新监控工具,中国公安局使用该工具从中国的安卓设备中收集敏感信息。工具名为EagleMsgSpy,由美国网安公司 Lookout 的研究人员发现。该公司周三表示,已获得该间谍软件的多个变种,并称该软件至少自2017年起便已投入使用。
中国大陆“许多”公安局都使用这款软件从移动设备“收集”大量信息。其中包括通话记录、联系人、GPS坐标、书签以及来自 Telegram 和 WhatsApp 等第三方应用的消息。软件还能够在智能手机上启动屏幕录制,并在设备使用时捕获音频录制。这款综合性手机司法监控产品由中国武汉中软通证信息技术有限公司开发。EagleMsgSpy 目前需要对目标设备进行物理访问才能安装。
—— Techcrunch
黑客向科技巨头发送欺诈性警方数据请求以窃取私人信息
美国联邦调查局警告称,黑客正在通过入侵政府和警察的电子邮件地址来提交“紧急”数据请求,从而获取美国科技公司的用户私人信息,包括电子邮件和电话号码。联邦调查局表示:“网络犯罪分子可能获取了被盗用的美国和外国政府电子邮件地址,并利用它们向美国公司发出欺诈性紧急数据请求,从而暴露客户的个人信息以进一步用于犯罪目的。”紧急请求是在出现紧急风险、没有时间申请法院命令的情况下,执法部门可以紧急向公司索取个人信息的程序。联邦当局称,一些网络犯罪分子正在滥用这些紧急请求。网络犯罪分子成功伪装成执法人员,利用被盗的警察账户向公司发送电邮,索要用户数据。
—— Techcrunch
黑客称他们最初认为被盗的 AT&T 数据没有任何价值
声称对 AT&T 数据泄露负责的黑客表示,他们最初甚至不知道自己发现了什么。上周五披露的此次黑客攻击事件泄露了 AT&T 公司2022年六个月内大约1.1亿无线用户的短信和通话记录。攻击者在与彭博社的在线聊天中表示,这些被盗记录最初看起来似乎并不重要。他们说,他们只是不确定谁会对购买这些信息感兴趣。这可能是黑客声称他们只从 AT&T 收到大约40万美元以删除被盗信息的原因之一,与近期其他勒索事件相比,该数额非常小。AT&T 拒绝就该交易发表评论。
—— 彭博社
AI可以分析出 Reddit 用户的住址以及他们的薪资水平
苏黎世联邦理工学院的研究员随机选择了1500个 Reddit 用户,然后用其中520个用户的发帖组成了一个数据集。结果发现9个最先进的大型语言模型能够从大量非结构化文本 (例如论坛回复或社交动态) 中自动推断出广泛的个人属性 (例如位置、收入、性别)。
总准确率 84.6% 的 GPT-4 为第一,性别和出生地点的准确率分别达到近 97% 和 92%。人类专家在有额外信息 (看到论坛板块和无限制搜索等) 的情况下略胜AI,但是AI所需的资金和时间投入却减少了100倍,这使大规模隐私侵犯首次成为可能。
—— arXiv
巴西法院下令封锁 Telegram,因为它拒绝交出新纳粹组织成员的用户信息
在消息服务拒绝与该国联邦警察分享有关新纳粹组织的信息后,联邦法院下令在巴西暂时禁止 Telegram。
根据该决定,该公司将被处以每天 100 万雷亚尔(197,600 美元)的罚款,直到它遵守法院命令为止。
司法部长弗拉维奥·迪诺 (Flavio Dino) 周三对记者说:“那里有被称为反犹太阵线的团体在这些网络上运作。” “我们知道这是针对我们儿童和青少年的暴力行为的根源。”
根据最近的一项调查,近三分之二的巴西智能手机用户下载了 Telegram。截至周三下午,它仍在运行,并可在 Google Play 等在线商店购买会员服务。
—— 彭博新闻社
印度法院命令 Telegram 披露盗版用户的个人详细信息
Telegram不允许侵犯版权,一般会迅速采取应对措施。在大多数情况下,Telegram将这些内容删除,但该服务拒绝披露侵权者。
德里高等法院本周通过一项命令,迫使Telegram查明几个侵犯版权的用户,这包括交出电话号码、IP地址和电子邮件地址。
该命令是在激烈的反对声中发布的。Telegram的主要辩护理由之一是,用户数据存储在新加坡,根据当地的隐私法,新加坡禁止对个人信息进行解密。法院不同意这种说法,因为正在进行的侵权活动与印度作品有关,而且很可能会与印度用户有关。而且,即使这些数据存储在其他地方,也可以从印度获取。高等法院补充说,披露个人信息也不会违反新加坡的隐私法,并指出,如果调查或诉讼需要个人详细资料,则有例外。
Telegram还提出了印度宪法,该宪法保护人们的隐私,以及言论和表达自由的权利。然而,这一辩护也未获成功。
—— TorrentFreak
B站2亿余条用户账号、手机号疑泄露,部分用户账号确认真实
7月6日,一张在暗网叫卖2.2亿余条B站用户信息的截图在网上流传,泄露数据疑似包括用户账号(UID)和手机号,价格为0.5比特币或17.72以太币。截至发稿,B站尚未对此作出回应。
截图显示,帖子发布于7月6日凌晨,帖主称“中国youtube【哔哩哔哩】数据泄露2.3MM”,数量具体为221,223,698条,包括UID和手机号。除了在帖子里展示的少量数据,帖主还提供了总计超过50万行的样本数据。
南都记者随机选取了部分样本数据进行核实,发现UID基本上都能对应B站账号,从三位数到九位数都有。对应的手机号则有些是空号,有些可以打通,但暂未证实手机号与UID指向同一用户。
—— 南方都市报
豆瓣开启实名注册制:告别“私密小组”时代
据AI财经社报道,今日豆瓣更新了个人信息保护政策。
新政策规定用户注册需实名制,需提供身份证号码、人脸信息。
此外,港澳台居民若注册豆瓣用户,需要手持台湾居民来往大陆通行证、港澳居民来往内地通行证等有效身份证件信息,以及本人手持该证件的照片。
也就是说,豆瓣将正式开启实名制,彻底告别了鼓励“私密小组”、“私密讨论”的时代。
据悉,成立之初豆瓣小组允许和鼓励组长设立门槛,这个门槛可以是知识储备、行为准则,也可以是价值观,目的是保护、维系小组与外部世界的安全距离。
然而,豆瓣一直处于互联网监管的风口浪尖,屡遭约谈、处罚。
作为一家老牌互联网平台,豆瓣曾屡次因出现法律、法规禁止发布或者传输的信息被要求责令整改。
国家网信办显示,2021年1月至11月,国家网信办就指导北京市互联网信息办公室对豆瓣网实施20次处置处罚。
自2021年起,豆瓣成了“饭圈·清朗”行动的重点整改区域,五次处罚公告已删除违规和不良信息330807条,禁言违规账号418个,解散或关停问题小组共62个。
—— cnBeta
孰真孰假?
立陶宛国家网络安全中心(NCSC)对三款中国产手机进行了安全审查(PDF):华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块:其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics,该模块默认激活;其二是 Sensor Data 模块,它会收集与应用活动相关的 61 个参数,数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务,这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件,该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭,但由于手机会定期下载该文件,小米能在任何时候远程激活该功能。
—- solidot
#孰真孰假