在如今的日常生活中,社交媒体几乎时刻伴随着我们的生活,成为现代生活中不可或缺的一部分。
虽然社交媒体出现的时间还不到20年的时间,但对于千禧一代人来说,社交媒体更像是其手足。如果没有了网络,没有了社交媒体,就会感觉到生活受到了限制。
的确,社交媒体能够让我们的生活更加便利,更迅速地获取信息,更快速地结交好友,但是,这一切的前提都是向社交媒体平台让渡了一部分的个人隐私后获得的。
尽管各国的法律上对个人信息安全问题有着严格的要求,但是在网络世界中,并非所有的安全机制都能够保障个人隐私,也并非所有的安全系统都固若金汤。
无论您是作为普通的用户,还是作为商家,您不经意的一次选择就有可能让您的数据、个人隐私、公司信息泄露。
如果个人信息落入不法分子之手,有可能会让您造成财产损失;作为商家,如果您不当收集、展示和使用用户的信息,也有可能触犯法律,最后招致处罚。
今天,丽莎为大家分享近期出现的两个网络巨头出现的安全事件,和大家聊一聊数字生活中的隐私问题。
TikTok严重安全漏洞,20亿用户数据泄露
根据彭博社的报道,2022年8月31日,美国微软公司(Mircosoft)表示,它在TikTok(海外版抖音)的安卓平台(Android)应用程序中发现了一个严重的漏洞,这使得攻击者仅需一次简单的点击,即可破坏用户的账户。
这一漏洞允许绕过TikTok应用程序的深度验证,可以强制将任意URL加载到应用程序的WebView,这样就使得JavaScript脚本运行,配置文件,发布视频和发布消息。
这让数以亿计的用户,尤其是年轻族群感到惶恐,因为TikTok是世界上装机量最大的应用程序之一,月活用户超过10亿,是当下年轻人最喜爱的应用程序之一。
就在微软公司发出公告后不久,TikTok快速做出响应,更新了在安卓平台的应用程序,并敦促安卓用户尽快更新,其中,23.7.3之前的应用程序都会受到影响。
然而,就在微软公司爆出TikTok安全漏洞的三天后,一个名为AgainstTheWest的黑客组织就声称他们入侵了TikTok,并在Breach Forums的论坛上发布了入侵事件的屏幕截图。
据悉,他们从TikTok的服务器上获取了790GB的数据,这一服务器储存了超过20亿条有价值的信息,包括用户数据,平台统计信息,后台源代码等。
在帖子中,他们表示尚未决定要出售这些信息还是向公众发布这些数据,为了证实自己入侵的真实性,他们在论坛上发布了两个数据样本,并且还发布了一组数据库的视频。
如果这场针对TikTok的网络攻击为真,那么将是一场用户隐私泄露的灾难,如果数据被别有用心的人截取或购买,那么有可能引发了大量的诈骗案件。
面对大量的质疑和用户的恐慌,TikTok方面仍非常淡定,其发言人表示:TikTok有限考虑用户数据的隐私和安全,我们的安全团队调查了这些说法,没有发现任何安全漏洞的证据。
也就是说,TikTok官方对于当前在网络上蔓延的数据安全事件予以否认。
不过,20亿数据信息被劫持消息还是引起社会各界的关注,很多黑客和计算机能手都在试图验证数据样本的真实性以及来源。
根据澳大利亚网络安全顾问特洛伊·亨特(Troy Hunt)的大量验证,他目前尚且无法定论数据的真实性,他在其中发现一些数据是真实的,但是其中也有一些垃圾数据,这些垃圾数据可能是测试阶段所使用。
除了特洛伊·亨特之外,还有人发现这些数据可能并不是来自TikTok本身,而是来自于TikTok电子营销和电子商务的第三方。
因此,TikTok泄露20亿数据的事情尚不能完全证实,但也无人证伪。
执法部门会如何处置?用户又应该怎么办?
其实,早在今年6月,9名美国参议院就向TikTok公司写了一封公开信,要求解释所谓的安全漏洞。
而在今年7月,网络安全公司Internet 2.0 Inc 报告称,他们发现TikTok在用户的设备上进行“过度的数据收集”,包括每小时检查一次设备位置,收集设备的序列号等。
而彭博社预计,美国总统乔·拜登有可能在未来会签署一项行政命令:限制美国对中国科技公司的投资,并有可能针对TikTok采取单独的行动,并且关注TikTok的数据管理问题。
但是上述的行为大多都是民间的调查和美国总统或议会的行动,不构成司法领域的问题。如果美国或其他国家的政府执法部门真的发现了违反法律法规的操作,势必会收集证据,并处以行政处罚。
换句话说,虽然现在TikTok泄露的20亿数据事件还在愈演愈烈,但盗取信息的一方是违法的,而TikTok的管理不力则有可能遭遇行政处罚。回过头来,目前这一事件还没有最后的定论,因此执法部门当前是很难介入的。
对于用户来说,微软公司的Microsoft 365 Defender团队给出了如下的建议:
立即更改密码,并开启短信二次验证。
避免点击来自不受信任来源的链接。
始终保持设备和已安装的应用程序更新。
切勿安装来自不受信任来源的应用程序。
立即向供应商报告任何奇怪的应用程序行为,例如在没有用户交互的情况下触发的设置更改。
爱尔兰处罚Instagram 4.05亿欧元,怎么回事?
近日,爱尔兰数据保护委员会DPC对Instagram罚款4.05亿欧元(27.9亿人民币),而原因是该平台违反GDPR(通用数据保护条例)中对青少年个人信息的保护。
Instagram在2012年被社交媒体巨头Meta(更名前为“Facebook“)以10亿美元收购,现在是Meta旗下的子公司,这一社交平台深受年轻人的喜爱。
爱尔兰数据保护委员会DPC表示,Instagram允许青少年建立商业账户,并公开显示它们的电话号码及电子邮件地址。
这一调查持续了两年,爱尔兰当局认为Instagram的行为严重违反了欧盟的数据保护法案GDPR,因此向Instagram开出这笔巨额罚款。
这也是自卢森堡监管机构自去年对亚马逊罚款7.46亿欧元之后,欧盟国家根据GDPR开出了第二大罚款。
不过,Instagram公司对此罚款仍抱有异议,因为调查的重点是一年多以前的“旧设置”,而在此后它们为青少年发布了新的隐私功能,包括他们在加入Instagram后自动将账户设置为私密,并且成年人无法向未关注的青少年发送消息。
其实爱尔兰当局在调查过程中已经与Instagram有了充分的接触,而Instagram公司可能认为在应用做出改进之后将会大大减少罚款金额,但当罚单出具之后,Instagram并不认同这笔罚款,并打算上诉。
丽莎小结:
可以看出,监管机构在对社交媒体公司进行调查之时,往往需要数月甚至数年的时间进行调查和取证。
监管机构往往看重的是社交媒体公司是否遵从当地的法律法规,当然,信息泄露事件也是各个国家数据安全法规中较为重要一项。
在英国,如果企业发现公司用户的数据发生泄露,必须要在72小时内向英国的独立的信息专员办公室ICO进行报告(即便没有细节也需要进行报告),如果泄露行为可能对个人隐私和经济权利造成风险,公司必须要向个人进行通知。
那么,什么属于个人数据泄露?如何界定是否需要报告信息泄露的行为呢?
个人数据泄露可能包括:
未经授权的第三方访问;
控制者或处理者有意或无意的行为(或不作为);
将个人数据发送给错误的收件人;
包含个人数据的储存计算设备丢失或被盗;
未经许可更改个人资料;
失去个人数据的可用性。
其实,并不是以上所有的信息泄露都需要进行报告,而是需要进行风险评估的,其中较为重要的标准是否会对个人的权利和自由造成高风险和伤害。
比如,一家超市的IT系统被黑客入侵,大量的超市会员的个人信息被窃取,那么由于其信息涵盖会员的姓名、联系方式、住址,甚至是付款信息,那么这一行为必须要进行上报。
比如,一名大学的工作人员不小心误删了校友的联系方式,但稍后又重新创建了备份信息,那么这种行为不具有风险性,则无需进行报告。
如果信息泄露是具有风险性的,而公司又没有在72小时内进行报告,那么有可能被处以高达870万英镑或全球营业额2%的巨额罚款。
因此,如果您从事的行业与客户直接打交道,并收集了大量的客户信息,那么您需要有一套完整的信息储存和管理流程,同时对能够接触到顾客信息的员工做好培训,以防止个人客户信息的泄露,避免遭遇不必要的调查、诉讼和罚金。
如果您在这一用户信息安全方面仍有疑问,欢迎您联系丽莎律师行,我们专业的商业律师会倾听您的问题,为您出谋划策。
好的,关于“信息安全”的话题丽莎就先说到这里,如果您对于文章内容,如英国GDPR、英国公司法方面有问题,或者其他英国法律方面有任何疑问,都可以进一步咨询丽莎律师行。
任何英国税务方面的问题,也欢迎联系咨询丽莎会计行。
觉得丽莎的文章不错?请不要吝于点赞和转发!您的支持是丽莎继续前进的动力,我们将尽力为莎粉们提供最新最全的实用信息。
> 📱 丽莎的“掌上律师”服务 📱 <
如果莎粉们对于丽莎的“掌上律师”服务有任何疑问,或者想要了解如何使用丽莎APP,莎粉们可点击这里 ↓
丽莎以简易图表,一步一步带您使用丽莎律师行的专属APP。
您和我们只有一键之隔。委托我们,您完全可以更加省时省力。对于住得远的莎粉,您更可以省下车费和舟车劳顿。丽莎只想为您做得更好。您说,我们做!委托丽莎,从来没有如此简单过!
如果莎粉们对于丽莎的“掌上律师”服务有任何疑问,或者有其他法律问题,都可以直接联系丽莎律师行(www.lisaslaw.co.uk),或者通过我们旗下官网和《丽莎知道》微信公众号(UK-LISA),官方微博(www.weibo.com/lisaslaw)咨询丽莎。
丽莎律师行联络邮箱:info@lisaslaw.co.uk
联络电话:020 7928 0276
联络微信号:lisaslaw003
《丽莎知道》官方微博:www.weibo.com/lisaslaw;手机版:www.weibo.cn/lisaslaw
扫一扫,《丽莎知道》微信公众号:
