下載 App 沒上傳影片卻被偷建個資,美國使用者集體控告抖音

一群美國使用者集體控告中國社群媒體抖音把私人用戶資料轉移到位於中國的伺服器。
評論
Credit: TikTok
評論

         本篇來自合作媒體中央社,INSIDE 經授權轉載。

美國加州一名女大學生在一場集體訴訟中控告中國社群媒體抖音(TikTok)把私人用戶資料轉移到位於中國的伺服器,即使抖音保證不會在中國儲存用戶個資。

路透社報導,這些控訴可能惡化抖音在美國碰上的法律問題。抖音是北京字節跳動科技有限公司(ByteDance Technology Co.)所有,但國際版的 TikTok 完全在中國境外營運,美國青少年尤其愛用。

        延伸閱讀:抖音非法蒐集兒童個資!美國重罰 1.7 億破紀錄

美國國家安全機關已基於個資儲存及可能的政治敏感內容審查在調查抖音。

這起集體訴訟是於 11 月 27 日在加州北區聯邦地方法院提出,由「野獸日報」(The Daily Beast)率先報導。抖音被控背地裡把大量私密且可辨識個人的用戶資料清空,並轉移到中國的伺服器。

抖音未立即針對指控置評,僅重申所有美國用戶的資料都儲存在美國,備份在新加坡。

        延伸閱讀:抖音海外版 TikTok 遭華府盯上,正在大力撕下身上的中國標籤

根據文件,原告名為密斯提‧洪(Misty Hong),是住在加州巴羅艾托(Palo Alto)的女大學生,她今年 3 月或 4 月下載抖音應用程式,但從未建立帳號。

數月後,她宣稱發現抖音在她不知情的情況下替她建立帳號,還製造一個關於她的個資檔案,內有從她拍攝的影片中一點一滴蒐集來的生物資訊,但她從未上傳這些影片。

根據文件,抖音今年 4 月把用戶資料轉移到兩個中國伺服器,分別是 bugly.qq.com 和 umeng.com ,內容包括用戶使用的電子裝置及所有用戶曾經瀏覽的網站。

Bugly 屬於騰訊科技股份有限公司,也就是中國最大的手機軟體企業,網路聊天軟體 WeChat 也是騰訊所有;友盟+(Umeng)則是數據智能服務商,是電子商務巨擘阿里巴巴集團旗下企業。

集體訴訟還指控抖音應用程式內嵌中國搜尋引擎百度公司及中國廣告服務 Igexin 的原始碼;安全研究員曾於 2017 年發現 Igexin 讓開發人員得以在用戶手機上安裝間諜軟體。

    延伸閱讀:

責任編輯:蜜雅
核稿編輯:Mia


從這 3 個解決方案,突破傳統 VPN 功能上的局限性

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。
評論
評論

遠距工作逐漸成為了常態,企業內部的雲端協作增多,加上用戶使用的終端設備也日漸多樣化,導致終端設備的風險不斷增加,同時企業對於遠程接入的安全需求也更為提升。雲端運算的廣泛使用,給傳統 VPN 技術實現遠程安全接入的方案,帶來了很大的挑戰。

挑戰來源於這裡

首先終端安全風險缺乏有效地管控,傳統的 VPN 只針對用戶做認證,缺乏對終端裝置認證及安全性評估。終端種類和來源的多樣性帶來的安全風險大大增加,存在終端被入侵並作為攻擊跳板的可能性。

傳統 VPN 難以適應雲環境和多雲數據中心應用場景出現,且通常採用加密隧道劃分安全可信區域,在雲環境下,尤其是存在多雲數據中心的情況,難以適應同意安全接入、統一建立安全邊界的需求。最後 VPN 介入後的橫向攻擊難以控制,用戶通過傳統 VPN 接入內網後,缺少更細粒度、動態的訪問和權限控制,導致關鍵應用可能存在被攻擊滲透的風險。

新的方案需要在這 3 個方面提升

除了對用戶身份認證以外,對用戶終端的安全性也需要進行持續地評估,以提升系統安全水平。適應雲端運算環節下統一接入、統一管理的要求,其中包括私有雲、公有雲和混和雲環境。對內部網路中的橫向攻擊進行有效地管理控制,對用戶可信度的訪問權限進行評估,不能只是透過物理位置和靜態狀態來做出判斷,需要基於用戶自身的角色和身份以及當前的安全狀態,來進行更細顆粒度的動態授權,進一步去提升系統安全訪問的標準。

VPN 會在用戶進行登錄訪問的期間實施檢測功能,當發現終端安全狀態不能滿足安全需求時,會限制終端對系統的訪問。VPN 可以通過 API 接口與態勢感知、下一代防火牆、終端檢測和響應等多種裝置進行安全連動,並保持安全效能持續地成長,更加準確識別出異常行為和未知的威脅。同時,透過與其他能力相互協作,滿足遠距辦公場景下的數據防泄密需求。

Surfshark VPN 免費加贈 3 個月

本文章內容由「Surfshark」提供,經關鍵評論網媒體集團廣編企劃編審。