分类: 国际动态

未遵守欧盟 GDPR 美国超千家新闻网站在欧洲遭封杀

(原标题:More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect) 网易科技讯 8 月 8 日消息,据国外媒体报道,欧盟《一般数据保护条例》(GDPR)于今年 5 月 25 日生效之后,到目前为止仍然有超过 1000 家美国新闻网站在欧洲无法访问。 在 GDPR 生效两个多月后,包括 Tronc 旗下《洛杉矶时报》、《李氏企业》 Lee Enterprises 和 GateHouse Media 等数百家美国新闻网站在欧洲无法访问,这让许多前往欧洲的美国游客、商务旅行者、以及对美国新闻感兴趣的欧洲人感到沮丧。 5 月 25 日以来,许多社交媒体的帖子都抱怨说,美国某些新闻网站在欧洲无法访问。为此,一些人责怪欧盟。 GDPR 要求网站在收集个人信息之前获得用户的同意,解释收集什么数据以及收集的原因,并在有要求时要删除用户的信息。违反 GDPR 会被处以巨额罚款,罚款额度最高可达公司年收入的 4%。 网站拥有对接 GDPR 长达两年的准备时间。因到截至时间未能遵守 GDPR ,在美国 100 家最大的报纸媒体中,约有三分之一的网站在欧洲无法访问,这些网站包括“芝加哥论坛报”、“ 纽约每日新闻”、“达拉斯早报”、“每日新闻”和“弗吉尼亚导报”。 据跟踪这一问题的英国人约瑟夫.奥康纳(Joseph O’Connor)称,截至本周一,有超过 1000 家美国网站在欧洲无法访问。     稿源:网易科技 ,封面源自网络;

五角大楼发布最新禁令:禁止工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的 GPS 功能,以及获得地理位置权限功能的约会  APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。” 五角大楼在今年 1 月份的调查中,发现 Strava 这款健身 APP 能够映射用户的健身习惯,而这极有可能会透露国防部在全球的安全位置。五角大楼发言人 Col. Rob Manning 在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。   稿源:cnBeta.COM,封面源自网络;

外媒:FCC 承认对网络攻击事件撒谎 以避免网络中立评论

据外媒 BGR 报道,去年美国联邦通信委员会(FCC)投票推翻了网络中立规则,此举是引发数百万人在发给 FCC 的评论中进行抗议。但随后美国联邦通信委员会的公众评论系统因技术故障而导致更多的人无法发表评论。美国联邦通信委员会曾对外宣称,这种技术故障是由于分布式拒绝服务(DDoS)攻击导致,这是一种常见的黑客攻击工具。 监察长办公室已对该问题进行了调查,并准备发布一份报告,该报告已提交给美国联邦通信委员会但尚未公开。然而美国联邦通信委员会的最新声明证实:“攻击”完全是假的。 关于报告的调查结果,我非常失望的是,美国联邦通信委员会的前首席信息官(被前任政府雇用并且不再在委员会工作),向我、我的办公室、美国国会和美国民众提供了有关此事件的不准确信息。” FCC 主席 Ajit Pai 在一份声明中表示。“这是完全不可接受的。我也很失望有些在前首席信息官手下工作的人显然要么不同意他提出的信息,要么对此有疑问,但却不愿意向我或我的办公室传达他们的担忧。” 民主党联邦通信委员会专员 Jessica Rosenworcel 更简洁地指出:“监察长报告告诉我们我们一直都知道的事情:联邦通信委员会声称在网络中立程序中其成为 DDoS 攻击的受害者的说法是虚假的。” “在 Ajit Pai 的领导下,联邦通信委员会破坏了自己的公众评论程序。从忽略使用被盗名称和地址发表的数以百万计的欺诈性评论到对未曾发生的 DDoS 攻击的彻头彻尾的谎言,该机构肆无忌惮地放弃了维护公众言论自由的责任,“倡导组织 Fight for the Future 在一份声明表示。“ Pai 试图责怪他的工作人员,但这发生在他的监管之下,他一再阻挠立法者和新闻界试图得到答案。”   稿源:cnBeta.COM,封面源自网络;

“匿名者”扬言攻击 QAnon 欲揭开阴谋论者“Q”的神秘面纱

据外媒报道,黑客活动群体“匿名者”刚刚在 YouTube 和 Twitter 上向 QAnon 发出了威胁,扬言在星期天攻击该“挺川”运动及其创建者。在 3 分钟的视频中,“匿名者”威胁攻破线上阴谋论 QAnon,因后者已从互联网越步至现实生活中 —— 其支持者甚至在佛罗里达州坦帕湾的集会上挥舞起了“Q”记号。“匿名者”担心,QAnon 的活动可能会对现实生活带来不利影响。 去年晚些时候,有人开始以“Q”的名义,在匿名看板上预告或点评重大事件。虽然无人知晓其幕后身份(有可能不止一个人在运营该账号),但其言论吸引了许多阴谋论爱好者的关注。 一位变声后的“匿名者”在视频中称,有人将会受到伤害,所以该团体呼吁大家一起采取行动。“匿名者”声称他们已经制定了计划,因其无法对人们被误导和利用一事做到袖手旁观。 对于这一威胁(#OpAQnon),QAnon 的 Twitter 账户并未立即作出回应。   稿源:cnBeta.COM,封面源自网络;

研究显示超过 56% 的加密货币犯罪发生在美国

国际网络安全公司 Group-IB 研究表明,自 2017 年以来,加密货币用户被入侵帐户的数量增加了 369% 。与 Hard Fork 共享的数据显示,所有受害者中有三分之一位于美国。前 19 名交易所中的每一个都受到了冲击,共有 720 个用户名和密码被盗。 数据显示,被盗密码事件比 1 月份的月平均值高出 689% ,黑客攻击率甚至反映了市场高位。 19 个交易所中至少有 5 个遭受攻击,导致加密货币损失 8000 万美元。报告称,50 个活跃的僵尸网络也在不断攻击用户,超过一半的恶意流量来自美国,而来自于荷兰的恶意流量则为 21.5% 。 僵尸网络正在被特洛伊木马提供给新成员,特洛伊木马是一种经常伪装成无害文件或程序的恶意软件。当它与之交互时,病毒会迫使机器成为被奴役计算机网络的一部分 – 或僵尸网络。通常,计算机贡献他们的计算能力来完成任务,但是最近,对巴西 MicroTik 路由器用户的零日攻击,让它们成为挖矿僵尸网络的一部分。 虽然该报告承认网络钓鱼攻击仍然普遍存在,但黑客攻击工具正变得越来越复杂,它指出,攻击模式类似于高科技银行抢劫的模式,使用修改后的软件来定位交易所,这些交易所根本没有为最坏的情况做好准备。用户和交易所都没有使用双因素身份验证(2FA)。更令人吃惊的是,在 720 个被入侵的帐户中,五分之一的人使用了短于八个字符的密码。     稿源:cnBeta.COM,封面源自网络;

美情报机构加大与科技企业合作,避免干预总统选举事件再次发生

据外媒报道,当地时间周四,美四家情报机构的领导人以及美国总统特朗普的国家安全顾问John Bloton在新闻发布会对俄罗斯的选举影响运动发表了讲话。国家情报主管Dan Coats表示:“总统已经对我们发出明确指示,要把选举干预和确保我们选举进程的工作放在首位。” 之后,国土安全局局长Kirstjen Nielsen、FBI局长Christopher Wray、NSA局长Paul Nakasone也都发表了讲话。他们都表示,俄罗斯仍在尝试干预美国选举,但他们指出,目前还没有达到2016年总统大选时期的那般规模。 据悉,在这场发布会召开之际,特朗普政府、联邦调查人员以及科技行业正在就俄罗斯为影响美国大选所做的努力展开调查。今年7月,司法部指控12名俄罗斯人曾在2016年入侵过他们的计算机系统。3天后,特朗普会见了俄罗斯总统普京,并在会面中表示这位俄罗斯领导人否决大选干预的态度非常强硬。周二,Facebook宣布删除了32个曾参与过大选干预的账号和页面。 Wray称,FBI目前还没有看到攻击者想要进入选举基础设施的迹象。另外他还表示,为了打击以社交媒体平台为中心的错误信息传达以及所带来的负面影响,他们情报界已经加大了跟科技行业的合作。 而当谈及电子投票机时,国土安全局的Nielsen指出,他们接下里的工作重点就是帮助各州确保其机器在选举后能获得审计。   稿源:cnBeta,封面源自网络;

据称与伊朗相关的 APT 组织 RASPITE 瞄准美国电力公司

据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周,赛门铁克的研究人员根据对 Leafminer  组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。 根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。   消息来源:Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

亚马逊计划 2020 年初彻底抛弃甲骨文专有数据库

北京时间 8 月 2 日上午消息,亚马逊在数据中心技术提供商这条路上的发展日渐将不少自己长期以来的供应商变为了难以共融的竞争对手,甲骨文(Oracle)即其中之一。最近,亚马逊正在考虑对甲骨文的新一轮打击。据知情人士透露,这家电子商务巨头已经将公司大部分内部基础设施转移到亚马逊网络服务(AWS),并计划于 2020 第一季度彻底移除甲骨文的专有数据库软件。 这一转变亦标志着亚马逊在企业计算领域的快速崛起,并进一步显示了在企业不断将工作转至云平台并抛弃传统数据中心这一过程中甲骨文的艰难挣扎。得益于 AWS 的发展(第二季度该业务的营收增长高达 49%),亚马逊在今年初超越 Alphabet 成为全球价值第二大的上市公司。 与此同时,甲骨文的规模与四年前大致相同,股价稍高于 2014 年底时的价格。报道刚出时,甲骨文的股价小降 1%。 五年前,亚马逊就开始计划移除甲骨文,一名要求匿名的知情人称。亚马逊的部分核心购物业务目前仍依赖于甲骨文,整个迁移过程大概需要 14-20 个月。另外一位人士则称,转移开始的前几年,亚马逊就已经开始考虑放弃甲骨文,但当时的决定是过早行动可能会需要较多的工程工作而且收效甚微。 知情人士称,亚马逊使用甲骨文时面临的一个主要问题时,后者的数据库技术无法扩展以满足亚马逊的性能需求。另外一人表示,此举或将于 2019 年中旬完成,并补充说,依赖甲骨文数据库的新技术在相当长一段时间内没有任何开发。 亚马逊的基础设施显然也不是万无一失的。上个月的亚马逊 Prime Day 购物狂欢期间,公司对容量升级的持续需求差点造成一场危机,公司的系统被证实无法处理突发的流量激增。 购物者报告了许多试图访问该网站的错误,据悉这个问题跟内部程序 Sable 的崩溃有关,亚马逊使用 Sable 来为零售和数字业务提供存储和服务。 口水战 The Information 在一月份曾经报道了亚马逊正在努力减少对甲骨文的依赖。Drexel Hamilton 的分析师布莱恩·怀特(Brian White)则发表了一份声明来反驳该报道,并引用了甲骨文董事长拉里·埃里森(Larry Ellison)在公司去年 12 月的电话财报会议上的话。埃里森表示,“有一家公司在这个季度刚向我们支付了 5000 万美元购买甲骨文数据库和其他技术,这家公司正是亚马逊。” 亚马逊发言人拒绝对此作出评论。甲骨文的发言人亚马逊在甲骨文的技术上消费了数亿美元。 两家公司一直处于激烈的口水战中。去年,甲骨文高管夸耀了一番使用公司数据库软件的成本优势。AWS 的首席执行官安迪·约斯(Andy Jassy)回击称甲骨文“在云计算领域实力不足”。 2014 年,AWS 推出 Aurora 关旭数据库服务之后,竞争趋向白热化。这项服务直指甲骨文的核心市场。亚马逊同时还提供了一个工具帮助企业将数据库转移至云平台。 但在 2016 年,埃里森告诉分析师,亚马逊的云服务仍旧未准备好迎接黄金时段。“我们的数据库客户没办法在亚马逊上运行重要的机器工作。” 然而自此之后,甲骨文始终未能在云基础设施领域取得显著的市场份额。 AWS 在该市场上领先,微软、谷歌、阿里巴巴和 IBM 紧随其后。 公司自上个季度不再披露云服务的收益之后,投资者如今也已放弃对甲骨文云服务规模的猜测。   稿源:新浪科技,封面源自网络;

美国国会立法:强制科技公司披露旗下软件被审查事项

新浪科技讯 北京时间 8 月 2 日上午消息,美国国会正向总统唐纳德·特朗普提出一项立法,即要求科技公司披露其是否允许其它国家检查出售给美国军方的软件内部运作情况。 该立法为五角大楼支出法案的一部分。去年路透社一名调查人员发现软件制造商允许俄罗斯国防机构寻找一些美国政府机构(包括五角大楼和情报机构等)所使用的软件中的漏洞。这件事发生之后,政府即起草了该法案。 法案的最终版本上周通过众议院批准后又于周三以 87-10 的投票获得参议院的通过。特朗普签字后这项支出法案即可生效。一旦生效,这项法律将强制美国和国外的科技公司向五角大楼披露相关信息,即他们是否允许网络对手(如俄罗斯等)调查出售给美国军方的软件。 公司将被要求解决国外源代码审查所带来的任何安全风险,直至五角大楼满意,否则将失去合同。 安全专家表示允许俄罗斯当局调查软件的内部运作情况,即源代码,可以帮助莫斯科方面发现他们可以加以利用来攻击美国政府系统的漏洞。 新的法规由新罕布什尔州民主党参议院珍妮·沙辛(Jeanne Shaheen)起草。“这一强制披露只是个开头,也是减少联邦并购过程中的关键安全漏洞的必要一步,”沙辛在邮件中写道。“国防部和其他联邦机构必须了解国外源代码的风险暴露以及其他可能使我们国家安全系统易受攻击的风险性商业行为。” 该立法还创建了一个可允许其他政府机构进行搜索的数据库,其中罗列了受其它国家检查且五角大楼认为存在网络安全风险的软件。 法律规定公开记录请求可以搜索该数据库,对一个可能涵盖公司机密的系统来说这个做法很不寻常。 行业组织软件联盟的政策高级主管汤米·罗斯(Tommy Ross)称,软件公司十分担心这样的立法可能迫使公司在美国和国外市场之间做出选择。他说,“我们观察这样一个全球担忧趋势,关注网络威胁的公司普遍认为减少风险的最佳操作就是减少海外市场。” 一名五角大楼女发言人拒绝予以置评。 路透社去年的调查发现,为了进入俄罗斯市场,包括惠普、SAP 和迈克菲在内的科技公司都允许俄罗斯国防机构搜索软件源代码查找漏洞。而在大多数情况下,这些软件公司并未通知美国机构相关事项。另外,在多数情况下,采购专家表示,美国军方在采购软件之前并不要求类似的源代码审查。 迈克菲去年宣布公司不再允许政府审核源代码。惠普也表示目前没有软件需要走这一流程。SAP 未对该立法作出评论回应。惠普和迈克菲拒绝进一步评论。       稿源:新浪科技,封面源自网络;

惠普将向黑客支付高达 1 万美元赏金以寻找其打印机漏洞

周二,惠普宣布了第一个专门针对其打印机的 bug 赏金计划,为能够在其机器上发现漏洞的黑客提供高达1万美元的奖励。Bug 赏金是公司发现安全漏洞的常见方式,对于严重漏洞酬金支付可高达 10 万美元。在恶意使用漏洞之前,黑客已经能够在大公司获得一个全职工作来软件并报告错误。像谷歌和 Facebook 这样的公司已经将漏洞奖金作为加强其产品安全性的一种方式。 惠普在5月份悄然启动了计划,有 34 名研究人员报名参加。该公司负责打印机安全的首席技术专家 Shivaun Albright 上周接受采访时说,它已经向一名发现其打印机存在严重缺陷的黑客支付了 1 万美元。她说,由于物联网设备的漏洞,该公司专注于打印机安全性。 Albright 说,虽然人们非常关注连接设备及其安全漏洞,但它通常用于网络摄像头,智能电视或灯泡,而不是打印机。惠普技术专家指出,打印机可能是人们拥有的最古老,最常见的物联网设备。它们已经存在了很长一段时间,甚至在“物联网“一词出现之前,问题是,为什么客户不将打印机视为物联网? 2016 年,Mirai 僵尸网络 – 一个庞大的黑客攻击设备网络,曾经在网上造成严重破坏 – 导致网络中断,导致 Twitter,Netflix 和 Reddit 等热门网站遭遇破坏。 Albright 说,僵尸网络使用黑客入侵的物联网设备,如网络摄像头和 DVR,但打印机也是这种组合的一部分。 HP 的 bug 赏金计划将通过 Bugcrowd 运行,这是一个促进支付和邀请的平台。该程序目前是私有的,邀请研究人员加入。奥尔布赖特表示惠普有意将其公开,但目前仍在关闭状态以更好地管理发现的漏洞。受邀研究人员可以从他们家里的电脑上远程访问 15 台打印机,这些打印机在惠普的办公室中被隔离,他们可以窥探这些打印机,找到隐藏的漏洞。Albright 表示,对于 1 万美元的支付,研究人员必须找到严重的缺陷,例如远程代码执行,这将允许攻击者完全控制打印机。如果他们发现并报告任何缺陷,HP 将支付他们的发现费用,然后在下次更新时开始修复。   稿源:cnBeta.COM,封面源自网络;