因为 Firefox 崩溃报告工具发现了一个 bug，Mozilla 决定删除所有收集的遥测数据。自 Firefox 52 发布起 Mozilla 收集了后台标签页的崩溃报告，但崩溃报告工具的 bug 让浏览器没有遵守用户的隐私设置，它会自动递交崩溃报告，最近发布的 Firefox 57.0.3 修改了这个 bug。因为崩溃报告不是匿名的，为了保护用户的隐私，Mozilla 决定删除这一期间所有收集的崩溃报告。这将导致它失去九个月的遥测数据。

阿里巴巴旗下的支付宝昨天推出了年度账单，但查看账单的用户发现他们会被默认开通阿里旗下的另一家关联企业芝麻信用，这意味着芝麻信用将可以自由使用你的各种信息，包括但不限于与第三方分享你的信息。这一发现很快在社交网络上引发了争议，迫使芝麻信用在晚上 23 点发表声明，承认做法“愚蠢”，表示了道歉，称已开通的用户可以在支付宝客户端找到芝麻信用的信用授权管理来取消授权。

在智能手机时代，你可能并不知道你安装的应用究竟会在背后干什么。一家叫 Alphonso 的创业公司向游戏类 APP 提供了一种软件去悄悄收集用户的电视观看习惯。它的软件会利用手机上的麦克风，通过识别电视广告和节目中的音频信号记录用户看了哪些电视。这些数据可用于精确度更高的定向广告。在 Google Play 商店，超过 250 款游戏使用了 Alphonso 的软件。Alphonso 的软件不记录人类语音，该公司表示在应用描述和隐私政策中有明确描述，称未经用户同意它不能访问麦克风和位置。Alphonso 拒绝披露它收集了多少用户的数据。

约会网站 OkCupid 开始执行实名制，它发表公开信要求用户使用名字而不是字母数字形式的化名。OkCupid 称它只展示用户的名不展示姓，也不使用外部验证服务要确认你的名字与真实身份相匹配。它的新政策只要求用户提供最少两个单词组成的名字，不要包括数字、符号和绘文字。OkCupid 还将使用一个禁止使用的单词黑名单。实名匿名在中国已经无需争论，但在国外它仍然是一个争议性问题，执行实名制的 Facebook 因这一制度而受到严密审查。 Google+ 因为用户抗议而最终失败。

Firefox 57 或 Firefox Quantum 向网络请求调度器引入了一系列变化，其中之一是在页面加载和渲染时候使用 Tracking Protection 数据库中的数据延迟加载来自已知跟踪域名的脚本加载。这一变动对页面加载性能产生了积极影响。跟踪脚本没有禁止，而只是在可能的情况下延迟加载几秒钟。但没有良好构建或受跟踪域名脚本影响渲染的网站则可能会出现可见的或功能上的影响。感兴趣的用户可以编辑 about:config 测试这一变动的影响——关闭该功能只需要将 network.http.tailing.enabled 的值改为 false（默认是 True）。

法国隐私监管机构 CNIL 命令 WhatsApp 停止与母公司 Facebook 共享用户数据。根据其发表的通知，WhatsApp 有一个月时间遵守这一命令。WhatsApp 去年更新了服务条款，宣布与母公司共享用户数据以开发定向广告，改善安全和收集商业智能。CNIL 随后对 WhatsApp 展开了调查，它裁定改善安全措施的意图是可以接受的，但收集业智能的理由则是不可接受的。WhatsApp 从未告诉用户它为商业智能收集数据，而用户除了卸载外没有其它方法退出。CNIL 认为这侵犯了用户的基本自由。

朝鲜已允许更多民众使用智能手机，还允许他们用手机上该国的内联网，这让买得起手机的朝鲜人有了新的交流方式，也让独裁当局有了监控民众和巩固权力的新机会。与脱北者合作的研究人员和组织称，朝鲜国内几乎所有手机、平板电脑、笔记本电脑和计算机操作系统都是该国开发的，内置审查和监视工具，并且切断了用户与互联网的连接通道。计算机操作系统要么是“红星（Linux）”，要么是本地化版本的 Windows。智能手机和平板电脑的操作系统则是本地化的安卓。分析过朝鲜小型电子设备的德国研究员格鲁诺(Florian Grunow)说，当局可以用监视软件远程删除某台计算机上的文件，也可以阻止用户共享文件。他在一个平板电脑上发现了一种叫 TraceViewer 的工具，用于记录软件的使用情况和“内联网”的浏览历史。这个工具会随机截图，用户可以在设备上看到截图，但无法删除。

360 旗下的网络摄像产品被指在用户不知情下自动在该公司的直播平台水滴直播上进行直播。360 智能摄像机团队则声称，水滴平台上所有直播画面都是由机主购买小水滴摄像机后自行安装，并由用户自主操作分享直播。是否开启直播功能，完全取决于购买的商家自主决定。如果机主希望将画面分享给特定人群或是全网用户，必须用户实名注册之后主动登录账户，并 “确认开通直播协议”。一位接受采访的公司老板称，他没想到摄像头拍摄的内容会在网上直播。一家宾馆负责人表示对于直播自己并不知情。律师表示，商户和直播平台未经他人同意而公布他人活动和行为的视频，涉嫌侵犯公民隐私权，也会带来安全隐患，是涉嫌侵权的违法行为。

中国公司在乌镇世界互联网大会上演示了各种高科技监控技术。Face++ 将其技术用到了参会者身上。在其展台的一块大屏幕上，软件会确定被识别者的性别，描述他们的头发长度和颜色，以及他们所穿的衣服。中国联通用图形演示了对其掌握的大量用户数据所做的细分。一幅图根据人们上下班时间人口布局的变化，分析了北京的人口状况。另一幅图显示的是则外国游客爱去的地方。联通展台的负责人公开讨论相关数据，这表明在中国这种监控和数据收集已被广泛接受。在一个关于恐怖主义的座谈会上，以上海合作组织首席反恐专家的身份发表讲话时，梅建明表示，北京应该采取更多措施，利用自己的影响力推动 Twitter 改变服务条款，并反击相关团体。

流行虚拟键盘应用 AI.type 因储存信息的服务器未加密保护而泄漏了 3100 万用户信息。服务器上储存了超过 577 GB 的用户敏感数据，包括用户的完整名字、电子邮件地址，以及应用安装的时长，每条记录还包括用户的精确位置，如城市和国家。服务器被认为只包含 Android 用户的记录。AI.type 在收到安全研究人员的警告之后已经加密了服务器。AI.type 有免费版和收费版，其中免费版收集了更多的数据，包括设备的 MSI 和 IMEI，型号，屏幕分辨率和 Android 版本，甚至还有手机号码、服务商、IP 地址，用户公开的 Google 账号信息，用户在设备上安装的应用列表等。AI.type 是出于广告目的收集这些记录的。它还被发现记录和储存了用户输入的文本，但不清楚规模有多大。专家认为使用免费应用需要谨慎。

《金融时报》报道了中国早已产业化的用户数据黑市，但这一次涉及到了网络借贷。报道称：在 QQ 一个专门讨论消费信贷的聊天室中，《金融时报》联系了一名自称是在线贷款机构员工的人，此人声称有用户数据可以出售，能以每条用户信息 4 元人民币的价格，提供全名、身份证号码、电话号码和贷款限额。他补充说，对于一些借款人，数据还包括来自芝麻信用的信用评分。分析师们表示，用户数据的许多买家是其他消费贷款平台，他们希望识别曾经从其他平台借款的潜在客户，尽快打开自己的业务。用户作了登记、但从未借款的平台，也可能选择将用户信息卖给竞争对手。

High-Tech Bridge 利用它的分析应用 Mobile X-Ray 分析了 Google Play 下载量最高的 90 款数字货币应用，发现大部分没有使用加密。这些应用的下载量或超过 50 万次，10 万次到 50 万次，或 10 万次以内。在这些应用中，94% 使用了过时的加密，66% 没有使用 HTTPS 加密传输的用户信息，44% 使用默认的硬编码密码，94% 至少有 3 个中等风险的漏洞。不使用加密会导致用户容易受到中间人攻击，劫持流量窃取密码。High-Tech Bridge 没有公布不安全应用的名单。

法国研究组织 Exodus Privacy 和耶鲁大学 Privacy Lab 分析了流行 Android 应用是否包含已知的 25 种跟踪程序，发现超过四分之三的 Android 应用包含至少一种第三方跟踪程序。如流行应用 Tinder、Spotify、Uber 和 OKCupid 使用了 Google 的跟踪服务 Crashlytics，该服务主要跟踪应用崩溃报告，但也收集用户数据。其它跟踪服务包括法国的 FidZup。研究人员没有检查 iOS 应用，他们警告说 iOS 平台的情况未必好于 Android 平台，因为这些服务商提供的是跨平台跟踪服务。

中国工程院院士、中国互联网协会理事长邬贺铨在接受采访时表示， IPv6 时代将能实现真正的网络实名制 ，“可以说，我们的 IP 地址资源是严重匮乏的，不但限制了我国互联网的发展，还给安全管理带来了难度。目前我们的 IP 地址是动态分布的，无法实现地址与计算机，或者地址与人的一一对应。但到了 IPv6 时代，有了足够多的地址，每个人一个地址，我们就可以实现实名制，网络安全管理能力就提高了，比如像网络诈骗追溯的难度会大大降低。”由于 IPv6 协议下，IP 地址数量接近无限的特点，这将打破现在地址资源分配的格局，未来将可以实现自由取用。邬贺铨称，为了更好地定位用户，我国还将编写一套 IP 地址的分配规则，目的是让 IP 地址生成有规律可循，“就像电话和手机号码的分配，比如我们现在通过区号，或者手机号码的号段就能判断出该号码属于哪个区域、哪个运营商、哪个年代等，未来 IP 地址的分配也会采用类似的方法进行管理。”

世界最大的 PC 制造商惠普被指在在其销售的计算机上预装了拖慢整个系统的间谍软件。受争议的软件叫 HP Touchpoint Analytics Service，被用于收集遥测信息。但惠普客户报告称，软件是未经许可在最新更新中安装到计算机上的，它被发现持续在后台运行，导致风扇持续转动和 CPU 的高负荷。预装大量用户不需要的程序的做法在 PC 制造商中非常流行，此前联想因为预装了广告程序而被罚了 350 万美元，而这不是惠普第一次被发现预装了间谍软件，惠普笔记本电脑预装的 Conexant 音频驱动早些时候被发现内置了按键记录器。

Firefox 工程师正在开发一个通知系统，当用户访问的网站遭遇过数据泄露时向其展示安全警告。通知系统将使用 Have I Been Pwned? 网站提供的数据，该网站索引了公开的数据泄露，允许用户查询其信息是否泄漏。数据泄露警告通知系统的开发才起步不久，代码将不会整合在 Firefox 中，而是作为一个扩展提供给用户。 Have I Been Pwned 的作者 Troy Hunt 证实他正与 Mozilla 合作开发这项安全功能。

类似 Uber 最新披露的数据泄露事件可能很快会引来欧洲监管机构的处罚。在欧盟运营的上市和非上市公司 2018 年 5 月起将需要遵守《一般数据保护条例》。该影响面广泛的条例规定了公司如何使用所收集的个人数据及披露数据外泄事件。未报告个人数据泄露事件的公司将面临最高相当于其全球年收入 2% 或 1000 万欧元的罚款﹐以较高者为准。未经同意而处理个人数据的公司可能会受到最高相当于其全球年收入 4% 或 2000 万欧元的罚款﹐以较高者为准。

很少有人会像 RMS 对手机保持如此高的警惕，他曾经指出智能手机是用户自由权利的一大威胁，是 “斯大林的梦想”，是老大哥的工具。智能手机会跟踪用户的位置，这早已众所周知，但即便你关闭了位置跟踪服务，手机仍然在跟踪你。Quartz 的调查发现，在关闭跟踪服务后 Android 软件会继续收集用户的位置信息，然后在联网时发送回 Google。Google 发言人称，从 2017 年开始，Android 收集了附近手机塔的位置（即 Cell ID），手机塔地址包含在手机发送到 Google 用于管理通知推送和消息的系统的信息中。Google 发言人声称这些信息没有使用或储存，Google 将采取措施结束这一做法。到 2017 年 11 月底，Android 手机不再向 Google 发送手机塔位置数据。

Mozilla 最近在 Firefox 浏览器中加入了一个增强隐私保护的功能，帮助阻止在线广告商的跨网站跟踪。这一功能叫第一方隔离（First-Party Isolation)，源自 Tor 浏览器。Tor 浏览器是基于 Firefox 长期支持版，整合了大量隐私保护功能。我们在访问一个网站时，网站会在你的浏览器上留下跟踪的 cookie，但除此之外它还会留下来自第三方的 cookie，如果你访问的另一个网站也有该第三方有这个 cookie ，那么该第三方将能在两个网站上跟踪你的活动。所谓的第一方隔离就是一个网站留下的 cookie 和另一个留下的 cookie 隔离开来，让第三方 cookie 无法实现跨网站跟踪。

根据上周发表的一项研究，数百家网站利用脚本跟踪用户在网站上的一举一动，包括实时的按键、鼠标移动和滚动行为，甚至还包括递交前或后来删除的输入。被称为会话回放的脚本设计帮助网站运营者更好的理解访客与网站的互动，识别产生混淆或故障的特定页面。访客的每一次点击、输入和滚动都会被记录下来等以后的回放。研究调查了 5 万家访问量最大的网站，发现其中 482 家含有会话回放脚本，其中包括 microsoft.com、adobe.com 和 godaddy.com。研究作者 Steven Englehardt 称，第三方的会话回放脚本可能会导致敏感信息泄漏。