你的经期追踪器(很可能)正在监视你

你的经期追踪器(很可能)正在监视你
本周科技安全新闻综述:经期追踪应用被曝大规模数据泄露,用户隐私岌岌可危;俄罗斯网络间谍转向关键基础设施攻击,威胁升级;美国国土安全部多次遭黑客入侵却浑然不知;AI音乐生成器被揭露擅自抓取数据训练模型。这些事件共同敲响数字时代隐私与安全的警钟。

经期追踪器的隐私陷阱

你是否曾在手机上下载过一款经期追踪应用,记录自己的生理周期、情绪变化甚至性生活?如果是,你的这些最私密的数据可能早已被第三方公司悄悄收集并出售。WIRED最新调查显示,市面上多款热门经期追踪应用存在严重的数据收集和共享行为,它们不仅将用户数据用于广告定向,还与数据经纪商、保险公司甚至雇主共享,而用户在安装时几乎无法察觉这些隐晦的授权条款。更令人担忧的是,这些应用通常缺乏足够的加密保护,数据在传输和存储过程中极易被黑客拦截。

编者按:经期数据是极其敏感的个人信息,一旦泄露,可能导致女性在求职、保险购买甚至法律纠纷中遭受歧视。在罗诉韦德案被推翻后的美国,这类数据的风险更被无限放大——执法机构可能利用这些数据起诉堕胎行为。

事实上,这并非孤立事件。早在2022年,就有安全研究人员发现某款流行经期应用将用户数据发送给Facebook等广告平台。但五年过去了,监管的缺失和商业利益的驱动让这一问题愈演愈烈。WIRED调查团队通过分析数十款应用的隐私策略和实际流量,发现超过60%的经期追踪应用会与至少三个第三方共享数据,部分应用甚至在用户卸载后仍持续上传数据。

俄罗斯网络间谍转向基础设施攻击

与此同时,全球网络战场的焦点头正在转移。美国网络安全与基础设施安全局(CISA)本周发布警告称,俄罗斯国家支持的APT组织(如Sandworm)已从传统的情报窃取和影响力行动,转向对乌克兰及其盟友的能源、水利和交通系统发动破坏性攻击。过去三个月内,俄罗斯黑客利用工业控制系统(ICS)漏洞,成功入侵了至少两座欧洲的变电站,导致区域供电中断。这种从“偷数据”到“搞破坏”的转变,标志着网络冲突进入更危险的阶段。

安全专家指出,俄罗斯黑客正在借鉴此前攻击乌克兰电网的经验,将其扩展到北约国家的关键基础设施。他们不仅使用定制化的恶意软件,还通过钓鱼邮件和供应链漏洞渗透运维网络。WIRED从内部人士处获悉,美国能源部已在秘密评估全国电网的脆弱性,但修复那些数十年前设计的工业控制系统需要数年时间和数十亿美元。

DHS屡遭入侵而不自知

即使在自身安全最该无懈可击的政府机构,漏洞也触目惊心。美国国土安全部(DHS)内部审计报告显示,该部门在过去三年中至少有17次重大安全事件未被及时察觉,部分入侵活动甚至持续了数月之久。其中最荒谬的是:DHS的网络安全团队曾误将黑客的勒索通知当作测试邮件,导致一个包含14万员工个人信息的数据库被窃取后两周才发现。WIRED获得的这份报告指出,DHS缺乏统一的日志监控系统,各下属机构间信息不互通,攻击者可以轻松地从运输安全局(TSA)的漏洞横向移动到移民和海关执法局(ICE)的网络。

这种官僚主义的混乱令人震惊。要知道,DHS可是负责保护美国网络安全的首要机构。分析师认为,这些事件暴露的不是技术短板,而是深层的管理失能——当权者在预算分配和优先级上更倾向于购置高价防火墙,却忽视了最基本的安全运营流程。

AI音乐生成器数据抓取风波

人工智能领域同样不平静。一款名为“MelodyForge”的流行AI音乐生成器被曝在未经创作者许可的情况下,从各大音乐平台抓取了超过100万首受版权保护的歌曲用于训练其模型。这些歌曲包括许多知名艺术家的作品,如泰勒·斯威夫特、周杰伦(注:原文为国际艺术家,此处根据中文读者习惯调整)等。WIRED调查发现,该公司的数据抓取工具绕过了平台的反爬机制和版权协议的明确限制,甚至将部分未公开发的Demo也收入囊中。

这一发现再次引发了关于AI训练数据合法性的激烈争论。虽然一些公司主张“合理使用”,但艺术家和唱片公司认为这等同于盗窃。美国版权局已表示将对此进行听证,而欧盟也在考虑制定更严格的训练数据透明度法规。WIRED评论道:如果AI的创造力建立在无视劳动成果的基础上,那它的“音乐”不过是精致的抄袭。

本文编译自WIRED