分类: 推荐阅读

美国最新提案:入境旅客须填社交账号以便“背景”审查

除了提供自己的身份证件和旅行证件,今后进入美国的外国游客将被要求提供 Twitter 和 Instagram 等社交账户账号。12 月 19 日,美国政府已经通过了国土安全部提交的新提案,要求旅客在进入美国的边境核查单上填写自己的社交媒体账户名称,但是不会要求提供密码。美国国土安全部识别和抓捕试图进入美国恐怖分子的最新尝试,主要用于反恐及安全考虑。 早在今年六月,美国国土安全部就提交了该提案,要求更新入境申请表。申请者需说明自己使用哪些社交媒体和社交媒体帐号,使用者名称等等。但此项目属于选填项( optional ),申请者可自行决定是否需要填写这些资料。此项规定将针对所有非美国公民,即使是那些通过免签证计划进入美国的游客。这些信息将连同指纹,面谈等数据被收集进入数据库检查。尽管这些信息是可自由选填,但赴美游客很难不填写这些资料,因为他们担心可能因此无法入境美国。这是美国国土安全部识别和抓捕试图进入美国恐怖分子的最新尝试。收集社交媒体数据将提升现有的调查过程,并为美国国土安全部提供关于恐怖活动更大的清晰度和能见度。 稿源:cnbeta 有删改,封面来源:百度搜索

俄国大使遇刺 苹果被拖下水:必须解锁刺客 iPhone 手机

当地时间 12 月 19日晚间,俄驻土耳其大使在土耳其首都参加艺术展开幕式时遭枪击后身亡。虽然随后刺客被击毙,但调查仍需要继续,刺客生前所使用的手机成为了重要的突破口。苹果现在就被拖入此案件当中,因为刺客使用的正是一部 iPhone 4S。根据 MacReports 的报道,案件发生之后当地官员就向苹果发出了解锁手机的要求,但目前苹果还没有回应。 当地媒体表示,从以往的办事风格来看,苹果很有可能会拒绝土耳其当局的要求。不过媒体也透露,如果苹果拒绝,那么俄罗斯当局将会插手解锁 iPhone 一事。报道称,一名土耳其官员已经证实,俄罗斯目前正在计划往土其耳派遣一支特别的技术团队,其目的就是解锁刺客所使用的 iPhone 4s。 稿源:cnbeta 节选,有删改;封面:百度搜索

针对 WordPress 站点的暴力破解攻击在 12 月猛增

安全公司 Wordfence 发现针对 WordPress 网站的暴力破解攻击已经显著增多。攻击者尝试猜测网站的用户名和密码从而登录管理员后台。 安全公司 Wordfence 称在 10 月 16 日至 11 月 24 日之间,每天遭暴力攻击站点的数量在五十万以下。然而,11 月 24 日开始,每天遭攻击站点的数量开始猛增,甚至有几天攻击次数超过 70 万。 安全公司表示,每天拦截到的暴力破解攻击的次数也高达 2300 万。 攻击的 IP 地址也从 13000 上升到 30000 。 被攻击的目标中,乌克兰占被攻击的比例最大( 15.7% ),其次是法国( 11.1% ),俄罗斯( 6.8% ),美国( 6.6% ),印度( 5.8% ) ,中国( 4.2% ),德国( 3.2% ),意大利( 2.4% )和英国( 2.2% )。 最近,安全公司 RIPS 技术人员还分析了 WordPress 官方插件目录中的 44705 个插件,发现超过 8800 个 WordPress 插件存在漏洞。 稿源:本站翻译整理,封面来源:百度搜索

德国出台新政策:Facebook 将因假新闻支付 50 万欧元的罚金

据外媒报道,在假新闻这个问题上,看起来德国政府对 Facebook 没有太大的信心。日前,德国方面出台了新的社交媒体平台假新闻惩罚机制:Facebook 以及其他社交媒体如果没能移除掉其平台上的假新闻或仇恨言论,那么它们将可能要面临 50 万欧元的罚金处罚。 虽然从字面上来看,这项新规针对的是所有社交媒体平台,但社会民主党议会主席Thomas Oppermann却在提供给《明镜周刊》的讲话中单独指出了Facebook。 “Facebook 并没有好好利用自身投诉管理系统问题的监管机会。现在,像 Facebook 等这样统治着市场的平台将需要在德国设立一间能够全天候运转的法律保护办公室。 如果,在对应的检查之后,Facebook 仍旧没能在 24 小时内删除掉违规信息,那么它将可能要被处以最高为 50 万欧元罚金的处罚。另外,在被殃及到的人的要求之下,( Facebook )还将要采取一定形式的补救或纠正措施。” 稿源:cnbeta.com有删改,封面来源:百度搜索

瑞典专家研制新设备: 30 秒破解 Mac 电脑 FileVault 全磁盘加密

据外媒报道,瑞典安全专家 Ulf Frisk 研制了一个新设备,可以在睡眠或锁定状态下通过物理方式窃取苹果电脑密码。 Frisk 称通过 MAC 雷电( Thunderbolt )接口连接一个成本为 300 美元的黑客设备即可完成操作。该方法还没有通过 Mac 的 USB Type-C 尝试,但很有可能仍然有效,因为该漏洞存在于 FileVault2 中。 FileVault 全磁盘加密 (FileVault 2) 使用 XTS-AES 128 加密可防止他人在未经授权的情况下访问您启动磁盘中的信息。 密码以明文形式存储在内存中 由于 Mac 允许 Thunderbolt 设备读写内存,所以某些硬件子系统(外设),可以独立地直接的读写系统内存,不需要 CPU 的介入处理。碰巧,加密磁盘的密码以明文形式存储在内存中,即使在锁定时也是如此,并且当系统重新启动时,密码被存储在相对固定的内存位置,使得黑客设备可以读取该密码。黑客只需将特殊的设备连接 Mac 雷电接口和另一台电脑进行物理访问,然后重新启动 Mac,密码就会在另一台电脑上出现。 这意味着,任何人利用该套设备再加一套连击 ctrl+cmd+power ,30 秒即可知道你电脑的密码。 不过,苹果已经在刚刚升级的 macOS 10.12.2 系统中修复了该漏洞。 稿源:本站翻译整理,封面来源:百度搜索

Evernote 新隐私条款允许雇员访问未加密笔记,明年 1 月生效

近日 Evernote 官方发布 隐私条款更新说明,为了进一步优化提升 Evernote 的使用体验,公司会将机器学习技术用于分析帐户数据,因此不可避免需要人工审核部分数据以确保系统正常运行。Evernote 表示,此次隐私条款的更新不影响 Evernote 三大数据保护法则: 数据是用户的; 数据是受保护的; 数据是可转移的。 Evernote 已在公司各个层面进行严格规定,确保用户数据的所有权严格属于用户自己,只有用户进行分享操作后,这部分数据才是共享的。 然而,这是否意味着所有 Evernote 员工都可以访问用户数据呢?Evernote 给出了否定的答案,并表示公司会将权限控制在尽可能小的范围内,并严格限制可以访问的数据类型和范围。只有在隐私条款限制范围内、并且是为了履行用户或业务的需求时,才可以进行有限的访问。 使用 Evernote 桌面客户端(如 Windows 或 Mac 版)的用户可以对笔记内的任何文本进行加密,被加密的部分只有输入密码后才能看见,不会参与到机器学习功能的分析中。 稿源:Evernote ,封面:百度搜索

黑客手段更加成熟 SWIFT 确认全球银行转账系统存风险

环球银行金融电信协会( SWIFT )近期向世界各地的银行警告称,自今年 2 月黑客盗走孟加拉国中央银行的 8100 万美元存款以来,多起瞄准全球银行转账系统的黑客攻击已经成功盗走多笔资金。SWIFT 表示,如今黑客的手段已变得更加成熟,各家银行需对此提高警惕。SWIFT 在上月初向银行致信,就日益严峻的黑客攻击活动向后者发出警告。这些攻击和新的黑客策略凸显出,SWIFT 的消息网络正面临着持续的威胁。 SWIFT 在信中表示:“该威胁非常顽固、多变和复杂——它将一直持续下去。” 这些披露的信息也证明了,在孟加拉中央银行存于纽约联邦储备银行的资金被盗将近一年之际,SWIFT 仍然处于黑客攻击的风险中。这起空前的网络盗窃活动促使全球各地的监管者收紧了银行安全要求;同时,FBI、孟加拉当局和国际刑警组织正在对事件进行调查。 上周四,SWIFT 的客户安全项目主管史蒂夫·吉德戴勒在接受路透社的采访时称,自孟加拉银行盗窃案以来,使用 SWIFT 网络的银行(包括中央银行和商业银行)一直受到大量的攻击,其中约五分之一的攻击导致资金被偷。 一位孟加拉警方调查人员周一向路透社表示,一些中央银行高管故意暴露了银行的计算机系统,导致被盗案发生。他拒绝透露这些高管的身份和人数,但表示或很快采取逮捕行动。 稿源:cnbeta,有删改,封面来源:百度搜索

Tor 开发者发布首个沙盒“内测”版 Tor 浏览器

据外媒报道,上周末,匿名浏览器 Tor 的开发者发布 Tor 浏览器沙盒版的首个 Alpha 版本。 Alpha 版本指产品仍然需要完整的功能测试,而其功能亦未完善,但是可以满足一般需求。 沙盒是一种安全机制,为运行中的程序提供隔离环境。Tor 浏览器沙盒版旨在隔离 Tor 进程与操作系统的其他进程,并限制交互过程以及 API 查询,防止暴露真实的 IP 地址、MAC 地址,计算机名等信息。 此前,FBI 就专门针对 Tor 浏览器“缺陷”调查、追踪匿名用户浏览儿童色情网站案件,FBI 曾利用 Firefox 漏洞通过网络调查技术获得访问该网站 Tor 用户的 IP 地址和 MAC 地址。 目前,该浏览器只适用于 Linux 发行版本,二进制版本将会在本周晚些时候发布。开发者将 Tor 相关最新代码发布在 GitHub 上。 Tor 沙盒项目从今年 9 月起开始开发,十月份开发出雏形。 稿源:本站翻译整理,封面来源:百度搜索

惊呆了!POS 机贴挡风玻璃上成功刷走 ETC 信用卡

现在许多汽车车主都会选择使用 ETC 信用卡,此类信用卡最大的优点是让车主在通过高速路收费站时能走 ETC 快速通道,自动扣取路费无需人工操作,省时省力。一般银行都默认为 ETC 信用卡开通 200 – 300 元的免密支付功能,而日前网上曝光的一段小视频显示,似乎有人利用这一普遍现象从中获取非法利益。 视频中一人用一台移动 POS 机在进行刷卡收费金额确认的操作后,将 POS 机贴在 ETC 信用卡附近的汽车挡风玻璃上,便成功刷走卡里的 100 元。操作者展示了上述流程结束后产生的签购单,底部显示“交易金额未超 300 元,免密免签”。 目前该视频的真实性还未得到确认,不过广大车主还是留个心眼比较好,当无需使用 ETC 信用卡时,注意将其收起。 中国银联连夜回应 ETC 盗刷视频:涉嫌犯罪 可申请补偿 银联专家表示已经注意到网上流传的相关视频,在此提醒持有加载金融功能 ETC 卡的持卡人,注意保管好自己的银行卡片。对于这类长期离身的卡片,持卡人可以给发卡机构打电话,关闭 ETC 以外的功能。视频案例中不法分子利用了银联卡小额免密的功能,在特定场景下实施不法行为涉嫌刑事犯罪,视频中 POS 机具的使用也违反了《银行卡收单业务管理办法》中的相关规定,或将面临行政及刑事处罚。 中国银联提醒:中国银联已联合各商业银行为持卡人提供了小额免密免签专项风险保障服务。持卡人一旦发现异常的免密免签交易,可以第一时间联系发卡银行申请补偿。因双免交易产生的否认交易,都可以得到赔付。 稿源:cnbeta,腾讯新闻;封面:百度搜索

苹果为 iCloud 日历“垃圾邀请”推出举报功能

过去几周,苹果 iCloud 用户一直受到日历垃圾活动邀请的骚扰。苹果称已经意识到这个问题并着手解决。近日,苹果升级了其网页版 iCloud 服务,增加了一个“报告垃圾活动邀请”的功能。这个功能可以让用户删除垃圾邀请并将发送者信息向苹果报告以开展进一步调查。目前该功能只在 iCloud.com 网页版日历应用上可用,不过相信不久苹果就会在 iOS 版和 Mac 版的系统更新中加入此项功能。 收到此类垃圾邀请信息的骚扰,可以通过登录 iCloud.com 网页,通过该功能删除垃圾邀请,然后系统会自动同步到你所有使用该 iCloud 账号的 Mac 电脑和 iOS 设备上。 操作方法如下: (1)登录 iCloud.com,进入日历 Calendar 界面 (2)点开一个垃圾邀请,弹出窗口中点击 “Report Junk” 链接 (3)该垃圾信息将会从你所有同步的日历中删除,并将发送者信息发送给苹果。 稿源:cnbeta.com,有删改,封面:百度搜索