微闻

标签: 用户隐私

  • tiktok泄露用户隐私

    纽约时报:调查揭示TikTok如何泄露用户隐私,驾照、地址和照片在数千人的群组中公开发布

    根据时报获得的文件,该平台(Lark,即飞书,字节跳动的员工用来做内部沟通)还可以看到美国用户的驾照,以及一些用户发布的可能非法的内容。在许多情况下,这些信息可以在Lark“群组”中获得,这些拥有数千名成员的群组基本上是员工的聊天室。

    据内部报告以及四名现任和前任员工称,Lark上大量的用户数据令一些TikTok员工警觉,尤其是字节跳动在中国和其他地方的员工可以轻而易举地看到这些资料。根据该文件以及现任和前任员工的说法,至少从2021年7月开始,多名安全员工已经向字节跳动和TikTok高管警告与该平台相关的风险。

    一位TikTok员工去年7月在一份内部报告中问道,“北京员工是否应该成为包含用户秘密数据的群组的群主”。

    时报看到的文件包括2019年至2022年的数十张截图,显示了报告、聊天消息和员工在Lark上的评论,以及内部通讯的视频和音频。

    该公司没有回应有关Lark数据是否存储在中国的问题。它拒绝回答有关中国员工参与在Lark群组中创建和发布TikTok用户数据的问题,但表示许多聊天室“在审查内部问题后已于去年关闭”。

    —— 纽约时报

  • 中国 ChatGPT 应用可能违反了用户隐私

    中国 ChatGPT 应用可能违反了用户隐私

    一些中国国内基于 ChatGPT API 开发的诚实应用告诉用户输入内容包含敏感词并且已经记录了用户的IP地址。

    当前,由于中国 GFW 和 OpenAI 的双向阻拦,中国一般用户已经很难直接使用ChatGPT,这为自建应用提供了巨大的商业机会。在使用这些应用时应该了解它们几乎肯定会收集用户输入的内容。

    由于无法预期运营方的道德和法律认知水平,这些被收集的信息有可能给输入敏感内容的用户带来潜在的问题。

  • 拼多多 APP 侵犯用户隐私

    研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控

    注:据信该APP指的是“拼多多”

    微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。

    该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 – Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。

    提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)

    之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;

    进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;

    随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;

    甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

    —— 深蓝洞察

  • WPS强调保护用户隐私

    WPS 发布《给 WPS 用户的一封信》,承认审查但否认删除文件,强调保护用户隐私

    ·对于网传的“删除用户本地文件”,重申,WPS不会对用户的本地文件进行任何审核、锁定或删除等操作。

    · 根据《网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等相关法律法规,所有提供网络信息服务的平台,对通过其平台传播的内容均负有审核义务。我们在依法审核时,会采取严格的加密脱敏措施,保护用户信息安全。与此同时,也为用户提供了客服申诉渠道、文档找回路径。

    · 在保护用户隐私方面,我们严格遵循《个人信息保护法》及《网络安全法》的相关规定。公司不仅通过了国家信息安全等级保护三级,还取得了ISO/IEC 27001:2013信息安全国际标准认证以及ISO/IEC 27701:2019隐私信息管理体系国际标准认证。

    —— WPS公众号 摘要

  • 360无追搜索引擎声称尊重用户隐私但实际上却记录了大量日志信息

    由 360 集团“荣誉出品”的无追搜索引擎声称尊重用户隐私权,不追踪用户。但是在它的隐私政策中却写着:

    我们的服务器会自动记录您的日志信息,例如您输入的搜索关键词信息(包括您通过智能语音功能输入的语音信息)、点击的链接、您访问服务的日期、时间、时长等您在使用我们的产品或服务时提供、形成或留存的信息。

    在V2EX推广这个搜索引擎时,发帖人还是使用带有 ?src=v2ex 的传值链接用以记录用户的来源。

    该搜索引擎的宣传噱头还会误导许多用户,将他们置于危险之中。

    总的来说,这个搜索引擎可能会比百度更少地收集隐私信息,但是它绝不是一个值得信赖的产品——也不会有。

    https://www.v2ex.com/t/819378

  • 微信键盘将保护用户隐私

    微信键盘再次内测,可以“更好地保护用户隐私”

    张小龙表示,微信原来并不想去做输入法,但收到很多用户投诉自己聊天记录被窃取,因为输入什么就会看到相应的广告。他解释道,微信不保存聊天记录,微信也规定谁看了用户的聊天记录会被开除的。所以,出于保护用户的隐私就要自己做一个输入法。

    用户可以从「 我的 → 设置 → 插件」中查看,如果显示有微信键盘,就证明有资格,直接开启便可使用。

    这是微信键盘继4月份之后的第二次测试。

    —— weibo 长安数码君

  • 马化腾是否真的会保护用户隐私?

    马化腾要保护用户隐私? 你TMD在逗我.jpg

    试问dang同意了吗?这事您真做的了主?