Pass the "My Body, My Data" Act

5 days 5 hours ago

EFF supports Rep. Sara Jacobs’ “My Body, My Data" Act, which will protect the privacy and safety of people seeking reproductive health care.

Privacy fears should never stand in the way of healthcare. That's why this common-sense bill will require businesses and non-governmental organizations to act responsibly with personal information concerning reproductive health care. Specifically, it restricts them from collecting, using, retaining, or disclosing reproductive health information that isn't essential to providing the service someone asks them for.

TAKE ACTION

Tell Congress to pass the "My Body, My Data" Act

These restrictions apply to companies that collect personal information related to a person’s reproductive or sexual health. That includes information such as data related to pregnancy, menstruation, surgery, termination of pregnancy, contraception, basal body temperature or diagnoses. The bill would protect people who, for example, use fertility or period-tracking apps or are seeking information about reproductive health services. 

We are proud to join Planned Parenthood, NARAL, National Abortion Federation, URGE, National Partnership for Women & Families, and Feminist Majority in support of the bill.

In addition to the restrictions on company data processing, this bill also provides people with necessary rights to access and delete their reproductive health information. Companies must also publish a privacy policy, so that everyone can understand what information companies process and why. It also ensures that companies are held to public promises they make about data protection, and gives the Federal Trade Commission the authority to hold them to account if they break those promises. 

The bill also lets people take on companies that violate their privacy with a strong private right of action. Empowering people to bring their own lawsuits not only places more control in the individual's hands, but also ensures that companies will not take these regulations lightly. 

Finally, while Rep. Jacobs' bill establishes an important national privacy foundation for everyone, it also leaves room for states to pass stronger or complementary laws to protect the data privacy of those seeking reproductive health care. 

We thank Rep. Jacobs and the other sponsors for taking up this important bill, and using it as an opportunity not only to protect those seeking reproductive health care, but also highlight why data privacy is an important element of reproductive justice. Please take action to express your support for the "My Body, My Data" Act today.

TAKE ACTION

Tell Congress to pass the "My Body, My Data" Act

Hayley Tsukayama

Daycare Apps Are Dangerously Insecure

5 days 5 hours ago

Last year, several parents at EFF enrolled kids into daycare and were instantly told to download an application for managing their children’s care. Daycare and preschool applications frequently include notifications of feedings, diaper changes, pictures, activities, and which guardian picked-up/dropped-off the child—potentially useful features for overcoming separation anxiety of newly enrolled children and their anxious parents. Working at a privacy-oriented organization as we do, we asked questions: Do we have to use these? Are they secure? The answer to the former, unfortunately, was “yes,” partly so that the schools could abide by health guidelines to avoid unnecessary in-person contact. But troublingly, the answer to the second was a resounding “no.”

As is the case with so many of these services, there are a few apps that are more popular than others. While we started with the one we were being asked to use, this prompted us to look closer at the entire industry.

"The (Mostly) Cold Shoulder"

These days, offering two-factor authentication (2FA), where two different methods are used to verify a user’s login, is fairly standard. EFF has frequently asserted that it is one of the easiest ways to increase your security. Therefore, it seemed like a basic first step for daycare apps.

In October 2021, we tried to reach out to one of the most popular daycare services, Brightwheel, about the lack of two-factor authentication on their mobile app. We searched around on the site for an email to report security concerns and issues, but we could not find one.

A few cold emails and a little networking later, we got a meeting. The conversation was productive and we were glad to hear that Brightwheel was rolling out 2FA for all admins and parents. In fact, the company’s announcement claimed they were the “1st partner to offer this level of security” in the industry—an interesting but also potentially worrisome claim.

Was it true? Apparently so. This prompted us to do more outreach to other popular daycare apps. In April 2022, we reached out to the VP of Engineering at another popular app, HiMama (no response). Next we emailed HiMama’s support email about 2FA, and received a prompt but unpromising response that our feature request would be sent to the product team for support. So we dug in further.

Digging Further—And a History of Cold Shoulders

Looking at a number of popular daycare and early education apps, we quickly found more issues than just the lack of 2FA. Through static and dynamic analysis of several apps, we uncovered not just security issues but privacy-compromising features as well. Issues like weak password policies, Facebook tracking, cleartext traffic enabled, and vectors for malicious apps to view sensitive data.

As a note on investigative tools and methodology: we used MobSF and apktool for static analysis of application code and mitmproxy, Frida, and adb (Android Debug Bridge) for dynamic analysis to capture network traffic and app behavior.

Initially, we had inferred that many of these services would be unaware of their issues, and we planned to disclose any vulnerabilities to each company. However, we discovered that not only were we not alone in wondering about the security of these apps, but that we weren’t alone in receiving little to no response from the companies.

In March 2022, a group of academic & security researchers from the AWARE7 agency, Institute for Internet Security, Max Planck Institute for Security and Privacy, and Ruhr University Bochum presented a paper to the PET (Privacy Enhancing Technologies) Symposium in Sydney, Australia. They described the lack of response their own disclosures met:

“Precisely because children's data is at stake and the response in the disclosure process was little (6 out of 42 vendors (±14%) responded to our disclosure), we hope our work will draw attention to this sensitive issue. Daycare center managers, daycare providers, and parents cannot analyze such apps themselves, but they have to help decide which app to introduce."

In fact, the researchers made vulnerability disclosures to many of the same applications we were researching in November 2021. Despite the knowledge that children’s data was at stake, security controls still hadn’t been pushed to the top of the agenda in this industry. Privacy issues remained as well. For example, The Tadpoles Android app (v12.1.5) sends event-based app activity to Facebook's Graph API. As well as very extensive device information to Branch.io.

Tadspoles App for Android using Facebook SDK to send custom app event data to graph.facebook.com


[Related: How to Disable Ad ID Tracking on iOS and Android, and Why You Should Do It Now]

Extensive information sent to branch.io

In its privacy policy, Branch.io states that they do not sell or “rent” this information, but the precise amount of data sent to them—down to the CPU type of the device—is highly granular, creating an extensive profile about the parent/guardian outside of the Tadpoles app. A profile that is subject to data sharing in situations like a merger or acquisition of Branch.io. Neither Branch.io or Facebook are listed or mentioned in Tadpole’s privacy policy.

A Note on Cloud Security

Another common trend in many daycare apps: relying on cloud services to convey their security posture. These apps often state they use “the cloud” to provide top-of-the-line security. HiMama, for example, writes in their Internet Safety statement that Amazon’s AWS “is suited to run sensitive government applications and is used by over 300 U.S. government agencies, as well as the Navy, Treasury and NASA.” This is technically true, but AWS has a particular offering (AWS GovCloud) that is isolated and configured to meet federal standards required for government servers and applications on those servers. In any case, regardless of whether an app uses standard or government level cloud offerings, a significant amount of configuration and application security is left up to the developers and the company. We wish HiMama and other similar apps would just highlight the specific security configurations they use on the cloud services they utilize.

Childcare Needs Conflict with Informed Choice

When a parent has an immediate need for childcare and a daycare near home or work opens up with one spot, they are less inclined to pick a fight over the applications the center chooses. And preschools and daycares aren’t forced to use a specific application. But they are effectively trusting a third party to act ethically and securely with a school’s worth of children’s data. Regulations like COPPA (Children’s Online Privacy Protection Act) likely don’t apply to these applications. Some service providers appear to reference COPPA indirectly with legal language that they do not collect data directly from children under 13 and we found a statement on one app committing to COPPA compliance.

Between vague language that could misguide parents about the reality of data security, fewer options for daycares (especially the first two years of the pandemic), leaky and insecure applications, and lack of account security control options, parents can’t possibly make a fully informed or sound privacy decision.

Call to Action for Daycare and Early Education Apps

It’s crucial that the companies that create these applications do not ignore common and easily-fixed security vulnerabilities. Giving parents and schools proper security controls and hardening application infrastructure should be the top priority for a set of apps handling children’s data, especially the very young children served by the daycare industry. We call on all of these services to prioritize the following basic protections and guidelines:

Immediate Tasks:
  • 2FA available for all Admins and Staff.
  • Address known security vulnerabilities in mobile applications.
  • Disclose and list any trackers and analytics and how they are used.
  • Use hardened cloud server images. Additionally, a process in place to continuously update out-of-date technology on those servers.
  • Lock down any public cloud buckets hosting children’s videos and photos. These should not be publicly available and a child’s daycare and parents/guardians should be the only ones able to access and see such sensitive data.

Those fixes would create a significantly safer and more private environment for data on children too young to speak for themselves. But there is always more that can be done to create apps that create industry benchmarks for child privacy.

Strongly Encouraged Tasks: E2EE (end-to-end encrypted) Messaging between School and Parents

Consider communication between schools and parents highly sensitive. There’s no need for the service itself to view communication being passed between schools and parents.

Create Security Channels for Reporting Vulnerabilities

Both EFF and the AWARE7 (et al.) researchers had issues finding proper channels when we uncovered problems with different applications. It would be great if they put up a simple security.txt file on their website for researchers to get in touch with the proper people, instead of hoping to get a response from company support emails.

At EFF, we are parents too. And the current landscape isn’t fair to parents. If we want a better digital future, it starts with being better stewards today and not enabling a precedent of data breaches that could lead to extensive profiling—or worse—of kids who have yet to take their first steps.

Alexis Hancock

【お知らせ】学生向けに開講!オンラインによるJCJ夏のジャーナリスト講座(7月から9月)<br />

5 days 6 hours ago
 新聞やテレビなど報道の世界に関心のある学生向けに「ジャーナリスト講座」を開きます。主催は新聞、テレビ、出版、広告の分野で働いている人やその経験者らでつくる日本ジャーナリスト会議(JCJ)です。2011年秋から毎年開いています。記者の仕事とは何か、取材の面白さとは、などを現場で働く記者を講師に迎え、自由に意見交換しながら学んでいきます。講座はZoomを使った完全オンライン方式で、全国どこからでも受講可能です。学生だけでなく、取材の仕事に関心のある社会人の参加も受け付けます。講..
JCJ

Inside the Digital Society: Does internet governance require a reboot?

5 days 8 hours ago

A new paper says that the internet and its governance is now suffering from resistance to change, paranoia and a lack of strategic direction and accountability, among other problems. Some thoughts and critiques on the paper's conclusions and recommendations, as well as three ideas that it misses.

Gaurav

CloudFlareeで障害発生、pixivなど多数のサイトで一時500エラーに

5 days 14 hours ago
「CloudFlare」で障害が発生した影響で、様々なサービスに影響が出ていたようだ。障害が発生したのは日本時間の21日15時43分ごろで、システムステータスの表示によれば16時20分に修正対策がおこなわれた模様。16時12分前後に回復したサービスが多いようだ。影響があったのは「pixiv」「Discord」「DeepL」などのサービスのほか、さまざまなWebサービスでアクセスできないトラブルが生じていたとしている(Cloudflare System Status、ケータイ Watch、ケータイ Watchその2)。 あるAnonymous Coward 曰く、未確定ですが、cloudflareを使用してるサービスがあちこちで500エラーで死んでます。ステータスは現状OK https://www.cloudflarestatus.com/ ですが、公式サイトもnginxの500 Internal Server Errorで死んでます。公式サイト https://www.cloudflare.com/ja-jp/

すべて読む | ITセクション | クラウド | IT |

nagazou

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった

5 days 15 hours ago
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース、有識者会議調査報告書[PDF]、日経クロステック)。 過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。 あるAnonymous Coward 曰く、「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」 主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | お金 | 情報漏洩 |

関連ストーリー:
ランサムウェア攻撃の被害にあった日本企業、75%が未公表 2022年05月27日
ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答 2022年05月15日
freeeが実施した障害訓練、従業員はトラウマに 2022年03月22日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ 2020年07月28日

nagazou

ジャニーズのファン、公式アプリの影響で端末買い替えが進む

5 days 16 hours ago
AKIBA PC Hotline!の記事によれば、ジャニーズの影響でAndroid 10スマホの問い合わせが急増しているそうだ。原因はジャニーズのイベント入場用の公式チケットアプリ「Johnny's Ticket」の推奨OSが、Android 10以上、iOS 13以上に設定されたためだという。先の記事によると中古スマホ店の店頭でも「Johnny's Ticketが使えるスマホが欲しい」という問い合わせがあるらしい(AKIBA PC Hotline!)。

すべて読む | ITセクション | アップグレード | idle | Android |

関連ストーリー:
個人向けの自宅ルーターはいつまで使える? ルーターのサポート期限問題 2022年02月28日
Pixel 6シリーズではアップデートが5年間提供されるかも? 2021年10月19日
Dell、ゲーミングノートPC Alienware Area-51mの「前例のないアップグレード性能」は虚偽だと訴えられる 2021年06月08日
2021年第1四半期のスマートフォン出荷台数は前年同四半期比25.5%増、Huaweiがトップ5から消える 2021年05月05日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
米巨大IT5社の決算出そろう。コロナ禍によるIT需要でGAFAM全社が過去最高益を更新 2021年02月05日
2019年のApple Watchの販売台数、スイスの時計業界全体を上回る 2020年02月25日

nagazou

Microsoft Store ポリシー改定、一般に無料提供されているアプリの収益化を禁止

5 days 18 hours ago
headless 曰く、Microsoft は 16 日、Microsoft Store ポリシーやアプリ開発者契約書などを改定して開発者に通知した (改定版ポリシー、 改定版アプリ開発者契約書: PDF、 Neowin の記事)。 Microsoft Store ポリシー改定では一般に無料提供されているアプリケーションの収益化や、機能に見合わない高額な価格設定が禁じられた(10.8.7)。収益化禁止部分は日本語版で「オープンソースや無料で一般公開されているその他のソフトウェアから利益を得ようとしたり」(~してはなりません) となっており、有料のオープンソースソフトウェアは Microsoft Store で提供できない。一方、英語版ではオープンソースの収益化禁止は他で一般に無料提供されている場合に限られるとも読める。ドイツ語版はさらに明確に「一般に無料提供されている」がオープンソースソフトウェアにもかかっている。 アプリ開発者契約書の主な変更点は Win32 アプリを Microsoft Store で提供する場合の更新に関する記述の追加と、オーストラリアでの Microsoft の住所変更だ。新ポリシーやアプリ開発者契約書は 7 月 16 日に発効する。

すべて読む | デベロッパーセクション | オープンソース | マイクロソフト | ソフトウェア | Windows | デベロッパー |

関連ストーリー:
一部のデバイスでMicrosoft Storeからアプリをインストールできない問題、修正される 2022年05月23日
ストリーミング動画をDRMフリーでダウンロードするアプリ、Microsoft Store で堂々公開 2022年05月21日
Windowsのクイック アシスト、最新版をストアから入手する必要があると表示して管理者を困惑させる 2022年05月17日
Audacity と PuTTY の公式版、非公式版だらけの Microsoft Store に登場 2022年05月03日

nagazou

Microsoft Store ポリシー改定、一般に無料提供されているアプリの収益化を禁止

5 days 18 hours ago
headless 曰く、Microsoft は 16 日、Microsoft Store ポリシーやアプリ開発者契約書などを改定して開発者に通知した (改定版ポリシー、 改定版アプリ開発者契約書: PDF、 Neowin の記事)。 Microsoft Store ポリシー改定では一般に無料提供されているアプリケーションの収益化や、機能に見合わない高額な価格設定が禁じられた(10.8.7)。収益化禁止部分は日本語版で「オープンソースや無料で一般公開されているその他のソフトウェアから利益を得ようとしたり」(~してはなりません) となっており、有料のオープンソースソフトウェアは Microsoft Store で提供できない。一方、英語版ではオープンソースの収益化禁止は他で一般に無料提供されている場合に限られるとも読める。ドイツ語版はさらに明確に「一般に無料提供されている」がオープンソースソフトウェアにもかかっている。 アプリ開発者契約書の主な変更点は Win32 アプリを Microsoft Store で提供する場合の更新に関する記述の追加と、オーストラリアでの Microsoft の住所変更だ。新ポリシーやアプリ開発者契約書は 7 月 16 日に発効する。

すべて読む | デベロッパーセクション | オープンソース | マイクロソフト | ソフトウェア | Windows | デベロッパー |

関連ストーリー:
一部のデバイスでMicrosoft Storeからアプリをインストールできない問題、修正される 2022年05月23日
ストリーミング動画をDRMフリーでダウンロードするアプリ、Microsoft Store で堂々公開 2022年05月21日
Windowsのクイック アシスト、最新版をストアから入手する必要があると表示して管理者を困惑させる 2022年05月17日
Audacity と PuTTY の公式版、非公式版だらけの Microsoft Store に登場 2022年05月03日

nagazou

YouTube、第20回(【高江】第16回)を配信しました

5 days 19 hours ago
YouTube配信企画 ありがとうやんばるチャンネル第20回(【高江】伊波洋一ビデオメッセージ(高江座り込み15周年報告集会)ー第16回ー)がアップされました。 (18分9秒) 撮影、映像編集:伊波洋一 キャプション:マーティー https://youtu.be/rc-VMx2SRfU 説明 2020年6月5日、高江座り込み15周年報告集会に寄せられた参議院議員・伊波洋一さんのビデオメッセージ全編です。 【YouTubeチャンネル】参議院議員 伊波洋一 国会活動報告 https://www.youtube.com/channel/UCM4sZ_xbQLkfNkyuJTI-z1g/featured 引き続き、これまで繋がってきた島々の現状を載せていきたいと考えています。 「ヘリパッドいらない」住民の会
高江イイトコ

「ぬるぽ」→「ガッ」の誕生から20周年

5 days 19 hours ago
ネット歴がの長い人なら割とおなじみの、ネット掲示板上で「ぬるぽ」と書かれたら「ガッ」っと突っ込む一連の流れ。ITmediaの記事によれば、この一連の流れが誕生してから2022年6月20日で20周年となるそうだ。誕生したのは当時の2ちゃんねる(現5ちゃんねる)で、プログラマー板に「NullPointerExceptionを『ぬるぽ』と呼ぶスレ」が立てられたのがきっかけとなっている(ITmedia)。 このスレでは、1が「ぬるぽ」と書き込んだ2分後、次に書き込んだ人(>>2)が>>1を「ガッ」とたたくアスキーアートを投稿。その後、その流れがネットスラングとして定着することとなった。記事によればなぜ「ガッ」と返すのかは当時書き込みをした「>>2」にしか分からないとしている。スラドならリアルタイムで該当スレの当時の流れを見ていた人もいそうではある。 あるAnonymous Coward 曰く、2ちゃんねるのプログラマー板に当該スレッドが建てられたのが2002/6/20とのこと

すべて読む | デベロッパーセクション | プログラミング | インターネット | デベロッパー |

関連ストーリー:
.NET 20周年 2022年02月17日
テキストエディタVim、30周年を迎える 2021年11月12日
Windows XP も 20 周年 2021年10月28日
BitTorrent 20周年 2021年07月05日
スラド、20周年を迎える 2021年06月05日
成年を迎えたPCウィルス 2006年01月20日
Winnyを標的にしたワーム 2003年08月09日

nagazou

YouTube、第19回(【高江】第15回)を配信しました

5 days 20 hours ago
YouTube配信企画 ありがとうやんばるチャンネル第19回(【高江】高江座り込み15周年報告集会ー第15回ー)がアップされました。 (32分35秒) 撮影、映像編集:マーティ https://youtu.be/x6APosPNaYs 説明 2022年6月5日(日)14時〜16時 東村農民研修施設 主催:「ヘリパッドいらない」住民の会 00:28 ハワイ オアフ・ウオーター・プロテクターズからのメッセージ 00:45 開会の挨拶、現状報告など 05:29 福岡 福岡県県警沖縄派遣費用住民訴訟原告団からのメッセージ 07:07 東京 警視庁機動隊の沖縄への派遣は違法住民訴訟原告団 10:35 愛知 沖縄高江への愛知県警機動隊派遣違法訴訟の会 19:45 沖縄 機動隊住民訴訟原告団 23:07 参議院議員・伊波洋一ビデオメッセージ    全編視聴は→https://www.youtube.com/watch?v=rc-VMx2SRfU 23:30 「やんばるの森を真の世界自然遺産へ」吉川秀樹 Okinawa Environmental Justice Project/ジュゴン保護キャンペーンセンター 31:50 閉会の挨拶・ガンバロー三唱 【YouTubeチャンネル】参議院議員 伊波洋一 国会活動報告 https://www.youtube.com/channel/UCM4sZ_xbQLkfNkyuJTI-z1g/featured 【ブログ】東京 「警視庁機動隊の沖縄への派遣中止を求める住民監査請求実行委員会」 https://juminkansaseikyu.wordpress.com/ 【ブログ】愛知 「沖縄高江への愛知県警機動隊派遣違法訴訟の会」 https://aichi-okinawa-sosho.jimdofree.com/ 【ブログ】沖縄 「チョイさんの沖縄日記」 https://blog.goo.ne.jp/chuy 【ブログ】Okinawa Environmental Justice Project https://okinawaejp.blogspot.com/ 引き続き、これまで繋がってきた島々の現状を載せていきたいと考えています。 「ヘリパッドいらない」住民の会
高江イイトコ

[B] 米国EPA ネオニコが多くの絶滅危惧種に重大な影響を認める

5 days 20 hours ago
米国環境保護庁(EPA)は6月16日、主要な3種類のネオニコ系農薬が、米国の絶滅危惧種の最大79%に重大な影響を与える可能性があるとする最終的な生物学的評価を公表した。今回の影響評価は、米国食品安全センターなどが2013年にネオニコチノイド系農薬の禁止を求めた裁判の和解条件によるもので、米国環境保護庁(EPA)は22年6月を期限として再評価の実施を求められていた。(有機農業ニュースクリップ)
日刊ベリタ