分类: 国际动态

英国收紧社交媒体审查 向仇恨言论等网络安全问题说不

英国政府在网络安全方面将继续采取强硬立场,近期将会成立全球首家专门负责社交媒体公司的独立监管机构。对于没有达到要求的公司不仅要面临巨额的罚款,而且公司的高管负责人因工作疏忽需要承担个人责任。 英国内政部(Home Office)、英国文化、传媒和体育部(Department for Digital, Culture, Media and Sport)近日联合发布了旨在使互联网变得更加安全的新措施。在本周一早上英国政府正式发布了期待已久的白皮书,并有望引入了全新的监管机构来集中化管理社交媒体。 新成立的监管机构的任务是指导和协助社交媒体公司解决一系列在线安全问题,其中包括 ● 煽动暴力和传播暴力内容(包括恐怖主义内容) ● 鼓励自残或自杀 ● 虚假信息和假新闻的传播 ● 网络欺凌 ● 儿童访问不适当的材料 ● 儿童剥削和虐待内容 除了Facebook、YouTube和Twitter等主流社交媒体网站之外,文件托管网站,在线论坛,消息服务和搜索引擎也必须满足这些要求。 英国总理特蕾莎·梅在一份声明中表示:“长期以来,这些公司还没有采取足够措施来保护用户,特别是儿童和年轻人免受有害内容的影响。我们听取了活动家和家长的意见,并且正在向互联网公司提供法律责任,以保障人们的安全。” 英国政府目前正在尝试决定该由现有的监管机构负责,还是为此目的创建一个全新的监管机构。最初它将由科技行业资助,政府目前正在讨论对社交媒体公司的征税。政府数字秘书杰里米赖特在一份声明中表示:“在线公司的自我监管时代已经结束,该行业目前采取的应对网络危害的自愿行为并没有奏效,或者远远不够。”     (稿源:cnBeta,封面源自网络。)

Facebook 再爆数据丑闻 数百万用户数据被存储在 AWS 上

Facebook的用户数据再次在一些不该出现的地方出现。网络安全公司UpGuard的研究人员发现,大量Facebook用户信息被公开发布在亚马逊公司的云计算服务器上。这一发现表明,在剑桥分析公司(Cambridge Analytica)的丑闻曝光一年之后,Facebook在保护私人数据方面仍做得不够。 Facebook短线跳水转跌,此前一度涨超2%。 例如,墨西哥城的媒体公司Cultura Colectiva公开存储了5.4亿Facebook用户的记录,包括身份号码、评论和账户名称。周三,Facebook联系了亚马逊,之后该数据库被关闭。 另一个数据库是一个长期失效的应用程序的数据库,名为the Pool,它列出了22000人的姓名、密码和电子邮件地址。UpGuard不知道这些信息被泄露了多长时间,因为在该公司调查的过程中,数据库变得无法访问。 多年来,Facebook一直与第三方开发者免费共享这类信息,直到最近才开始采取行动。意外公共存储的问题可能比这两种情况更为广泛。UpGuard发现,有10万个开放的托管数据库用于存储各种类型的数据,其中一些数据库预计不会公开。 UpGuard网络风险研究主管克里斯-维克里(Chris Vickery)表示:“公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。” 多年来,Facebook允许任何在其网站上开发应用程序的人获取使用该应用程序的用户及其朋友的信息。一旦数据脱离Facebook的掌控,开发者就可以对其为所欲为。 大约一年前,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)正准备就一个特别恶劣的例子向国会作证:一名开发商将数千万人的数据交给了政治咨询公司剑桥分析,这家公司曾帮助特朗普竞选总统。这一事件已导致全球政府展开调查,并威胁要对该公司进行进一步监管。 去年,Facebook开始对数千个应用程序进行审计,并暂停了数百个应用程序,直到它们能够确保自己没有对用户数据进行不当处理。Facebook现在为发现第三方应用程序问题的研究人员提供奖励。 Facebook发言人表示,公司的政策禁止将Facebook信息存储在公共数据库中。这位发言人说,一旦Facebook被告知这一问题,它就与亚马逊合作关闭了这些数据库,并补充说,Facebook致力于与其平台上的开发人员合作,保护人们的数据。 在总共146G的Cultura Colectiva数据集中,研究人员很难知道有多少Facebook用户受到了影响。UpGuard在关闭数据库时也遇到了困难。该公司花了数月时间向Cultura Colectiva和亚马逊发送电子邮件,提醒他们注意这个问题。直到Facebook联系了亚马逊,泄露才得以解决。Cultura Colectiva没有回应彭博的置评请求。 这个最新的例子表明,数据安全问题可能会被另一种趋势放大:许多公司已经从主要在自己的数据中心运营业务,转向由亚马逊、微软、Alphabet旗下谷歌等公司运营的云计算服务。 这些科技巨头通过让企业更容易地在远程服务器上运行应用程序和存储大量数据(从企业文档到员工信息),建立了数十亿美元的业务。 像Amazon Web Services的简单存储服务(Simple Storage Service)这样的程序,本质上是一个可上网的硬盘驱动器,它为客户提供了让哪部分的人看到这些数据的选择。有时,这些信息被设计成面向公众的,比如存储在公司网站上的照片或其他图像缓存。 而在其他时候,情况并非如此。近年来,存储在几项云服务上的信息——美国军方数据、报纸订阅用户和手机用户的个人信息——在不经意间被公开在网上共享,并被安全研究人员发现。 亚马逊在过去的两年里加强协议来防止客户暴露敏感材料,增加显眼的警告通知,让管理员可以更简单地关闭所有面向公众的项目,并免费提供以前是付费的附加组件,用于检查客户的帐户是否有暴露的数据。 亚马逊并不是唯一一家因为私人数据被错误公开而被抓的公司。但在销售租赁数据存储和计算能力方面,它有着广泛的领先优势,这让总部位于西雅图的这家公司的做法备受关注。亚马逊网络服务发言人拒绝置评。     (稿源:新浪科技,封面源自网络。)

沙特政府从亚马逊 CEO 贝索斯手机获取到个人数据

安全主管加文·德贝克尔(Gavin De Becker)在周六表示,沙特政府黑入了亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)的手机并获取到了个人数据。贝索斯先前曾要求德贝克尔调查《国家问讯报》是如何获取到其与电视主持人劳伦·桑切斯(Lauren Sanchez)发送的私密信息一事。 在二月被曝出的新闻中,贝索斯指控这家小报的母公司AMI曾试图敲诈他,威胁其如果不公开声明这家小报的报道无任何政治动机,便会将这些不雅照片公之于众。AMI坚持表示,自己的报道均是合法的。 德贝克尔表示自己在完成调查之后,非常确信“沙特曾经黑入贝索斯的手机并获取了个人信息”。 贝索斯也是《华盛顿邮报》的老板。一直以来,《华盛顿邮报》对于特朗普政府以及沙特政府的报道大多是负面信息。十月,《华盛顿邮报》的记者贾马尔•卡舒吉(Jamal Khashoggi)在沙特领事馆被杀,此举在全球范围内引发公众的愤慨。 “一些美国人也许会对此感到很惊讶,事实上沙特政府从去年十月开始便一直试图对杰夫·贝索斯不利,当时《华盛顿邮报》报道了卡舒吉被残酷迫害一事。” 德贝克尔之后表示,目前尚不清楚AMI是否知道其中详情,但他指出AMI董事长戴维·佩克尔(David Pecker)与沙特政府关系密切。 沙特方之前回应,自己与《国家问讯报》报道贝索斯一事毫无任何关系。 德贝克尔表示自己已经将调查结果交给了联邦官员。 沙特大使馆以及AMI尚未回应置评请求。     (稿源:新浪科技,封面源自网络。)

HMD 回应 Nokia 7 Plus 事件:从未向第三方共享用户数据

日前有诺基亚手机的非中国用户发现,手机会向域名 http://zzhc.vnet.cn 发送未加密的数据包。数据包含了地理位置、IMEI、SIM 卡号和 MACID。vnet.cn 域名的注册人是 CNNIC,但 CNNIC 表示它实际上属于中国电信。对此HMD在官方博客中做出回应,表示这是由于固件错误导致,目前已在更新固件移除了相关软件包。 HMD Global表示表示只有单个批次的 Nokia 7 Plus 设备受到影响,包含了向中国电信服务器发送数据的软件包。该软件包会在手机启用、解锁、从休眠恢复时候收集用户数据将其发送到中国服务器。 HMD官方回应原文如下 HMD Globa一直以来非常重视消费者的隐私和安全。关于近期Nokia 7 Plus的相关新闻,在这里我们有必要向消费者说清楚这件事情,并公示我们是如何收集和存储数据的。 在对手头上的案例进行深入调查之后,我们可以确定并没有向第三方共享任何个人的隐私信息。在分析之后我们发现,单个批次的Nokia 7 Plus的手机软件包中错误的包含了面向中国地区的设备激活软件。由于这个错误,错误的将这些数据发送给第三方服务器。 但是这些数据从未被处理过,也无法根据这些数据识别出任何人。而且要强调的是,HMD从未和任何第三方共享任意用户的个人身份信息。通过将客户端切换至正确的国家和地区,已经于2019年2月修复了这个错误。所有受影响的设备都已收到此修复程序,几乎所有设备都已安装它。如果您想检查诺基亚7 Plus是否已收到安全修复程序,可以根据文章下方的步骤进行查看。 在事件发生之后,市面上有一些关于诺基亚手机和第三方服务器共享类似数据的猜测。对此我们可以明确表示这些猜测都是不正确的,诺基亚的手机未来也不会发生这样的事情。除中国市场之外的诺基亚所有设备数据都存储在由Amazon Web Services提供支持、位于新加坡的服务器上的。 HMD Global一直严苛对待消费者的安全和隐私,并遵守所有适用的隐私条款,而且我们是遵循法律合法收集和存储这些数据。关于设备信息收集的详细说明我们会另行详细介绍。我们鼓励消费者尽可能熟悉这些信息,以了解他们的信息被收集和使用的。再次强调的是,HMD Global非常注消费者的隐私和安全。   相关文章: 诺基亚手机被发现向中国电信服务器发送设备识别码 HMD Global 称固件错误导致手机向中国服务器发送设备数据   (稿源:cnBeta,封面源自网络。)

谷歌 Facebook 等公司被曝在政府网站上追踪欧盟用户

新浪科技讯 北京时间3月19日凌晨消息,丹麦浏览器分析公司Cookiebot公布研究报告称,欧盟各国政府将允许包括谷歌和Facebook在内的100多家广告公司在敏感的公共部门网站上秘密跟踪公民,而这显然是违反欧盟数据保护规则的。 Cookiebot在欧盟25个成员国的官方政府网站上发现了可记录用户位置、设备和广告主浏览行为的广告追踪工具,其中法国政府网站上的广告追踪工具数量最多,共有25家不同公司在其网站上跟踪用户行为。 在22个主要政府网站的前五大追踪域名中,谷歌、YouTube和谷歌旗下DoubleClick广告平台占据了三席。 研究人员还对欧盟公共卫生服务机构的网站进行了研究,结果发现在接受分析的网站中,就堕胎、艾滋病毒和精神疾病等敏感话题寻求健康建议的人而言,他们在超过一半的网站上都遇到了商业广告追踪工具。 Cookiebot对爱尔兰卫生服务网站的15个页面进行了扫描,发现其中近四分之三页面都含有广告追踪工具;而就法国政府有关流产服务的一个页面而言,有21家不同的公司正在对这个页面进行监控。一个有关产假的德国网页遭到了63个追踪工具的监控,而在提供艾滋病病毒症状、精神分裂症和酒精中毒相关信息的卫生服务网页上则发现了谷歌DoubleClick追踪工具。 研究人员还发现,虽然很多政府都在隐私政策中提到了谷歌用于运行网站的分析cookie,但该公司并未披露任何广告相关cookie。 “任何网站都有责任将其网站上发生的任何数据收集和处理行为告知用户。”非营利组织“隐私国际”(Privacy International)的技术专家埃利奥特·本迪内利(Eliot Bendinelli)说道。“这些网站没有遵循这项基本要求,这个事实表明当前的追踪生态系统已经失控。” 许多商业追踪工具应该是通过后门访问这些公共网站的,其中包括通过ShareThis等社交共享插件进行访问。 “我们发现,在未经用户本人同意或政府不知情的情况下,很多广告技术追踪工具都通过这些插件从其他第三方渠道访问网站。”Cookiebot CEO丹尼尔·约翰森(Daniel Johannsen)说道。“虽然政府应该并没有控制或是受益于有文件证明的数据收集行为,但其仍旧允许公民的隐私权受到损害,这违反了各国政府自己制定的法律。” 行业专家称,广告技术公司正在获取访问欧盟政府网站的访客的个人数据,并将这些数据与其他来源的数据结合起来,组合成每名独立用户的详细信息,并可能将其出售给数据掮客。 “浏览历史是非常私密的信息,能表明我们担心些什么,有什么计划,对什么感兴趣,日常生活是怎样的,工作的重点是什么。”本迪内利说道。“政府网站(的问题)是特别令人关注的案例,因为这些网站提供至关重要的信息和服务,人们依赖这些信息和服务,而且往往无法选择不使用这些信息和服务。” 布鲁塞尔民权组织“欧洲数字权利”(European Digital Rights)高级政策顾问迭戈·纳兰乔(Diego Naranjo)表示,Cookiebot的调查结果引发了人们的疑问,令人质疑这些公共网站是否违反了去年刚刚生效的欧盟“通用数据保护条例”(General Data Protection Regulations)。 “我们需要欧盟数据保护官员对这一行为是否符合‘通用数据保护条例’的问题进行分析。”他说道。“在我看来,这种行为没有任何明显的法理基础,并表明在线广告追踪的问题已经变得多么普遍,需要尽快加以解决。” 谷歌表示:“我们的政策很明确:如果网站出版商选择使用谷歌网站或广告产品,那就必须获许使用与这些产品相关的cookie才行。”此外谷歌还补充称,该公司不允许出版商“根据怀孕或艾滋病毒等健康状况相关的用户敏感信息来建立目标选择清单”。 Facebook发言人称,这项调查“让那些选择使用Facebook商业工具——如‘喜欢’和‘共享’按钮或Facebook像素等——的网站凸显了出来”。 “我们的商业工具能帮助网站和应用程序扩大社区,或是使其更好地了解人们如何使用它们的服务。”Facebook补充道。“Facebook认为,网站所有者有责任就哪些公司可能正在追踪用户的问题向后者发出通知。”     (稿源:新浪科技,封面源自网络。)

美国会议员提出了改善物联网设备安全性的新法案

预计到 2020 年,联网设备的数量会增加到 204 亿台,但它们的安全水平却不尽相同。那些没有内置安全特性的物联网设备,成为了黑客眼中的一道脆弱防线。在默认的密码和无法修复的漏洞等问题面前,形势显得非常严峻。去年的参议院听证会上,国防情报局长罗伯特·阿什利中将(Lt. General Robert Ashley)向议员们表示:“对美国国家安全来说,不安全的物联网设备,是需要被重点考量的新兴网络威胁之一”。 有鉴于此,美参众两院议员在本周一提出了一项《物联网网络安全改进法案》,希望能够对缺乏国家标准的新兴技术展开立法。 除了要求每家企业都提升其制造的联网设备的安全性,该法案还希望对联邦政府使用的任何物联网设备设定最低的安全标准。 来自弗吉尼亚州的民主党参议员 Mark Warner 在一份声明中称: 虽然对它们改变生活的潜力感到兴奋,但我也担心许多物联网设备在缺乏适当的安全保障措施的情况下被出售。市场更多地考虑性价比和便利性,而忽略了安全性。 需要指出的是,该法案并为物联网企业制定全面的安全标准,而是针对那些想要向美国政府出售物联网设备的情况。 联邦政府作为该市场的大客户之一,其带头提升的安全标准,有望带动整个物联网行业的安全保障水平。 与加州去年 9 月通过的全美首个物联网安全法案(SB 327)不同,加州法律要求制造商必须遵守特定的安全措施,比如不得使用默认密码、要用用户在访问设备前设置新密码等。 如果本周一提出的《物联网安全法案》获得通过,下一步将交由美国国家标准与技术研究院(NIST)去制定相应的联邦安全标准。 据悉,向美国政府出售的所有物联网设备供应商,必须制定漏洞披露政策,以便政府官员及时了解到相关状况。此外根据该法案,NIST 将每隔五年重新审查一次相关政策。     (稿源:cnBeta,封面源自网络。)

Facebook 起诉两名乌克兰人 指控使用恶意扩展造成 75000 美元损失

援引外媒Daily Beast报道,Facebook于上周五向两位乌克兰公民提起诉讼,指控后者利用一系列问答游戏秘密窃取用户的数据。根据起诉书显示,Gleb Sluchevsky和Andrey Gorbachov为一家名为Web Sun Group的公司工作,他们制作了大量类似于”Supertest” “Megatest”和”FQuiz”的问答APP和浏览器扩展,允许开发者收集数据并在Facebook页面上注入广告。   根据Facebook的起诉书显示,这些恶意扩展程序主要发生在2016至2018年间,主要受害者为俄罗斯用户,已经影响了6.3万个浏览器用户。与此前剑桥分析的策略不同,Sluchevsky和Gorbachov所创建的问答应用是通过浏览器扩展方式完成,会要求受害者下载恶意工具。 安装之后这些问答应用程序会收集用户姓名、性别、年龄、好友等个人资料,此外这些恶意程序也会在Facebook账号上插入广告,并且假装是来自社交网络。据称,Sluchevsky和Gorbachov使用“Amanda Pitt”和“Elena Stelmah”这样的名字来创建这些恶意软件。在问答应用中会测试诸如:“谁是现代的吸血鬼?”以及“检查下你的电脑,你是否拥有所有这些东西?”两人在Facebook上创建了至少13个虚假账号和页面。 在法庭文件中,Facebook表示它在2018年10月12日删除了所有虚假账户。大约一个月后,黑客告诉BBC他们有来自至少81,000个Facebook账户的私人消息,这些账户主要属于乌克兰和俄罗斯的用户。对此Facebook表示本次恶意软件攻击至少损失75,000美元。     (稿源:cnBeta,封面源自网络。)    

华为决定起诉美国政府 称其涉嫌入侵华为服务器

华为今天在深圳总部宣布,正起诉美国政府,并要求对禁止使用公司设备的政策进行合宪性审查,这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定,阻止了主要政府承包商使用华为设备,该措施主要针对华为和中兴,以及其他一些中国公司。 华为本次起诉的对象是去年美国国会通过、并由白宫签署的“国防授权法案”中的一项条款。 华为表示,该措施违反了制定“剥夺公权法案”的法律标准,同时还指控政府侵犯了公司的正当程序权,因法案中的条款对华为构成了明显的 “未审先判”,而美国的宪法则禁止美国国会通过这样的法律。 华为在深圳总部发布会上同时向外界透露,有证据表明美国政府涉嫌入侵华为服务器。 美国官员多次将华为称为潜在的安全威胁,并称该公司可能被用作间谍工具。华为一直否认这种可能性,并称美国未能提供其担忧的证据。 近年来,总部设在俄罗斯的网络安全公司卡巴斯基实验室也美国政府认为其存在潜在的间谍活动为由而受到阻拦,该公司也曾提起了类似华为的诉讼,但尚未成功。不过华为要求法院裁定美国目前的政策违宪,这与卡巴斯基的案例并不相同。 作为全球最大的电信设备供应商,华为面临着立法者和情报官员对其运营的严格审查,这一切似乎没有尽头。特朗普政府一直在考虑一项进一步限制华为产品销售的订单,美国也一直在敦促盟国放弃该公司的设备。     (稿源:cnBeta,封面源自网络。)

华为呼吁各国政府:建立一套统一的网络安全标准

新浪科技讯 北京时间3月5日晚间消息,据路透社报道,华为今日敦促各国政府、电信业和监管机构共同努力,制定一套统一的网络安全标准。 华为轮值董事长胡厚崑发出的这一呼吁,正值这家全球最大的电信设备制造商在布鲁塞尔开设一家网络安全中心之际。该网络安全中心允许其客户和政府测试华为的源代码、软件和产品解决方案。 此外,华为在英国、波恩(德国)、迪拜、多伦多和深圳也设有类似的安全中心。 胡厚崑在新闻发布会上称:“当前的事实是,无论是公共机构,还是私营机构,对这个问题都缺乏基本的共识。因此,不同的利益相关方有不同的期望,也没有一致的责任。总体来说,该行业缺乏一套统一的安全技术标准和验证系统。” 胡厚崑认为,一个共同的标准,法律和技术上的验证,将有助于在行业建立起新任。 胡厚崑周一还会见了欧盟委员会(EC)数字业务主管安德鲁斯·安西普(Andrus AnSIP)。胡厚崑称,他们讨论了按照GDPR的思路制定网络安全标准的可能性。 GDPR是欧盟去年通过的具有里程碑意义的数据保护法,它让欧洲人对自己的在线信息拥有更多控制权,并适用于所有与欧洲人有业务往来的企业。     (稿源:新浪科技,封面源自网络。)

美国安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

援引外媒TechCrunch报道,美国政府官员近期向安全专家提供了被认为曾在去年被朝鲜黑客用于发动数十次有针对性网络攻击而扣押的服务器,而这种举动非常的罕见。这批被扣押的服务器叫做Operation Sharpshooter(神枪手),于去年12月首次发现,用于专门针对政府、电信公司和国防承包商传播恶意软件。 黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。 根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。 在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。 研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。 尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。   (稿源:cnBeta,封面源自网络。)