分类: 国际动态

美国财政部警告 COVID-19 疫苗研究组织遭攻击

美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

芬兰国会议员的电子邮件帐户遭黑客攻击

芬兰国会议员表示:“芬兰议会技术监控部门发现,芬兰议会在2020年秋天遭受了网络攻击,此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻,与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警(KRP)正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法,这次攻击互活动很可能是民族主义者开展的,目前未对议会的基础设施造成损害。“此次攻击活动影响广泛,但不幸的是,我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示,此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动,” 她补充说,“为了加强网络安全,我们需要采取相关国家措施,配合欧盟和其他国际合作中的积极行动。”         消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

物理安全密钥保障了美国大选电子邮件的安全

今年美国总统大选已经尘埃落定,并没有重蹈 2016 年那样严重的网络攻击。尤其是本次选举期间并没有出现电子邮件泄漏事件,而这可能归功于小小的 USB 安全密钥。而本次选举也极大地推动了安全市场的发展,例如 CrowdStrike 和 Zscaler 的股票今年升值了 200% 以上。 在过去四年里,有一件小事或者说一个习惯正逐渐养成。那就是政治家、竞选工作者、以及他们的家人和好友都开始使用 USB 硬件密钥来登录电子邮件账户和其他在线服务。而且谷歌为销售这些硬件提供了非常便捷的平台,可供用户挑选的产品也非常丰富,包括来自 GoTrust, TrustKey 和 Yubico 厂商的产品。 在 12 月 9 日发布的博文中,谷歌表示正和非营利机构 Defending Digital Campaigns 合作,发放了超过 10500 个包含 USB 物理安全密钥的工具包。联邦选举委员会授权该非营利组织以免费或优惠价格向竞选活动发放网络安全产品,这意味着竞选活动如果想提高安全性,就不用担心资金问题。微软也与该非营利组织合作。 一位知情人士告诉 CNBC,乔·拜登在竞选活动中要求团队成员部署安全密钥,不过目前并未得到回应。 曾在美国国家标准与技术研究所从事网络安全工作,现在是 Venable 律师事务所的董事总经理杰里米·格兰特(Jeremy Grant)表示:“由于这些小东西起效了,因此没有再发生类似于 Podesta 这样的事件。并不是说没有人试图对这些账户进行钓鱼,但他们知道这一切都会发生,而且有工具可以阻止它们。” 2016年,一个被认为与俄罗斯有关的黑客组织攻击了希拉里·克林顿(Hillary Clinton)总统竞选活动主席约翰·波德斯塔(John Podesta )的个人谷歌 Gmail 账户,邮件信息在维基解密上被翻出来。民主党全国委员会也遭到了攻击。       (消息及封面来源:cnBeta)

欧洲刑警组织联合多国执法部门关闭 Safe-Inet 服务器 被黑客用于隐匿身份

本周二,欧洲刑警组织(Europol)宣布联合多国执法机构开展了 Operation Nova 活动,关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器,从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务,主要用于隐藏身份。 据欧洲刑警组织称,这项服务可以隐藏客户的 IP 地址,并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年,它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码,以及其他攻击,如网络钓鱼活动和账户接管。         (消息及封面来源:cnBeta)

特朗普淡化美近期遭遇的网络攻击影响:被指跟俄有关

据外媒报道,当地时间周六,特朗普总统在Twitter上回应了针对美国政府部门、机构和私营公司的大规模网络攻击,其称“假新闻媒体(Fake News Media)”夸大了这一网络攻击的程度。此前,特朗普一直对此次攻击保持沉默。 网络安全专家、网络官员和政策制定者一致认为,此次黑客攻击是俄罗斯网络运营商Cozy Bear的一个部门所为,据信该部门得到了俄罗斯总统普京的情报部门的支持。 人们普遍担心,它们仍存在于美国政府和企业的计算机系统中而没有被发现。 据悉,这可能是美国历史上影响最大的黑客攻击事件,它已经促使两党议员呼吁做出坚决回应。 然而特朗普拒绝承认其自己的情报和国家安全专家的这一说法。“假新闻媒体的网络攻击远比实际情况严重。我得到了全面通报,一切都在良好的控制之下。” 在国家安全这个紧急问题上,特朗普和他的国务卿之间的分歧正在不断扩大。蓬佩奥在未来几天将要面临一个选择–继续讲述黑客攻击的真相并开始承认选举的现实。 在特朗普的国家安全官员在收集有关乌兰过攻击证据的同时,其却花费越来越多的时间来跟包括律师Sidney Powell在内的盟友讨论阴谋论。这位现总统的推文就是他广泛捍卫俄罗斯的一种延续。 特朗普在执政期间一直为俄罗斯辩护,包括其干预美国2016年大选以及其付钱给塔利班杀害驻阿富汗美军等。 另外,他还在继续传播虚假的选举声明,即在没有证据的情况下暗示黑客影响了2020年总统大选的结果。 美国网络安全和基础设施安全局表示,此次黑客袭击对联邦政府、州、地方、部落和领土政府以及关键基础设施实体和其他私营部门组织都构成了严重风险。 当选总统拜登则于当地时间周四表示,此次黑客袭击令人高度关注,另外他还承诺要让那些应对此次袭击负责的人付出“巨大代价”。 微软总裁布拉德·史密斯也对此发表了意见,他认为就相当于对美国及其政府和包括安全公司在内的其他关键机构发起了网络攻击。 据悉,黑客攻击的对象了包括了美国防部、国务院、国土安全部、财政部、商务部、能源部、国家核安全局、美国家卫生研究院及多家跨国公司。         (消息及封面来源:cnBeta)

针对越南政府组织 VGCA 的软件供应链攻击

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击,该攻击破坏了机构的数字签名工具包,并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击,其中涉及修改CA网站(“ ca.gov.vn”)上托管的软件安装程序,插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测,该网络攻击活动发生在2020年7月23日至8月16日,涉及的两个安装程序:“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”(适用于32位和64位Windows系统),已被篡改并安装后门。 在将攻击报告给VGCA之后,该机构确认“他们早已知道此类网络攻击,并通知了下载该木马软件的用户。” ESET的Matthieu Faou说:“对于APT黑客组织来说,认证机构网站的妥协是一个很好的机会,因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分,政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌(也称为PKI令牌)对文档进行数字签名,通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞,伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序(最近一次编译于4月26日进行)负责收集系统信息,并通过从硬编码的命令和控制服务器(例如“ vgca.homeunix [.] org”和“ office365.blogdns”)检索的插件来部署其他恶意功能。 [.] com”),模仿相关软件的名称。 ESET表示,除越南外,菲律宾也存在受害者,但黑客的交付机制和最终目标仍然未知,对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介,因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动,该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具(RAT)。 在上周,一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用,提供HyperBro后门程序:Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构,包括国土安全部、商务部、财政部和州政府。 Faou总结说:“恶意代码通常隐藏在许多正常代码中,因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源:The Hacker News ;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

人脸识别 60 年:欧盟通用数据保护条例真的算“史上最严”吗

2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,认为其服务条款不够透明,违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单,认为使用人脸识别记录出勤违背了“必要性原则”。 据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”,也影响了其后多国的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第四章。为便于理解,我们对原文进行了必要的补充和修改。 2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时,欧盟建立了一个大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于控制人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。 面对上述风险,法律层面的监管一度“缺位”,无论是一般意义上的数据保护法,还是大多数国家的立法,都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时,法律相对滞后。 为弥补其间差距,一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的可能性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采用生物识别技术)。然而,这些法案在实际操作时留下了诸多不确定空间。 2016年,欧盟推出了《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),专门针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构依据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。 欧盟如何监管生物识别数据? GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。” 值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户发布在网站、社交媒体上的原始信息。 此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它经过特殊技术处理,可以识别出个人。 虽然GDPR规定,禁止“以唯一识别为目的进行生物特征数据处理”,但这项禁令仍存在许多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外情况”大量存在,模糊不清,实际上,GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架,GDPR也提及,各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制,只有在以下三种情况下执法机关可以使用生物识别数据:获得了法律授权、保护关键利益,或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据保护影响评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门咨询,获得许可。 英国信息委员会办公室(Information Commission Office)列出的“数据保护影响评估”的基本步骤,其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网 此外,生物识别数据的处理和技术应用需尊重公民的基本人权和自由,当隐私权或个人数据保护权受到侵害时,与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训,讨论了它们的有效性,并重点介绍了未来监管应吸取的经验。 模糊的定义:原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中,生物识别数据被定义为“经过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户同意、满足必要性等原则之外,相较于其他一般意义上的个人数据,生物识别数据并不享有更高级别的保护。 正因如此,生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被保护。这一点尤为关键,特别在执法部门使用时,透明度受限,数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型图像数据库,这些数据以后可能用于执法目的。 2020年,Clearview AI公司引发了巨大争议,通过一张人脸信息就可以识别出其身份和电子足迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。 这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自己。)欧洲人权法院将人脸识别和面部特征比对等技术考虑在内,最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护,这些数据可用于身份识别目的,或可供自动化识别过程, 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义:所有满足以下条件的个人数据:(a)直接或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可通过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分,也未能对不同的数据处理方式设置针对性规范。例如,虽然GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如通过电子门禁时,确认进入者身份)和“一对多”的“识别”。 目前,欧洲委员会和许多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。 一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开发者的顾虑,对于希望投资生物识别验证技术和隐私增强方法的公司来说,这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”? 最后,法律中含糊的“例外情况”也存在漏洞,为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”进行生物识别数据处理(编者注:由于未对“重大公共利益”进行具体界定,它会成为一个宽泛的“筐”)。 由于对“例外”情况的界定笼统宽泛,目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些问题的,还需要制定更针对性的法律。         (消息来源:cnBeta;封面来自网络)

欧洲药品管理局遭遇黑客攻击 COVID-19 疫苗认证相关文件或已泄露

外媒报道称,欧洲药品管理局(EMA)刚刚经历了一次网络攻击事件,黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称,攻击者“非法获取”了该公司及其合作伙伴(辉瑞)提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局(EMA)在官方声明中证实了本次攻击,目前相关调查仍在进行中,因此不方便披露更多细节。庆幸的是,EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道,该公司的服务器并未受到本次攻击事件的影响,目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份,但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时,英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗,预计可在 12 月底覆盖 400 万人。           (消息及封面来源:cnBeta)

芬兰出台电信安全法:不针对某一公司或国家

据路透社报道,芬兰议会周一通过一项法律,允许有关部门在“有严重理由怀疑使用电信网络设备会危及国家安全或国防安全”时,禁止使用该设备。这个北欧国家与其邻国瑞典不同,没有根据原产国禁止任何设备供应商,也没有点名提及中国的华为或中兴。芬兰是主要设备供应商之一的诺基亚的总部所在地。 继10月份瑞典电信监管机构出人意料地决定禁止参与5G频谱拍卖的运营商使用中国公司的设备后,该国的5G频谱拍卖因法院案件陷入僵局。 芬兰新法律规定,该规定仅适用于具有网络流量的网络通道的关键部分。 今年1月,欧盟(EC)面向其27个成员国发布了一份建议“工具箱”,称它们可以“限制或排除”华为等所谓的高风险5G供应商进入其电信网络的核心部分。 “遗憾的是,国际网络安全辩论只集中在中国厂商身上,而我们知道,所有厂商的设备都可能存在漏洞,”华为的一名发言人说,“然而,芬兰法律采取了更为现实的方法,将重点放在设备而非供应商上。” 芬兰法律的规定可以追溯适用,这意味着涉及在新规定生效之前已在使用的网络设备。 虽然诺基亚和爱立信是芬兰的主要设备供应商,但运营商Elisa和DNA Oyj也部分使用了华为提供的设备,开始在该国推出5G网络。 法律规定,如果任何设备被责令搬迁,政府将支付赔偿。       (消息及封面来源:cnBeta)

接到法院裁决后 德国安全邮件运营商 Tutanota 被迫开始监控一个账户

德国e2e加密电子邮件提供商Tutanota被一家地区法院命令开发一种功能,使其能够监控个人账户。这家加密电子邮件服务提供商一直在其本国与一些此类命令作斗争。德国媒体上月末报道的这一裁决与汉诺威法院早些时候的裁决相矛盾,该法院认为Tutanota是一家基于网络的电子邮件提供商,但不是电信服务。 科隆法院的这一命令是根据德国的一项法律(称为 “TKG”)做出的,该法律要求电信服务提供商在收到合法的拦截请求时,必须向执法/情报机构披露数据。科隆法院的裁决也与欧洲最高法院CJEU在2019年的一项裁决相悖,该裁决认为另一个基于网络的电子邮件服务Gmail不是欧盟法律中定义的 “电子通信服务”–这意味着它不能受制于电信公司的欧盟共同规则。 Tutanota的联合创始人Matthias Pfau将科隆的裁决描述为 “荒谬”–并证实其正在上诉。原告方认为Tutanota虽然不是电信服务的提供商,但实质上参与提供了电信服务,因此仍然必须实现电信和流量数据收集。但法院既没有说明他们参与的是什么电信服务,也没有说出电信服务的实际提供商。”电信服务不可能是电子邮件,因为我们完全是自己提供的。而如果我们要参与,就必须与实际提供商有业务关系。” 尽管地区法院将电子邮件提供商视为ISP的做法很荒唐–这显然与CJEU早先的指导意见相矛盾,但Tutanota还是被要求遵守该命令,并为特定的收件箱开发监控功能。Tutanota的一位发言人证实,公司已经告诉法院,他们将在今年年底前开发该功能–而她表示,其上诉过程很可能需要 “几个月”才能完成。 科隆法院的命令是对一个曾被用于敲诈企图的Tutanota账户实施监控功能。Tutanota发言人表示,监控功能只适用于这个账户今后收到的电子邮件–它不会影响以前收到的电子邮件。但实际上,相关账户似乎已经不再使用。 上个月,欧盟理事会的一份决议草案引发了实质性的关注,作为反恐安全推进计划的一部分,欧盟立法者正在考虑禁止e2e加密。然而该文件草案只讨论了 “合法和有针对性的访问”–同时表示支持 “强加密”。 回到Tutanote监控令,只能使其适用于链接到特定账户的未加密电子邮件。这是因为电子邮件服务提供商对自己用户的内容应用了e2e加密–这意味着它并不持有解密密钥,因此无法解密数据–尽管它也允许用户从没有应用e2e加密的电子邮件服务中接收电子邮件(因此可以强制它提供该数据的纯文本)。 然而,如果欧盟立法强制e2e加密服务提供商提供解密数据,以回应合法的拦截请求,那么它将实际上取缔e2e加密的使用。这是最令人担忧的情况–虽然目前还没有任何欧盟机构提出这样的法律。而且很可能会在欧洲议会以及更广泛的学术界、民间社会、消费者保护以及隐私和数字权利团体等方面面临激烈的反对。       (消息及封面来源:cnBeta)