Tag: 信息泄露

【星岛都市网】萨省隐私专员称，由于在线学习平台Edsby出现技术故障，32名学生在开学前被发现变性。 Edsby是一个可供家长、学生和教师访问的数字平台，用于跟踪出勤和成绩，并促进沟通。 由于八个学区的学生数据传输出现问题，Edsby于2023年8月通知管理人员，这些学校学生的法定姓名对任何连接到该平台移动应用程序的人都是可见的，而不是首选姓名。 专员罗恩·克鲁泽尼斯基（Ron Kruzeniski）说，这意味着在新学年开始前的几个星期里，有32名学生的隐私被侵犯，因为他们的合法名字被其他同学看到了。 克鲁泽尼斯基在他12月份的报告中表示，披露这些姓名会暴露他们的个人隐私。 “例如，在某些情况下，改名可能会暴露学生是变性人。这是这些人的个人信息，在这种情况下，他们的合法姓名本身就属于个人信息”。 克鲁泽尼斯基说，在这个案例中，有32名学生的合法名字符合个人信息的条件。他们分别就读于萨斯卡通公立学校、里贾纳天主教学校和Good Spirit学校。 他写道：“学校分部在披露这32名学生的个人信息时没有征得他们的同意。每个学生的出生名......都与他们选择的名字不符，并泄露了他们的个人隐私”。 克鲁泽尼斯基说，他的办公室是在8月25日从一篇新闻报道中得知此事的，但在8月29日学校分部的代表并没有联系他的办公室。 他说，各分校告诉委员会，所有受影响的学生都在9月27日之前通过辅导员得知了这一违规事件。 辅导员是在“不知道信件内容的情况下秘密送信的，如果学生愿意，他们有机会与辅导员交谈”。 克鲁泽尼斯基说，这些信件描述了违规行为，概述了为防止今后发生此类事件而采取的措施，并向学生们表示道歉。 虽然各学区总体上对隐私泄露事件做出了适当的回应，但专员发现各学区与管理Edsby的公司CoreFour之间的书面协议中仍存在一些值得关注的问题。 他发现这些协议不符合该省信息自由条例的规定。 克鲁泽尼斯基说：“我发现，在与我办公室共享的文件中，没有一份能证明各学区与Edsby公司之间签订了协议，对学生个人信息的获取、使用、管理和保护做出了规定”。 他说：“这些问题不能掉以轻心，因为过去在其他司法管辖区，包括安省以及加拿大和美国的联邦层面，使用Edsby 系统都存在安全隐患”。 克鲁泽尼斯基发现，受影响的学校分部没有充分说明为防止今后发生类似漏洞而采取的措施，并建议他们在30天内与 CoreFour签订数据保护协议。(都市网Rick编译，图片来源pixabay) (ref:https://saskatoon.ctvnews.ca/32-sask-students-outed-as-transgender-due-to-edsby-glitch-privacy-commissioner-1.6709402)

  【星岛都市网】相信不少人都是社交平台Facebook的长期用户，多年以来已经习惯每天要打开Facebook看看朋友们的最新动态。而Facebook作为社交软件的“龙头”，会经常推出更新及新增全新功能，务求让用户得到最佳使用体验。但又有没有想过，新功能有可能潜藏泄露个人资料的风险？ Facebook新功能“连结记录”恐泄个人资料 Meta最近在Facebook手机应用程式新增“连结记录”（Link history）的新功能，让用户可以翻阅自己过去 30 日在Facebook曾开启的连结浏览记录。新功能支援Android与iOS的用家，只要点击“设定和私稳”（Settings & privacy），再点击“连结记录”（Link history）就能查看自己的浏览记录。可是，有外国媒体质疑这个功能被Meta利用，以作投放针对性广告之用途，甚至会构成个人资料私隐问题。   T09

  【加拿大都市网】安省COVID-19预约接种疫苗网站被发现有安全漏洞，约36万人的个人信息被泄漏，受影响居民会于今（9日）起收到电邮通知，安省公共卫生部发声明指，超过95%个案中，只有姓名或电话号码遭泄漏。 此前有报导称，有居民作预约接种疫苗的电话收到垃圾短信安省省警就此事展开调查，并确定受影响的规模。经调查后两人被起诉，其中一人为政府雇员。 若居民收到一封以“我正在与您联系，通知您在疫苗接种中心的个人资料被泄漏。”为首的电邮，即代表个人资料已被泄漏，电邮中又向局民保证，作为网络安全协议一部分，会定期监控和测试COVID-19疫苗接种系统，以确保系统安全，并对系统当前数据的安全性充满信心。 （图：加通社）T11

【加拿大都市网】四名男子因涉嫌将安省法庭诉讼的录音，发布到知名的Instagram账户上而被逮捕。 多伦多警方称，2月23日，Instagram账户“thehood6ix”和“thewarinda6ix”发布了一名证人的照片，这名证人在一场通过远程视频会议举行的初步法庭聆讯上作证。 第二天，警方表示，Instagram账户“straighouttathe6ixtv”、“thewarinda6ix”、“thehood6ix”和 “keep6ixsolid”发布了这名证人在同一视频聆讯上的录音。 据警方称，在那次聆讯上提供的证据已被禁止公布。 当局表示，发布这些图像和录音妨碍了司法程序，并恐吓了司法系统的参与者。 20岁的宾顿男子斯蒂芬斯（Kyle Stephens）被指控犯有三项恐吓司法系统参与者的罪行，三项妨碍司法的罪行和三项不遵守第539（1）条命令的罪行。 多伦多的阿卜杜拉（Mohammed Abdalla）被指控犯有两项恐吓司法系统参与者的罪行，两项妨碍司法的罪行和两项未能遵守第539（1）条命令的罪行。 来自宾顿的泰勒（Ryan Taylor）和30岁的穆罕默德（Afrah Mohamed）面临一项恐吓司法系统参与者的罪名，一项妨碍司法的罪名和一项不遵守第539（1）条命令的罪名。 警方称，在执行其中一份搜查令时，找到了一支装有大容量弹匣和弹药的枪支。 因此，穆罕默德还被指控未经授权拥有枪支，未经授权拥有违禁装置，明知拥有枪支未经授权还拥有枪支，以及拥有未上膛的枪支且弹药随时可用。 (资料图片) T11

30日，万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。万豪国际集团已向相关执法部门报告此事件，并配合调查。 上述消息公布后，万豪国际周五美股盘前跌逾5%，截至发稿报116.8美元。 万豪国际集团声明 万豪国际称，2018年11月19日调查发现，9月10日及之前喜达屋旗下酒店预定数据库中宾客信息曾在未经授权的情况下被访问。 万豪国际在声明中提到，在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问，最近发现未经授权的第三方已复制并加密了某些信息，并采取措施将该等信息移出。 声明透露，目前，泄露信息包含在9月10日之前曾在喜达屋酒店预订的最多5亿名客人的信息。这些客人中约有3.27亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预定日期和通信偏好。对于某些客人而言，泄露的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准(AES-128)加密。 万豪国际表示，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 万豪国际集团首席执行官苏安励称，对此事件深表歉意，正在积极采取行动，不遗余力地帮助受影响的宾客。 来源：中新经纬客户端  

网上图片 8月28日，华住集团旗下连锁酒店用户信息被曝疑似泄露，卖家在“暗网”打包售卖5亿条住客数据。此事曝光后，除了再一次引发公众对网络信息安全的拷问，肆无忌惮出售公民信息的“暗网”也引发了公众的担忧。目前，上海警方已经介入该案调查。 事实上，这不是暗网第一次进入公众的视野。此前美国警方在侦办中国失踪女孩章莹颖案中，发现嫌疑人经常在暗网浏览“绑架101”等网站，一度让很多人怀疑章莹颖失踪案与暗网有关。 8月29日，新京报记者进入暗网上的一个中文交易论坛发现，除了大量公民信息外，枪支弹药、毒品、假币等违禁品或非法交易的帖子比比皆是。 “暗网”论坛存大量非法信息 28日早上6点，有卖家在暗网的一个中文交易论坛发帖称，打包出售华住旗下酒店的住客信息，包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等，共约5亿条数据。其中有1.3亿人的身份证信息和2.4亿条开房记录。 交易帖称，数据脱库时间为2018年8月14日。全部信息打包价为8比特币或520门罗币，约合37万元人民币。交易帖末尾附有1万条测试数据。 29日，记者进入暗网，在该中文交易论坛上发现，这里充斥着大量各种非法信息。“华住旗下酒店开房数据”帖就位于论坛首页的“数据-情报类”栏目第一条。在其下方，还有如“18w股民一手数据”、“浙江学生学籍(学校班级、姓名、身份证、家长姓名、电话等)”、“电子商务(母婴行业)500w用户数据”等公民个人信息交易帖。 “暗网”论坛中存在大量出售个人信息内容。翻拍自手机屏幕 一名浏览暗网论坛的网友告诉记者，“第一次进入暗网看到这些东西我都震惊了”，此后他还在暗网上找到了自己的个人信息。“感觉自己是个透明人。” 除了“数据-情报类”栏目，该暗网中文交易论坛还有“服务-接单类”、“实体物品类”、“技术-教学类”、“卡料-CVV类”等多个类别，均为卖家发帖，买家留言进行交易。每条帖子下方，只允许用户和发布者一对一对话，无法看到其他买家的留言。 “服务-接单类”中，一类名为“亡单”的帖子引起记者注意。一个帖子称，可以替人“收费了仇”。发帖时间为7月2日，截至目前显示成交量为0。 另一个“亡单”帖子称，全国范围接单，价格最低4个比特币，约19万人民币。该帖称，“我们刚开始做，手头没有多少现金，收取50%定金，定金是保证行动的基本费用。” 夹杂在“亡单”中的甚至还有“巫单”，称可以用巫术致死、致残、致霉运，最高的收费折合人民币数十万元。 一名经常浏览暗网的网友告诉记者，“这些‘亡单’大多是骗人的，把定金骗走人就不见了，你根本没地方去找他，也不可能投诉。” 在“实体物品类”中，包含枪支、弹药、迷药、毒品、假币等交易帖，一条枪支交易帖称，“台湾全省送货”。 “暗网”论坛一则帖子包含出售枪支弹药的信息。翻拍手机屏幕 服务器遍布全球 追查难度大 公开报道显示，2016年，北京市公安局网安总队根据美国国土安全部门巡查中发现的线索，首次成功打掉了一个利用“暗网”等互联网媒介传播儿童淫秽信息的群体，抓获8名犯罪嫌疑人。 根据公开资料显示，“暗网”(不可见网，隐藏网)是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合。 暗网使用的域名后缀.onion在常用的互联网中是无法直接访问的，暗网无法被搜索引擎(百度、谷歌、Bing)搜索到;同时，暗网也可以理解为存活在黑暗里的网络，里面没有法律的约束，所以暗网的内容不堪入目，例如：儿童淫秽信息、假币、数据倒卖、枪支弹药等等。 “暗网可以理解为另一个互联网，它具备我们现在可以正常访问的互联网功能。”江苏国保信息系统测评中心有限公司安全专家邵彤称。 邵彤表示，暗网的服务器均在国外，由很多台服务器构成一个暗网，只有通过特定的方法才可以连接到内网当中，所以暗网也可以理解为另一个不为人知的“互联网”;暗网里的任何信息都是匿名处理，加上服务器遍布全球，所以目前追查难度相当大。 此外，记者发现登录“暗网”论坛需要多重网络技术手段，且登录后，手机截屏功能无法使用。 比特币交易 “暗网”抽成牟利 涉及本次华住数据泄露的论坛在“暗网”界较为出名。截至8月29日18时16分，该论坛帖子总数24294条，用户总数22705个。 邵彤称，卖家之所以选择虚拟货币(比特币和门罗币)来进行交易，是因为它们具有不可追溯、非实名等优越条件，这些虚拟货币是不受监管和中国大陆官方认可的货币，也是为了给警方调查增加难度。可以达到隐藏卖家真实身份的目的。 此次涉及华住集团用户泄露的暗网中文交易论坛，其注册和进入页面强调保密性，其论坛在显著位置强调“二十个全球分布式服务器”、“十层加密数据”，并多处提醒用户小心“钓鱼”和诈骗。 记者发现，该论坛的所有站内交易均为比特币，买卖双方的比特币都需要经过网站的“担保”，才能进入对方账户，用户从账户中提取比特币，网站从中收取1.5%的手续费，以此牟利。同时，网站禁止买卖双方在交易前互留联系方式，进行站外交易，一经发现就会被封号。 一名“暗网”论坛网友表示，论坛里的卖家都很谨慎，如果买家以各种理由给交易帖留言称想要卖家的联系方式，要么会被置之不理，要么会被卖家斥责“爱买不买”。 另外，登录页面显示，该论坛由多名管理员共同管理。一名网友告诉记者，管理员经常更换，没人知道管理员的真实身份。 一个暗网论坛的一条帖子称，登录暗网的人群大致分为几类，“能够提供表网上不便于提供的物品、服务的提供者”，“有特殊目的不便在表网获取资源的购买者”，“专业诈骗者”和“中介、黄牛”。 ■ 律师说法 境外网络犯罪结果发生在境内我国有管辖权 北京天驰君泰律师事务所刘玲律师表示，最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》规定：网络犯罪案件由犯罪地公安机关立案侦查。 网络犯罪案件的犯罪地包括用于实施犯罪行为的网站服务器所在地，网络接入地，网站建立者、管理者所在地，被侵害的计算机信息系统或其管理者所在地，犯罪嫌疑人、被害人使用的计算机信息系统所在地，被害人被侵害时所在地，以及被害人财产遭受损失地等。 因此，即使行为人在境外实施犯罪，而犯罪结果地发生在我国，我国有管辖权。 刘玲介绍，暗网的服务器地址和数据传输通常都是“隐身”的，难以通过常规技术手段查找检索，“暗网”成员的相互联络具有极端私密性。因此在暗网环境下取证非常困难，这就增加了执法部门对暗网犯罪打击难度。 刘玲表示，打击暗网犯罪主要通过网络技术来提升取证能力，配置网络环境，链接暗网网站，爬取网络数据，数据分析。另外，还可以悬赏征集举报犯罪信息，鼓励知情人举报。 刘玲介绍，根据《刑法》第7条，如果行为人是中国公民在境外实施犯罪，同样适用我国刑法。 如果行为人是外国人在境外实施了对中华人民共和国国家或者公民犯罪，并且按照我国刑法规定最低刑为三年以上有期徒刑的，可以适用我国刑法。 来源：新京报

  如今，手机不离身已成为现代人的生活常态一旦没电就感觉浑身不自在 考虑到大家的需求目前在很多商场、电影院、甚至车站等公众场所都有手机充电桩提供大多还是免费开放 这样的装置确实快捷方便为大家提供了不少的便利；可是，这样看似普通的操作也可能暗藏风险； 仅仅充了一会儿电手机里的照片、通讯录、短信竟全部暴露无遗实在让人大吃一惊 若不法分子窃取到手机中的关键信息你的家人朋友也可能因此受到诈骗为何会出现这样的情况？ 据专业人士介绍出现这种情况一般有两种原因一方面，充电桩本身没有问题但安全度不高有人利用其漏洞进行信息窃取 而另一方面，一些别有用心者在充电桩上动手脚以此为诱饵窃取用户信息而一旦中招，即使你马上拔掉充电线也为时已晚温馨提醒 权限请求一律拒绝 1.手机接入手机充电桩时，如果充电桩需要权限请求，一律拒绝。（包括USB调试与设备信任） 2.部分手机充电桩有提供插座，用随身携带的设备进行充电。 3.部分手机充电桩只提供USB孔，如果遇到这类的手机充电桩，请使用只有充电功能（无数据传输功能）的充电线。 4.使用手机充电桩时，将设备关机。 5.在手机安装杀毒软件。手机要安装杀毒软件，并定期进行杀毒，避免受到木马攻击。 6. 公共场所免费WIFI很有可能被黑客利用来实施违法犯罪，如要使用公共免费WIFI，切勿在手机上操作登陆密码等信息，避免泄密。 7. 尽可能随身携带充电宝，尽量不要使用公用充电桩。 （来源：大江网）