社交平台 X 确认将“点赞”设为私密 并从个人资料中删除“喜欢”标签
有网友发现社交平台 X 会从所有用户的个人资料中移除“点赞”标签。他的发现被分享到 X 平台,随后被转发并由 X 的工程师确认。“是的,我们正在将点赞设置为私密,”X的工程总监 Haofei Wang 回应道。“公开点赞会鼓励不良行为。例如,许多人因为害怕遭到喷子报复或为了保护他们的公众形象,而不敢点赞一些‘尖锐’的内容。“很快你就能在不用担心别人会看到的情况下点赞了,”Wang 说道。“另外提醒一下,点赞的帖子越多,你的‘为你推荐’算法就会越好,”他补充道。为了澄清用户的一些疑惑,X 的高级软件工程师恩里克·巴拉甘也发帖回应,表示用户仍然可以看到谁点赞了他们的帖子,以及所有帖子、回复等的点赞数量。该变化涉及隐藏其他人喜欢的帖子,这意味着会移除公开个人资料中的喜欢标签。
—— MacRumors
TG创始人接受采访,揭示Telegram的团队规模并谈论内容审查等话题
一个仅有七名系统管理员的团队负责管理公司在全球分布的超过80,000台服务器,杜罗夫表示,通常这项工作需要数百人来完成。杜罗夫解释说:“团队没有其他选择,只能将事务自动化到极致。”因此,我们的成本效率极高。杜罗夫表示,Telegram在其平台公开部分积极监管犯罪活动,并且每天移除“数百万条有害内容”。他还说,Telegram会回应用户的举报,并主动运用自主研发的机器学习内容审核软件来识别非法内容。
该公司设有一个约10人的小型政策团队,以及数百名外部合同审查员。但是,关于最终负责内容审查决策的杜罗夫如何应用这些政策,仍有疑问。但杜罗夫表示,“除非他们跨越红线,否则我认为我们不应该以人们表达自己的方式对其进行监管。我相信思想的竞争。 我相信任何想法都应该受到挑战。否则,我们很快就会陷入威权主义。”有些人彻底拒绝接受杜罗夫的观点。德州大学奥斯汀分校的宣传专家及助理教授塞缪尔•伍利认为,“无限制的言论自由是一个有缺陷的理念”,他指出,拥有资源和技术知识的“强大且高度组织化的团体”能够利用Telegram等平台来操控舆论。
—— 金融时报(节选)
电视和电影流媒体服务 Hulu 正在打击密码共享
Hulu 刚刚奠定了将白嫖共享用户踢出其流媒体服务的基础,除非他们为自己的账户付费。本周,该公司修改了其服务条款,明确禁止在“您的主要个人住所”之外共享密码,并已开始告知订阅者,他们需要在2024年3月14日前遵守这一规定。该公司发送给 Hulu 订阅者的电子邮件中写道:“我们增加了对在家庭之外共享您的帐户的限制,并解释了我们如何评估您对这些限制的遵守情况。”
—— Theverge
MIT评论:无处不在的键盘软件成为数亿中国用户的隐私噩梦
对于数亿中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。 不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。
研究人员发现,并非每个单词都会传输到云端。“如果你输入nihao [中文‘你好’] 或类似的内容,[应用程序] 可以回答这个问题,而无需使用云数据库,”Knockel 说。“但如果你输入的内容更复杂,坦率地说,更有趣,它就必须访问云数据库。”
除了输入内容外,Knocker 和他的公民实验室同事还获得了其他信息,例如用户设备的技术标识符、进行输入的应用程序,甚至设备上安装的应用程序列表。
研究人员指出,许多恶意行为者都会有兴趣利用这样的漏洞并窃听击键,从获取私人信息(如街道地址和银行帐号)的网络犯罪分子到政府黑客。 一旦键盘应用程序遭到破坏,即使是其他离线应用程序(例如内置笔记本应用程序)也可能构成安全风险。
其他政府似乎也一直在关注加密数据传输的漏洞。例如,爱德华·斯诺登 (Edward Snowden) 2012 年泄露的一份文件显示,由加拿大、美国、英国、澳大利亚和新西兰组成的五眼情报联盟一直在谨慎地利用中国流行程序 UC 浏览器中的类似漏洞,拦截某些传输。
除了成为国家行为者的目标之外,通过键盘应用程序获取的击键信息还可以通过其他方式被出售、泄露或黑客攻击。2021年,有报道称广告商可以通过搜狗以及百度键盘和类似应用程序访问个人信息,并用其推送定制广告。
正如诺克尔指出的那样,使用搜狗和类似的应用程序总是会带来安全风险,特别是在中国,因为所有中国应用程序都必须在政府要求的情况下交出数据。
—— 麻省理工科技评论 (节选)
窃取用户隐私的拼多多,拿到了黑客奥斯卡提名
近日,素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中,有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lamest Vendor等30项通过筛选获得提名,其中“Lamest Vendor”中文译为“最差厂商奖”,也是每一年Pwnie Awards最受关注的一个奖项。
“最差厂商奖”旨在颁发给行业内那些面对安全事件、安全问题掩耳盗铃混淆是非,或闹出大乌龙的公司。2023年度Pwnie Awards的“最差厂商奖”提名花落“拼多多”,被提名的理由是:“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括卡巴斯基在内的多家媒体和安全公司曝光后,拼多多不仅拒不承认,还反而指责Google的处罚,但却私下迅速将恶意代码悄悄删除并解散了木马团队。”该颁奖仪式将在 8 月 9 日举行,拼多多最终能否拿到“最差厂商奖”,我们也拭目以待。
事实上,2023年3月,拼多多APP因安全问题被Google Play下架的新闻曾被CNN等国外媒体报道,Twitter上也有大量讨论,但是在国内却鲜有报道。
此外,前不久《财经》公众号发布了一篇文章《4年超2000款App因侵犯个人信息违规,有一家公司从未被点名》,这篇文章对2019年以来工信部通报批评过的APP做了统计,发现“四年来,阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。主要的互联网平台公司中,仅有拼多多从未被点名通报。”
这也引发了业界广泛热议。为何在国外被证明存在“后门”,被Google Play下架,又被媒体报道的拼多多在国内却拥有“金刚不坏之身”呢?
—— 磐石之心 全文 (原文已被删除)
有消息说,腾讯QQ暴露了一个封号接口。可以通过http请求url进行调用,提交参数没有采用严格的签名算法和相应加密,也没有其它对请求来源身份进行鉴权的机制,因而很容易滥用。虽然该API当前已被腾讯关闭,我们还是不禁要问这样易用的接口会是给谁使用的呢?
TikTok回应美国参议员对用户数据的担忧:中国员工仍可以访问有限的美国用户数据
TikTok表示,该公司为回应美国政府担忧而进行的数据安全升级计划正在取得进展,同时承认,在升级完成前一些中国员工仍可访问美国用户的数据。
TikTok首席执行官周受资(Shou Zi Chew)在周四的一封信中表示,他将澄清该公司在数据方面的做法。他提供了一项被该公司称为“德克萨斯计划”(Project Texas)的细节,该计划旨在加强TikTok的数据安全,全面保护用户数据和美国国家安全利益。
周受资是在回应美国参议员周一的一封信,这些参议员在信中对这家中国字节跳动(Bytedance Ltd.)旗下的短视频应用程序的数据作法提出了质疑。议员们还表示,TikTok的一名高管可能在2021年的国会听证会上歪曲了事实。
周受资说,TikTok与母公司的联系有限,不过他承认,为了促进全球平台的发展,非美国员工,包括中国员工,将能够访问一小部分不敏感的TikTok美国用户数据,比如世界上任何地方的任何人都可以获得的公开视频和评论,以确保全球相互操作性。他说,这种分享是为了让平台用户受益。
—— 华尔街日报
发现一个有趣的联邦化的去中心化论坛程序,看起来是一个乌托邦式的美好设想,目前看来用户还不多,但是想法很值得了解,它的简介是这么写的:
Lemmy类似于Reddit、Lobste.rs、Raddle或Hacker News等网站:你订阅你感兴趣的论坛,发布链接和讨论,然后投票,并对其进行评论。在幕后,它是非常不同的;任何人都可以很容易地运行一个服务器,所有这些服务器都是联合的(想想电子邮件),并连接到同一个宇宙,称为Fediverse。
fediverse(联合宇宙)这个词指的是所有Lemmy服务器和其他项目的网络,这些服务器的用户能够相互无缝地交谈。
就像电子邮件一样,无论你在GMail还是Outlook上注册,你都知道你能给你需要的每个人发电子邮件,只要你知道他们的地址。在Lemmy上,你能够订阅任何其他服务器上的社区,并能与其他地方注册的用户进行讨论。
总体目标是创建一个容易自我托管的、分散的、替代reddit和其他链接聚合器的平台,没有一个单一的公司管理。
没有股东,也没有有针对性的广告:只有人们彼此分享他们想分享的东西。
每个lemmy服务器都可以制定自己的管理政策;任命全站管理员和社区版主,以阻止捣乱分子(trolls),并培养一个健康、无毒的环境,让所有人都能放心地做出贡献。
https://join-lemmy.org/