2021

Sujetos

Clubhouse, una mezcla entre plataforma de podcasts en vivo y sala de conferencias virtual, utiliza los servicios de una startup china llamada Agora Inc, cuya sede está en Shanghái, para proveer toda su infraestructura de backend. Los identificadores de cada usuario y de las salas en las que participa son transmitidos en texto plano, y no ofrece tampoco ninguna garantía de que los audios se almacenen de forma segura. La aplicación pide al usuario que comparta con la plataforma toda la información referente a sus contactos (incluidos los que no usan la plataforma), lo que le permitiría obtener su grafo social y asociarlo a su comportamiento. Se utilizan dark patterns, como el de exclusividad (app solo disponible para iPhone y falsa ilusión de escasez mediante invitaciones) y de usabilidad (botón para pemitir acceso a los contactos sin la opción de rechazar). The Guardian · Stanford Internet Observatory · Lourdes Turrecha en Medium

2020

Sujetos

La aplicación de videoconferencias Zoom filtra la fotografía y cuenta de correo electrónico de los usuarios que se registran con servicios de correo poco convencionales, o de cuya existencia Zoom no sabe, porque trata las cuentas de correo como corporativas por defecto y las añade a un listado compartido entre ellas automáticamente. VICE Motherboard

Sujetos

Se clarifica que la aplicación de videoconferencias Zoom, a pesar de anunciarse en su web asegurando que las comunicaciones de la aplicación se realizan cifradas de extremo a extremo, en realidad se realizan con un cifrado de transporte (TLS). Este tipo de cifrado de transporte, más sencillo, es regularmente utilizado en internet (se conoce como HTTPS para páginas web), y sí permite que el proveedor acceda a las comunicaciones. The Intercept

  • 1 de abril. Zoom clarifica el cifrado utilizado en su servicio de videoconferencias. Blog de Zoom

Sujetos

La aplicación de videoconferencias Zoom para iOS manda datos analíticos a Facebook sin consentimiento del usuario, sin informar previamente ni figurar tal compartición en su política de privacidad. Entre los datos compartidos figuran el modelo del dispositivo del usuario, la ciudad, huso horario y operador móvil desde el que se conecta y un identificador único creado para que los anunciantes puedan dirigir anuncios personalizados. VICE Motherboard

  • 27 de marzo. Zoom aclara los datos que se enviaron y actualiza la aplicación eliminando por completo el SDK de Facebook y la compartición de esos datos. Blog de Zoom · VICE Motherboard
  • 31 de marzo. Un usuario demanda a Zoom argumentando que la empresa violó las normas de protección de datos de California por no obtener el consentimiento del usuario antes de la transmisión de datos. VICE Motherboard

Sujetos

Facebook paga 550 millones de dólares americanos en un acuerdo extrajudicial por vulnerar las leyes de privacidad biométrica en Illinois, Estados Unidos, con su herramienta de sugerencia de etiquetado de fotos por reconocimiento facial sin pedir permiso a sus usuarios. ElOtroLado · The New York Times

Una investigación concluye que el programa antivirus Avast recopila datos privados de los usuarios y los vende a través de su subsidiaria Jumpshot a muchas de las mayores empresas del mundo, como Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit. Entre los datos vendidos se incluye el llamado All Clicks Feed, que muestra el comportamiento del usuario, los clics y el movimiento a través de los sitios web con gran precisión. PCMag · Vice

  • 30 de enero. Avast termina la recopilación de datos de Jumpshot y pone fin a las operaciones de Jumpshot con efecto inmediato. Blog de Avast · Vice

Los datos personales de 6 800 usuarios de la Universidad de Burgos (UBU) fueron afectados por un ciberataque el 14 de enero. No se han exfiltrado contraseñas ni información bancaria. eldiario.es

2019

Sujetos

Un investigador de seguridad descubre un error en la API de Twitter que permite abusar del sistema que empareja números de teléfono con cuentas de usuario. Además, se evidencia que el sistema utiliza números de teléfono que el usuario aporta originalmente para la verificación en dos pasos. Solo en Europa este sistema de descubrimiento está desactivado por defecto. TechCrunch

  • 3 de febrero de 2019. Twitter desvela que posibles actores estatales en Irán, Israel y Malasia han abusado del error y se disculpa con los usuarios por las consecuencias. Blog de Twitter · ZDNet · Genbeta

Sujetos

Encuentran una base de datos sin protección con información confidencial de 267 millones de usuarios de Facebook. La mayoría de usuarios afectados son estadounidenses y entre los datos filtrados se incluye su ID de usuario de Facebook, su teléfono móvil y su nombre completo. Se sospecha que la base de datos se compiló abusando de la API para desarrolladores de Facebook. Comparitech

Sujetos

La Autoridad de la Competencia Húngara (GVH) multa a Facebook con 1 200 millones de forintos (4 millones de US$) por anunciar sus servicios como gratuitos cuando los usuarios no tienen que pagar con dinero pero pagan de facto al generar un beneficio económico a través de su actividad y la recopilación de sus datos. Competition Policy International · Reuters

Temas

El Instituto Nacional de Estadística de España (INE) quiere rastrear durante ocho días los teléfonos móviles de los ciudadanos con fines estadísticos. Vodafone (y Lowi), Movistar y Orange (y Amena) le proporcionarán datos agregados anonimizados de sus clientes. Comunicado de prensa del INE · Público.es · Maldita.es · El País

  • Los días seleccionados son: en 2019, del 18 a 21 de noviembre, 24 de noviembre y 25 de diciembre (festivo nacional); y en 2020, 20 de julio y 15 de agosto.
  • 30 de octubre. La Agencia Estatal de Protección de Datos (AEPD) solicita información sobre los protocolos establecidos con las operadoras. El Independiente

Sujetos

Se encuentra sin protección una base de datos de Novaestrat con información personal actualizada de los ciudadanos de Ecuador, incluyendo 6,7 millones de registros sobre niños. La información filtrada recoge nombre completo, domicilio, relaciones familiares, datos del registro civil, información financiera y matrículas de coches. vpnMentor · ZDNet

Sujetos

Se encuentra una base de datos sin protección que almacena los números de teléfono asociados a 419 millones de cuentas de usuario de Facebook. Algunos de los registros también tenían el nombre del usuario, el sexo y la ubicación por país. TechCrunch

Sujetos

La Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés) multa a Google con 170 millones de $ por violar la privacidad de niños en la plataforma de vídeo YouTube. Se recolectaban datos en vídeos orientados a niños para mostrar publicidad personalizada más tarde. TheVerge · NPR

Temas
Sujetos

Trabajadores externos de Facebook escuchan y transcriben grabaciones privadas de chats de audio en Facebook Messenger para los usuarios que activan esa opción. Facebook afirma que canceló el programa de transcripciones tras los recientes escándalos de Apple y Amazon y afirma que las transcripciones no se utilizaron para mejorar los anuncios o los algoritmos de personalización. Bloomberg

Temas
Sujetos

Trabajadores externos de Microsoft escuchan llamadas privadas por Skype a través del servicio de traducción y grabaciones privadas de su asistente de voz Cortana. Los trabajadores externos pueden trabajar en las transcripcionesde audio desde sus propios domicilios. VICE Motherboard

Temas
Sujetos

Twitter revela que, desde septiembre de 2018, compartió datos de los usuarios con sus socios publicitarios, incluso si los usuarios desactivaron la personalización de anuncios, y les mostró anuncios en función de inferencias hechas sobre los dispositivos que utilizan sin su permiso. Twitter Help Center · Privacy International

Sujetos

Se filtra una base de datos sin protección con información electoral de 2017 del 80% de la población de Chile. La base de datos contenía nombres, domicilio, sexo, edad y número de identificación tributaria (RUT, o Rol Único Tributario) de 14 308 151 personas. WizCase · ZDNet

Temas
Sujetos

Trabajadores externos de Apple escuchan grabaciones privadas de sus asistentes de voz (Apple HomPod) y la aplicación Siri, que se almacenan hasta por dos años. El País · The Guardian

  • 2 de agosto. Apple suspende el programa de transcripciones y promete una actualización de software que permitirá a los usuarios elegir si sus grabaciones se incluyen en el programa. TechCrunch

Sujetos

Piratean 110 bases de datos de la Agencia Tributaria de Bulgaria y filtran a los medios la información financiera de 5 millones de ciudadanos, junto con sus números de identificación nacional y sus nombres completos, de 57 de ellas. ZDNet

Sujetos

La AEPD española multa a LaLiga con 250.000 € por violar el RGPD al usar el micrófono de los teléfonos de los usuarios de su app para detectar bares con fútbol pirateado sin ser transparente de cuándo lo hace (artículo 5.1) y tampoco facilitar adecuadamente al usuario la retirada de consentimiento. eldiario.es

Temas
Sujetos

Trabajadores externos de Google escuchan grabaciones privadas de sus asistentes de voz (Google Home/Nest) y la aplicación Asistente de Google sin que los usuarios sepan que sus conversaciones se almacenan. VRT NWS

  • Google lo admite en su blog: Google
  • 2 de agosto. Una autoridad alemana de protección de datos ordena a Google parar el procesamiento de datos en Europa para evaluar si cumple con el RGPD. TechCrunch

Sujetos

El responsable de la protección de datos de Hesse, Alemania, concluye que la suite en la nube Microsoft Office 365 no es apta para utilizarse en las escuelas porque su configuración estándar no cumple con el RGPD y no «garantiza la soberanía digital del procesamiento de datos del Estado». Heise.de

Sujetos

Durante 2018, el Gobierno de España solicitó información de usuarios españoles a Apple, que la entregó en base a «peticiones legales válidas» en al menos 3218 casos, más que Francia, Alemania y Reino Unido juntos. El Mundo

Temas
Sujetos

El sistema público de salud público de Highland, Escocia, manda un correo electrónico sin ocultar los destinatarios. El mensaje era una invitación a un grupo de apoyo para enfermos infectados por VIH. BBC

Sujetos

Piratean la base de datos de un sistema de reconocimiento biométrico de una subcontrata de la Oficina de Aduanas de Estados Unidos y roban decenas de miles de fotos de viajantes y matrículas de vehículos tomadas durante mes y medio a las que no debía tener acceso la subcontrata. Buzzfeed

Sujetos

Estados Unidos obligará a los solicitantes de visado a proveer nombres de perfil y cuentas de correos y números de teléfonos utilizados en los últimos cinco años. BBC

Sujetos

Un programador chino afincado en Alemania presuntamente diseñó un sistema de reconocimiento facial que identifica a las actrices de vídeos de sitios web pornográficos con sus perfiles sociales personales. La herramienta se creó con el objetivo de que los usuarios comprobasen si sus novias habían participado alguna vez en la pornografía. YiquinFu en Twitter

  • El programador se disculpa y promete haber borrado toda la información. TechnologyReview

Temas
Sujetos

Empleados de SnapChat abusaron de su acceso privilegiado y accedieron con una herramienta interna, SnapLion, a información sensible de usuarios, como geolocalización, datos y snaps (imágenes y vídeos que desaparecen a las 24 horas). VICE Motherboard

Temas
Sujetos

Trabajadores de Amazon escuchan grabaciones privadas de usuarios del asistente de voz Alexa (Amazon Echo) incluso cuando los usuarios han desactivado la compartición de grabaciones para mejorar el desarrollo, que está activada por defecto. Bloomberg

Temas
Sujetos

Facebook utiliza números de teléfono de los usuarios (otra vez) no solo para la verificación en dos pasos para lo que originalmente se pide, sino para que otros usuarios encuentren sus perfiles, y tampoco provee una manera de desactivar este uso. TechCrunch · EFF

Temas
Sujetos

Facebook presionó a políticos de todo el mundo contra las legislaciones de privacidad, como la RGPD, prometiendo incentivos y amenazando con retirar inversiones. The Guardian

Temas
Sujetos

Facebook mantiene una lista interna de usuarios peligrosos calificados a su propia discreción e incluso rastrea el paradero de estos individuos pinchando la información de localización de las aplicaciones instaladas y sitios web visitados de Facebook en sus dispositivos sin su consentimiento ni conocimiento. CNBC

Temas
Sujetos

El banco español Bankia preselecciona la compartición de datos personales con terceras empresas para las cuentas ON y penaliza con 5 € mensuales a quienes la desactiven, en contra de varios artículos fundamentales de la LOPD y el RGPD. El Confidencial

Temas
Sujetos

El sistema de alarma Nest Secure de Google tenía un micrófono que no figuraba en las especificaciones técnicas desde el principio y que se ha revelado exclusivamente tras una actualización que puede convertir el sistema en un asistente de voz. TechaPeek · Business Insider

Temas
Sujetos

La policía inglesa detiene a la gente que se cubre la cara de cámaras de reconocimiento facial y multa a un hombre tras quejarse. The Independent

Temas
Sujetos

Desde 2012, Google paga a usuarios para que instalen un VPN o un router en sus casas y analizar así toda su actividad digital (incluyendo la de menores en la familia) saltándose las limitaciones para empresas de Apple. TechCrunch

  • 31 de enero. Apple reacciona retirándole el certificado para aplicaciones internas a Google. The Verge
  • Sumario: EFF

Temas
Sujetos

Facebook paga a usuarios (entre ellos, adolescentes) para que instalen un VPN y un certificado raíz de DNS en sus teléfonos y analizar así toda su actividad digital saltándose las limitaciones para empresas de Apple. TechCrunch

  • 30 de enero. Apple reacciona retirándole el certificado para aplicaciones internas a Facebook. The Verge
  • Sumario: EFF

Sujetos

Facebook bloquea las herramientas de transparencia de anuncios de Mozilla, ProPublica y Who Targets Me, que investigan y revelan la segmentación de anuncios, en especial los de índole política. Argumenta que lo hace en cumplimiento estricto de sus políticas para proteger a los usuarios. ProPublica

Sujetos

Francia sanciona a Google con 50 millones de € bajo el RGPD por falta de transparencia, información inadecuada y falta de consentimiento válido respecto a la personalización de los anuncios. CNIL (organismo de protección de datos francés)

2018

Sujetos

El Parlamento Británico publica documentos internos de Facebook que considera de interés público porque evidencian, entre otras cosas, cómo la empresa, a su sola discreción, concede a desarrolladores acceso a los datos de los amigos de sus usuarios y también cómo Facebook escondió a los usuarios de su aplicación para Android que una actualización permitía recopilar los listados de llamadas y mensajes. Business Insider

Temas
Sujetos

El Ministerio de Justicia y Seguridad neerlandés concluye que la suite en la nube de Microsoft Office 365 contraviene el RGPD porque los datos sobre la actividad de sus usuarios, entre los que se incluyen empleados públicos del Estado, se almacena y procesa en los Estados Unidos, lo que «supone un alto riesgo para la privacidad de los usuarios». nrc.nl

Temas
Sujetos

Facebook da acceso a los anunciantes a datos personales que el usuario aporta por motivos de seguridad o no aporta directamente, como números de teléfono para la verificación en dos pasos o cuentas de correo electrónico que tus contactos tienen en sus agendas. Gizmodo

Temas
Sujetos

Google y MasterCard llegan a un acuerdo opaco de intercambio de datos en EE. UU. para medir el impacto de los anucios y vincular las compras offline en tiendas físicas con los anuncios online. Bloomberg

Temas
Sujetos

Los supermercados Día en España reparten unos cupones descuento que, de ser utilizados, pretenden dar por hecho que el usuario concede permiso para compartir sus datos con terceras empresas y recibir publicidad, violando así el RGPD. El Confidencial

2017

Temas
Sujetos

Facebook llevó a cabo un estudio con datos internos y comunicó a los anunciantes que puede identificar la vulnerabilidad emocional de los adolescentes y cuándo se sienten «inseguros» o «inútiles». Facebook responde que no ofrece herramientas para dirigir anuncios en función del estado emocional. The Guardian

Sujetos

El gobierno alemán prohibe la venta de la muñeca infantil conectada Cayla por vulnerabilidades de seguridad y obliga a los padres a destruir sus ejemplares por considerarlos dispositivos ilegales de espionaje. BBC

2016

Temas
Sujetos

Facebook permite a los anunciantes excluir usuarios racialmente. ProPublica

  • 8 de febrero de 2017. Facebook introduce una tecnología de inteligencia artificial para luchar contra los anuncios discriminatorios. Mashable
2014
2008

Temas
Sujetos

Netflix publicó un conjunto de datos no anonimizados correctamente con actividad real de sus usuarios para una competición (el Netflix Prize) y la universidad de Texas en Austin, Estados Unidos publica un paper explicando el fiasco. Universidad Cornell