El gobierno del Reino Unido lanza una campaña mediática en la que trata de convencer a los ciudadanos de que el cifrado de sus comunicaciones personales está relacionado con el abuso de menores. La campaña, cuyo coste supera el medio millón de libras, es falaz y un ataque directo a la privacidad y seguridad online. EFF
2022
La Autoridad de Competencia y Mercado de Italia impone a Amazon una sanción récord de 1 128 millones de € porque la compañía abusó de su posición dominante absoluta en el mercado italiano para perjudicar a los competidores logísticos de comercio electrónico. Beneficia la visibilidad de los productos de los vendedores que utilizan su propio sistema logístico frente a los que eligen otros proveedores, que además deben pasar un estricto sistema de medición de rendimiento. El País · El Otro Lado
El fabricante Canon se ve obligado a instruír a sus propios clientes sobre cómo desactivar las comprobaciones «anticopia» de sus impresoras. Al verse afectado por la crisis de los semiconductores, no puede vender repuestos con los chips requeridos por su propio sistema DRM. Tom’s Hardware · El Otro Lado
2021
Los sistemas de DRM como el de Denuvo causan que alrededor de cuarenta videojuegos de PC dejen de funcionar con los nuevos chips Alder Lake del fabricante de procesadores Intel. ElOtroLado · PCMag · Intel
Tras una demanda colectiva en Estados Unidos por infringir las leyes que regulan la privacidad biométrica, Facebook dejará de utilizar reconocimiento facial en las fotografías subidas a su red social, que identificaba a las personas incluso en las fotos subidas por terceras personas, y borrará gradualmente los datos biométricos de mil millones de personas. The Verge · EFF · ElOtroLado
La proveedora servicios de pago rusa Xsolla despide a 150 de sus trabajadores tras analizar su actividad en distintas herramientas, como Jira, Confluence, Gmail, chats, documentos y dashboards, mediante el uso de tecnologías de inteligencia artificial. Game World Observer
- 5 de agosto. La eficiencia de los puestos de mando no se analizó, y para el cálculo no se consideró el tiempo invertido en algunas herramientas de desarrollo informático como Git o los editores de código. Game World Observer
La Comisión Nacional de Protección de Datos de Luxemburgo sanciona a la multinacional Amazon con una multa de 746 millones de € por considerar que su tratamiento de los datos personales no cumple con la normativa de protección de datos europea (RGPD). elDiario.es
Mercadona abona una sanción de 2,5 millones de € propuesta por la Agencia Española de Protección de Datos y decide finalizar el proyecto piloto de reconocimiento facial que fue testado durante varios meses en 48 de sus tiendas. El País · elDiario.es
Clubhouse, una mezcla entre plataforma de podcasts en vivo y sala de conferencias virtual, utiliza los servicios de una startup china llamada Agora Inc, cuya sede está en Shanghái, para proveer toda su infraestructura de backend. Los identificadores de cada usuario y de las salas en las que participa son transmitidos en texto plano, y no ofrece tampoco ninguna garantía de que los audios se almacenen de forma segura. La aplicación pide al usuario que comparta con la plataforma toda la información referente a sus contactos (incluidos los que no usan la plataforma), lo que le permitiría obtener su grafo social y asociarlo a su comportamiento. Se utilizan dark patterns, como el de exclusividad (app solo disponible para iPhone y falsa ilusión de escasez mediante invitaciones) y de usabilidad (botón para pemitir acceso a los contactos sin la opción de rechazar). The Guardian · Stanford Internet Observatory · Lourdes Turrecha en Medium
2020
Un sistema de reconocimiento facial de DataWorks Plus identificó erróneamente a un hombre negro en Estados Unidos, causando su posterior detención sin haber cometido delito alguno. El sistema de videovigilancia con esta tecnología le confundió con otra persona. The New York Times
La Autoridad de la Competencia Húngara (GVH) multa a Booking.com con 2 500 millones de forintos (alrededor de 6,1 millones de £) por prácticas comerciales injustas, incluyendo anuncios engañosos y presión psicológica sobre los consumidores, como promocionar cancelaciones gratuitas cuando no estaban permitidas para todas las reservas y se incluía una prima extra en los precios por ese concepto. Reuters
La aplicación de videoconferencias Zoom filtra la fotografía y cuenta de correo electrónico de los usuarios que se registran con servicios de correo poco convencionales, o de cuya existencia Zoom no sabe, porque trata las cuentas de correo como corporativas por defecto y las añade a un listado compartido entre ellas automáticamente. VICE Motherboard
Se clarifica que la aplicación de videoconferencias Zoom, a pesar de anunciarse en su web asegurando que las comunicaciones de la aplicación se realizan cifradas de extremo a extremo, en realidad se realizan con un cifrado de transporte (TLS). Este tipo de cifrado de transporte, más sencillo, es regularmente utilizado en internet (se conoce como HTTPS para páginas web), y sí permite que el proveedor acceda a las comunicaciones. The Intercept
- 1 de abril. Zoom clarifica el cifrado utilizado en su servicio de videoconferencias. Blog de Zoom
La aplicación de videoconferencias Zoom para iOS manda datos analíticos a Facebook sin consentimiento del usuario, sin informar previamente ni figurar tal compartición en su política de privacidad. Entre los datos compartidos figuran el modelo del dispositivo del usuario, la ciudad, huso horario y operador móvil desde el que se conecta y un identificador único creado para que los anunciantes puedan dirigir anuncios personalizados. VICE Motherboard
- 27 de marzo. Zoom aclara los datos que se enviaron y actualiza la aplicación eliminando por completo el SDK de Facebook y la compartición de esos datos. Blog de Zoom · VICE Motherboard
- 31 de marzo. Un usuario demanda a Zoom argumentando que la empresa violó las normas de protección de datos de California por no obtener el consentimiento del usuario antes de la transmisión de datos. VICE Motherboard
Un investigador de ciberseguridad descubre que el instalador de Zoom, la aplicación de videoconferencias, elude los mecanismos de seguridad del sistema operativo MacOS mediante el abuso de una característica diseñada para evaluar si la aplicación puede ser instalada. En un caso incluso pide permisos de administración haciéndose pasar por el sistema, prácticas comúnmente utilizadas por software malicioso. Blog de Felix Seele
- 2 de abril. Zoom actualiza la aplicación eliminando todas las técnicas controvertidas y ajustándose a los estándares de instaladores de Mac OS. Twitter de Felix Seele
Facebook paga 550 millones de dólares americanos en un acuerdo extrajudicial por vulnerar las leyes de privacidad biométrica en Illinois, Estados Unidos, con su herramienta de sugerencia de etiquetado de fotos por reconocimiento facial sin pedir permiso a sus usuarios. ElOtroLado · The New York Times
La Empresa Municipal de Transportes de Madrid (EMT) cobra doble a los pasajeros de los autobuses que acercan a la canceladora su cartera o bolso con una tarjeta de transporte público en vigor junto con una tarjeta bancaria con tecnología sin contacto (contactless). El servicio de cobro sin contacto, propulsado por Santander, Visa y MasterCard, lleva activo 2 meses, durante los que se han recibido cuatro quejas diarias por cobros indebidos. Cadena SER · El País
Una investigación concluye que el programa antivirus Avast recopila datos privados de los usuarios y los vende a través de su subsidiaria Jumpshot a muchas de las mayores empresas del mundo, como Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit. Entre los datos vendidos se incluye el llamado All Clicks Feed, que muestra el comportamiento del usuario, los clics y el movimiento a través de los sitios web con gran precisión. PCMag · Vice
- 30 de enero. Avast termina la recopilación de datos de Jumpshot y pone fin a las operaciones de Jumpshot con efecto inmediato. Blog de Avast · Vice
Los datos personales de 6 800 usuarios de la Universidad de Burgos (UBU) fueron afectados por un ciberataque el 14 de enero. No se han exfiltrado contraseñas ni información bancaria. eldiario.es
2019
Un investigador de seguridad descubre un error en la API de Twitter que permite abusar del sistema que empareja números de teléfono con cuentas de usuario. Además, se evidencia que el sistema utiliza números de teléfono que el usuario aporta originalmente para la verificación en dos pasos. Solo en Europa este sistema de descubrimiento está desactivado por defecto. TechCrunch
- 3 de febrero de 2019. Twitter desvela que posibles actores estatales en Irán, Israel y Malasia han abusado del error y se disculpa con los usuarios por las consecuencias. Blog de Twitter · ZDNet · Genbeta
La Autoridad de la Competencia de Francia multa a Google con 150 millones de euros por abuso de posición dominante en el sector de publicidad en búsquedas. Las reglas de su plataforma Google Ads son «opacas y difíciles de entender» y las aplica «de manera injusta y aleatoria». El regulador francés también le obliga a aclarar su redacción y presentar informes de transparencia. El Español
Encuentran una base de datos sin protección con información confidencial de 267 millones de usuarios de Facebook. La mayoría de usuarios afectados son estadounidenses y entre los datos filtrados se incluye su ID de usuario de Facebook, su teléfono móvil y su nombre completo. Se sospecha que la base de datos se compiló abusando de la API para desarrolladores de Facebook. Comparitech
El jueves 12 de diciembre, Televisión Española (TVE) sufrió un ataque informático que resultó en el secuestro de la emisión del canal +24 y emitieron una entrevista del expresidente ecuatoriano Rafael Correa a Carles Puigdemont, realizada por Russia Today, un canal internacional con sede en Moscú acusado múltiples veces de prácticas de desinformación. La Vanguardia
Un hombre de 21 años murió en Nueva York después de verse atrapado entre dos coches Toyota Lexus IS300s del 2002. El segundo coche fue encendido en remoto por su dueño, y arremetió una segunda vez contra la víctima tras ser empujado por testigos del suceso. Toyota asegura que el modelo no incluía encendido remoto de fábrica. BBC
La Autoridad de la Competencia Húngara (GVH) multa a Facebook con 1 200 millones de forintos (4 millones de US$) por anunciar sus servicios como gratuitos cuando los usuarios no tienen que pagar con dinero pero pagan de facto al generar un beneficio económico a través de su actividad y la recopilación de sus datos. Competition Policy International · Reuters
Se filtran más de 2000 contraseñas de usuarios de NordVPN. Las contraseñas fueron probablemente cruzadas de otras filtraciones, no obtenidas atacando directamente a NordVPN, pero evidencian una posible falta de cuidado por su parte a la hora de proteger activamente la higiene de contraseñas de sus usuarios. Ars Technica
El Instituto Nacional de Estadística de España (INE) quiere rastrear durante ocho días los teléfonos móviles de los ciudadanos con fines estadísticos. Vodafone (y Lowi), Movistar y Orange (y Amena) le proporcionarán datos agregados anonimizados de sus clientes. Comunicado de prensa del INE · Público.es · Maldita.es · El País
- Los días seleccionados son: en 2019, del 18 a 21 de noviembre, 24 de noviembre y 25 de diciembre (festivo nacional); y en 2020, 20 de julio y 15 de agosto.
- 30 de octubre. La Agencia Estatal de Protección de Datos (AEPD) solicita información sobre los protocolos establecidos con las operadoras. El Independiente
Un servidor de un proveedor de NordVPN fue pirateado en marzo de 2018. NordVPN afirma que el proveedor no avisó de la brecha y que han cerrado el contrato de servicio con ellos. TechCrunch · Comunicado oficial de NordVPN · Resumen de comunicado en español
Se encuentra sin protección una base de datos de Novaestrat con información personal actualizada de los ciudadanos de Ecuador, incluyendo 6,7 millones de registros sobre niños. La información filtrada recoge nombre completo, domicilio, relaciones familiares, datos del registro civil, información financiera y matrículas de coches. vpnMentor · ZDNet
Se encuentra una base de datos sin protección que almacena los números de teléfono asociados a 419 millones de cuentas de usuario de Facebook. Algunos de los registros también tenían el nombre del usuario, el sexo y la ubicación por país. TechCrunch
La Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés) multa a Google con 170 millones de $ por violar la privacidad de niños en la plataforma de vídeo YouTube. Se recolectaban datos en vídeos orientados a niños para mostrar publicidad personalizada más tarde. TheVerge · NPR
Trabajadores externos de Facebook escuchan y transcriben grabaciones privadas de chats de audio en Facebook Messenger para los usuarios que activan esa opción. Facebook afirma que canceló el programa de transcripciones tras los recientes escándalos de Apple y Amazon y afirma que las transcripciones no se utilizaron para mejorar los anuncios o los algoritmos de personalización. Bloomberg
Trabajadores externos de Microsoft escuchan llamadas privadas por Skype a través del servicio de traducción y grabaciones privadas de su asistente de voz Cortana. Los trabajadores externos pueden trabajar en las transcripcionesde audio desde sus propios domicilios. VICE Motherboard
Apple incluye una alerta en los iPhone XR, XS y XS Max con iOS 12 y 13 (beta) que alerta de que la instalación de la batería no ha sido realizada por el servicio técnico oficial, incluso aunque la batería sea un repuesto original de otro iPhone. iFixit
- 14 de agosto. Apple argumenta que es por motivos de seguridad y sigue repitiendo que solo ocurre cuando la batería no es original, aunque ya se haya demostrado que esto último no es cierto utilizando baterías originales de otros teléfonos iPhone. The Verge
Twitter revela que, desde septiembre de 2018, compartió datos de los usuarios con sus socios publicitarios, incluso si los usuarios desactivaron la personalización de anuncios, y les mostró anuncios en función de inferencias hechas sobre los dispositivos que utilizan sin su permiso. Twitter Help Center · Privacy International
Se filtra una base de datos sin protección con información electoral de 2017 del 80% de la población de Chile. La base de datos contenía nombres, domicilio, sexo, edad y número de identificación tributaria (RUT, o Rol Único Tributario) de 14 308 151 personas. WizCase · ZDNet
El Tribunal de Justicia de la Unión Europea dictamina que los dueños de los sitios web que incluyan botones «me gusta» de Facebook serán responsables de la recopilación de datos personales, según el RGPD. Comunicado de prensa del TJUE · The Register · Euractiv
Trabajadores externos de Apple escuchan grabaciones privadas de sus asistentes de voz (Apple HomPod) y la aplicación Siri, que se almacenan hasta por dos años. El País · The Guardian
- 2 de agosto. Apple suspende el programa de transcripciones y promete una actualización de software que permitirá a los usuarios elegir si sus grabaciones se incluyen en el programa. TechCrunch
Al menos un terabyte de copias de seguridad de Attunity— un proveedor de servicios de la mitad del Fortune 100— se encontraban accesibles por el público en una serie de instancias en la nube de Amazon S3. Almacenaban copias de seguridad de las cuentas de OneDrive de los empleados y entre los documentos expuestos se incluyen documentos internos de las empresas. Upguard
Sony retira el nuevo vídeo de la banda 65daysofstatic de las plataformas digitales de distribución mediante filtros automatizados que erróneamente reclaman derechos de autor a la banda por sus propias obras. BoingBoing
La Comisión Europea multa al fabricante de chips Qualcomm con 242 millones de € por vender por debajo del coste de producción para hundir a su rival Icera. Comisión Europea
Piratean 110 bases de datos de la Agencia Tributaria de Bulgaria y filtran a los medios la información financiera de 5 millones de ciudadanos, junto con sus números de identificación nacional y sus nombres completos, de 57 de ellas. ZDNet
El robot Monsieur Cuisine de SilverCrest vendido en Lidl oculta un micrófono en su interior y utiliza una versión obsoleta y vulnerable de Android. eldiario.es
La AEPD española multa a LaLiga con 250.000 € por violar el RGPD al usar el micrófono de los teléfonos de los usuarios de su app para detectar bares con fútbol pirateado sin ser transparente de cuándo lo hace (artículo 5.1) y tampoco facilitar adecuadamente al usuario la retirada de consentimiento. eldiario.es
Trabajadores externos de Google escuchan grabaciones privadas de sus asistentes de voz (Google Home/Nest) y la aplicación Asistente de Google sin que los usuarios sepan que sus conversaciones se almacenan. VRT NWS
- Google lo admite en su blog: Google
- 2 de agosto. Una autoridad alemana de protección de datos ordena a Google parar el procesamiento de datos en Europa para evaluar si cumple con el RGPD. TechCrunch
El responsable de la protección de datos de Hesse, Alemania, concluye que la suite en la nube Microsoft Office 365 no es apta para utilizarse en las escuelas porque su configuración estándar no cumple con el RGPD y no «garantiza la soberanía digital del procesamiento de datos del Estado». Heise.de
Durante 2018, el Gobierno de España solicitó información de usuarios españoles a Apple, que la entregó en base a «peticiones legales válidas» en al menos 3218 casos, más que Francia, Alemania y Reino Unido juntos. El Mundo
Google considera material pornográfico las portadas de la revista satírica «El jueves». Como consecuencia, la revista no podrá leerse desde la plataforma de Google ni desde la aplicación para Android. Genbeta
El sistema público de salud público de Highland, Escocia, manda un correo electrónico sin ocultar los destinatarios. El mensaje era una invitación a un grupo de apoyo para enfermos infectados por VIH. BBC
Piratean la base de datos de un sistema de reconocimiento biométrico de una subcontrata de la Oficina de Aduanas de Estados Unidos y roban decenas de miles de fotos de viajantes y matrículas de vehículos tomadas durante mes y medio a las que no debía tener acceso la subcontrata. Buzzfeed
Estados Unidos obligará a los solicitantes de visado a proveer nombres de perfil y cuentas de correos y números de teléfonos utilizados en los últimos cinco años. BBC
Un programador chino afincado en Alemania presuntamente diseñó un sistema de reconocimiento facial que identifica a las actrices de vídeos de sitios web pornográficos con sus perfiles sociales personales. La herramienta se creó con el objetivo de que los usuarios comprobasen si sus novias habían participado alguna vez en la pornografía. YiquinFu en Twitter
- El programador se disculpa y promete haber borrado toda la información. TechnologyReview
Google soluciona un error por el que, desde 2005, se almacenaron las contraseñas de los usuarios empresariales de G Suite en texto plano. BleepingComputer
Facebook soluciona una vulnerabilidad en WhatsApp (Android, iOS, Windows Phone y Tizen) que permitía ejecutar código remoto mediante llamadas falsas. El grupo israelí NSO Group utilizaba esta vulnerabilidad contra activistas de derechos humanos, científicos y periodistas. Facebook · EFF
Entre 2012 y 2018, los filtros automáticos de YouTube retiraron un 10% de los vídeos de Syrian Archive, un proyecto dedicado a documentar las violaciones de derechos humanos en Siria, calificándolos de «violento extremismo», confundiendo así el contexto de documentación del proyecto con el de desinformación y reclutamiento de grupos terroristas. EDRi
Empleados de SnapChat abusaron de su acceso privilegiado y accedieron con una herramienta interna, SnapLion, a información sensible de usuarios, como geolocalización, datos y snaps (imágenes y vídeos que desaparecen a las 24 horas). VICE Motherboard
El sistema Book ID de Scribd retira, por supuesta violación de propiedad intelectual, las copias del informe Mueller, un informe oficial de dominio público del Gobierno de los EE. UU. sobre la interferencia rusa en las elecciones presidenciales de 2016. Quartz
El sistema de YouTube contra la desinformación muestra un panel con información sobre los atentados del 11 de septiembre en EE. UU. en los vídeos del incendio de la catedral parisina de Notre Dame. BuzzFeed · Genbeta
Durante seis meses, un grupo de criminales tuvo acceso a correos electrónicos de usuarios no empresariales de Hotmail, MSN y Outlook tras conseguir acceso a la cuenta de un trabajador de soporte de Microsoft. VICE Motherboard · ArtTechnica
Microsoft rehusa arreglar urgentemente una vulnerabilidad en Internet Explorer que permite robar documentos a cualquier usuario de Windows. En protesta, el investigador de seguridad libera la vulnerabilidad. ZDNet · Mashable
Trabajadores de Amazon escuchan grabaciones privadas de usuarios del asistente de voz Alexa (Amazon Echo) incluso cuando los usuarios han desactivado la compartición de grabaciones para mejorar el desarrollo, que está activada por defecto. Bloomberg
Facebook se asocia con el medio británico Daily Telegraph para publicar una serie de artículos positivos sobre la empresa que la defienden en temas controvertidos como terrorismo, incitación al odio y ciberacoso con el objetivo de minimizar los temores tecnológicos y su imagen pública. Business Insider · The Drum
Facebook pide la contraseña del correo electrónico a nuevos usuarios que se registran en su red social para verificar su dirección de correo, un método propio de ataques de phising. Otros métodos de verificación estaban escondidos tras un patrón oscuro de diseño. The Hacker News · Daily Beast · EFF
La información de usuarios de Cultura Colectiva y At the Pool, dos aplicaciones integradas con Facebook, como nombres, situación sentimental, contraseñas en texto plano e intereses, se almacenaba en el servicio Amazon S3 expuesta al público sin ningún tipo de autenticación. Bleeping Computer
Un fallo de seguridad de Facebook dio acceso durante años a 20.000 empleados a contraseñas de entre 200 y 600 millones de cuentas de usuarios, algunos desde al menos 2012. CNBC · Blog del periodista de seguridad Brian Krebs
La Comisión Europea sanciona a Google con 1 500 millones de € por prácticas monopolísticas (otra vez) referentes a AdSense, su plataforma de publicidad: impidió a los rivales de Google publicar sus anuncios de búsqueda en sitios web de terceros mediante cláusulas restrictivas en los contratos con dichos sitios web. Comisión Europea · BBC
Facebook utiliza números de teléfono de los usuarios (otra vez) no solo para la verificación en dos pasos para lo que originalmente se pide, sino para que otros usuarios encuentren sus perfiles, y tampoco provee una manera de desactivar este uso. TechCrunch · EFF
Un error en la aplicación de Google Home para Android TV revela los perfiles de otros usuarios. Google reacciona desactivando la característica de visualización de fotos con Google Photos. XDA-Developers
Facebook presionó a políticos de todo el mundo contra las legislaciones de privacidad, como la RGPD, prometiendo incentivos y amenazando con retirar inversiones. The Guardian
Facebook mantiene una lista interna de usuarios peligrosos calificados a su propia discreción e incluso rastrea el paradero de estos individuos pinchando la información de localización de las aplicaciones instaladas y sitios web visitados de Facebook en sus dispositivos sin su consentimiento ni conocimiento. CNBC
Se descubren expuestas al público varias bases de datos de vigilancia estatal en tiempo real de millones de residentes en Xinjiang, China. Algunas incluso muestran restos de haber sido ya accedidas ilícitamente por malos actores. ZDNet · EFF
El banco español Bankia preselecciona la compartición de datos personales con terceras empresas para las cuentas ON y penaliza con 5 € mensuales a quienes la desactiven, en contra de varios artículos fundamentales de la LOPD y el RGPD. El Confidencial
Alemania frena la compartición indiscriminada de datos entre servicios de Facebook (WhatsApp, Instagram) por considerarse una práctica monopolística. Reuters
El sistema de alarma Nest Secure de Google tenía un micrófono que no figuraba en las especificaciones técnicas desde el principio y que se ha revelado exclusivamente tras una actualización que puede convertir el sistema en un asistente de voz. TechaPeek · Business Insider
La Comisión Europea retira el smartwatch ENOX Safe-KID-One, dirigido a niños, por múltiples riesgos contra la seguridad de datos privados. Las comunicaciones con el servidor no se cifran, el servidor permite acceder sin autenticación a los datos, como el historial de localizaciones GPS y números de teléfono, y un actor malintencionado podría incluso hablar con el niño usuario. ZDNet · Comisión Europea
La policía inglesa detiene a la gente que se cubre la cara de cámaras de reconocimiento facial y multa a un hombre tras quejarse. The Independent
Desde 2012, Google paga a usuarios para que instalen un VPN o un router en sus casas y analizar así toda su actividad digital (incluyendo la de menores en la familia) saltándose las limitaciones para empresas de Apple. TechCrunch
Facebook paga a usuarios (entre ellos, adolescentes) para que instalen un VPN y un certificado raíz de DNS en sus teléfonos y analizar así toda su actividad digital saltándose las limitaciones para empresas de Apple. TechCrunch
Facebook bloquea las herramientas de transparencia de anuncios de Mozilla, ProPublica y Who Targets Me, que investigan y revelan la segmentación de anuncios, en especial los de índole política. Argumenta que lo hace en cumplimiento estricto de sus políticas para proteger a los usuarios. ProPublica
Se descubre un error en la aplicación de videollamadas de Apple, FaceTime, que permite escuchar el audio de la persona contactada antes de que descuelgue. BuzzFeed
- El mismo día, Apple reacciona rápidamente desactivando la característica de grupos hasta que lo resuelvan. 9to5Mac
Francia sanciona a Google con 50 millones de € bajo el RGPD por falta de transparencia, información inadecuada y falta de consentimiento válido respecto a la personalización de los anuncios. CNIL (organismo de protección de datos francés)
El sistema Content ID de YouTube marca una grabación de prueba de un micrófono como contenido protegido por propiedad intelectual. EFF
2018
Desde 2010, Facebook tiene acuerdos para compartir información privada de sus usuarios (información de contacto, lista de amigos e incluso mensajes privados) con 150 empresas, entre las que figuran Amazon, Microsoft, Yahoo, Spotify y Netflix y fabricantes como Huawei, Sony y Apple. The New York Times · The Verge
Facebook expuso fotos privadas de hasta 6,8 millones de usuarios a desarrolladores por error. The Verge
Google expuso en Google+ información de perfil (nombre, correo electrónico, ocupación y edad) de 52,5 millones de usuarios a desarrolladores, y cerrará Google+ al público cuatro meses antes de lo previsto. Blog corporativo de Google · The Verge
El Parlamento Británico publica documentos internos de Facebook que considera de interés público porque evidencian, entre otras cosas, cómo la empresa, a su sola discreción, concede a desarrolladores acceso a los datos de los amigos de sus usuarios y también cómo Facebook escondió a los usuarios de su aplicación para Android que una actualización permitía recopilar los listados de llamadas y mensajes. Business Insider
- Documentos originalmente liberados por el Parlamento Británico. Parlamento Británico
Google utiliza diferentes patrones engañosos de diseño, información confusa u oculta y molesta insistencia para que los usuarios de Google Android acepten ser monitorizados geográficamente, violando la legislación vigente (RGPD). Forbrukerrådet (agencia noruega de consumo)
El Ministerio de Justicia y Seguridad neerlandés concluye que la suite en la nube de Microsoft Office 365 contraviene el RGPD porque los datos sobre la actividad de sus usuarios, entre los que se incluyen empleados públicos del Estado, se almacena y procesa en los Estados Unidos, lo que «supone un alto riesgo para la privacidad de los usuarios». nrc.nl
Reino Unido sanciona a Facebook con 500.000 £, la máxima multa prevista bajo la legalidad del momento, por fallar en proteger los datos de sus usuarios, hecho que derivó en el uso político de esos datos en el escándalo de Cambridge Analytica. ICO (comisión de protección de datos inglesa)
Aptoide gana una batalla legal contra Google porque eliminó de manera subrepticia la aplicación de Aptoide de los dispositivos de los consumidores. Reuters
Google ocultó un error en Google+ activo desde 2015 que exponía información de perfil (como nombre, género, correo electrónico, ocupación y edad) de 500.000 usuarios a desarrolladores, supuestamente en un intento de evitar repercusiones legales. WSJ (muro de pago) · The Verge
Facebook descubre una brecha de seguridad que puede haber revelado información de 50 millones de cuentas por un error en la característica «ver como». Blog corporativo de Facebook · El Periódico · The Verge
- 12 de octubre. Facebook reduce la cifra de afectados a 30 millones de cuentas tras su investigación interna y pone a disposición una herramienta para comprobar si has sido afectado. Blog corporativo de Facebook · Xataka
Facebook da acceso a los anunciantes a datos personales que el usuario aporta por motivos de seguridad o no aporta directamente, como números de teléfono para la verificación en dos pasos o cuentas de correo electrónico que tus contactos tienen en sus agendas. Gizmodo
Facebook silencia una interpretación de Bach del pianista James Rhodes por detectar que 47 segundos pertenecen supuestamente a Sony Music Global. Twitter de James Rhodes · BoingBoing
El sistema Content ID de YouTube retira obras de Beethoven y Wagner de un profesor de música. TorrentFreak
Google y MasterCard llegan a un acuerdo opaco de intercambio de datos en EE. UU. para medir el impacto de los anucios y vincular las compras offline en tiendas físicas con los anuncios online. Bloomberg
Los supermercados Día en España reparten unos cupones descuento que, de ser utilizados, pretenden dar por hecho que el usuario concede permiso para compartir sus datos con terceras empresas y recibir publicidad, violando así el RGPD. El Confidencial
La Comisión Europea sanciona a Google con 4 340 millones de € por prácticas monopolísticas referentes a Android y la certificación de los servicios de Google Play: obligó a los fabricantes a incluir el buscador de Google y el navegador Google Chrome, pagó a ciertos fabricantes y operadores para incluir exclusivamente su buscador e impidió a fabricantes vender dispositivos con versiones alternativas de Android. Comisión Europea
- 19 de marzo de 2019. Google anuncia que dará opción a los usuarios de Android en Europa para elegir su navegador y buscador web, repitiendo la historia de Microsoft en 2009. Blog corporativo de Google
Twitter descubre que estaba almacenando las contraseñas de más de 300 millones de cuentas sin cifrar y en texto plano, y urge a todos los usuarios a cambiar sus contraseñas. Blog corporativo de Twitter · Blog del periodista de seguridad Brian Krebs
2017
La Comisión Europea sanciona a Google con 2 420 millones de € por abuso de posición dominante como motor de búsqueda y su servicio Google Shopping de comparación de productos: colocó sistemáticamente en los resultados de búsqueda los resultados de su servicio en posiciones destacadas y «enterró» los de la competencia. Comisión Europea · The Verge · BBC
- 10 de noviembre de 2021. El Tribunal General de la Unión Europea confirma la multa. ElOtroLado
La Comisión Europea sanciona a Facebook con 110 millones de € por facilitar información incorrecta o engañosa sobre la adquisición de WhatsApp en 2014. Comisión Europea · TechCrunch
Facebook llevó a cabo un estudio con datos internos y comunicó a los anunciantes que puede identificar la vulnerabilidad emocional de los adolescentes y cuándo se sienten «inseguros» o «inútiles». Facebook responde que no ofrece herramientas para dirigir anuncios en función del estado emocional. The Guardian
El gobierno alemán prohibe la venta de la muñeca infantil conectada Cayla por vulnerabilidades de seguridad y obliga a los padres a destruir sus ejemplares por considerarlos dispositivos ilegales de espionaje. BBC
2016
Facebook permite a los anunciantes excluir usuarios racialmente. ProPublica
- 8 de febrero de 2017. Facebook introduce una tecnología de inteligencia artificial para luchar contra los anuncios discriminatorios. Mashable
La red de bots Mirai tiró abajo muchos servicios y páginas web atacando directamente a la infraestructura de internet usando millones de dispositivos conectados (IoT) vulnerables de consumidores que había pirateado y secuestrado. Popular Mechanics · Popular Mechanics
En la brecha de 2012 de Dropbox se filtraron contraseñas y direcciones de correo de más de 68 millones de usuarios, dos tercios de su base de usuarios. En el momento, Dropbox solo comunicó que se habían filtrado direcciones de correo de usuarios, pero no contraseñas. VICE Motherboard · The Guardian
- 31 de julio de 2012. Comunicación oficial de la filtración. Blog de Dropbox
En la brecha de 2012 de LinkedIn se filtraron más de 117 millones de contraseñas y direcciones de correo de usuarios que estaban mal cifrados, no 6,5 millones, como se comunicó inicialmente. TechCrunch · VICE Motherboard
2014
Facebook llevó a cabo un experimento psicológico secreto e intrusivo a 689.000 usuarios en el que mediante el ajuste del algoritmo que decide qué publicaciones mostrarte en la cronología influyeron en el estado de humor de sus usuarios por contagio emocional. The Guardian · The New York Times
2012
Filtran cerca de 6,5 millones de contraeñas de usuarios de LinkedIn. Las contraseñas estaban débilmente cifradas. TechCrunch · Comunicado oficial de LinkedIn
2008
Netflix publicó un conjunto de datos no anonimizados correctamente con actividad real de sus usuarios para una competición (el Netflix Prize) y la universidad de Texas en Austin, Estados Unidos publica un paper explicando el fiasco. Universidad Cornell