分类: 国际动态

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;

美国特朗普总统签署《国家网络战略》 应对来自网络的威胁

美国总统特朗普的国家安全事务助理约翰·博尔顿20日表示,特朗普当天签署了国家网络战略[PDF],以加强应对网络威胁。博尔顿在对媒体的吹风会上表示,国家网络战略将指示美国政府采取行动确保长期改善所有美国人的网络安全。 白宫新闻办公室发表声明称,国家网络战略的核心是增强美国网络安全,该战略将有助于保护网络空间成长为经济增长和创新的引擎,同时遏制在网络空间造成不稳定的行为,此外还将保持互联网的长期开放性,支持并加强美国利益。 美国媒体分析称,当天发布的国家网络战略最值得注意的是,美国将采取“进攻性”的行动来制止和应对网络攻击。博尔顿在吹风会上说,对于任何正在对美国采取网络行动的国家来说,他们应该意识到,我们将同时从进攻和防守两个方面进行回应。   稿源:cnBeta,封面源自网络;

Facebook 推出新工具来应对竞选期间的黑客行动

据外媒报道,距离中期选举还有两个月不到的时间,Facebook决定推出一套新的工具来保护竞选活动不受黑客攻击。据悉,这是一个全新的网络保护层面,Facebook正在将其作为一个试点项目向美国各州以及联邦政府开放。 根据NBC的一篇报道了解到,根据该计划,选择加入项目的运动以及运动委员会将被指定为潜在的优先级别用户,如果他们发现设计其账号存在的任何异常行为则都能体验到快速排除故障的优势。 Facebook网络安全政策主管Nathaniel Gleicher在公司博客上解释称,页面管理员可以在politics.fb.com/campaignsecurity申请参与这个项目。一旦注册,他们就可以将他们的团队或委员会的其他人加入到项目中。Facebook表示,它将帮助官员采用其最强大的账户安全保护措施比如双重认证,并监控潜在的黑客威胁。 虽然Facebook目前还未提供太多关于这个新安全层的细节。不过这家公司已经表示,他们将在中期选举之前禁掉大量假账户和页面,其中一些行为类似于俄罗斯支持的互联网研究机构在2016年总统大选中引起的轩然大波。 Facebook CEO马克·扎克伯格则曾公开表示,Facebook的工具可能遭到了黑客和相关组织的滥用,这让他们措手不及。现在他们将采取另一种积极主动的行动以确保尽可能地减少为邪恶目的而选择其网络的情况并将这一措施一直持续下去。 至于这项举措是否能够取得预想中的成效则有待时间来考验。   稿源:cnBeta,封面源自网络;

Facebook 改漏洞悬赏政策:报告平台第三方应用可获奖

新浪科技讯 北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。 Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。 在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。 在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。 “如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。” 通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。 最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。 Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。   稿源:新浪科技,封面源自网络;

Mozilla 创始人投诉谷歌:违反 GDPR 法规 泄露用户数据

新浪科技讯 北京时间9月13日晚间消息,Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款, Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。 对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。   稿源:新浪科技,封面源自网络;

Facebook 低调开发 AI 技术工具:自动扫描代码找漏洞

新浪科技讯 北京时间9月14日上午消息,Facebook低调开发和部署了一种名为SapFix的人工智能(AI)工具,可以自动扫描代码,寻找漏洞,然后测试不同的补丁,并向工程师推荐最佳修补方案。 这款工具是在Facebook的@Sacle工程大会上宣布的,目前已经应用于Facebook庞大的代码库。该公司还计划最终向外部开发者分享该工具。 “据我们所知,这是第一次通过自动的端对端测试和修补,在Facebook这种规模的代码库中部署机器生成的修复方案。”Facebook开发者工具团队写道,“这是AI混合模式的重要里程碑,可以进一步证明基于搜索的软件工程可以降低软件开发阻力。” SapFix既可以与Sapienz配合使用,也可以独立使用,Sapienz是Facebook之前的自动化漏洞发现工具,与SapFix配合使用时,可以针对Sapienz发现的问题推荐解决方案。 这些工具可以帮助小团队开发更加强大的产品,也可以帮助大公司节约很多浪费在技术上的时间。对于Facebook这种还有很多其它问题需要处理的公司来说至关重要。   稿源:新浪科技,封面源自网络;

亚马逊 Facebook 等支持美国政府制定现代化的数据隐私法

包括Facebook、亚马逊和Alphabet等成员在内的美国互联网协会(The Internet Association)今日表示,支持美国政府制定现代化的消费者数据隐私法,但希望这部法规是全国性的,从而取代加州2020年即将生效的新隐私法规。除了Facebook、亚马逊和Alphabet,美国互联网协会其他成员还包括Netflix、微软和Twitter等。该协会周二称:“互联网公司支持一部全国性的法案来保护所有美国消费者的隐私。” 美国政府今年7月曾表示,正在新的消费者数据隐私政策,并且已开始与主要公司进行接触。美国互联网协会称,这样一部法规应该允许消费者对自己的数据进行有效控制,包括个人信息如何被利用,以及被哪些第三方所利用。此外,消费者还有权要求删除或更正自己的数据。 另外,美国互联网协会还向立法人员表示,在通知用户、制定隐私性能标准和数据安全保护等方面,应赋予互联网公司足够的灵活性。而且,这部法规应该适用于所有行业,而不仅仅是科技公司。 如今,由于大规模的消费者数据被泄露事件频发,数据隐私日益成为一个重要的话题。今年6月,加州市长杰里·布朗(Jerry Brown)签署了新的数据隐私法,赋予消费者对个人信息以更多的控制权。该法规将于2020年生效。 但美国互联网协会总裁兼CEO迈克尔·贝克曼(Michael Beckerman)认为,加州把这个问题弄错了,因此希望美国政府能提前推出一部全国性的数据隐私保护法。 此外,美国商会上周也公布了自己的隐私指导原则,旨在颠覆加州的新法规。   稿源:新浪科技,封面源自网络;

因追踪用户定位数据:谷歌可能在美国遭遇重罚

新浪科技讯 北京时间9月12日早间消息,据《华盛顿邮报》援引知情人士消息称,美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私,该州总检察长马克·布诺维奇(Mark Brnovich)就有可能对谷歌处以高额罚款。 目前布诺维奇的办公室并未确认此事。 美联社上月的一项研究发现,谷歌通过Android设备提供的服务会追踪并存储用户的地理位置,即便用户在隐私设置中关闭地理位置历史也无济于事。 据悉,谷歌应用会存储带有时间戳的定位数据,借此发布精准的地理定位广告。谷歌对美联社表示,他们让用户了解这些定位数据获取工具,并且提供了“强大的控制,让人们可以自行打开或关闭功能,或者随时删除历史。” 布诺维奇可能将此事作为一起消费者保护官司进行起诉,并按照违规次数寻求每次最高1万美元的罚款,这有可能导致谷歌面临巨额处罚。 谷歌发言人对此发表声明称:“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务,例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验,包括:定位历史、上网和应用活动,以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”   稿源:新浪科技,封面源自网络;

美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击

据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!”   稿源:cnBeta,封面源自网络;

英美等五眼联盟(Five Eyes)国家发布声明要求科技企业自愿提供后门

美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录,要求各大科技企业向政府提供其加密产品的后门,以供执法部门有能力获得访问权。如果企业拒绝提供,那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段,进入加密的设备或者服务。 这份声明来自上周召开的五眼联盟(Five Eyes)国家会议,五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织,联盟国之间互相分享敏感情报。在声明中,五国政府向科技企业施压,要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门,如果科技企业拒绝并且阻挠,政府将采用强制措施集中力量进行加密破解。目前阶段,要求企业提供后门的请求更像是愿望,而非强制命令或威胁。但声明中提到政府和立法者在破解加密遭遇到了更大的反抗运动,则被视为对执法行为的阻挠。未来不排除将要求企业提供加密信息的请求直接升级为法律行动的可能。   稿源:cnBeta,封面源自网络;