在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。Kryptowire 称，Blu 的两款手机 Grand M 和 Life One X2 会向上海广升信息技术有限公司的服务器发送手机塔 ID 和位置、手机号码、IMEI、IMSI、Wi-Fi MAC 地址，设备序列号、安装应用列表及其时间戳。Blu 的另一款手机 Advance 5.0 则包含了能被第三方应用利用的代码执行和记录能力。另一款不同厂商的手机 Cubot X16S 则还能将用户浏览历史发送到中国的服务器上，甚至还能在第三方的指令下发送短信。安全专家认为，亚马逊的做法是完全正当的。此类的信息收集在中国早已司空见惯，但中国的开发商不小心将这个秘密出口到世界其他地方对此不知情的买家。

在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。Kryptowire 的研究人员在上周举行的 Black Hat 安全会议上报告，上海广升信息技术有限公司的软件仍然会在不告知用户的情况下将设备数据发送到该公司位于上海的服务器上。亚马逊在声明中称，安全和隐私对客户至关重要，在问题解决前将停止所有 Blu 品牌手机销售。Blu 回应称正在进行评估。

在两大暗网市场 AlphaBay 和 Hansa 美欧执法部门关闭之后，暗网市场的供应商并未因此偃旗息鼓，他们转战去了其它仍然活跃的市场。一项研究发现，其它暗网市场过去一周列出的商品增加了 28%。但由于持续遭到打击，武器或儿童色情之类的非法商品从这些市场逐渐消失了。暗网是基于 Tor 隐藏服务，必须通过 Tor 匿名网络才能访问。在 AlphaBay 和 Hansa 于 7 月 20 日关闭之后，Dream Market 现在成为了最大的暗网市场，网站列出的商品条目数有 98,844 个。该网站是在 2013 年上线的，是至今仍然存在的最古老暗网市场之一。

Google 今年早些时候宣布了一个新的广告工具，通过结合线上广告浏览和线下信用卡消费数据，告诉广告商广告是否真正有效。隐私保护组织 Electronic Privacy Information Center(EPIC) 本周一向美国联邦商业委员会递交了正式投诉，要求对 Google 展开正式调查，以判断 Google 是否对数以百万计的美国消费者提供足够的隐私保护。EPIC 认为，由于 Google 的算法是保密的，没有办法能判断 Google 所宣称的匿名数据特性是否能真的有效工作。Google 此前披露它匿名用户数据的技术是基于 CryptDB。EPIC 指出，早在 2015 年，研究人员就证明 CryptDB 技术存在安全漏洞。EPIC 认为，消费者无法轻易避开 Google 对他们店内购物行为的跟踪。

在拉斯维加斯举行的 DEF CON 会议上，Tor 项目联合创始人 Roger Dingledine 试图纠正有关匿名网络的错误观念。他指出，只有 3% 的 Tor 用户访问 Tor 隐藏服务，绝大部分用户是出于完全合法的目的通过 Tor 访问公共网站。这些网民只是想隐藏身份，他们不是什么黑社会恶棍。他告诉出席 DEF CON 会议的与会者，暗网并不真正存在，它们只是少许网页罢了。Tor 用户访问最多的网站是 Facebook，有超过一百万人通过 Tor 登录 Facebook。他还解释了 Tor 浏览器继续使用 Firefox 的原因，称 Chrome 的代理绕过仍然引起担忧。

俄罗斯总统普京上周末签署了两项受争议的法律，其一是禁止 VPN ，其二是推行 IM 实名制。第二项法律在中国已经实施，也就是要求 IM 服务商将用户账号与手机号码关联起来，他们将需要根据法律要求收集用户的电话号码。这项法律将于 2018 年 1 月 1 日生效，除了实名制外，法律还要求 IM 服务商根据当局的要求限制被认为传播在俄罗斯非法的内容的用户。俄罗斯的做法基本上与中国的做法差不多，唯一的区别在于俄罗斯明令禁止 VPN，中国还没有完全限制 VPN，虽然实际上正在逐渐推行。

自由软件电话和即时聊天应用项目 GNU Ring 释出了 1.0 版本。GNU Ring 在 2016 年 11 月成为 GNU 项目的一部分，采用分布式哈希表创建一个自己的通讯网络，能在所有连接的系统中分发目录、验证和加密。GNU Ring 不依赖于一个中心化的基础设施，能可靠安全的用于文字传输、语音和视频聊天。开发者警告用户不要忘记账号密码，因为忘记后你是找不回来的。

去年 11 月，安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门，会将用户的大量私人信息发送到提供固件的中国公司服务器上，发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。提供固件的上海广升信息技术有限公司声称是失误，否认为中国政府收集情报，声称它是一家私人公司。本周在拉斯维加斯举行的 Black Hat 安全会议上，Kryptowire 的研究人员报告，广升的软件仍然会在不告知用户的情况下将设备数据发送到该公司位于上海的服务器上，但做法更神秘了。广升的发言人声称该公司已在去年解决了这个问题。安全研究员称，广升现在通过命令与控制信道发送数据，该公司可以在用户设备上安装应用，屏幕截图，打电话，甚至抹掉设备，认为这是对隐私的严重侵犯。研究人员表示，在低端廉价手机中间发送用户数据的情况十分普遍。

美国司法部和欧洲刑警组织宣布扣押和关闭了暗网市场 AlphaBay 和 Hansa。根据美国政府公布的起诉书，AlphaBay 的管理员 Alexandre Cazes 和丝绸之路的 Ross Ulbricht 一样，在建站早期犯下了多个安全方面的严重失误：他使用了一个在互联网上留下大量足迹的用户名 Alpha02；他的个人邮件地址 Pimp_Alex_91@hotmail.com 包含在 2014 年 12 月欢迎新用户的邮件头文件内，以及包含在论坛恢复密码流程的头文件中。利用这些线索，调查人员发现了 Alexandre Cazes 及其前台挂名公司 EBX Technologies。当局还发现其名下有价值数百万美元的没有任何合法来源的投资。在调查人员突击搜查其住宅时他当时已经登录进了 AlphaBay 的管理员帐户。Cazes 上周被发现吊死在泰国的监狱内。

在一个 AI 能生成逼真的假视频的时代，我们如何确保照片和视频是真实的而非伪造的？开发 Signal 的 Guardian Project 推出的 ProofMode 应用允许第三方验证照片和视频的真实性。使用 ProofMode 拍摄的媒体包含了原始拍摄设备以及拍摄时环境的元数据，然后用设备特定的 PGP 私钥签名，这些信息可以证明文件内容有没有经过修饰或修改。对于拍摄敏感图像的专业记者或公民记者来说，此类证据可用于抵御伪造的指控——当掌握的权力的人受到批评时，他们的反应通常就是指控信息是伪造的。

世界最大的色情网站 Pornhub 现在要求俄罗斯用户使用关联护照和电话号码的社交媒体账号登陆。这一变动是 Pornhub 和俄罗斯政府之间争执的最新一章。去年九月，俄罗斯以传播有害儿童发育的信息为由屏蔽了 Pornhub。为了解除屏蔽，Pornhub 曾向俄罗斯政府提议提供免费的 Pornhub Premium 账号，但遭到了拒绝。今年 4 月，在设立年龄门槛制度屏蔽被解除。但上个月 Pornhub 再次卷入了俄罗斯的政治漩涡，普京的反对者利用 Pornhub 上传了遭俄罗斯封杀的反腐纪录片。该纪录片之后被删除。Pornhub 的最新要求可能不是为了方便用户登陆，而是方便俄罗斯监控。

在大数据时代如何保护用户隐私？如何能既理解用户又不窥探用户？《华尔街日报》介绍了苹果去年开始测试的新技术差分隐私(differential privacy)。报道称，微软和优步等公司都在测试这项技术。 差分隐私算法通过注入一定数量的统计噪音来模糊正在被分析的数据，比如将某个问题（你有过暴力犯罪行为吗？）的答案抽出来，换成另一个有已知统计回复率的问题（你是在2月份出生的吗？）。 这样，试图在数据中找出关联的人就永远无法确知某人被问了哪个问题。这意味着研究人员可以分析诸如病例资料这样的敏感数据，却不能把这些数据与具体的人联系起来。

蚂蚁金服旗下从事消费信贷业务的 “花呗”被指过度收集用户信息。花呗根据《网络安全法》等法规要求修改了《花呗用户服务合同》，明确了信息收集的范围，引发争议的是第四条，其中规定： “您同意并授权服务商收集的您的如下信息： 4.2.1 您及您的关联方的身份信息，如姓名 / 名称、证件号码、证件类型、住所地、职业、电话号码、支付宝、余额宝或网商银行账户认证信息、电子邮箱地址以及其他身份信息； 4.2.2 您访问服务商网站及服务商关联公司网站（若有）、移动设备客户端时，或使用服务商及服务商关联公司提供的服务时的操作日志，如您的计算机 IP 地址、设备标识符、硬件型号、操作系统版本、您的位置以及与本服务相关的日志信息； 4.2.3 您在申请、使用服务商提供的服务时所提供、形成的任何数据和信息，如您及您提供的关联方的数据和信息； 4.2.4 您及您的关联方在服务商的关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息，如您的支付宝、网商银行账户和 / 或基金、证券账户和 / 或其他银行账户信息、您在淘宝网及天猫网站上形成的消费、物流等信息和数据、您的行为数据、您与服务商的关联公司、阿里巴巴集团旗下公司和服务商合作伙伴之间存在的任何合同及您在该等合同项下的履约情况； 4.2.5 您的信用信息，如您的征信记录和信用报告； 4.2.6 您的财产信息，如您的店铺 / 企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等；您同意并确认，您在将前述信息提供给服务商之前已清楚知晓可能带来的不利后果，如基于前述信息对您做出的负面评价；...” 有律师认为，“花呗” 的合同存在涉嫌违反《网络安全法》的地方，也即关于 “不得收集与其提供的服务无关的个人信息”。在业内看来，“花呗”作为蚂蚁金服旗下的一款消费贷款产品，其《产品合同》所列举的搜集信息的范围已远远超过贷款范围。律师认为，“花呗”在这里的规定实际上使用了 “概括授权” 的方式，即要求用户一次性授权服务商可以帮用户做一堆事儿。但实际上，用户的主观意识往往想不到这么多情况，却稀里糊涂地授权了。

彭博社报道，Google 将停止扫描 Gmail 用户的邮件。用机器人程序扫描 Gmail 用户邮件内容以展示定向广告的做法曾引发了隐私方面的担忧。Google 的这一决定不是来自广告团队，而是来自云计算部门，旨在吸引更多企业级用户。Google 云计算部门销售名为 G Suite 的办公软件套装，其中包括了邮件服务。Google 扫描免费 Gmail 账号的邮件，不扫描付费的商业用户账号，但商业用户对此并不清楚。为了避免继续混淆，Google 决定停止扫描所有 Gmail 用户的邮件。Google 会继续在免费账号上展示广告，但不再是基于邮件内容，而是根据用户的搜索历史和 YouTube 浏览记录等信息。

Mozilla 在 2015 年 12 月发布了 iOS 屏蔽跟踪程序工具 Focus By Firefox，因为苹果的限制它只能工作在 Safari 上。现在 Mozilla 在 Android 平台上发布了相同的工具，但不同之处是，Google 对第三方浏览器的控制没有苹果那样有严厉，Firefox Focus 是一个完整的浏览器，能自动拦截各类在线跟踪器，删除历史记录、密码和 Cookie，避免用户被广告尾随。其主要特性包括：自动进入隐私浏览模式，列出每个网站屏蔽的广告数，如果网站加载不正确可以关闭屏蔽工具，能在后台提醒用户删除浏览历史。

提供端对端加密的电子邮件提供商 ProtonMail 正式宣布推出 VPN 服务 ProtonVPN 对抗屏蔽和政府监视。开发者表示，他们的使命是让隐私和安全人人都可触手可及，因此该服务是免费的。免费付费如何长久支持呢？开发者表示，和 ProtonMail 一样，ProtonVPN 也有付费账号，利用付费账号的收入支持免费服务。免费版的 ProtonVPN 只能在一台设备上使用，只能访问三个国家的 VPN 服务器，速度也有限制，而付费版有三个档次：每月支付 4 欧元，支持两台设备同时使用，可以访问在所有国家的 VPN 服务器；每月支付 8 欧元，支持五台设备同时使用，速度更快；每月支付 24 欧元，支持十台设备同时使用。开发者承诺，他们不会像 Google 和 Facebook 那样滥用用户隐私去销售广告。

美国共和党全国委员会的数据挖掘承包商 Deep Root Analytics 不小心将其收集的 1.98 亿美国选民信息暴露给公网。这些信息储存在一个可以公开访问的 AWS S3 存储服务器上。安全研究人员在发现该数据库后通知了该公司，现在外界已经不再能访问服务器。这些信息展现了共和党利用大数据吸引潜在投票者的尝试。这些信息包含了公开获取的选民信息，也包含了通过社交媒体收集的信息，如选民的出生日期、家庭地址和邮件地址、电话号码、登记的党派、自我报告的种族、选民登记状态，以及宗教、政治信仰和所关心问题等推测来自社交媒体的信息。

基于 Debian 9 (Stretch) 的匿名发行版 Tails 正式释出 3.0 版。Debian 9 预计将在 6 月 17 日发布，这是 Tails 发行版首次与上游发行版几乎同时释出。主要新变化包括：重新设计启动配置应用 Tails Greeter，简化使用；改进关机功能；默认使用 GNOME 的黑色主题；只支持 64 位计算机，不再支持 32 位计算机；更新 Tor Browser 到 7.0，Tor Browser to 7.0，KeePassX 升级到 2.0.3，LibreOffice 5.2.6，Inkscape 0.92.1， Audacity 2.1.2，Enigmail 1.9.6，MAT 0.6.1，Dasher 5.0，git 2.11.0；等等。下个版本 Tails 3.1 预计将在 8 月 8 日释出。

反竹川 写道 "一位网友 6 个月前发现在进行个人域名备案后，自己的联系地址等隐私信息可于互联网上公开查询（如图）。他在 V2EX 上发文称部分时间段内进行登记的个人备案信息被「非事业非政府机关」的第三方拥有，即便注销备案也可「被搜索引擎检索」。该网友表示，自己曾尝试向有关部门求助，但一直没有收到反馈，而提供的其他联系方式「要么已经空号，要么变成了私人电话」。"

过去几年，大量的企业开始监视、跟踪和跟随人们数字生活的几乎每一个方面。数十亿人的行为、活动、社交关系、兴趣、弱点和私密时刻正被持续的记录，实时的分析和评估。个人信息的利用已演变成一个价值数十亿美元的产业。而这冰山一角只是无不处在的数字跟踪可见的一部分，更多的活动发生在幕后，不为我们大多数人所知。Cracked Labs 发表了一篇研究报告，披露了企业对每个人日常生活的监控。这种无处不在的数字跟踪正从在线广告扩大到其它领域，包括政治沟通、信用评分和风险评估。