《金融时报》报道了中国早已产业化的用户数据黑市，但这一次涉及到了网络借贷。报道称：在 QQ 一个专门讨论消费信贷的聊天室中，《金融时报》联系了一名自称是在线贷款机构员工的人，此人声称有用户数据可以出售，能以每条用户信息 4 元人民币的价格，提供全名、身份证号码、电话号码和贷款限额。他补充说，对于一些借款人，数据还包括来自芝麻信用的信用评分。分析师们表示，用户数据的许多买家是其他消费贷款平台，他们希望识别曾经从其他平台借款的潜在客户，尽快打开自己的业务。用户作了登记、但从未借款的平台，也可能选择将用户信息卖给竞争对手。

High-Tech Bridge 利用它的分析应用 Mobile X-Ray 分析了 Google Play 下载量最高的 90 款数字货币应用，发现大部分没有使用加密。这些应用的下载量或超过 50 万次，10 万次到 50 万次，或 10 万次以内。在这些应用中，94% 使用了过时的加密，66% 没有使用 HTTPS 加密传输的用户信息，44% 使用默认的硬编码密码，94% 至少有 3 个中等风险的漏洞。不使用加密会导致用户容易受到中间人攻击，劫持流量窃取密码。High-Tech Bridge 没有公布不安全应用的名单。

法国研究组织 Exodus Privacy 和耶鲁大学 Privacy Lab 分析了流行 Android 应用是否包含已知的 25 种跟踪程序，发现超过四分之三的 Android 应用包含至少一种第三方跟踪程序。如流行应用 Tinder、Spotify、Uber 和 OKCupid 使用了 Google 的跟踪服务 Crashlytics，该服务主要跟踪应用崩溃报告，但也收集用户数据。其它跟踪服务包括法国的 FidZup。研究人员没有检查 iOS 应用，他们警告说 iOS 平台的情况未必好于 Android 平台，因为这些服务商提供的是跨平台跟踪服务。

中国工程院院士、中国互联网协会理事长邬贺铨在接受采访时表示， IPv6 时代将能实现真正的网络实名制 ，“可以说，我们的 IP 地址资源是严重匮乏的，不但限制了我国互联网的发展，还给安全管理带来了难度。目前我们的 IP 地址是动态分布的，无法实现地址与计算机，或者地址与人的一一对应。但到了 IPv6 时代，有了足够多的地址，每个人一个地址，我们就可以实现实名制，网络安全管理能力就提高了，比如像网络诈骗追溯的难度会大大降低。”由于 IPv6 协议下，IP 地址数量接近无限的特点，这将打破现在地址资源分配的格局，未来将可以实现自由取用。邬贺铨称，为了更好地定位用户，我国还将编写一套 IP 地址的分配规则，目的是让 IP 地址生成有规律可循，“就像电话和手机号码的分配，比如我们现在通过区号，或者手机号码的号段就能判断出该号码属于哪个区域、哪个运营商、哪个年代等，未来 IP 地址的分配也会采用类似的方法进行管理。”

世界最大的 PC 制造商惠普被指在在其销售的计算机上预装了拖慢整个系统的间谍软件。受争议的软件叫 HP Touchpoint Analytics Service，被用于收集遥测信息。但惠普客户报告称，软件是未经许可在最新更新中安装到计算机上的，它被发现持续在后台运行，导致风扇持续转动和 CPU 的高负荷。预装大量用户不需要的程序的做法在 PC 制造商中非常流行，此前联想因为预装了广告程序而被罚了 350 万美元，而这不是惠普第一次被发现预装了间谍软件，惠普笔记本电脑预装的 Conexant 音频驱动早些时候被发现内置了按键记录器。

Firefox 工程师正在开发一个通知系统，当用户访问的网站遭遇过数据泄露时向其展示安全警告。通知系统将使用 Have I Been Pwned? 网站提供的数据，该网站索引了公开的数据泄露，允许用户查询其信息是否泄漏。数据泄露警告通知系统的开发才起步不久，代码将不会整合在 Firefox 中，而是作为一个扩展提供给用户。 Have I Been Pwned 的作者 Troy Hunt 证实他正与 Mozilla 合作开发这项安全功能。

类似 Uber 最新披露的数据泄露事件可能很快会引来欧洲监管机构的处罚。在欧盟运营的上市和非上市公司 2018 年 5 月起将需要遵守《一般数据保护条例》。该影响面广泛的条例规定了公司如何使用所收集的个人数据及披露数据外泄事件。未报告个人数据泄露事件的公司将面临最高相当于其全球年收入 2% 或 1000 万欧元的罚款﹐以较高者为准。未经同意而处理个人数据的公司可能会受到最高相当于其全球年收入 4% 或 2000 万欧元的罚款﹐以较高者为准。

很少有人会像 RMS 对手机保持如此高的警惕，他曾经指出智能手机是用户自由权利的一大威胁，是 “斯大林的梦想”，是老大哥的工具。智能手机会跟踪用户的位置，这早已众所周知，但即便你关闭了位置跟踪服务，手机仍然在跟踪你。Quartz 的调查发现，在关闭跟踪服务后 Android 软件会继续收集用户的位置信息，然后在联网时发送回 Google。Google 发言人称，从 2017 年开始，Android 收集了附近手机塔的位置（即 Cell ID），手机塔地址包含在手机发送到 Google 用于管理通知推送和消息的系统的信息中。Google 发言人声称这些信息没有使用或储存，Google 将采取措施结束这一做法。到 2017 年 11 月底，Android 手机不再向 Google 发送手机塔位置数据。

Mozilla 最近在 Firefox 浏览器中加入了一个增强隐私保护的功能，帮助阻止在线广告商的跨网站跟踪。这一功能叫第一方隔离（First-Party Isolation)，源自 Tor 浏览器。Tor 浏览器是基于 Firefox 长期支持版，整合了大量隐私保护功能。我们在访问一个网站时，网站会在你的浏览器上留下跟踪的 cookie，但除此之外它还会留下来自第三方的 cookie，如果你访问的另一个网站也有该第三方有这个 cookie ，那么该第三方将能在两个网站上跟踪你的活动。所谓的第一方隔离就是一个网站留下的 cookie 和另一个留下的 cookie 隔离开来，让第三方 cookie 无法实现跨网站跟踪。

根据上周发表的一项研究，数百家网站利用脚本跟踪用户在网站上的一举一动，包括实时的按键、鼠标移动和滚动行为，甚至还包括递交前或后来删除的输入。被称为会话回放的脚本设计帮助网站运营者更好的理解访客与网站的互动，识别产生混淆或故障的特定页面。访客的每一次点击、输入和滚动都会被记录下来等以后的回放。研究调查了 5 万家访问量最大的网站，发现其中 482 家含有会话回放脚本，其中包括 microsoft.com、adobe.com 和 godaddy.com。研究作者 Steven Englehardt 称，第三方的会话回放脚本可能会导致敏感信息泄漏。

想象一下，你的按摩棒控制应用在你不知情下记录了你使用按摩棒过程中发出的声音，然后储存在设备上？香港性玩具公司 Lovense 承认它的 Android 版控制应用 Lovense Remote 在本地储存了用户的录音。一位 Reddit  用户最早注意到该应用的行为，其应用文件夹内发现了长达六分钟的录音文件。其他用户随后确认了这一行为。一位自称代表 Lovense 公司的用户声称录音是一个“ bug”，只影响 Android 用户，没有用户信息或数据发送到它的服务器上，而录音文件也只是临时存在，它已经释出更新修复了该 bug。

中国公司生产的一款机械键盘 MantisTek GK2 被发现会收集用户的按键频率信息并发送到阿里巴巴的服务器。收集按键信息的是这款键盘搭配的 Cloud Driver 软件，该公司收集这些信息也许并无恶意，可能是为了观察各个按键的耐用性。但未经用户同意跟踪用户的做法侵犯了隐私方面的法律。要阻止键盘收集和发送用户信息只需要阻止 Cloud Driver 在后台运行，用户还可以在防火墙屏蔽 CMS.exe 可执行文件。

Tor 项目官方博客简介了它的下一代洋葱服务。旧的洋葱系统已经存在了超过十年时间，其老态已经显现。过去四年他们一直在开发下一代洋葱服务，在两周前正式发布了一个 alpha 版本。新的洋葱服务采用了最新的加密算法改善了认证方案，重新设计了目录系统防止信息泄漏，减少攻击面。开发者还计划引入更多新功能，表示目前并没有计划立即杀死旧的系统，旧的系统在短时间内仍然是默认选项，在用户迁移到下一代系统之后，他们才会计划将下一代设为默认。这需要几年时间，如果社区欢迎这一改变，Tor 项目才会完整的淘汰旧的系统。

《纽约时报》宣布了一个设立 Tor 域名： https://www.nytimes3xbfgragh.onion/。《纽约时报》称它的读者来自世界各地，其中有一部分读者是通过 Tor 访问时报网站的，原因或者是网站被封锁了，或者是担心本地网络监视，或者是关心在线隐私，或者只是他们偏爱用 Tor 访问。为了确保读者能安全的访问时报，它决定设立一个专门的洋葱路由域名，改善用 Tor 访问网站的用户体验。Tor  访问者可通过 onion@nytimes.com 提供建设性反馈和 bug 报告。

根据政府网站的信息，公安部在 2012 年启动了全国公安机关声纹数据库国家库的建设，安徽省是声纹数据库试点省份之一，建设省级数据库平台并接入国家库，共同完成全国声纹数据库的系统建设，该项目由安徽讯飞智元信息科技有限公司承建。官媒今年早些时候报道，安徽公安厅正在实验对电话通讯进行实时监控，即利用自动话者识别系统自动找出目标人员的声纹并通知公安人员。人权观察对该生物特征识别库的隐私问题表达了担忧。

隐私保护组织隐私国际向英国特别司法机构权力调查法庭起诉英国情报机构收集公民社交媒体及医疗数据。隐私国际表示，这些信息可能被分享给外国政府和一些商业伙伴。2015年3月，英国情报机构被曝光不仅在收集特定目标嫌疑人的数据，还在收集普通民众的数据。这些细节被一份来自情报及安全委员会的报告曝光。报告称名叫 BPDs（bulk personal datasets）的数据库里有上百万份数据记录。隐私国际表示，该案是此类数据收集争议首次进入公众视野，尽管目前这些数据的收集渠道尚不清楚，"我们并不知道这些数据是被截取还是来自一些公司。"该案涉及的最大一个曝料是，一些私人合同商拥有数据收集机构的管理员权限。

阿里巴巴旗下的《南华早报》报道，中国正在建造世界上最强大的面部识别系统，能在三秒内识别任何公民。系统的目标是以 90% 的精度匹配一个人的脸部和他们的身份证照片。公安部在 2015 年启动了这个项目，目前正与上海的一家安全公司合作开发。该系统能接入全国的监控探头网络，使用云设施访问分布在各地的数据中心和处理中心。由于面部识别技术的技术限制和庞大的人口基数，开发面临许多技术挑战，一些研究人员还不清楚系统何时能完成。目前中国的面部识别系统只在小范围内使用，彼此独立没有互联。这个全国性系统的核心数据集大约为 13 TB，包含了每位公民的肖像信息。更完整的数据库不超过 90 TB。清华大学副教授 Chen Jiansheng 是公安部的一位顾问，他表示该系统将被公安用于跟踪通缉嫌疑人，被政府用于公共管理，商业使用暂时不会被允许。

这一现象丝毫不出人意料：深圳万普拉斯科技有限公司为其一加智能手机开发的 Android 定制版本 OxygenOS 内置了跟踪分析功能，会跟踪用户在应用中的所有活动，相关数据会被发送到域名open.oneplus.net，一加收集的数据并不匿名，包含了用户设备的详细信息。用户没有办法禁用，但可以通过 adb 移除名为 OnePlus Device Manager 的跟踪应用。

一家自称不记录日志的香港 VPN 服务商 PureVPN 被指帮助 FBI 抓住了一名网络骚扰者。24 岁的麻省居民 Ryan Lin 于上周被捕（起诉书 PDF），被指通过网络大肆骚乱前室友 Jennifer Smith。Lin 是通过 Craigslist 上的广告而在 2016 年 4 月底/ 5 月初成为 Smith 的室友，Smith 的房间没有锁，她有一台 MacBook 笔记本电脑也没有密码保护，其中还有一份文件储存了她的所有在线账号的密码。在 Lin 入住不久他就表现出奇怪的行为，Smith 在 Lin 的请求下以 60 美元出售了大麻，当天凌晨 3 点他进入了她的卧室对她大吼，指控她在出售大麻上欺骗了他。此事发生不久她就搬了出去。Lin 通过短信暗示他已经窃取了她的所有在线账号密码，访问了她的 iCloud，Google Drive，查看了她的个人日志。Lin 通过登录其账号以 Smith 的名义发送了炸弹恐吓、儿童色情和性暴露照片。FBI  的调查发现，Lin 使用了 Tor 和多个 VPN 服务来隐藏真实的 IP，他使用的一个 VPN 服务就是 PureVPN，而他同时还使用了另一个 VPN 服务 WANSecurity。讽刺的是，Lin 还在社交网络上抨击 VPN 服务商所谓的不记录日志是胡扯。

在反恐在名义下澳大利亚政府宣布将部署面部识别技术。澳大利亚将利用 ID 和驾照上的照片建立一个全国脸部照片数据库，然后利用面部识别软件从监控视频中识别出列入黑名单的嫌疑人。新的系统将从明年启用。这一系统引发了隐私方面的担忧，电子前哨澳大利亚的 Jon Lawrence 在一份声明中认为，这一决定是对所有澳大利亚人基本公民自由的彻底背叛，是把所有人视为潜在嫌疑人。澳大利亚总理 Malcolm Turnbull 坚称澳大利亚人并没有处于大规模监视中。另一位政府高官声称公民自由的考虑不能超过国家所面临真正的危险。面部识别技术正在世界各地广泛使用，其中中国在采用面部识别技术上处于世界领先地位。在中国基本上不存在对隐私的争论，政府正以尽可能快的速度推广面部识别。中国据估计有 1.76 亿监控探头，面部识别的普及将让老大哥以 24/7 监视每一个人。