选城市 : 多伦多 | 温哥华
2024年03月29日 星期五 10:24:45
dushi_city_toronto
dushi_city_vancouver
dushi_top_nav_01
dushi_top_nav_29
dushi_top_nav_02
dushi_top_nav_28
dushi_top_nav_22
dushi_top_nav_05
dushi_top_nav_24

Tag: 个人信息泄露

多倫多三家醫院病人和員工的個人信息遭泄漏!

【加拿大都市网】多伦多三间医院的网络安全出现漏洞,病人与员工的个人资料遭泄漏;但官员表示,由于事件相当复杂,故没法确定有多少人受到影响。 士嘉堡健康网络(SHN),就一宗涉及未经授权访问“若干”伺服器数据的事件发出公告;该网络表示,可能已被未经授权查看的数据,包括病人的身份证号码、姓名、性别、出生日期、电子邮件地址、家庭住址,安省医疗卡号码、程式描述、实验室报告、员工姓名、保险单号码、免疫状况及诊断资料。 SHN总监兼行政总监Elizabeth Buller表示,十分重视病人、员工及有业务关联人士的个人讯息等私隐,对发生这事件感到十分遗憾。 Buller表示,会尽快采取行动控制与调查这事件,以确保运作不受影响。 根据官员表示,网络安全漏洞于1月25日首次被发现,2月1日已将未经授权的人士排除在系统之外,因此,2月至今,收集的所有病人资料,均不被视作存在风险。 SHN表示,专家正监视情况,但尚未发现泄漏的数据被恶意使用。 这次受影响的医院,包括Birchmount医院、士嘉堡全科医院、Centenary医院等。 (网上图片) T02

同性交友app「Grindr」涉分享用戶資料 遭挪威罰款630萬歐羅

挪威当局周一向美国同性交友app“Grindr”罚款630万欧罗(约5,540万港元),以惩罚其非法向网络广告公司分享用户个人资料,创下挪威对这类案件开出的最大一笔罚款。Grindr发言人指出,目前正考虑上诉。 Grindr被指控分享GPS定位资讯及用户年龄或性别等个人资料,也让用户使用Grindr这件事暴露了他们的性倾向。挪威资料保护局国际部主管表示:“我们断定,Grindr在无合法依据下,揭露用户资料给第三方公司以投放行为定向广告。” 挪威资料保护局指,Grindr没有明白告知用户这种作法,也未取得用户确切同意,违反了欧盟通用资料保护规则。资料保护局表示:“我们认为,这些资料揭露某人是Grindr用户的事实,足以强烈显示他们属于性少数族群。” 挪威消费者委员会数码政策总监Finn Myrstad指出:“这次罚款向所有涉及商业监控的公司发出强烈警号。在没有法律依据下分享个人资料,将面对严重后果。我们同时呼吁数码广告行业作出根本的改变,去尊重消费者的权益。” Grindr发言人反驳挪威资料保护局的指控:“我们非常不同意局方的推论,局方只考虑到多年的用户条款,而没有理会我们当下的私稳条款……局方根据一系列有瑕疵的证据,引用到很多未经检验的法律角度,开出的罚款因此不成比例地高。”发言人又指,目前正考虑上诉。

沃爾瑪網購 個人信息泄露?系統存安全漏洞

【加拿大都市网】网络订购商品是不是要担心信息全都泄露呢?如果在沃尔玛网络商城(Walmart.ca)订了东西后,可以发现客户的姓名、运送和帐单地址、订单日期、付款方式以及所使用的信用卡的最后四位数字都完整展示出来,要轻松泄漏个人机密信息非常容易。 CTV报道,无论是在安省订购一台1,500元的笔记本电脑,或在萨省订一台700元的自行车,或在卑诗省买婴儿用品,结果都是一样,每个客户的资料都已经摊在阳光下。 巴蒂亚(Sanjay Bhatia)是沃尔玛的网络订购客户,他偶然发现该公司的网购系统存在着一位安全专家所说的高度敏感数据暴露漏洞,从事IT工作的他觉得这太离谱了。“这是一个巨大的漏洞。我被吓坏了,非常生气,因为,我的东西都在网上。没有人希望自己的讯息就那样摆在那里让人看。” CTV通过巴蒂亚的说明,发现果然能够轻松地在沃尔玛网站上复制一些步骤而能调集到全国大量的客户订单,但在亚马逊的网站上(Amazon.ca)尝试了类似的步骤,却没有客户敏感信息被曝光。 Walmart.ca上显示的信息包括完整的客户名称、帐单邮寄地址,无论产品是送货到家庭地址还是沃尔玛在店内取货。还可以查看订单是否使用Visa,Mastercard,Amex或PayPal付款。 CTV向沃尔玛取得联系后,可用于访问个人信息的网页已重定向到用于网络购物的“联系我们”页面。 但是巴蒂亚发现仍然可以通过Walmart.ca上的另一个相关网页访问客户信息,CTV查询后,该页面随后也被禁用。 沃尔玛发言人格拉希尼克(Adam Grachnik)在一封电子邮件声明中说:“我们非常重视客户隐私,并制定了许多安全协议来保护它。今天这个问题引起我们的注意,出于谨慎考虑,我们立即禁用了该网页。我们正在进一步调查此事。” 网络安全专家史蒂文斯(Yuan Stevens)认为这种数据泄漏的安全漏洞并不罕见,已出现在Open Web Application Security Project(OWASP)2017的十大常见网站安全风险列表中。 史蒂文斯也是漏洞赏金计划的专家(公司会激励人们发现系统中的漏洞),史蒂文斯指出,沃尔玛不太激励道德黑客为公司寻找安全漏洞,依照该公司规定,如果有人发现漏洞,“可能有资格获得赏”。相比之下,亚马逊的激励措施很明确,根据发现的漏洞的严重程度,支付的费用从100元到15,000元不等。 据openbugbounty.org称,2017年有人在沃尔玛的墨西哥网站上发现漏洞时,公司花了6个月的时间对其进行修复。黑客公司Hackerone的数据显示,亚马逊的响应和解决问题的速度快多了,平均时间为22天。 史蒂文斯认为沃尔玛的对网络工程的重视度远不如亚马逊,它们不激励民众发现漏洞,又要花很长时间才修补好安全问题。在应用程序安全性测试的immuniweb.com上,沃尔玛评价为B,得分在60到69之间,相比之下,Amazon.ca的得分为A,或者得分在90到99之间。 史蒂文斯说,如果网站上存在多个弱点,黑客可以透过漏洞,从而给公司或网站用户带来更大的风险,这些风险可能包括身份欺诈,欺骗个人的身体心理或造成财务伤害。 图:CTV v01 (文章来源:星岛综合)

中國個人信息泄露遍布各行業,點幾下鼠標就能搞到

网上图片 据路透社报道,在中国,个人信息贩卖活动处于激增当中。 当威廉·张(William Zhang)的汽车保险将于3月到期时,他不需要去四处寻找市面上的续保选择。因为在保单到期前的两个月里,他几乎每天都接到保险公司向他推销新保单的电话。 由于他的第一份保单来自平安保险,该公司与他保持联系并不奇怪。“让我困惑的是,其他的保险公司是怎么知道这件事的。”26岁的山东政府雇员威廉·张说道。另有三名车主告诉路透社,他们也遇到了同样的问题。 据路透社采访的信息贩卖者和金融家称,个人数据在中国已经普遍都能买到,保险公司、银行、高利贷者和骗子都能以极低的价格购得个人数据。 今年5月,中国出台了迄今为止最全面的数据保护法,收紧对金融机构和其他企业共享私人数据的限制。“个人信息泄露是有风险的。”北京金杜律师事务所合伙人苏珊·宁(Susan Ning)表示。她补充说:“这些信息可能会助长其他的犯罪行为。” 数据交易 业内人士称,保险公司经常从网络数据黑商那里购买数据,而这些贩卖者本身是通过非法途径获得那些信息的。 波士顿咨询公司(Boston Consulting Group)合伙人、保险交易顾问米歇尔·胡(Michelle Hu)说,一些公司是从机动车管理局、机动车牌管理局、汽车经销商或者警察局那里非法购买信息。 路透社发现,在百度上输入“个人数据”或“手机数据”等中文关键词,就能看到30多个专为出售和购买个人数据而设的QQ和百度贴吧群组的信息。 百度拒绝置评。腾讯在发给路透社的一份电子邮件声明中表示,它“致力于保护用户隐私和维护数据安全”。 信息贩卖者在网络群组中发布广告,然后通过QQ或微信私下与买家进行洽谈。 有五名贩卖者提出向路透社出售“需要贷款的人”、“需要保险的人”和“年龄在30到50岁之间的上海人”的名单。这些信息在不同贩卖者之间的价格有所不同,从300元到2800元之间不等。名单上的个人信息包括个人的出生日期、汽车和住房拥有情况、抵押信息以及姓名和电话号码。 路透社无法证实这些信息的真实性。 三家为中国三家大银行出售抵押贷款的贷款代理机构表示,客户信息经常被银行员工拿来出售。记者从与两家这样的贷款平台的交流中获知,一些互联网公司还允许第三方有偿访问敏感的个人信息。 例如,武汉多库科技公司就运营着一个个人信息搜索平台。只要花费5元,给出想要查询的人的姓名和身份证号码,多库就会返回他的身份证照片。只要是中国居民,都能查得到。另外,只要花上3元,该网站就会返回一个人的手机使用数据。 路透社证实这两项服务都有效。身份证照片被要求获取的人并不知道那些服务是如何获得他的身份证照片或手机使用账单的。 当被问及多库是从哪里收集或购买这些信息的时候,多库的一位发言人说,大部分数据都是从网上贩卖者那里购买的,之后它们被转售给了银行和保险公司。“金融机构使用我们的服务只是为了风险管理目的。”她说。 在路透社发布这篇涉及多库的报道几个小时后,该公司发来电子邮件发布称,其网站已撤下上述产品,今后将不再向个人销售。 法律和秩序 数据隐私也已成为一个全球性的重大问题,Facebook等公司因未经用户明确同意就收集和出售用户个人数据而备受诟病。网络诈骗在其他国家也很常见。 专家们表示,在中国,互联网金融平台和用户的大幅增加导致了个人数据共享的激增,尽管近年来该国的立法部门一直在努力保护消费者。 根据现行法律,个人信息贩卖者可能面临最高7年的监禁以及罚款,而购买个人信息可能面临最高3年的监禁和罚款。企业也会受到类似的法律惩罚。 尽管那些行为会受到那样的惩罚,但根据中国银联5月份的一份研究报告,约90%的电话诈骗源于个人信息泄露。苏珊·宁指出,“这个问题的核心是,与个人信息交易相关的高经济效益和相对较低的违法成本。” “对于一些拥有访问权限的人来说,其他人的个人信息只需点击几下鼠标就能获得。” 苏珊·宁说,个人数据泄露的其他原因还包括,一些网站缺乏安全措施,以及有关个人信息使用的特定服务条款含糊不清。 “中国人口众多,数据隐私案件涉及范围广泛,因此调查起来难度极大。”苏珊·宁说道。 监管机构今年5月发布了针对企业处理个人信息的新指导方针,其中包括聘用合规人员,以及在收集个人信息前要先获得消费者的明确许可。 欧盟关于隐私保护的新规定——《一般数据保护条例》(GDPR)——于同月生效。欧盟的法规——将对在欧盟销售产品或服务的中国企业产生影响——似乎比中国的更加严格。例如,中国的指导方针允许默许同意收集个人数据,而欧洲的法规则不允许。(乐邦) 来源:网易科技