Google 将在其 Chrome 浏览器上推出新工具，让用户在避免 cookie 追踪方面拥有更多控制权。Google 的新工具预计不会严重削弱 Cookie 收集数据的能力，但可能帮助 Google 扩大领先于在线广告竞争对手的巨大优势。根据 eMarketer 数据，Google 拥有 30 亿用户，助其成为全球最大互联网广告销售商，将这个市场营收总额的近三分之一收入囊中，领先于 Facebook 的 20%。新工具主要针对牟利的第三方所安装的 cookie，而不是用户主动浏览网站的。

加拿大边境服务局被指因律师拒绝披露密码而扣押其手机和笔记本电脑。这位叫 Nick Wright 的加拿大律师于 4 月 10 日乘飞机在多伦多的 Pearson 机场入境，他被要求接受额外的检查，边境服务局没有给出检查的理由。他对官员搜查他的包并无意见，但当官员要求提供密码搜查他的手机和笔记本电脑时他拒绝了。他称两个设备包含了客户的机密信息。边境服务局随后没收了他的设备，称将会送到政府实验室去破解密码搜索文件。律师认为当局此举侵犯了他的宪法权利。

智能城市设计旨在让居民生活更轻松，但如果它的监控系统数据泄露？John Wethington 报告一个智能城市数据库没有密码保护可以直接通过浏览器访问。该数据库是一个 Elasticsearch 数据库，储存了数 GB 数据，包括数百个人的人脸识别扫描。数据储存在阿里云上。阿里巴巴发言人称，数据库是客户创造的，托管在阿里云，他们总是建议客户使用安全密码保护其数据。他们已经通知了客户，迅速解决了问题。数据库提供了部分智能城市工作的见解。

主要浏览器都支持的隐私保护功能——请勿跟踪（Do Not Track，DNT）实际上没有任何作用。如果你启用请勿跟踪，在访问某个网站时，浏览器向网站服务器发送的 HTTP 头文件将包含请勿跟踪的信息，但网站可以置之不理，继续收集你的信息，因为 DNT 是一个志愿遵守的系统，没有法律要求网站遵守 DNT，因此包括 Google 和 Facebook 在内的科技公司都选择忽视 DNT。为了堵上这个漏洞，匿名搜索引擎 DuckDuckGo 提出了请勿跟踪法案（PDF）。如果法案成为法律，那么网站将不得不停止使用部分跟踪用户的方法。在 GDPR 生效一年之后，随着数字隐私越来越引起关注，法案成为法律还是有可能的。

Facebook 周三表示，由于违反隐私规定，该公司预计将被美国联邦贸易委员会 (FTC) 处以高达 50 亿美元的罚款。这将创下 FTC 对单一科技公司的开罚金额纪录。对于 FTC 正在进行的调查，Facebook 估计它预计将会被处以 30 亿到 50 亿美元的一次性罚款。去年 Facebook 因为未经用户同意允许 Cambridge Analytica 收集用户数据而遭到批评。该公司还遭遇了一次数据泄露，导致了接近 5000 万用户私人信息泄露。此前 FTC 对于科技公司开出的最高罚单是在 2012 年对 Google 开出的 2200 万美元罚款，原因是搜索巨人错误解释了它如何使用在线跟踪工具。

下载量超过 10 万的 WiFi Finder 应用被发现暴露了 200 万 WiFi 密码。它允许用户搜索附近的 WiFi 网络，允许用户向其数据库上传 WiFi 密码。它的数据库包含了 200 多万 WiFi 密码，但没有任何密码保护，因此任何人都可以访问和下载。GDI Foundation 的安全研究员 Sanyam Jain 发现了这个无保护数据库，花了两周多时间尝试联络开发商 Proofusion，该开发商被认为位于中国，但没有任何回应。最终他们联系了托管商 DigitalOcean，下线了该数据库。数据库除了 WiFi 密码，还有 WiFi 网络名字，地理位置，basic service set identifier (BSSID)，全都是明文。

上周，Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计（ hyperlink auditing）”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。但本周 Mozilla 表示 Firefox 将默认启用点击跟踪。虽然部分用户认为这项功能对隐私构成的风险，但浏览器开发商认为它有助于改进性能。Mozilla 称它之所以没有启用链接审计是因为它的实现还没有完成。它认为禁用链接审计无助于改进隐私。Brave 则表示它会继续禁用链接审计。

BuzzFeed News 的调查发现，中国应用开发商 DU Group 开发的多款流行应用存在广告欺诈和滥用用户权限的问题。DU Group 自称其全球用户超过 10 亿，它去年从百度剥离出来成为独立公司。它的至少六个应用存在欺诈性广告点击的问题，这些应用在 Google Play 的下载量超过了 9 千万。此外它的应用还被发现索要过多的用户权限。这些问题不限于 DU Group，其它流行应用也被发现索取权限过多和其它安全隐私问题，比如一款中文儿童应用会向中国服务器发送未加密个人信息。Google 称它已经将被发现存在广告欺诈的 6 个 DU Group 应用列入黑名单。

2018 年 3 月 14 日，亚利桑那州发生了一起随机谋杀案件，现场没有目击者，除了 Google。当仓库工人 Jorge Molina 遭到逮捕时，警方称他们跟踪到其手机到达了谋杀现场。他们申请了搜查令，要求 Google 提供谋杀现场周围所有的手机记录。但随着新的证据出现，警方释放了他，逮捕他母亲的前男友。这起案件令 Google 的手机跟踪数据库引发了关注，搜索巨人的用户手机数据库变成了执法部门的数字法网。在一个数据收集无处不在的时代，它是个人信息以一种人们没有想象到的方式使用的最新例子。

亚马逊、苹果和 Google 都有员工，从智能助手和语音助手应用程序中收听客户语音录音，引发如何界定窃听和隐私的议论纷纷。彭博社在采访亚马逊“审听过”其智能语音助手 Alexa 录音的工作人员后，突出报道这一话题。上述三家公司都表示，偶尔会对语音录音进行审听，以提高语音识别能力。一些审听人员告诉彭博社记者，他们在内部聊天室里也会互相分享有趣的语音录音片段。他们也描述曾听到令人不安的片段，比如有可能发生的性攻击。亚马逊发布声明表示，它认真对待客户安全和隐私。审听客户录音样本有助于训练语音识别和自然语言理解系统，绝不允许滥用其制度。声明称，亚马逊的审听雇员也无法直接了解能确认客户身份的资料。

Chrome、Safari、Opera 和 Microsoft Edge 的新版本将不再允许用户关闭“链接审计（ hyperlink auditing）”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。Google Chrome 默认启用了该功能，但允许通过 chrome://flags 修改设置禁用链接审计，然而在 Chrome 74 Beta 和 Chrome 75 Canary 中，该 flag 被移除了，用户将没有办法再移除链接审计，Opera 和 Edge 的情况类似 。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计，以 Firefox 为例，用户可通过修改 about:config 设置中的 browser.send_pings 启用该功能。

匿名 写道 "慎用京东快捷支付，用户同意其条款将授权京东获得过多的个人信息，如其中的第8条：

“8、您同意本公司有权留存您在本公司网站填写的相应信息，并授权本公司查询该银行卡信息，包括且不限于借记卡余额、信用卡账单等内容，以供后续向您持续性地提供相应服务（包括但不限于将本信息用于向您推广、提供其他更加优质的产品或服务）。”"

安全研究员 Victor Gevers 又发现中国女性同志社交网络热拉的数据库没有密码保护，也就是任何人都可以访问。数据库信息包含了用户选择公开显示的暱称、生日、身高体重、民族、性取向和兴趣爱好。一些用户如果允许应用获取她们的精确地理位置，那么这条信息也记录在开放数据库里。除此之外，数据库还保存了超过 2000 万条用户发布的动态信息。热拉发表声明，声称问题已经修复，表示它没有泄露任何用户的实名信息和隐私信息，不涉及用户姓名、照片、身份证、手机号码、绑定的微信登录账号、支付方式等用户的隐私信息。

南都的测试发现，微信平台能够通过机器智能识别文字聊天中的关键词来给你 “贴标签”，然后精准推送广告。另一项测试发现，今日头条的浏览历史能关联淘宝的广告推送，而好友的喜好也会影响广告和内容推荐。作者称，“还有很多我们不能一一演示的大数据与广告推送的逻辑，比如你的输入法、剪切板里的记录，也能构成你喜好的一部分，哪怕没有键入任何 App 中，只要你曾经在键盘上敲击过，也可能被收录；再比如根据你好友开放的通讯录权限，确定你与她通讯录中所有联系人的关系网，从此以后，他们和你的画像之间就有了微妙的联系，而这种联系隐秘而不易察觉...”

匿名读者 写道 "V2EX 用户 Quaintjade 声称其找到了接口来源，一网贷平台，信息可能由用户（借款人）主动授权，这是可信的，南方都市报曾报道过类似的情况。"

诺基亚手机的非中国用户发现，手机会向中国电信服务器发送未加密的数据包，手机制造商 HMD Global 正因此在芬兰面临调查。 这家获得诺基亚商标独家所有权的芬兰公司回应称是固件中的代码错误导致其向中国服务器发送数据。它表示只有单个批次的 Nokia 7 Plus 设备受到影响，包含了向中国电信服务器发送数据的软件包。该软件包会在手机启用、解锁、从休眠恢复时候收集用户数据将其发送到中国服务器。 HMD Global 称它已经更新固件移除了相关软件包。

诺基亚手机的非中国用户发现，手机会向域名 http://zzhc.vnet.cn 发送未加密的数据包。数据包含了地理位置、IMEI、SIM 卡号和 MACID。vnet.cn 域名的注册人是 CNNIC，但 CNNIC 表示它实际上属于中国电信。搜索发现， 2014 年的一段代码符合诺基亚的数据发送模式，这段代码来自高通，它所在的子文件夹名字就叫中国电信。看起来代码是专门提供给中国市场的，但中国市场之外销售的诺基亚手机没有删除这些代码。生产诺基亚手机的 HMD 据称已经释出了更新修复了问题。

Cookiebot 扫描了（PDF） 184,683 个欧盟政府网站网页，发现 82% 的欧盟政府网站使用了来自 Google 的广告跟踪器，只有西班牙、德国和荷兰的政府网站没有嵌入商业跟踪器。五个使用率最高的跟踪器中，三家来自搜索巨人：YouTube、DoubleClick 和 Google。报告作者对此表达了担忧，因为 Google 可以将第三方网站的跟踪器与它的第一方服务的跟踪器互相参照。研究还评估了公共健康服务网站的跟踪器，发现测试的 52% 的网页有商业跟踪器，五个使用率最高的跟踪器中 Google 占两家，另外三家是 Adobe 的 eversttech.net、AppNexus  的 adnxs.com 和 Mediamath 的 Mathtag.com。

俄罗斯联邦安全局下令 ISP 屏蔽了加密邮件服务 ProtonMail 的 IP 地址，原因是恐吓者利用 ProtonMail 的服务寄出了炸弹恐吓信，这些发给警方的匿名恐吓信迫使多所学校和政府大楼疏散。俄罗斯屏蔽了 26 个 IP 地址，包括多个 Tor 出口节点服务器。ISP 被要求使用 BGP blackholing 的技术立即实施屏蔽。这种技术不是将流量发送到目的地而是将其丢弃。

安全研究员 David Balaban 对比了五个匿名操作系统：Tails OS，Whonix，Kodachi，Qubes 和 Subgraph，分析了各个系统的优缺点。Qubes 和 Subgraph 都是隔离应用来实现安全，它们其实不是为匿名设计的。Tails OS 基于 Debian，所有流量都经过 Tor，设计作为 Live CD 或 Live USB 使用，不在主系统留下痕迹，会话结束之后所有痕迹就抹掉了，它不适合作为一个永久性的操作系统使用。Whonix 也是基于 Debian，通过 VirtualBox 和 Tor 实现匿名，内置了大量应用，但不具有可携性，硬件需要也比较高。Kodachi 基于 Debian，通过 VPN 和 Tor 实现匿名，硬件需求不高，作者认为它是目前最好的匿名操作系统。