内容转载

= ̄ω ̄= 内容转载

美国外卖服务 DoorDash 数据泄露:影响 490 万人

北京时间9月27日早间消息,美国外卖服务DoorDash周四宣布,一项安全漏洞暴露了该公司大约490万客户、商家和送货员的个人数据。 这家总部位于旧金山的公司在一份声明中说,此次泄露的信息可能包括大约10万名送货工人的驾驶执照号码,其他数据可能包括“姓名、电子邮件地址、交货地址、订单历史记录、电话号码”等。 该公司还在声明说,一些消费者支付卡的最后四位数字也可能被暴露出来,但其中没有包含足够的数据来进行欺诈性收费。送货员和商家的银行帐号最后四位数可能已被他人访问。但该公司表示,该信息不足以进行欺诈性提款。 DoorDash表示已采取其他措施来保护存储在其系统中的数据。该公司称,此次泄露的数据仅限于在2018年4月5日或之前加入公司平台的客户、商家和送货员。 DoorDash表示,他们本月初已意识到该漏洞,并于5月4日确定“未经授权的第三方访问了DoorDash的某些用户数据”。 DoorDash的一位发言人表示,该数据泄露行为涉及第三方服务提供商,目前正在进行调查。   (稿源:cnBeta,封面源自网络。)

微软发布 ElectionGuard 开源软件 保护美国大选系统免受攻击

本周二微软在GitHub上发布了名为“ElectionGuard”的开源软件,并表示该软件已经融入到美国的票选系统中,从而避免这次美国总统大选免受黑客的攻击。早在今年7月份,微软就已经公开演示了ElectionGuard软件,旨在保护电子投票系统免受黑客攻击。 图片来自于 微软 微软表示随着对网络攻击的担忧不断升级,该软件使电子投票系统更加安全。在过去1年中,微软已经向超过10,000名已经被外国列为攻击目标的用户发出警告,避免他们受到伤害。微软在7月份表示,这些网络攻击主要目的是获取信息以及干扰选民,主要来自于伊朗、朝鲜和俄罗斯。 ElectionGuard允许人们直接在屏幕上投票,获取跟踪代码以确认他们的投票已被计数且未被更改,然后获得实际的打印确认。微软周二表示:“ ElectroGuard可以通过设计获得,它将使投票在美国或世界各地的民主国家中使用的任何地方都更加安全,可验证和高效。”   (稿源:cnBeta,封面源自网络。)

特朗普曾要求乌克兰调查 CrowdStrike 网络安全公司

针对 2016 年闹得沸沸扬扬的“黑客入侵美国民主党全国委员会(DNC)邮件服务器”一事,网络安全公司 CrowdStrike 曾对此展开调查,并给出了“俄方有人在 2016 年入侵 DNC”的结论。不过根据周三发布的白宫备忘录,特朗普曾与乌克兰新任领导人迪米尔·泽伦斯基通过电话,称希望对这家位于加州桑尼维尔的安全企业展开调查,且提到了某台服务器。 (题图 via Cnet) 目前尚不清楚特朗普提到的是什么服务器,但记录显示,他是这么说的: 即便如此,我希望你能帮我们一个忙,因为这里已经历了许多事情,乌克兰方面对此了解很多。 我希望你找出与乌克兰的整个局势之间的联系,比如他们说的 CroWDStrike … 我猜你知道有一位富翁 … 他们说乌克兰掌管着这台服务器。 此前,CrowdStrike 调查称俄罗斯是在 2016 年向 DNC 发动网络攻击的幕后黑手。 该结论得到了穆勒报告和情报界的支持,但特朗普仍质疑 DNC 被黑的那台服务器到底在哪里。 同时有报道称,特朗普希望对潜在的总统竞选人乔·拜登之子展开调查,民主党议员批评这涉及总统权力的滥用。 外媒指出,早在 2017 年接受美联社的某次采访时,特朗普就表示相信 CrowdStrike 是一家总部位于乌克兰的企业,掌管它的是一名非常富有的乌克兰人。 然而公开信息表明,该网络安全公司的联合创始人兼首席技术官 Dmitri Alperovitch 是一位出生于俄罗斯的美国公民。 对此,CrowdStrike 重申,其已向执法部门提交了其对于 DNC 黑客调查中收集到的所有证据。   (稿源:cnBeta,封面源自网络。)

IE 浏览器存在远程代码执行漏洞,攻击者可借此控制系统

周一,微软向用户警告广受欢迎的 Internet Explorer 存在一个高危的漏洞,攻击者利用此漏洞可以接管你的计算机,进而在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 根据微软发布的安全公告,引发此漏洞的根本原因是脚本引擎(Scripting Engine)在内存中处理对象的方式。具体来说就是,Internet Explorer 中的脚本引擎在内存中处理对象时存在一个远程代码执行漏洞,该漏洞以这种方式来破坏内存,然后攻击者可以在当前用户的上下文中执行任意代码。 成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限,如果当前用户使用管理员用户权限登录,则攻击者可以控制受影响的系统。然后攻击者会在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 在基于 Web 的攻击场景中,攻击者可能拥有一个旨在通过 Internet Explorer 利用此漏洞的特制网站,然后诱使用户查看该网站(例如,通过发送钓鱼电子邮件)。 虽然微软已发布安全更新,并通过修改脚本引擎处理内存中对象的方式来解决此漏洞。但微软再次提醒用户放弃这款已被淘汰的浏览器。今年 2 月,微软的安全研究人员就已敦促用户停止使用 IE 作为默认浏览器。后来在四月份的时候,我们得知,即使仅在计算机上安装 Internet Explorer 甚至不使用它都存在安全风险。     (稿源:开源中国,封面源自网络。)

研究发现与俄罗斯情报部门有关的黑客之间很少共享代码

两家安全公司Check Point和Intezer Labs共同撰写了一份报告。这份报告显示,俄罗斯政府资助的黑客组织很少彼此共享代码,他们如果共享代码,这些代码通常是由同一情报机构管理的组织内部代码。 两家公司研究了将近2千个恶意软件样本,这些样本均来自于俄罗斯政府资助的黑客组织。研究人员对这些恶意软件样本之间的关系调查发现,恶意软件之间共享了22000个连接和385万条代码。这项庞大研究工作做出的结论是,人们发现俄罗斯APT(高级持续威胁,用于描述政府支持的黑客组织的术语)之间通常不会彼此共享代码。 此外,在极少数情况下,代码重用通常发生在同一情报服务内部,这表明负责对外国进行网络间谍活动的俄罗斯三个主要机构,它们通常不会进行协作。该报告证实了以前对俄罗斯网络间谍运作进行的新闻调查,也证实了其他外国情报部门在这方面的发现。之前大部分报告发现,俄罗斯所有网络间谍活动,主要由三个俄罗斯FSB(联邦安全局),SVR(外国情报局)和GRU(俄罗斯军事情报总局)负责进行,并且彼此之间没有合作或协调。 俄罗斯政府促进了三个机构之间彼此竞争,这三个机构彼此独立运作,并争夺政府拨款资金。这就导致黑客小组彼此独立开发工具,而不是与同行共享工具。     (稿源:cnBeta,封面源自网络。)

航旅纵横新功能泄露用户隐私 回应:完全不符合事实

新浪科技讯 北京时间9月24日下午消息,针对航旅纵横App的社交新功能泄露用户隐私的新闻报道,航旅纵横在微博发布声明称近期个别媒体针对航旅纵横发表了泄露用户隐私等完全不符合事实的报道,对其产生了严重的负面影响,对不实报道将保留法律追诉权。 据报道,有网友反映,在航旅纵横上选座之后,陌生人可以看到自己的名字和头像(并且已经受到骚扰),自己也可以查询到陌生人的名字和头像,以此质疑航旅纵横泄露客户的隐私。 对于质疑,航旅纵横回应称出行互动功能是航旅纵横在2018年6月上线的一个探索性功能,至今未做更新迭代。该功能默认关闭,虚拟身份与真实身份也是完全隔离的。 在此次的微博声明中,航旅纵横表示一直高度重视信息安全工作,通过多种技术手段以严格保护用户信息安全,并通过了相关主管部门的审核认定。 以下是航旅纵横完整声明内容: 关于个别媒体不实报道的声明 一直以来我司都欢迎社会各界提出意见和建议,对我们的工作进行监督与指导,但近期个别媒体针对航旅纵横发表了泄露用户隐私等完全不符合事实的报道,对我司产生了严重的负面影响,严重损害了我司合法权益,我们深感遗憾,对不实报道我们将保留法律追诉权。我们特郑重澄清和声明如下: 一、出行互动功能是航旅纵横在2018年6月上线的一个探索性功能,至今未做更新迭代。该功能上线前,我们把用户隐私保护作为核心要点 进行了深入研讨,力求在用户隐私保护万无一失的基础上开展业务探索。通过建立虚拟身份开通提示确保用户在知情的情况下开启互动功能,通过用户自行设置虚拟身份信息确保用户隐私数据的绝对安全,通过建立完备的虚拟身份信息修改注销功能保证用户意愿得到充分尊重。用户间仅可以查看到虚拟信息,不存在个人隐私数据泄露问题。 二、该功能是默认关闭的,上线初始时所有用户的虚拟个人主页均默认为关闭状态。用户上线后点击该功能开通虚拟身份前,会弹窗增强式 告知明确提示虚拟身份用于与他人互动。只有用户同意建立后才会开启,用户不建立虚拟身份也不会影响任何其他功能的使用,截至目前仍 有很多用户根据个人需求未开启此项功能。 三、虚拟身份与真实身份是完全隔离的。虚拟身份不仅是由用户根据 自己的意愿自主选择是否开启,且所有包含的内容都需要用户逐项手动 添加或选择。用户也可以随时对填写的内容进行修改,用户对于功能的开启、使用及关闭都有充分的自主权。用户开通虚拟身份后,仅通过用户自主填写的内容他人才可见,而用户的个人真实信息他人是无法看到的,不存在任何用户个人隐私泄露的问题。 四、虚拟身份只需用户在底部菜单栏点击“我”进入账户信息页,在账户信息的授权管理中即可注销。航旅纵横致力于帮助用户建立一条获取 权威信息的智能通道,每一个真实用户只能注册一次,为保护用户权益,在注册过程中需进行严格的身份认证。如用户不再使用航旅纵横,希望注销航旅纵横主账号时,同样需要核实用户真实身份,以避免他人盗用,保护账号使用者的权益。 航旅纵横一直高度重视信息安全工作,通过多种技术手段以严格保护用户信息安全,并通过了相关主管部门的审核认定。航旅纵横始终致力于探索利用创新技术提升民航业整体服务水平,得到了行业和广大用户的高度认可,并被上级部门评价为改革开放40年国有企业在互联网领域 取得的重大突破。未来我们也将继续坚持以用户为核心,为广大用户提供更加高效、便捷的服务,为民航行业注入更多的科技元素。 感谢大家一直以来的支持! 中航信移动科技有限公司 2019年9月24日 航旅纵横     (稿源:新浪科技,封面源自网络。)

黑客创建虚假退伍军人招聘网站 用恶意软件感染受害者的电脑

据外媒CNET报道,思科Talos团队周二表示,一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站,并通过恶意软件感染受害者的电脑。Talos团队在博客文章中称,该网站名为hiringmilitaryheroes.com,要求用户下载一个伪造的安装应用程序,该应用程序部署了恶意软件和恶意间谍工具。 攻击者检索到的系统信息包括硬件、固件版本、补丁程序级别、处理器数量、网络配置、域控制器,屏幕大小和管理员名称。思科Talos团队称:“这是与机器有关的大量信息,使攻击者为进行其他攻击做好了充分的准备。”该团队认为,这有可能影响很多人。 “美国人很快就回馈和支持退伍军人……这个网站极有可能在社交媒体上获得关注,用户可以在社交媒体上分享链接,以期支持退伍军人。” 思科和赛门铁克表示,该黑客组织被称为Tortoiseshell,其最近攻击了沙特的IT供应商。 思科没有立即回应有关该网站是否仍在正常运行以及是否有人受到影响的置评请求。   (稿源:cnBeta,封面源自网络。)

谷歌赢得具有里程碑意义的诉讼 不必在全球范围内执行“被遗忘权”

据英国广播公司(BBC)报道,欧洲最高法院已裁定谷歌不必在全球范围内执行“被遗忘权”。这意味着该公司仅在收到适当的请求后才需要从其在欧洲的搜索结果中删除链接,而无需在其他地方删除该链接。 该裁决源于谷歌与法国数据保护监管机构“法国国家信息与自由委员会(CNIL)”之间的纠纷。 2015年,CNIL命令该公司在全球范围内删除该搜索引擎平台上的链接,如果这些链接指向包含破坏性或虚假信息。2016年,谷歌推出了“地理封锁”功能,该功能可阻止欧洲用户看到遭限制的链接。 但是谷歌拒绝在全球范围内执行“被遗忘权”,该公司对CNIL试图施加的10万欧元罚款提出质疑。 “目前,根据欧盟法律,对于允许数据主体取消引用的搜索引擎运营商没有义务……对其所有版本的搜索引擎进行这种取消引用,”欧洲法院在裁决中说道。 谷歌曾辩称,如果这项裁决要在欧洲以外实施,则专制政府可能会掩盖这项侵犯人权的行为。该公司在欧洲法院裁决后发表声明说:“自2014年以来,我们一直努力在欧洲执行被遗忘权,并在人们的信息获取权与隐私权之间取得合理的平衡。很高兴看到法院同意我们的论点。” 该技术公司得到了微软、维基媒体基金会,非营利的新闻自由记者委员会以及英国言论自由运动组织 Article 19等组织的支持。 欧洲法院顾问Maciej Szpunar还得出结论,在今年早些时候向法院提出的不具约束力的建议中,被遗忘权仅限于欧洲。 自2014年5月欧洲法院首次确定欧洲公民在某些情况下可以迫使搜索公司从使用其姓名的查询中删除包含有关他们的敏感信息的网页时,谷歌便开始执行被遗忘权。 谷歌表示,自那时以来,该已经收到了超过84.5万个请求,总共删除了330万个网址,其中大约45%的链接最终被删除。这包括从其欧洲网站(例如Google.fr,Google.co.uk和Google.de)中删除结果,以及在其检测到正在搜索的情况下,从其其他网站(例如Google.com)中限制结果。但是,这意味着,如果用户使用虚拟专用网络(VPN)或其他工具掩盖其位置,则仍然可以绕开该操作。     (稿源:cnBeta,封面源自网络。) 相关阅读:谷歌再次面临欧盟隐私裁决 或将在全球范围删除链接

谷歌再次面临欧盟隐私裁决 或将在全球范围删除链接

北京时间9月23日下午消息,据彭博社报道,五年前,一项“被遗忘权”裁决强制谷歌应要求删除个人信息。五年之后,谷歌将再次面临欧盟最高法院即将作出的另一项重大隐私权决定。 欧盟法院将在周二对这家美国巨头与法国数据保护监管机构CNIL的后续纠纷作出裁决,裁定该“被遗忘权”是否应该在全球范围内适用,以及界定隐私与言论自由之间的边界。 法国当局要求谷歌根据要求,在全球范围内删除该搜索引擎平台上的链接,如果这些链接指向包含过时或虚假信息并有可能不公平地损害个人声誉的网站。法官或许还将阐明哪些链接可以在线保留,以维护公共利益。对于法国当局的要求,谷歌正尽全力反抗。 从谷歌的角度而言,互联网的命运危在旦夕。2014年的裁决已经迫使谷歌在欧洲呈现与世界其他地区不同的搜索结果。法国的CNIL则表示,谷歌应该在全球范围内清楚这些搜索结果。而谷歌在此案中的支持者(包括新闻自由团体)提醒道,这样的要求恐怕会给专制政权行便利,允许他们通过决定哪些内容可以公开而达到审查整个互联网的目的。 伦敦林克莱特斯律师事务所的律师理查德·坎伯利(Richard Cumbley)认为:“这个案子突显了国家法律与互联网之间的持续冲突。”全球范围内的遗忘权若裁决通过,“将与美国的言论自由概念产生严重冲突,而其他国家可能也会试图并在全球范围内控制搜索结果,减少谷歌搜索引擎恐带来的潜在麻烦。” 欧盟法院的裁决很难预测。法院的最初决定否决了谷歌提出的辩护,即该搜索引擎只是一个提供信息的中立渠道,这样的结果令谷歌颇感震惊。裁决实际上也将判断权留给了谷歌,让谷歌来决定某个被要求删除的链接是否包含某些“不再相关的”内容。 自2014之后,谷歌已经被迫评估了近85万条单独的链接删除请求,涉及的网站多达330万个。谷歌的工作人员实则承担起半监管的角色,以在哪些信息应该公开和哪些应该删除之间努力取得平衡。 现在,法院必须阐明谷歌应删除链接的范围。谷歌是否应该在单个国家或整个欧洲删除链接?是否必须从本地网站如法国的谷歌(google.fr)搜索结果中删除链接,还是必须从全球域名(google.com)的搜索结果中删除链接?——以及,这些内容若可以从法国、欧洲或其他地方访问,谷歌又该怎么做? 自2016年以来,公司已经采用所谓的“地理封锁”功能来过滤呈现给欧洲用户的所有谷歌网站上的搜索结果,这样欧洲的用户就不会看到他们国家某个人希望限制的信息。 欧盟法院还必须考虑,谷歌是否可以拒绝删除某些符合公共利益的信息。欧盟法院将就删除与公职人员的个人关系有关的链接和一篇提及山达基教会公关经理姓名的文章链接而产生的争议,向法国法院提供建议。 伦敦和巴黎的法官对抑制有损个人声誉的信息的努力表示支持。去年,伦敦一法院通知谷歌删除关于商人刑事定罪的新闻报道,以符合制造帮助人们放下过去犯罪行为的英国法律。巴黎法官也曾要求谷歌减少有关某一位前首席财务官因内幕交易行为而被罚款的报道的曝光度。 谷歌和法国隐私监管机构CNIL均尚未立即回复评论请求。 谷歌作为欧洲的一个领先搜索引擎,其重要性已经引起欧盟重视,并宣称谷歌主导了欧洲市场。同时,谷歌也对欧盟法院提出的数十亿欧元的反垄断罚款提出抗辩。   (稿源:新浪科技,封面源自网络。)

iOS 13 现严重漏洞:添加信用卡后显示陌生人信息

据外媒报道,就在几天前刚刚发布的iOS 13尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统,但Reddit上的一些用户还发现了一个重要的安全漏洞。据用户Thanamite和createdbyeric披露,当用户将信用卡添加到他们的账户时,这个问题就会出现。 当添加信用卡信息后,用户会发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的。信息包括姓名、账单地址以及信用卡号码的最后四位数字,这让他们面临着严重的风险。 在发现这一漏洞后,用户createdbyeric联系了苹果,苹果迅速将问题升级到更高级别并承认问题的严重性。对于用户来说,打击当然希望这意味着修复将很快就会到来,而且很可能会在明天发布的iOS 13.1中到来。 实际上,iOS 13.1的发布提前了一周,似乎是为了解决iOS 13最初发布时的漏洞报告。相信这个新问题的出现应该会给苹果更多的理由尽快推出一个解决方案。   (稿源:cnBeta,封面源自网络。)