上周,美国电信公司Verizon,AT&T和Sprint Corp
表示将不再将用户设备位置数据出售给经纪人。
根据削减,我们将解释电信运营商为何做出这样的决定。
/图片Bertram Nudelbach CC地理位置数据问题
数据经纪人是一个收集和出售有关各种服务的用户的信息的组织。 经纪人分析网络上的搜索和购买历史,以及社交媒体资料中指定的信息(婚姻状况,教育程度,兴趣爱好等)。 他们的客户通常是进行有针对性的广告活动的公司。 例如,经纪人的服务
诉诸于Facebook 。
经纪人还收集有关用户地理位置的数据-他们从移动运营商那里购买此信息。 设备位置数据
由反欺诈系统和在道路上提供紧急援助的公司使用-发生汽车故障或事故时。
但是,到6月底,众所周知,许多美国电信提供商将停止在其客户设备的位置上出售数据。 参议员罗纳德·李·怀登(Ronald Lee Wyden)宣布一些经纪人将数据传输给第三方之后,未经用户“跟踪”电话,他们就使用了该数据。
还众所周知,与Verizon合作的经纪人之一将地理数据传递给了
使用其追踪人员的组织。
因此,Verizon宣布将停止向数据经纪人出售位置数据。 Verizon之后不久,AT&T,Sprint Corp和
T-Mobile也
改变了他们的客户位置政策。
/照片书籍目录 CC安全问题
拒绝出售地理位置数据的原因之一也是许多“经纪”站点保护不力的事实。 万一遭到黑客入侵,黑客将能够确定任何一部手机在美国的位置。
信息安全专家兼研究员Alex Haynes(美国)
对美国数据经纪人
的网站进行了漏洞分析,发现一半通过
SSL实验室测试时得分低于A。 在许多资源上,他展示了SQL注入。
在某些情况下,传递给经纪人的信息在供应商不知情的情况下落入第三方的控制之下。 2011年,攻击者
“入侵”了 Epsilon营销公司,数百万人的电子邮件地址(来自该公司的营销列表)“泄漏”到了网络。 结果,这些电子邮件的所有者被垃圾邮件发送者攻击,并成为
目标网络钓鱼的受害者。
2015年,Experian数据经纪人的黑客
将“个人”信息
泄露给了1500万用户,包括其姓名,地址,社会安全号码和护照。
美国数据经纪人条例
鉴于最近发生的事件,并且由于经纪人正在处理用户的个人数据,因此一些美国立法者已决定关注该领域的法规。
例如,今年5月,佛蒙特州通过了
H.764号法律 ,根据该
法律 ,在佛蒙特州工作或收集居民信息的所有数据经纪人
必须每年向地方当局注册,遵守法律规定的所有安全措施,并将数据泄漏报告给执法部门(以前是可选的)。
其他州的当局也正在采取措施收紧PD处理要求。 例如,从今年9月开始,
将要求在科罗拉多州运营的公司在30天内将“数据泄露”通知客户和州当局,如果
新计划 “通过测试,则加利福尼亚州居民可能拥有关于PD的其他权利。 ”。
这些权利包括:向PD所有者提供任何公司收集的信息的权利; 要求公司出于商业目的不出售或提供第三方PD的权利。
由此可以得出结论,美国政府和提供商逐渐意识到由个人数据泄露所带来的危险,因此,他们试图通过更加严格的立法法规来保护该国人民免受潜在威胁。
PS:第一家公司IaaS博客提供了更多资料:
PPS关于我们Habré博客的主题的帖子:
IT-GRAD公司的主要活动是提供云服务:
虚拟基础架构(IaaS) | PCI DSS托管 | 云FZ-152 | 在云端租用1C