一名圣地亚哥县妇女委托律师提出集体诉讼,状告视频聊天应用程序Houseparty的制造商违反新颁布的《加利福尼亚消费者隐私法》,未经其同意将其个人数据提供给第三方。
上周五,希瑟•斯威尼(Heather Sweeney)的律师向圣地亚哥联邦法院呈交诉讼文件,对Houseparty(软件名称)的创作公司-Life on Air Inc. ,并将于2019年6月收购 Life on Air Inc.的Epic Games 公司一起作为被告提起诉讼。
根据诉讼,每当用户打开应用程序,Facebook和其他第三方都会收到通知,允许公司“以特定广告瞄准用户”
斯威尼的律师声称,这种信息共享没有透露给Houseparty的用户,诉讼称,这违反了今年年初生效的《加州消费者隐私法》(California Consumer Privacy Act)。
Houseparty在其网站上显示的隐私政策中声明,它确实从用户那里收集“基本注册信息”,如“创建Houseparty帐户时的姓名、电子邮件地址、生日、用户名和密码”,以及使用信息,例如,用户与朋友聊天的时间,以及用户通过家庭聚会购买物品的相关信息。
然而,它的政策规定,“我们只使用我们收集的个人信息来帮助提供、支持和改善本政策中所述的房客,我们不向第三方‘出售’该信息,因为该术语适用于相关法律定义。”
它还规定,“加州居民有权询问公司收集和共享了哪些用户信息,也有权要求删除这些个人信息,而不歧视用户。”
据原告律师称,在COVID-19大流行期间,该应用程序已获得相当大的使用量,上个月新增用户超过5000万,其中许多用户正在利用该服务与其他正在自我隔离的用户建立联系。
原告律师Joshua Swigart说:“消费者的信息对公司来说非常有价值,因为他们正在迅速制定战略,如何接触和吸引目前和潜在的消费者,在美国大部分地区,家庭订单仍在执行。”。“随着科技和经济环境的迅速变化,保护个人信息比以往任何时候都重要。”
Houseparty还否认了在圣地亚哥诉讼之前出现的用户数据泄露的指控。
有用户的Netflix、Spotify甚至银行账户被黑客攻击的谣言在3月份的Twitter上被Houseparty发布,在Twitter上,Houseparty称黑客攻击谣言是“为伤害Houseparty而进行的付费商业诽谤活动”的一部分,该公司悬赏100万美元,“让第一个提供此类活动证据的个人”。
近来疫情爆发期间集中曝出的几起网络安全事件
美国联邦调查局(FBI)波士顿办公室3月底发布了一份关于 Zoom 的警告称, 由于此前发生了多起身份不明的人入侵学校网络课程的事件,提醒用户不要在该网站上进行公开会议或广泛分享链接。
更严重的问题还在后面,美国当地时间 3 月 31 日,美国调查新闻网站 The Intercept 发布一篇报道指出了“严重的隐私和安全问题”,称 Zoom 并未遵循自家的承诺为用户的会议内容进行端到端加密处理(End-to-end encryption),外界质疑这意味着 Zoom 将有能力直接接触到用户数据,引发广泛担忧。
同一天,美国媒体 Vice 报道称 Zoom 泄露了成千上万用户的电子邮件地址和照片,且不少用户发现自己在使用时允许陌生人互相发起电话连接。针对这一问题,Zoom 表示已经进行了处理。
在质疑声下,SpaceX 已经在一份电邮中已要求其员工立刻停止使用 Zoom,美国国家航空航天局(NASA)一位发言人表示,该机构也已禁止其员工使用 Zoom。
科技媒体 The Verge 前一天还在报道中介绍这款远程办公软件,手把手教学如何使用 Zoom 进行远程办公,而后一天就在报道中质疑 Zoom 的安全性,同时推荐用以替换 Zoom 的会议软件。
端到端加密危机
视频会议服务 Zoom 在新冠疫情蔓延期间使用量激增,该公司宣称将实施视频端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括 Zoom 自己)接触到。
但据 The Intercept 报道,实际上 Zoom 仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoom 在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有 “正在使用端到端加密” 的字样。
(来源:The intercept)
但被问及视频会议是否在实际上通过端到端加密时,Zoom 的发言人表示:现阶段,不可能为 Zoom 平台上的视频会议启用端到端加密。
在端到端加密的模式下, 视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom 虽然可以访问到加密内容, 但由于不掌握密钥而不具备解锁的能力。
在实际的运营中,Zoom 在保护会议视频内容的加密方式是 TLS (Transport Layer Security,传输层安全协议),这意味着,用户在电脑或手机上运行 Zoom 时,设备端到 Zoom 的服务器之间时加密的。但不同于端到端加密的关键点在于, Zoom 自己具备访问到未被加密的视频和音频内容的能力。
因此简单来说,采用 TLS 加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过 WIFI 监视的方式,但这些内容和数据并不能在 Zoom 这里保证安全。
在这一问题上,Zoom 回应称,Zoom 不能直接访问、窃取和出售用户数据。
(来源:Zoom)
Zoom 发言人解释道,公司在文件中提到的 “端到端” 指的是不同的 Zoom 端点之间的加密。这种说法是将 Zoom 的服务器视作是一个端点,这种做法和以往的常规理解并不相同。
实际上这是优化用户体验的一种方式,但这种优化需要在未加密的情况下才能更轻松实现。
“如果都是端到端加密,你需要更多额外的步骤。”Matthew Green 表示,“这是可行的,但并不容易。”他指出,苹果在自家的视频通话软件 Facetime 上就使用了端到端加密。对于 Zoom 的疑似欺瞒行为,他表示,Zoom 在端到端加密的解释上有点模糊。
而经过 Zoom 确认,在用户通过文本进行沟通时,Zoom 会对内容继续提供端到端加密。“当开启聊天端到端加密时,密钥储存在本地的设备上,Zoom 自己是无法进行读取的。”麻省理工科技评论曾尝试联系 Zoom 但未获及时的回复。
针对多方面的媒体质疑,Zoom 在一份回应中表示,Zoom 只在有需要的时候才从个人用户处收集数据,目的是尽可能高效地提供和确保服务。Zoom 必须收集基本的技术信息,比如用户的 IP 地址、操作系统和设备信息等。
为了保护用户的隐私,Zoom 采取了分层保护的措施,其中包括了 Zoom 公司内任何员工都无法直接访问用户在会议期间分享的任何数据,包括但不限于会议的视频、音频和聊天内容。Zoom 不会挖掘用户数据,更不会向任何人出售任何类型的用户数据。
(来源:Threatpost)
不过在广泛的质疑下,Zoom 在疫情期间取得的增长可能难以持续,包括 SpaceX 和 NASA 停止使用这一软件之后,事件影响可能还会继续扩散,而在问题最终解决之前,对 Zoom 在安全问题上的担忧则可能对广泛的用户产生影响。
除此之外,有媒体指出,正是没有端到端加密,Zoom 在理论上具有监视私人视频会议的技术能力,外界担心,这一缺口的存在,Zoom 可能会被迫根据法律法规将视频和音频资料交给政府和执法部门。
不过因为到目前为止,Zoom 并未像微软、谷歌等公司一样发布自家的透明度报告,因此无从得知是否有国家和政府对 Zoom 提出获得用户数据的请求。目前,已有人权组织开始呼吁 Zoom 公布透明报告,帮助用户了解该公司究竟是如何保护他们的数据。
看视频会被泄露隐私?请关注跟进报道。
(美国华文网 圣地亚哥华文网编发 USChinesePress.com SanDiegoChinesePress.com)