分类: 国际动态

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

苹果回应账户被盗刷:深表歉意 建议开启双重认证

网易科技讯 10月16日消息,针对“苹果用户账户出现集体被盗刷的情况,数量预计超过700人”,苹果回应称,第一时间组织了工程师来寻找事件的根源。苹果调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,苹果发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 苹果称已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。 因网络钓鱼诈骗给用户带来的不便,苹果深表歉意。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。 以下是声明全文 媒体声明 我们非常重视中国消费者,希望确保他们拥有最佳的产品体验。针对消费者报告的有关网络钓鱼诈骗和Apple ID盗刷事件我们进行了调查,在此,我们想就尚在进行中的调查给出一个说明。 当我们了解到这些事件后,第一时间组织了Apple工程师来寻找事件的根源。消费者的隐私和安全对我们来说至关重要。我们的调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,我们发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 我们已经采取了多种措施来保护我们的用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,我们拒绝了高风险的订单。由于我们的持续努力,我们已经注意到这些问题现已显著减少。 因网络钓鱼诈骗给用户带来的不便,我们深表歉意。我们正主动识别可疑活动,并与受影响的用户取得联系。我们强烈建议所有用户开启双重认证,以防止未经授权的访问。 同时,我们正与相关消费者保护组织保持沟通,并倾听用户对这些措施的反馈。如需了解有关 “安全性和Apple ID” 的更多信息,可随时访问:访问:https://support.apple.com/zh-cn/HT201303,或联系,或联系AppleCare进一步了解相关问题。   稿源:网易科技,封面源自网络;

冰岛史上最大网络攻击行动:黑客冒充警方欺诈民众

新浪科技讯 10月15日下午消息,据中国台湾地区媒体报道,安全厂商Cyren揭露,有数千名冰岛民众在上周收到了网络钓鱼邮件,而且黑客是以冰岛警方的名义发送邮件,还建立了可以假乱真的官方网站,企图于使用者电脑上植入恶意程式并侧录受害者所输入的机密资讯。由于冰岛的人口只有35万,因此这一攻击已被视为是冰岛史上最大的网络攻击行动。 这一攻击行动始于今年10月6日,黑客以所入侵的帐号注册了www.logregian.is网域名称,与冰岛警方的官网www.logreglan.is只差了一个字母,并在邮件中威胁使用者若不遵守规定可能会遭到逮捕,继之提供来自伪造网站的连结。 当使用者造访假冒的警察网站时,会被要求输入社会安全码,输入之后,该站竟然能够验证使用者的身分,从而跳出使用者的姓名,还要求使用者输入邮件中所附的验证码以再次验明正身。 至此使用者几乎已不再怀疑,很容易就会听从网页上的指示,下载一个具密码保护的.rar档案,输入网页上所提供的密码,解压缩后则会出现一个Yfirvold.exe执行档,这是个兼具键盘侧录功能的远端存取木马,执行后会开始搜集存放于浏览器中的机密资讯并侧录键盘,再将资料上传至黑客设于德国与荷兰的远端服务器。 Cyren表示,该恶意程式明确锁定了冰岛民众,因为它会检查受害者是否造访冰岛主要的多家网络银行。 冰岛警方已认定这是冰岛迄今所出现的最大的网络攻击行动,也已确认许多收件人都已沦为受害者,并根据电子邮件及网站所使用的文字,以及黑客所拥有的冰岛民众资料,相信它是由内贼所为。   稿源:新浪科技,封面源自网络;

参议员要求谷歌解释:为何推迟公布 Google+ 漏洞

网易科技讯 10月12日消息,据美国媒体报道,周四美国参议院三位有影响力的共和党参议员提出,谷歌应该解释为何推迟公布Google+社交网络的漏洞。本周谷歌突然宣布关闭消费者版Google+并收紧数据共享政策,因为该网络存在的漏洞使至少50万用户私人资料曝光于数百个外部开发者。 参议院商务委员会主席约翰·图恩和另外两位参议员杰瑞·莫兰和罗杰·维克发出信函,要求谷歌解释推迟披露此问题的原因。信中称:“谷歌如果要保持或重获用户对其服务的信任,就必须在公众和立法者面前准备的更充分些。”对此,谷歌未立即发表评论。信函询问是否以前向哪个政府机构如FTC透露过漏洞,是否有“未公开披露的类似事件”。 谷歌CEO桑德·皮查伊上月同意今年11月在众议院作证,图恩表示,参议院也要求皮查伊作证。周三这些参议员写信给FTC要求对Google+进行调查。三位参议员称,他们对谷歌首席隐私官凯特·恩莱特未披露此问题“特别失望”。他们要求谷歌提交备忘录,没有及早披露问题可能“立即引起监管兴趣”,“几乎可以确定”皮查伊必须到国会作证。   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

欧盟隐私部门主管:首轮涉数据违规罚款或在年底实施

新浪科技讯 北京时间10月10日早间消息,据路透社报道,欧盟隐私部门主管表示,监管机构将依据新隐私法行使权力,对违规行为处以罚款甚至临时禁令,预计今年年底将实施第一轮制裁。 《欧盟通用数据保护条例》(GDPR)于5月25日生效,被外界认定为欧盟二十多年来最大的数据隐私法规改革。新规允许消费者更好地控制他们的个人数据,并赋予监管机构权力,对违反规定的企业处以罚款,金额可高达其全球收入4%或2000万欧元(约合2300万美元)。 欧洲数据保护监督官员乔瓦尼·布塔雷利(Giovanni Buttarelli)说,从新法规公布之日起,执法人员收到大量有关违规行为的投诉,并被要求对此加以澄清,仅在法国和意大利,报告数量就与去年相比增长了53%。 布塔雷利在接受路透社采访时透露,“我预计到今年年底,第一批GDPR处罚情况将会对外公布。不一定是罚款,还包括废除控制方、实施初步禁令、临时禁令或给予他们最后通牒。” 数据控制方可以包括收集和处理个人数据的社交网络、搜索引擎和在线零售商,而数据处理方只代表控制方处理数据。 罚金由欧盟各成员国的国有隐私监管机构征收。虽然布塔雷利本人不从事罚款工作,但他负责协调整个欧盟的隐私代理机构。 罚款针对任何在欧洲经营的公司,无论总部设在哪里,都会受到GDPR的监管。 “罚金与企业直接挂钩,对公众舆论、消费者信任至为重要。但从行政角度来看,这只是全球执法的一个因素,”布塔雷利说。 制裁将在许多欧盟国家实施,许多公司和公共管理机构将受到冲击,但他拒绝提供细节,因为调查仍在进行中。 他指出,在GDPR规则实施当天,谷歌、Facebook、Instagram和WhatsApp均遭到奥地利隐私活动家麦克斯·施雷姆斯(Max Schrems)投诉,因为调查尚处于初期阶段,结果不会在近期公布。 布塔雷利还敦促欧盟各国和立法者弥合在修改电子隐私指令方面的分歧,该指令旨在为电信运营商和在线消息和电子邮件服务(如WhatsApp和Microsoft子公司Skype等)之间创造一个公平的竞争环境。 这项电子隐私提案受到隐私保护人士的赞扬,但被科技公司和一些欧盟国家指责为过于苛刻,因为它将严格的电信隐私规则扩展到科技巨头。 “电子隐私是必不可少的。这是必要的,它是数据保护和隐私的拼图中缺失的一部分。如果欧盟不能在(欧洲议会)选举前尽快更新其通信保密规则,那将是一种失职,”布塔雷利说。 欧洲议会选举将在2019年5月举行。 “我认为有机会找到可持续性策略,尽管有些问题是无法谈判的,例如OTT(Over-the-top,即互联网公司越过运营商,发展基于开放互联网的各种视频及数据服务业务),”他说。 消费者游说集团BEUC正在呼吁欧盟国家应该停止拖延。 BEUC发言人约翰内斯·克雷斯(Johannes Kleis)说:“这项法律将进一步保护消费者上网或使用移动应用程序时的隐私,以及保护他们在线通信的私密性,更为必要。”   稿源:新浪科技,封面源自网络;

Google 在欧洲上线安全中心网站 包含隐私设置及安全工具

谷歌宣布其安全中心网站正在欧洲各地推广,从现在起比利时,法国,德国,意大利,荷兰和英国的人们可以访问谷歌选择自己适合的工具和获取保持在线安全的技巧。此次发布时间恰逢欧洲网络安全月,但谷歌似乎还没有决定如何拼写自己的产品名称: Safety Center或者Safety Centre。 Google表示: 从今天开始,我们将在欧洲六个国家(比利时,法国,德国,意大利,荷兰和英国)推出新的安全中心。现在,您可以找到更多工具,设定简单提示以及有关数据安全性,隐私控制以及如何以适合您的家庭的方式使用技术的信息,此次发布正好赶上欧洲网络安全月,未来几周将有更多的国家和语言的支持。 帮助人们管理他们的隐私和安全是我们致力所做的事情。多年来,我们创建了许多工具并且始终在改进它们以便您掌控:Google帐户可让您访问所有设置以保护您的数据和隐私;隐私检查可帮助您快速查看和调整Google用于个性化体验的数据;“我的活动”可帮助您查看与您的帐户相关联的活动数据。 访问Google安全中心官网: https://safety.google   稿源:cnBeta,封面源自网络;

加州通过物联网网络安全法 有专家质疑其进步意义

新浪科技讯 北京时间9月29日早间消息,加州州长杰里·布朗(Jerry Brown)在新的网络安全法上签字,这项法律覆盖智能设备,加州成为美国第一个拥有物联网网络安全法的州。法案编号SB-327,去年制定,8月末在州参议院获得通过。 从2020年1月1日开始,制造商如果制造直接或者间接连接互联网的设备,必须植入“合理”的安全技术,预防未授权访问、修改、信息披露。如果设备可以用密码从本地局限网外访问,必须为每一台设备设立一个独特密码,或者强迫用户在第一次连接时设置密码。这样一来就不会有一般默认凭证,黑客难以猜测。 关于新法案有人赞扬,有人批评,赞扬者认这是通往正确方向的第一步,而反对者则认为法案含糊不清。 网络安全专家罗伯特·格雷厄姆(Robert Graham)认为,它让安全问题倒退,只是一味增加好的东西,而没有尽力剔除坏的东西。关于密码要求,格雷厄姆赞赏,但是他认为没有覆盖多种多样的身份认证系统,有些系统可能叫作密码,有些可能不叫密码,因为规定不明确,制造商可能会给设备留下安全漏洞。 哈佛大学研究员布鲁斯·施奈尔(Bruce Schneier)则说这是有益的第一步。他认为:“可能前进的幅度不大,但是不能因此就否决它,不让法案通过。”法案虽然只针对加州,不过如果设备制造商想在加州销售产品,就要遵守规定,这种福利其它地方的客户也能享受到。   稿源:新浪科技,封面源自网络;

Facebook 发现安全漏洞:黑客可控制 5000 万用户账号

新浪科技讯 北京时间9月29日早间消息,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。 Facebook CEO马克·扎克伯格(Mark Zuckerberg)称:“这是个非常严重的安全问题,我们正在非常认真地对待。” 在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。 Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。 View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的,而此次发现的漏洞包含了三个不同的bug,黑客可利用这个漏洞获取“访问令牌”(access token),从而控制其他用户的账号。 近5000万个用户账号的“访问令牌”已被黑客获取,但Facebook已对其进行了重置。在过去一年时间里,Facebook还已对另外4000万个使用View As功能的用户账号的“访问令牌”进行了重置,以此作为预防措施。也就是说,Facebook总共已对9000万个用户账号进行了重置,在截至6月30日的22.3亿名Facebook活跃用户总数中所占比例约为4%。 在“访问令牌”被重置后,用户需在登录时重新输入密码,此外还将在“信息流”(News Feed)中收到通知说明。 另外,Facebook还将暂时关闭View As功能,将对其安全性进行审查。Facebook在美国当地时间周四晚上称其已经修复了这个漏洞,并已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data Protection Commission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。 Facebook称,用户没必要更改密码。如果有更多账号受到影响,则Facebook将马上对其“访问令牌”进行重置。Facebook重申,该公司将把致力于改进安全性的员工人数从1万人增加至2万人。 扎克伯格表示:“安全问题是场军备竞赛,我们正在继续改善自己的防御能力。”   稿源:新浪科技,封面源自网络;

苹果并不绝对安全 iPhone 可能泄露企业 WiFi 密码

网易科技讯 9月27日消息,许多企业都青睐苹果设备,其中一部分原因就是苹果公司的iPhone和Mac在安全方面有着出色的表现。 就在上周,福布斯杂志透露民主党全国委员会(民主党全国委员会)正在放弃Android,转而使用iOS设备,因为人们担心在中期选举中出现黑客攻击行为。 但苹果设备并不完美。 研究人员周四声称,他们发现了一种通过苹果的产品窃取商业Wi-Fi和应用密码的新方法。 他们破解了苹果旨在帮助公司管理和保护iPhone和Mac的技术。 最近被思科以23.5亿美元收购的安全公司Duo Security的研究人员称,软件漏洞问题在于苹果的设备注册计划(DEP)的开放性。 他们发现,通过在DEP系统中注册恶意设备,可以窃取Wi-Fi密码和更多内部商业机密。 利用Apple的开放性 虽然研究人员利用了苹果的注册技术,但iPhone制造商苹果确实支持在DEP上注册iPhone时的用户身份验证。 但苹果并不绝对要求用户证明他们是谁。 这取决于使用技术的公司对实名注册是否有要求。 注册iPhone设备后,研究人员需要在独立的移动设备管理(MDM)服务器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的服务中。 当使用苹果技术的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM服务器上设置的,真实设备的已注册DEP序列号。 研究人员说,这可以通过员工的社会工程检索来获取,也可以检查人们经常发布序列号的MDM产品论坛。 最传统的“暴力破解”方法也可行,计算机可以在DEP上搜索所有可能的数字,直到它击中正确的数字,这是效率最低的一种选择。 然后,攻击者可以使用所选的序列号在MDM服务器上注册他们的恶意设备,并作为合法用户出现在目标公司的网络上。 据研究人员称,随后他们就可以检索受害者业务中的应用程序和Wi-Fi密码。 但是有一个重要的警告:攻击者必须抢在合法员工之前将他们的设备注册到公司的MDM服务器上。 因为MDM服务器每个序列号只能注册一次。 但这可能性实际上还是很大的。 本周晚些时候在布宜诺斯艾利斯举行的Ekoparty会议期间提出攻击技术的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索过去90天内生产的所有设备的序列号。 他告诉福布斯杂志:“你找到尚未注册的设备绝对是可行的。“ 不要放弃MDM 巴克莱补充道:“总的来说,这并不意味着你不应该使用DEP或MDM。这些服务提供的好处超过了具有的风险。但苹果和客户可以采取措施来减少这种风险。” 在一篇论文中,研究人员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上使用加密技术,在注册DEP时唯一识别该设备。 他们补充说,苹果也可以采用更强大,强制性的身份验证。 巴克莱说,袭击方法是在5月向苹果报道的。 苹果没有透露是否会因研究成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些攻击没有利用苹果产品中的任何漏洞。 发言人表示,苹果关于注册设备的说明手册是建议开启身份验证的,许多MDM提供商建议或要求采取此类安全措施。 但巴克莱认为,苹果公司将进行更新以防止此类攻击。 “我不能代表他们计划做什么,但我相信会做出一些改变。”   稿源:网易科技,封面源自网络;