内容转载

= ̄ω ̄= 内容转载

美国人网络安全意识调查:佛州最为糟糕

网络安全公司Webroot近日联合Ponemon Institute开展的研究调查发现,佛罗里达州是美国境内在网络安全方面做的最差的州。Ponemon对美国境内4000名受调查者进行了网络安全知识和相关措施的调查,其中怀俄明州和蒙大拿州仅次于佛州是安全意识最差的州,而新罕布什尔州,马萨诸塞州和犹他州的调查者安全意识很高。 根据受访者提供的样本,不到四分之一(24%)的美国人会定期监控银行和信用卡账单,阻止弹窗内容、更新在线账户密码,或者在点击电子邮件之前会采取预防措施。此外只有50%的美国人会在笔记本电脑、台式机和智能手机上使用防病毒产品或者其他互联网安全产品。 72%的佛州人表示他们会和其他人共享密码或者其他访问凭证。而相比之下超过一半(53%)的新罕布什尔州调查受访者声称他们绝不会与其他人分享密码。   稿源:cnBeta,封面源自网络;

苹果公司针对数据隐私发声:我们让数据追踪更困难

新浪科技讯 北京时间6月5日早间消息,今天,苹果公司发表了最强硬的声明,涉及隐私问题和Facebook等公司追踪用户一事。 苹果的软件工程负责人克雷格·费德里吉(Craig Federighi)说,该公司将使数据公司追踪个人用户的行为变得“更加困难”。他们的产品会发出警报,让客户逐一判断是否愿意让“聪明而无情”的数据公司跟踪个人信息。 “我们相信你的私人数据应该保密……因为在你的设备上可能有很多敏感数据,我们认为你应该控制让谁看到它,”费德里吉在苹果WWDC大会上如是说。 总而言之,苹果公司在言辞上对Facebook的行为进行了有策略的反击,同时介绍了一些新功能,允许用户拒绝三方数据收集器访问自己的数据。现在所面临的问题是,许多用户觉得弹出警报很麻烦,所以只是盲目地点击它们。   稿源:新浪科技,封面源自网络;

英国数据监管部门主管:Facebook 丑闻并非孤立事件

新浪科技讯 北京时间6月5日早间消息,近日,英国数据保护监督机构主管向欧盟立法者发出警告称,Facebook公司的隐私问题可能还会在其它在线平台上反映出来。 负责牵头对Cambridge Analytica丑闻进行调查的伊丽莎白·德纳姆(Elizabeth Denham)在接受欧洲议会质询时表示,Facebook数据泄露事件并非孤立案件。 本周一晚间,这位英国信息专员在布鲁塞尔的欧盟机构公民自由委员会上指出,“我认为对于用户而言,许多平台都缺乏透明度。” 本次听证会是立法人员首次对Cambridge Analytica丑闻进行详尽而深入地研究。这起丑闻涉及多达8700万人(其中包括大约270万名欧洲用户)的信息,并对2016年唐纳德·特朗普参与美国总统竞选的结果造成影响。 不到两周前,Facebook CEO马克·扎克伯格被指控回避欧洲议会主要成员的问题。该公司本周一发布了第二批答案,其中14个问题仍然悬而未决。 执法 德纳姆说,欧盟新颁布的隐私保护法规——《通用数据保护规则》(GDPR)——于5月25日生效,这将是保护人民的第一步。“现在真正重要的是执法,这是数据保护当局愿意做的,是我们所看到的制裁举措,是让用户和公民了解他们的权利。” 如今,欧洲各地的隐私监管机构将拥有平等的权利和义务,以及同样的权力,可在全球范围内对严重违规企业处以罚款,金额最高可达全年销售额的4%。 尽管德纳姆称,像她这样的监管者将在制裁手段上“适当权衡”,但GDPR所赋予的新工具可能比处罚更有效。 删除算法 “运用GDPR的新工具,我们能够向企业发送强制通知,要求他们删除算法或停止程序运行,”德纳姆说。“我认为停止程序运行的命令是强有力的,如果不比行政罚款更具威力的话,至少同样有效。” 本周一早些时候,Facebook发文驳斥了《纽约时报》的一篇报道,该报道称Facebook与苹果、亚马逊和三星等设备制造商分享数据。 Facebook称,他们对用户的信息很熟悉,但不会像Cambridge Analytica那样滥用个人数据。 在本周一的采访中,负责维护欧盟数据隐私法的安德列·耶利内克(Andrea Jelinek)说,欧洲监管机构打算审查这些报道。   稿源:新浪科技,封面源自网络;

数万组织因为 Google Groups 配置出错而泄露敏感数据

Kenna Security 的安全研究人员最近发现,9,600 家分析机构中有 31% 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏感的电子邮件信息。受影响的实体还包括财富 500 强公司、医院、大学和学院、报纸和电视台,甚至美国政府机构。 使用 G Suite 的组织在创建邮件列表可能会配置 Google Groups 界面。由于术语和组织范围与 Groups 特定权限很复杂,导致列表管理员无意中可能泄露电子邮件列表的内容。由于谷歌不会讲配置问题视为漏洞,也不会修复。因此,专家建议管理员阅读 Google 网上论坛文档,将“此域之外的访问权限 – 共享组”设置为“私有”。   稿源:Freebuf,封面源自网络;

“杀毒软件教父” John McAfee 宣布将竞选 2020 年美国总统,借此推动加密货币

据外媒CNET报道,杀毒软件先驱及加密货币“福音传教士”John McAfee当地时间周日宣布将在2020年竞选美国总统,并将其与他现在推动加密货币的角色联系起来。McAfee表示:“我相信通过为我们提供终极竞选平台,这将最好地服务于加密社区。” 2016年John McAfee曾竞选美国自由党总统候选人。不过他最终败给了前新墨西哥州州长Gary Johnson,未获提名。McAfee曾在推文中表示:“如果自由党再次提出要求,我会和他们一起参加竞选。否则,我将创建自己的党派。” McAfee似乎对他此次的总统竞选并不抱有期望,他发推文称:“不要以为我有获胜的机会,我不这样认为。但真正改变美国不是总统,而是选出一个美国总统的过程。” McAfee对加密货币的迷恋可能很快会带来另一个不寻常的转折。5月下旬,他宣布将发行一种名为“McAfee兑换单位(McAfee Redemption Unit)”的加密货币纸币。他将其形容为“与区块链联通,可兑换、转换或收藏。” 今年四月份他还透露,想要让他帮助推广加密货币项目和初始投币产品(ICO),收费标准是每条推文10.5万美元。   稿源:cnBeta,封面源自网络;

Facebook 被曝常年向苹果等 60 家手机厂提供用户隐私

腾讯科技讯 社交网络巨头Facebook陷入了公司历史上史无前例的舆论抨击风暴中,原因是向外界擅自披露用户数据和信息,侵犯民众隐私权益。Facebook的丑闻并未结束,据美国媒体最新爆料,多年来,Facebook向全球大批手机厂商提供了用户信息,包括私人日程安排等,最近批评Facebook的苹果公司也是获得信息的厂商之一。 Facebook旗下拥有20亿用户,该公司长期倡导实名制,但是Facebook对外散布用户信息的举动,却达到了触目惊心的地步。 据美国《纽约时报》6月3日披露,在过去多年中,Facebook一共和大约60家设备厂商签署了协议,向他们提供用户隐私信息,这些厂商中包括了三星、苹果、微软、黑莓、亚马逊等。 今年初,Facebook爆发英国剑桥分析公司获取信息的丑闻之后,上述的合作中一共有22项停止,但是其余合作继续生效。 据报道,在剑桥分析丑闻发生后,Facebook曾经对外声称2015年之后就停止了类似的用户隐私信息分享,但是这当中不包括手机厂商。 Facebook公司对媒体表示,他们严格限制手机厂商对用户隐私信息的使用,另外目前尚未发生手机厂商滥用用户信息的案例。 Facebook向手机厂商提供了用户的哪些信息,目前尚不得而知。 苹果公司一名发言人则表示,苹果需要使用来自Facebook的用户信息,来提供某些功能,比如在不打开Facebook客户端的情况下上传照片。不过去年九月份,苹果切断了数据分享管道。 据悉,Facebook的个人隐私政策中提到,将会向手机等设备制造商提供用户信息的访问权限,其中包括不同用户之间的人际关系、日程安排、宗教和政治信息。 另外,尽管Facebook的一些用户并未选择对外界披露数据,但是这些数据仍然能够被手机厂商获取到。 《纽约时报》披露的情况,对于苹果公司来说是一次“打脸”。 众所周知的是,在Facebook丑闻发生之后,苹果掌门人库克和扎克伯格、Facebook首席运营官桑德博格发生了口水战。 库克批评Facebook不保护用户隐私,面对库克的批评,扎克伯格认为他的表态非常油嘴滑舌,不符合事实。 显然,《纽约时报》的报道表明,苹果公司本身就从Facebook获取了大量的用户信息,这影响到多少同时拥有苹果和Facebook账号的用户,尚不得而知。 在个人隐私保护方面,苹果一般获得业内和消费者的肯定。网络广告并不是苹果的重要业务,苹果一般不采集用户信息并将其提供给广告主。库克等人之前也批评过谷歌等同行大量采集用户隐私的做法。 另外,最近外媒报道称,苹果又开始重视广告业务,他们是否会改变传统,开始大规模采集用户信息,尚不详。   稿源:腾讯科技,封面源自网络;

本田印度在 AWS S3 服务器上暴露 50,000 个客户的详细信息

根据Kromtech Security发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源:Freebuf,封面源自网络;

人民日报海外版:保护个人信息还需加把劲

骚扰信息是老生常谈的话题了。近些年来,推销电话、垃圾短信、广告邮件等骚扰信息干扰了很多人的日常生活,让公众不堪其扰。记者在对周围数十位朋友进行随机采访后发现,几乎所有人都被骚扰电话或短信“问候”过。刚一报名考试就收到各类培训机构的推销短信,刚一交付新房就接到若干装修公司的骚扰电话……个人信息被泄露似乎已是见怪不怪,无可奈何。为何一直在跟进的相关治理措施效果不明显?如何才能阻止个人信息“被卖”,让人们享受安宁清心的正常生活? 个人信息成了“唐僧肉” “偷偷往你账户塞了30元红包,今天中午吃点好的。回T退订。” “七周年特惠,品牌上新,半价秒杀,最后四小时,点击开抢!” “恭喜您获得50000元现金贷额度,无需上门,最快2小时放款。” 骚扰电话和推销短信随时随处可见,已经成为社会的一大公害。《2017年中国手机安全状况报告》显示,近5年来,垃圾短信数量尽管有所下降,但总量仍然惊人。“网络时代,到底去哪里才能安放我的信息?”网友的感慨,实际上是信息时代的普遍焦虑。 “骚扰电话和短信是一种不可预期的烦扰,严重侵害公众的安宁权。并且,个人信息的泄露为不法分子准确、定向犯罪提供了可能,提高了犯罪的针对性,对社会公共生活和安全的威胁明显增加。”武汉大学法学院教授孙晋说。 此前,中国互联网协会曾发布《中国网民权益保护调查报告(2016)》,报告显示54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重,84%的网民亲身感受到了由于个人信息泄露带来的不良影响。《报告》还称,仅从2015年下半年到2016年上半年,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的总体经济损失就高达915亿元。 个人信息成了“唐僧肉”,谁都想吃一口。“大数据时代,很多人通过钻‘大数据’和‘个人信息’界定模糊的空子,用大数据做幌子,散播或者倒买倒卖个人数据。”中国政法大学传播法中心研究员朱巍表示,目前贩卖个人信息、“精准推销”或“精准诈骗”,已形成一条地下灰色链条。 惩治贱卖信息的“黑手” 其实,骚扰信息的相关治理一直在跟进。5月1日,《信息安全技术个人信息安全规范》正式实施。更早以前,2017年6月1日,网络安全法正式施行。但由于信息泄露渠道多、窃取行为成本低、违法追查难度大,很多人在巨大的利益诱惑面前铤而走险。有专家指出,最关键的是要治理信息泄露的源头。 由于信息保护需要增加成本,一些平台和商家并不愿意花太多心思。一方面,面对系统漏洞熟视无睹,给企业“内鬼”可乘之机,形成灰色产业链。另一方面,部分平台和商家隐私条款极度不透明,“绑架”了用户的选择权。去年,有媒体发布1000家常用网站和APP隐私政策透明度报告。结果显示,没有1家能够达到透明度高的标准,而透明度较低和透明度低的平台个数加起来多达806个,超过总数的80%。 “个人信息保护的核心在于平台提供者,他们不但是搜集个人信息的主体,还负责信息流通的渠道,可通过广告联盟、用户画像等方式发送精准广告。”朱巍认为,平台提供者需认真落实网络安全法的要求。 天网恢恢。今年5月底,深圳开展第六次打击整治骚扰信息违法犯罪行动,查处缴获涉骚扰信息违法犯罪窝点24个、非法公民个人信息139万余条。北京5月份也开展打击网络侵犯公民个人信息犯罪,刑拘138人。江苏常州去年挖出一条巨大个人信息黑市交易链,抓获48名内鬼和82名中介商。惩治“黑手”力度越来越大。 守住尊重知情权的“底线” 北京师范大学法学院互联网政策与法律研究中心主任薛虹介绍,网络安全法对个人信息安全保护制定了明确规定,个人信息保护法也加快了立法进程。“全国人大常委会二次审议的电子商务法草案中,关于个人信息安全的内容在各个章节都有具体规定,还有一些制度创新和要求,比如个人信息泄露发生时,平台或商家要履行告知受害者的义务等。” 不堪其扰下,公众的个人信息保护意识和维权意识正在迅速增强。根据企鹅智酷发布的《2018年中国网民受骗与维权调查报告》,七成受访者希望进一步揭露违法收集个人信息的黑心企业。一旦遭遇信息诈骗,选择投诉曝光的受访者比例从去年的58.7%提升到83.1%。那些在个人信息保护上不思进取、企图继续钻空子的企业,迟早会被市场淘汰。 有学者指出,个人信息的隐私权是“尊重、友谊、爱、信任和个人自由的根本”,同时也是“在互联网和现实两个社会里维持文明与尊严的基本方式”。企业收集和使用个人信息,必须征得消费者同意,尊重消费者知情权,这个基本底线不能突破。那些不注重用户个人信息保护的企业,都会遭遇信任危机。从去年底支付宝年度账单授权漏洞事件,到今年海外社交网站脸书5000万用户数据泄露事件,都说明了这一点。   稿源:人民日报海外版,封面源自网络;

加利福尼亚州参议院投票通过法案 以恢复网络中立性原则

据外媒The Verge报道,加利福尼亚州参议院周三投票通过一项法案,该法案将恢复美国联邦通信委员会(FCC)去年12月废除的网络中立原则。这项名为SB 822的法案由参议员Scott Wiener在3月份撰写,并获得了三个委员会的通过。加州参议院以23-12的票数通过新法案。 Wiener在上个月的一份声明中表示:“在奥巴马总统的领导下,我们的国家在朝着正确的方向发展,确保一个开放的互联网,但特朗普领导下的FCC通过废除网络中立性使美国人民失去支持和帮助。” 在FCC采取行动废除网络中立规则后,美国各州开始实施自己的措施。超过20名律师在该命令发布前就起诉了该委员会。一些州长试图使用行政命令,而其他州则与立法者一起工作。加利福尼亚州恢复州内保护的法案是对FCC的最严厉回应之一。 该法案将恢复类似于FCC 2015年通过的《开放互联网法令》(Open Internet Order)中的规则。该法令禁止互联网服务提供商限制或阻止在线内容,并要求他们平等对待所有互联网流量。但该法令还通过特别禁止提供商参与某些类型的“免流量服务(zero-rating)”,其中某些有利内容不会影响每月数据上限。 电子前沿基金会周二发表声明称该法案“是各州希望保护网络中立性的黄金标准”。 前美国联邦通信委员会主席Tom Wheeler3月曾写信给加州各委员会表示支持该法案。 Wheeler指出:“这些保护对我们的经济和民主至关重要。SB 822通过全面恢复2015年网络中立性原则中的保护措施来保护加利福尼亚州及其经济。”   稿源:cnBeta,封面源自网络;

Git 曝任意代码执行漏洞,所有使用者都受影响

Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。 Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。 此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时,Git 最初会将父仓库放到工作目录中,然后准备复制子模块。 但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。 但是,并非所有文件都可以被复制。 当客户端复制代码库时,无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外,在 Git 工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行 Post-checkout 钩子。 不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。 CVE 2018-11235 的漏洞正是犯了这个错误,所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。 将写入工作目录,然后 Git 读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。 为了解决这个问题,Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于 .git 中,而不能位于工作目录中。 Edward ThomsonMay 提到,Git,VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布,微软希望开发人员尽快更新。   稿源:开源中国,封面源自网络;