分类: 国际动态

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

新浪科技讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:新浪科技,封面源自网络;

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

美国中期选举将近 3500 万人资料泄漏 黑客:在政府有人

新浪科技讯 10月17日下午消息,据中国台湾地区媒体报道,随着美国中期选举即将于下个月展开,威胁情报业者Anomali Labs及网络安全业者Intel 471本周一联手揭露他们发现有人在某个黑客论坛中兜售美国19州的选民资料,其中3州的选民资料就高达2,300万人,估计总数将超过3,500万人,且根据研究人员的查证,这些资料的可信度很高。 每一州的选民资料价格不同,视州别及数量从150美元到12,500美元不等,例如路易斯安那州300万选民资料的价格为1,300美元,而德州的1,400万选民资料即要价12,500美元;资料内容包含选民的姓名、电话、地址及投票纪录等,卖家甚至承诺会每周更新资料。 根据卖家的说法,他们在州政府内部有人,可每周收到最新资料,有时还要亲自到该州取得资料。意谓着这些资料的外泄不一定是来自于技术上的入侵,而很可能是有心人士自合法管道取得选民资料后恶意进行的散布。 不管资料来源如何,暗网中已经有人发动众筹来购买这些名单,并打算于黑客论坛上公布所购得的选民资料,已成功集资200美元,买下了堪萨斯州选民名单,亦已开放论坛用户下载。 研究人员指出,选民名单应是不能用在商业目的,也不得在网络上公布,却有未经授权的组织企图利用这些名单获利,选民名单曝光的选民资料再加上诸如社会安全码或驾照等外泄资料,可能会被犯罪份子用来进行身分诈骗或其它非法行为。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

苹果回应账户被盗刷:深表歉意 建议开启双重认证

网易科技讯 10月16日消息,针对“苹果用户账户出现集体被盗刷的情况,数量预计超过700人”,苹果回应称,第一时间组织了工程师来寻找事件的根源。苹果调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,苹果发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 苹果称已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。 因网络钓鱼诈骗给用户带来的不便,苹果深表歉意。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。 以下是声明全文 媒体声明 我们非常重视中国消费者,希望确保他们拥有最佳的产品体验。针对消费者报告的有关网络钓鱼诈骗和Apple ID盗刷事件我们进行了调查,在此,我们想就尚在进行中的调查给出一个说明。 当我们了解到这些事件后,第一时间组织了Apple工程师来寻找事件的根源。消费者的隐私和安全对我们来说至关重要。我们的调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,我们发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 我们已经采取了多种措施来保护我们的用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,我们拒绝了高风险的订单。由于我们的持续努力,我们已经注意到这些问题现已显著减少。 因网络钓鱼诈骗给用户带来的不便,我们深表歉意。我们正主动识别可疑活动,并与受影响的用户取得联系。我们强烈建议所有用户开启双重认证,以防止未经授权的访问。 同时,我们正与相关消费者保护组织保持沟通,并倾听用户对这些措施的反馈。如需了解有关 “安全性和Apple ID” 的更多信息,可随时访问:访问:https://support.apple.com/zh-cn/HT201303,或联系,或联系AppleCare进一步了解相关问题。   稿源:网易科技,封面源自网络;

冰岛史上最大网络攻击行动:黑客冒充警方欺诈民众

新浪科技讯 10月15日下午消息,据中国台湾地区媒体报道,安全厂商Cyren揭露,有数千名冰岛民众在上周收到了网络钓鱼邮件,而且黑客是以冰岛警方的名义发送邮件,还建立了可以假乱真的官方网站,企图于使用者电脑上植入恶意程式并侧录受害者所输入的机密资讯。由于冰岛的人口只有35万,因此这一攻击已被视为是冰岛史上最大的网络攻击行动。 这一攻击行动始于今年10月6日,黑客以所入侵的帐号注册了www.logregian.is网域名称,与冰岛警方的官网www.logreglan.is只差了一个字母,并在邮件中威胁使用者若不遵守规定可能会遭到逮捕,继之提供来自伪造网站的连结。 当使用者造访假冒的警察网站时,会被要求输入社会安全码,输入之后,该站竟然能够验证使用者的身分,从而跳出使用者的姓名,还要求使用者输入邮件中所附的验证码以再次验明正身。 至此使用者几乎已不再怀疑,很容易就会听从网页上的指示,下载一个具密码保护的.rar档案,输入网页上所提供的密码,解压缩后则会出现一个Yfirvold.exe执行档,这是个兼具键盘侧录功能的远端存取木马,执行后会开始搜集存放于浏览器中的机密资讯并侧录键盘,再将资料上传至黑客设于德国与荷兰的远端服务器。 Cyren表示,该恶意程式明确锁定了冰岛民众,因为它会检查受害者是否造访冰岛主要的多家网络银行。 冰岛警方已认定这是冰岛迄今所出现的最大的网络攻击行动,也已确认许多收件人都已沦为受害者,并根据电子邮件及网站所使用的文字,以及黑客所拥有的冰岛民众资料,相信它是由内贼所为。   稿源:新浪科技,封面源自网络;

参议员要求谷歌解释:为何推迟公布 Google+ 漏洞

网易科技讯 10月12日消息,据美国媒体报道,周四美国参议院三位有影响力的共和党参议员提出,谷歌应该解释为何推迟公布Google+社交网络的漏洞。本周谷歌突然宣布关闭消费者版Google+并收紧数据共享政策,因为该网络存在的漏洞使至少50万用户私人资料曝光于数百个外部开发者。 参议院商务委员会主席约翰·图恩和另外两位参议员杰瑞·莫兰和罗杰·维克发出信函,要求谷歌解释推迟披露此问题的原因。信中称:“谷歌如果要保持或重获用户对其服务的信任,就必须在公众和立法者面前准备的更充分些。”对此,谷歌未立即发表评论。信函询问是否以前向哪个政府机构如FTC透露过漏洞,是否有“未公开披露的类似事件”。 谷歌CEO桑德·皮查伊上月同意今年11月在众议院作证,图恩表示,参议院也要求皮查伊作证。周三这些参议员写信给FTC要求对Google+进行调查。三位参议员称,他们对谷歌首席隐私官凯特·恩莱特未披露此问题“特别失望”。他们要求谷歌提交备忘录,没有及早披露问题可能“立即引起监管兴趣”,“几乎可以确定”皮查伊必须到国会作证。   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;