Cookies、Google、Amazon、Twitter 问题,以追踪用户的新方式。AdGuard 消息摘要
这次消息摘要包括,Chrome 浏览器无法告别第三方 Cookie;Twitter 成为数据泄露的受害者,欧洲国家认为谷歌对学校来说太危险;智能手机向警方交出数据;英国想强迫科技公司扫描手机;美国政府大规模购买用户位置数据。
市场领先的电信运营商正在测试一种追踪用户的新方法
欧洲两大电信运营商沃达丰(Vodafone)和德国电信(Deutsche Telekom)正在测试一种新的用户跟踪工具,可以取代第三方 Cookie。虽然 Cookie 技术是基于在用户的设备上存储网站的"指纹",但一个名为 TrustPid 的工具允许供应商自己存储所有的数据。运营商根据用户的 IP 地址为其分配 "伪匿名令牌",每个合作网站都有不同的令牌。如果网站所有者想更多地了解他们的访问者,他们可以访问这个标识符并使他们的广告个性化。请记住,该服务的所谓"伪匿名"是短暂的。网站可能无法识别个人用户,但服务提供商要做到这一点并不困难。
TrustPid 声称该机制"隐私友好",但它已经被比作一种被称为"超级 Cookie"(SuperCookies)的有争议的跟踪代码。与普通 Cookie 不同,"超级 Cookie" 不能被清除和阻止,因为它们不存储在设备上。早在 2016 年,Verizon 就因未经同意将"超级 Cookie" 植入用户的浏览器而在美国被罚款。沃达丰表示,TrustPid 不是"超级 Cookie",而且符合 GDPR 的要求。
这又是一个科技公司在保护隐私的掩护下试图规避追踪限制的例子。在第三方 Cookie 濒死挣扎的情况下,各大公司正通过创建收集数据的全新方式,尝试最大程度弥补广告收入的损失。我们能看到一些公司争先恐后地采用新的追踪技术,从而在广告市场上分一杯羹。真正令人感到讽刺的是,他们把这件事硬生生描绘成对用户有利的事情。
丹麦和荷兰限制在学校使用谷歌服务
即将开学,丹麦则对谷歌开火。丹麦数据保护机构禁止在境内学校使用 Chromebooks 和 Google Workspace 服务处理个人数据。该禁令适用于一个自治省,但其他地区也被建议要跟进。当局裁定,该科技巨头处理个人数据的方式不符合欧洲数据保护法 (GDPR)。机构对谷歌似乎可以将数据传输到美国等第三国这一公开的秘密特别有意见。谷歌教育软件所包括Google Classroom、Google Docs、Google Slides、Gmail、Google Meet 和 Google Drive 等常用的教育技术工具。
与此同时,荷兰教育部敦促学校,使用谷歌 Chrome 浏览器和谷歌 OS 的时候,采取额外保护数据的措施。目前,两个服务不符合《通用数据保护条例(GDPR)》的要求。要到 2023 年 8 月才会变得符合提供的要求,届时浏览器和操作系统的更新版本将被发布。现在,想要继续使用 Chrome 的学校必须遵守肯定会让一些学生感到不便的规定。比方说,学校应该禁用网站自动翻译、拼写检查、广告个性化的功能,并且确保数据保存在欧洲境内。教育部还鼓励学校放弃谷歌的搜索引擎,而选择更有利于保护隐私的选项,如 DuckDuckGo。
如果谷歌的数据分享的体验成为一个让各种政府机构担心的项目,那么我们也应该敲响警钟,随时准备采取行动保护自己的个人数据。
540万个推特账户资料待售
看起来,平静度日对于推特来说,是一种奢望。在其与 Elon Musk 收购案的明争暗斗之外,这家社交媒体巨头还受到了另一个打击。一个包含 540 万个 Twitter 账户的电话号码和电子邮件地址的数据库已被以三万美元的价格出售。据称,这些数据是在 2021 年 12 月被窃取的,是通过一个漏洞获得的。该漏洞后来被修补。该数据库包含公共的 Twitter 个人资料信息(昵称和个人资料描述),以及一个电话号码和/或电子邮件地址。
看起来我们将来会在社交媒体上看到更多涉及名人的加密货币骗局。此外,如果我们将用户的电子邮件与已知的数据库相匹配,我们可以挖掘出政治家、活动家以及普通用户的污点。特别容易受到伤害的是那些使用同一个电子邮件在所有网站注册的用户,包括有问题或非法内容的网站,如色情网站或非法市场。我们建议你有一个专门的社交媒体邮箱,以保护自己,以防此类个人信息不知不觉地泄露。
大公司(如 Twitter)总给人一种可以将个人数据存储在那的安全感,但这绝对是一种错觉。下一次再让大公司访问你的个人数据时可要切记这一点哦。
漫长的送别。Chrome 浏览器再次推迟拒绝第三方 Cookie 的时间
对谷歌来说,与第三方 Cookie 实在是难舍难分。科技巨头宣布要推迟 Chrome 浏览器里追踪技术的换代。这次推迟至 2024 年下半年。
虽然 Safari 和 Firefox 已经默认屏蔽了第三方 Cookie,但谷歌原本计划在 2022 年前结束对第三方 Cookie 的支持,作为其隐私沙盒计划的一部分。这个期限先是被推迟到 2023 年,现在又被推迟到 2024 年。
今年年初,谷歌发布了隐私沙箱(Privacy Sandbox )计划。该计划的目标为调和有隐私意识的用户和广告商的利益之间的矛盾。作为隐私沙盒的一部分,第三方 Cookie 将被一种叫做"话题"(Topics)的技术所取代。不幸的是,这项新技术只会加强谷歌对广告市场的垄断,因为它允许大公司像以前一样识别个人用户。你可以在我们的网站上阅读关于 Topics 和谷歌隐私沙盒的详细介绍。
紧急事件!Google 和 Amazon 向警方提供智能视频通话和摄像头数据
分别属于谷歌和亚马逊的 Nest 和 Ring 已经证实,它们可以在"紧急情况下"向警方传输视频门禁和家庭监控摄像头的录像。在这种情况下,既不需要授权,也不需要用户同意。Ring 说,今年该公司已经批准了 11 个这样的警察请求。其中一些涉及绑架、自残和谋杀未遂。Nest 表示,它保留批准此类请求的权利,但尚未这样做。
在公司给执法部门分享个人数据后,Ring 是否会通知其客户还不清楚。Nest 则声称,如果没有被法律禁止,他们会通知用户关于紧急事件。
美国法律允许处理视频录像的公司遵守无证要求,但它们在法律上没有义务这样做。这种做法令人震惊,因为它很容易被警察越权和滥用。在没有法律监督的情况下,公司被赋予了决定某一事件是否为紧急情况的专属权利,用户在将自己的数据委托给这些公司之前应该三思而后行。
嵌入智能家居的软件后门允许技术公司随时随地访问用户个人数据。同时,我们还不得不要为这种功能付费,尽管我们可能根本用不着。实质上,用户别无选择,只能自掏腰包资助科技巨头的间谍软件。
英国让科技公司扫描手机查看是否存在儿童性虐待证据
英国网络安全服务机构呼吁技术公司开发客户端扫描软件。如果英国的互联网安全法获得通过,他们将需要它。根据该法,在线平台可能被要求对用户信息进行扫描,以查找儿童性虐待材料(CSAM)和恐怖主义。
这个想法类似于去年苹果公司试图在 iPhone 和其他设备上引入图片扫描以打击儿童色情活动。面对专家界的激烈批评,苹果公司推迟了引入这一功能,因为这将大大损害端到端加密。但也许只是暂时的推迟。今年初,欧盟委员会提议立法,责成技术公司扫描 CSAM 材料的信息,并检测"诱导"资料。
英国想要在隐私安全和儿童保护两方面之间达到平衡,但是一旦端到端加密遭到破坏,一切都将无法挽回。我们是一个令人不安的趋势的亲历者:首先是在欧盟,现在是在英国,隐私正在以保护儿童为借口被一步步侵蚀。该措施的有效性值得怀疑,而对用户隐私的损害将是不可弥补的和长期的。
美国当局正在大肆购买用户的位置数据
美国公民自由联盟(ACLU)获得的材料显示,美国政府通过两个经纪商购买手机位置的数据,并且规避了任何潜在的司法监督。2017 年至 2019 年,处理移民和边境安全的美国机构从 Venntel 和 Babel Street 购买了大量的数据。有一次,美国海关和边境保护局(CBP)在三天内从手机上获得了多达 133,654 个位置地点数据。
美国公民自由联盟认为这类做法是毫无理由的跟踪,它依靠的是"从手机应用程序中悄悄提取的数据"。
第三方软件开发工具包(SDK)可以被嵌入到应用程序中,以帮助它们跟踪用户的位置。通过 SDK 的嵌入,开发者可以节省时间并降低花费的成本。然而,一些 SDK 可以将用户数据传递给第三方并出售。我们之前发布过一篇关于 SafeGraph 的 SDK 供应商的文章。它出售堕胎诊所客户的位置数据。保护你的数据安全的一个方法是只给应用程序最基础的权限。如果一个应用程序需要知道你的位置才能正常运作(例如,如果是一款天气应用程序),确保它不会在其他地方分享你的位置数据。