网络盾牌 | 1205-美国FTC公布特殊隐私处罚案例-欧盟公布量子技术2030年路线图-Killnet发起总攻预热，星链瘫痪

美国FTC公布“特殊”隐私处罚案例

标签：美国，联邦贸易委员会，隐私处罚案例

近日，美国联邦贸易委员会（Federal Trade Commission，FTC）公布了一项特殊的处罚决定：勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片，以及利用这些数据训练出的所有算法。

“通过面部识别，公司可以将亲友的照片转换为敏感的生物识别数据，”FTC消费者保护局局长安德鲁史密斯说，“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。”

Everalbum提供了一个名为“Ever”的应用程序，允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频，以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称，2017年2月，Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能，该功能使用面部识别技术将出现在照片中的人的面孔分组，并允许用户按姓名“标记”人。据称，Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。

Everalbum表示，在2018年7月至2019年4月期间，除非用户确定选择激活该功能，否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始，该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能，但它在2019年4月之后对所有其他用户自动激活，并且无法关闭。

FTC诉称，Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间，Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合，创建了四个数据集，用于开发其面部识别技术。起诉书称，Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能，并开发面部识别服务出售给其企业客户；但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。

根据起诉书，Everalbum还向用户承诺，将删除停用其帐户的Ever用户的照片和视频。然而，FTC声称，至少在2019年10月之前，Everalbum还未删除任何已停用帐户的照片或视频，而是无限期保留它们。

拟议的和解要求Everalbum删除：

• Ever应用程序停用帐户的照片和视频；

• 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据，都是来自未明确同意使用的Ever用户的照片；

• 使用Ever用户的照片或视频开发的任何面部识别模型或算法。

此外，拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式，包括使用面部识别技术创建的人脸嵌入，以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议，如果该公司向消费者销售供个人使用的软件，在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前，必须获得用户的明确同意。

委员会以5比0的投票结果发布了拟议的行政投诉，并接受了与公司达成的同意协议。

信源： 数据合规公社、FTC

欧盟公布量子技术2030年路线图，抢占未来十年；

标签：欧盟，量子技术，2030

欧盟量子技术战略将全面更新，量子旗舰计划(Quantum Flagship)刚刚发布了初步的战略研究和产业议程(SRIA)，提出了一条与欧盟各种量子技术倡议相一致的实施路径。

预计将于2023年发布的最终SRIA中会有更全面的战略更新。

作为核心，这份初步SRIA文件概述了四大技术支柱量子计算、量子模拟、量子通信、量子传感和计量以及劳动力发展和标准化等横向问题的2030年路线图。

信源：https://qt.eu//app/uploads/2022/11/Quantum-Flagship_SRIA_2022.pdf

黑客在暗网上泄露 Medibank 客户数据；

标签：暗网，Medibank，数据泄露

Medibank周四证实，在拒绝支付赎金后，这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。

澳大利亚健康保险公司表示：“我们正在分析数据，但公布的数据似乎是我们认为罪犯窃取的数据。”

“虽然我们的调查仍在继续，但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止，我们分析的原始数据是不完整的，难以理解。”

该公司承认，在2022年10月发生勒索软件事件后，其现有和前任客户中约970万人的个人数据被访问。

其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。

最新的数据集以六个ZIP存档文件的形式上传，其中包括健康索赔信息，尽管Medibank注意到大部分数据都是碎片化的，并且没有与客户姓名和联系方式相结合。

攻击者被怀疑位于俄罗斯，与今年5月早些时候卷土重来的REvil勒索软件组织有关。

与此同时，澳大利亚信息委员会（OAIC）办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。

电信巨头Optus已经在进行类似的调查，该公司在2022年9月下旬遭遇黑客入侵，以确定该公司是否“采取了合理措施，保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。

这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法，如果公司多次或严重的数据泄露，可能会面临高达5000万澳元的罚款。

信源：https://thehackernews.com/2022/12/hackers-leak-another-set-of-medibank.html

亲俄黑客组织Killnet发起“总攻”预热，星链瘫痪数小时；

标签：Killnet，星链

亲俄黑客组织Killnet宣称已经完成对埃隆·马斯克的星链（Starlink）、白宫官网（WhiteHouse.gov）和威尔士亲王网站的“测试攻击”。安全公司Trustwave的研究人员确认了上述攻击的真实性。

Killnet及其黑客合作者团伙在宣言中声称，他们完成了三次“试探性的”DDoS攻击，旨在惩罚支持乌克兰的一些最关键的力量，包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。

Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天，网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。

Killnet在Telegram上发布消息称：“同志们久等了，对星链发动的集体DDoS攻击导致没有人可以登录Starlink。”

马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初，黑客组织“Joker DPR”（顿涅兹克小丑）宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序，包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息，该系统目前是乌克兰部队主要使用的战场指挥系统，且严重依赖星链网络提供的通讯服务。

据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动，包括Anonymous Russia，Msidstress，Radis，Mrai和Halva。

信源：GoUpSec

知名密码管理软件LastPass再遭网络攻击，客户数据泄露；

标签：密码管理，LastPass，数据泄露

11月30日，世界最大的密码管理软件之一LastPass在其官网发布了一则安全事件通知，其最近在第三方云存储服务中检测到了异常活动。LastPass确认未经授权的一方利用上一次发生的安全事件中窃取的信息，能够访问LastPass客户信息的某些元素。

LastPass所指的上一次安全事件，发生在不久前的2022年8月。在那次网络攻击事件中，黑客通过一个受感染的开发人员账户访问了LastPass的开发环境，并窃取了LastPass的部分源代码和专有技术信息。

Lastpass表示，它聘请了行业领先的安全公司Mandiant调查这一事件，并已将本次攻击事件通知给执法部门。目前尚不清楚黑客可以访问哪些信息以及会有多少客户受到影响。

至于客户的密码是否会泄露的问题，Lastpass特别指出客户不需要担心。客户在该密码管理软件上保存的密码由LastPass的Zero Knowledge架构保证安全加密（只有客户知道他们的主密码，密码加密在用户的设备上完成，而不是服务器端）。

在通知的最后，LastPass表示其产品和服务仍然功能齐全，与以往并无二样，用户可以照常使用。而LastPass将继续努力，在整个基础架构中部署增强的安全措施和监控功能，以帮助检测和防止进一步的网络攻击活动。

信源：LastPass