国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在以下隐私不合规行为：

1、隐私政策难以访问、未声明App运营者的基本情况。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意。

4、App未建立并公布个人信息安全投诉、举报渠道。

5、基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确。

6、处理敏感个人信息未取得个人的单独同意。

7、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。

您可点击此处跳转官方公告查看应用名单。

西班牙电信公司 Telefónica 证实，其内部票务系统遭到破坏，四名别名为 DNA、Grep、Pryx 和 Rey 的黑客声称为此次事件负责，并已在暗网论坛上泄露被盗数据。

该公司向媒体透露：“我们注意到有人未经授权访问了我们在 Telefónica 使用的内部票务系统。我们目前正在调查事件的严重程度，并已采取必要措施阻止对系统的任何未经授权的访问。”关于此次数据泄漏事件的更多信息仍需进一步调查。

一个黑客组织泄露了与大约 15,000 个 Fortinet 防火墙相关的数据，分析表明，这些数据很可能是在 2022 年通过利用漏洞获得的。

泄露数据的黑客自称 Belsen Group，他们声称这是他们的“第一次正式行动”。他们于本周公开发布这些数据，称它包含与位于世界各地的 15,000 台 Fortinet 设备相关的 IP、密码和配置。

安全研究员 Kevin Beaumont 分析了泄露的文件，并确认数据是真实的。

转储的数据根据来源国家/地区进行分类，每条记录都包含 IP 地址、完整配置数据和纯文本凭证。暴露的信息包括用户名、密码、设备管理证书和防火墙规则。

律师事务所Wolf Haldenstein Adler Freeman & Herz LLP（“Wolf Haldenstein”）报告称，它遭遇了一次数据泄露，使近350万人的个人信息暴露给了黑客。

该事件的调查已于近日完成，Wolf Haldenstein 在其网站上发布了一份数据泄露通知，并在缅因州 AG 数据泄露门户网站上的条目中将受其影响的总人数设置为 3,445,537 人。

虽然这个数字是在 2024 年 12 月 3 日确定的，但该公司一直无法找到许多受影响者的联系信息，因此尚未向受影响的个人发送通知。

尽管该律师事务所表示没有证据表明暴露的数据被滥用，但它警告受影响的个人，黑客可能持有有关他们的以下信息：全名、社会安全号码 （SSN）、身份证号码、医疗诊断、医疗索赔信息。这些数据的泄漏会急剧增加网络钓鱼、诈骗和其他针对受影响个人的针对性攻击的风险。

Avery Products Corporation 警告说，在其网站被黑客入侵，遭受了数据泄漏，客户的信用卡和个人信息或已失窃。

在发送给受影响客户的数据泄露通知中，Avery 表示他们于 2024 年 12 月 9 日受到攻击。在数字取证专家进行内部调查后，发现威胁行为者于 2024 年 7 月 18 日在该公司的在线商店域“avery.com”上植入了一个卡片撇取器。因此，客户在 2024 年 7 月 18 日至 2024 年 12 月 9 日期间在 Avery 网站上输入的敏感支付信息将被泄露给威胁行为者。

根据缅因州总检察长门户网站上的数据泄露条目，该事件影响了 61,193 名 Avery 客户。

Path of Exile 2 的开发人员证实，目前有一个管理员帐户被黑客入侵的，并允许威胁行为者更改其他账户的密码、访问至少 66 个帐户。受到此次事件影响，11 月以来多名 PoE 2 账户被入侵，许多人丢失了他们的游戏内购买，以及需要花费数百小时才能获得的贵重游戏道具。

PoE 2 玩家一直在游戏论坛上报告一波帐户黑客攻击，并指出 Steam 和独立的 PoE 帐户都在未触发双因素身份验证代码请求的情况下被泄露。这些黑客攻击的受害者发现自己突然被动退出了游戏和 Steam，当他们在 Steam 支持的帮助下重新获得访问权限时，他们发现黑客已经窃取了他们所有的游戏内物品。

根据受影响玩家的论坛帖子，PoE 开发方告诉他们，被盗物品无法被恢复，因此损害是不可逆转的。

德克萨斯州总检察长肯·帕克斯顿 （Ken Paxton） 已对 Allstate 及其数据子公司 Arity 提起诉讼，指控其非法收集、使用和出售超过 4500 万美国人的驾驶数据。

这两家公司被指控向应用程序开发人员支付数百万美元，将跟踪代码嵌入广泛使用的移动应用程序中，以在人们不知情或未同意的情况下收集人们的位置和移动数据。这些数据用于分析人们的驾驶习惯并调整保险报价或续保成本，使公司能够识别风险并相应地设定价格。此外，据称 Allstate 和 Arity 还将这些数据出售给其他保险公司，以便他们进行分析。

这种行为违反了德克萨斯州数据隐私和安全法案 （TDPSA），因为应用程序用户没有被告知这种有针对性的数据收集。

献血非营利组织 OneBlood 证实，献血者的个人信息在勒索软件攻击中被盗。

上周，OneBlood 开始向受影响的个人发送数据泄露通知，告知他们对该事件的调查已完成，“我们的调查确定，在遭到攻击期间，某些文件和文件夹在未经授权的情况下从我们的网络中被复制，”OneBlood 数据泄露通知中写道，“调查确定您的姓名和社会安全号码包含在相关文件和文件夹中”。

尽管采血中心通常会收集更多信息，例如电话号码、电子邮件和实际地址、人口统计数据和病史，但暴露的数据仅限于姓名和 SSN。姓名和 SSN 可能被用于执行身份盗窃和金融欺诈，并且由于它们无法轻易更改，因此风险会持续多年。

为了降低这种风险，OneBlood 为受影响个人提供为期一年的免费信用监控服务，此外，受影响的个人应考虑对其账户进行信用冻结和欺诈警报，以防止经济损失。