大浦表示，它满足了政府对用户数据的要求

去年，健康可穿戴设备制造商 Oura 在与国防部和 Palantir 签署协议后卷入了社交媒体风暴。一些客户担心他们的数据最终会落入特朗普政府的手中。这起丑闻传得沸沸扬扬，以至于我的伴侣（一位大浦环用户）引起了我的注意。 Oura 戒指是戴在手指上的健康监测硬件可穿戴设备。这些电池供电的戒指可以跟踪一个人的健康数据，例如心率、睡眠模式、月经周期以及数十个其他数据点，包括他们的位置。 Oura 在其服务器上保留了大量有关用户的敏感信息。作为一名安全和隐私书呆子记者，以及使用她的人的合作伙伴，我想知道：所有这些数据都去了哪里，又是如何到达那里的？你可能会认为这并不重要。但公司设置产品和服务器的方式决定了政府（或黑客）是否也可以访问用户数据。这是一个很好的机会来深入了解 Oura 环的工作原理、它们如何发送数据、如何存储数据以及谁可以访问这些数据。我写了一篇详细的长篇文章，解释了为什么 Oura 的安全设计选择允许政府从 Oura 庞大的用户信息库中获取记录。 Oura 在这方面并不是独一无二的，许多（如果不是大多数）公司设计的系统允许其员工访问用户数据，也许是为了解决客户问题，或者因为对于曾经资金短缺的初创公司来说，这是最简单、最便宜的设置。但 Oura 现在是当今最大的健康科技可穿戴设备制造商之一，上市前估值超过 110 亿美元。该公司比以往任何时候都更有责任确保其用户的数据无法被访问。而且，大浦不能再辩称它没有财力来做到这一点。在我之前的博客中，我透露过 Oura 数据没有端到端加密。这意味着，Oura 用户的健康数据可以在某些时候被解密，因为这些数据从一个人的戒指、通过他们的手机应用程序、通过互联网传输，以及登陆到 Oura 的服务器上。该公司确认其存储用户数据的方式允许部分员工访问。这也意味着其他人也可以这样做，比如持有逮捕令的检察官、钥匙被盗的黑客，或者心怀不满、想要留下一团糟的内部人士。在这三件事中，我们知道至少发生了其中一件。请支持本新闻通讯！ ~本周安全 ~ 是我的每周网络安全时事通讯，受到像您这样的读者的支持。请考虑订阅付费订阅，起价为每月 10 美元，以获取独家文章、分析等内容。或者，您可以提交一次性提示以表示您的支持！订阅以访问高级博客 当我在发表上一篇文章之前寻求评论时，大浦发言人告诉我，该公司确实“很少收到政府的请求”。 Oura 表示，它会审查每个请求的“合法性、范围和必要性”，并会拒绝“无效、过于宽泛或不符合我们保护会员隐私承诺的请求”。 Oura 不愿透露它收到了多少请求、移交用户数据的频率或请求的数据类型。截至我撰写上一篇文章时，Oura 迄今为止已售出超过 550 万枚戒指，这在一定程度上扩大了该公司的客户群规模。我当时问大浦是否会披露收到这些请求的频率，例如发布透明度报告。一波科技公司开始每半年公布他们收到的政府要求总数。这主要是为了反驳因 2013 年美国国家安全局监控丑闻而产生的有关他们根据要求秘密向政府移交大量用户数据的说法。Oura 的最初回应还是有一些希望的。一位发言人当时告诉我，虽然 Oura 没有发布透明度报告，但该公司表示，它正在“积极评估如何以维护安全且不会给我们的会员带来风险的方式共享汇总数据。”亲爱的读者，已经八个月了。我最近再次联系大浦，询问它是否会发布透明度报告，在多次后续电子邮件之后，曾经积极回应的大浦尚未回复我的任何询问，也没有承诺公布这些数字。我希望大浦能够像其他科技公司一样重新考虑并公布它收到的需求数量。如果没有看到这些数字，就不可能知道大浦拒绝政府提供数据的要求的频率（如果有的话）。作为健康可穿戴设备市场的领跑者，如果想要赢得或保持客户的信任，Oura 应该分享政府要求访问用户信息的频率。 ~~非常感谢您阅读〜本周的安全〜。如果您喜欢这篇文章，请分享！如果有任何反馈、问题或评论，请随时联系我们