查看原文
其他

某学习APP强制收集用户信息,法院:该罚;新 Linux 恶意软件:利用多款 WordPress 插件和主题漏洞注入恶意脚本


某学习APP强制收集用户信息,

法院:该罚!

近日,北京互联网法院审结了APP强制收集用户画像信息侵权案。此案中,原告认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益,遂将其告上法庭。

经审理,法院认为,涉案软件在用户首次登录界面收集用户画像信息,且未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相关侵权责任。宣判后,被告上诉,二审维持原判,目前该案已生效。
       原告罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容,还需填写个人基本信息等内容才能完成登录,属于强制收集用户画像信息。同时,原告还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯其个人信息权益。原告诉至法院,要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。
       被告涉案软件运营者辩称,由于被告服务的性质,需根据不同用户需求,为用户推荐合适的服务内容,因此,收集相关标签是提供服务所必需,并未违反个人信息收集的必要性原则,且该信息是原告主动填写,原告通过自己主动作出的行为同意了被告的信息收集行为。
法院查明,原告在登录涉案软件时,进入账号登录界面输入用户名和密码,点击登录,即出现若干问答界面,需要对用户“职业”“学习目的”“英语水平”等内容进行填写,填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册并进入首页。
     上述过程中并无“跳过”选项,亦无关于同意收集个人信息的提示。原告另行取证,在新用户注册登录时,在上述过程中出现若干问答界面前,会出现个人信息收集授权同意界面,用户在勾选同意后方可进入下一界面。
     法院认为,从相关行业规范上看,《个人信息安全规范》明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为提供服务的前提。
      从涉案软件功能设置本身上看,履行合同所必需的范围,应限定在软件运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。被告抗辩其针对不同用户需求推送个性化信息,虽可视为增进用户体验之举,但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。
      涉案软件在用户首次登陆界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。
       涉案软件在用户首次登陆界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。
      综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。同时,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权

     最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。

新 Linux 恶意软件:利用多款 WordPress

插件和主题漏洞注入恶意脚本

12 月 31 日消息,根据防病毒软件公司 Dr.Web 的一份报告,近日发现了一款针对 32 位和 64 位 Linux 发行版本的恶意软件,利用多款 WordPress 过时插件和主题中的漏洞来注入恶意 JavaScript 脚本,以便于让攻击者远程操作。

该木马的主要功能是使用一组连续运行的硬编码漏洞攻击 WordPress 网站,直到其中一个奏效。目标插件和主题如下:

  • WP Live Chat Support Plugin

  • WordPress – Yuzo Related Posts

  • Yellow Pencil Visual Theme Customizer Plugin

  • Easysmtp

  • WP GDPR Compliance Plugin

  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)

  • Thim Core

  • Google Code Inserter

  • Total Donations Plugin

  • Post Custom Templates Lite

  • WP Quick Booking Manager

  • Faceboor Live Chat by Zotabox

  • Blog Designer WordPress Plugin

  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)

  • WP-Matomo Integration (WP-Piwik)

  • WordPress ND Shortcodes For Visual Composer

  • WP Live Chat

  • Coming Soon Page and Maintenance Mode

  • Hybrid

如果目标网站运行上述任何一个过时且易受攻击的版本,恶意软件会自动从其命令和控制 (C2) 服务器获取恶意 JavaScript,并将脚本注入网站站点。

这些恶意重定向可能用于网络钓鱼、恶意软件分发和恶意广告活动,以帮助逃避检测和阻止。也就是说,自动注射器的运营商可能会将他们的服务出售给其他网络犯罪分子。

此外 Dr. Web 已经有证据表明被黑客利用的 WordPress 附加组件包括:

  • Brizy WordPress Plugin

  • FV Flowplayer Video Player

  • WooCommerce

  • WordPress Coming Soon Page

  • WordPress theme OneTone

  • Simple Fields WordPress Plugin

  • WordPress Delucks SEO plugin

  • Poll, Survey, Form & Quiz Maker by OpinionStage

  • Social Metrics Tracker

  • WPeMatico RSS Feed Fetcher

  • Rich Reviews plugin

文章来源 :安全圈

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存