分类: 网络安全

Facebook 将在 2021 年提供新的账户安全选项

Facebook安全政策负责人Nathaniel Gleicher告诉Axios,Facebook明年计划为那些想要采取额外措施保护自己账户的用户提供安全密钥的移动端支持。Facebook明年还将把Facebook Protect安全计划扩展到更多类型的账户。该计划将提供给记者、人权维护者和名人等弱势用户,也将提供给所在国即将举行重大选举的用户。 Facebook Protect包括额外的安全功能,比如双因素认证和对潜在黑客威胁的实时监控。到目前为止,它只在美国向政治家、政党官员、政府机构、选举工作人员以及任何拥有蓝色认证标志的Facebook页面、参与选举过程的人提供。安全密钥建议用于高知名度的账户,但将提供给任何想要安全密钥的Facebook账户持有人使用。 Facebook正在考虑向决策者等公众人物发送安全密钥。用户将能够从各种零售商那里亲自或在线购买密钥,然后将能够在Facebook上注册它们。但是。虽然硬件密钥是一种久经考验的安全控制手段 但它们也不是无懈可击的,它们可能会丢失或被盗。 正是因为这个原因,Gleicher建议拥有高知名度账户的用户同时使用Facebook Protect和安全密钥。Facebook认为其2016年最大的改进之一是,它阻止了不良行为者黑客入侵真实账户或创建假账户传播虚假信息。Facebook认为用户必须保护账户,因为每一个被泄露的资产除了给人们造成直接的伤害外,还可能成为不良行为者事后利用的工具,造成更大的伤害。 从数字上看。在2020年,Facebook估计,超过70%与美国大选密切相关的人开启了双因素认证。虽然Facebook提示许多用户,如州和选举官员、候选人和党派领导人注册该功能,但最终还是依靠与选举密切相关的工作人士选择加入该项目。除了这些安全保护措施,Facebook表示还将扩大对安全威胁的公开报告。Gleicher表示,公开披露不同的影响行动或黑客企图,有助于阻止和减缓不良行为者。         (消息及封面来源:cnBeta;)

美科技公司联盟力挺 WhatsApp 诉以色列 NSO Group 间谍软件案

去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。 最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出,NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备,受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限,从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置,窃听消息、呼叫,以及照片、文件等私密内容。 通常情况下,攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下,NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前,该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在,由微软(及其子公司 LinkedIn 和 GitHub)代表的这一联盟,已经向法院方面施加了更大的压力。 其指出,间谍软件和相关工具的开发与交付不仅降低了普通人的安全感,也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示,NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼,帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时,NSO Group 方面尚未就此事作出回应。         (消息及封面来源:cnBeta;)

EFF:美国政府正以加密货币为目标 扩大其金融监控的范围

电子前沿基金会(EFF)周一发文称,从公民自由的角度来看,加密货币最重要的一个方面是它们可以为用户提供隐私保护。但EFF担心,美国政府越来越多地采取措施破坏加密货币交易的匿名性,并将传统银行系统的广泛金融监控导入加密货币。 上周五,美国财政部金融犯罪执法网络(FinCEN)宣布了一项拟议法规,该法规将要求货币服务企业(其中包括加密货币交易所等)收集使用自助加密货币钱包或国外交易所与其客户进行交易的人的身份数据。拟议的法规将要求他们保留这些数据,并在某些情况下(例如,当一天内的交易金额超过某个阈值时)将其交给政府。 该提案似乎旨在成为在本届总统任期结束前推动通过的午夜法规,因为其15天的评论期异常短暂,且恰逢假期。该法规的作者写道,需要这个短暂的评论期来应对这些技术对“美国国家利益的威胁”,但他们没有为这一说法提供事实依据。 虽然EFF仍在审查该提案,但有几个初步的担忧。首先,该法规将意味着在自己的钱包中存储加密货币的人(而不是使用专业服务)将实际上无法与在货币服务企业存储加密货币的人进行匿名交易。该法规很可能会扼杀使用自营钱包进行现金隐私交易的能力。 其次,对于一些加密货币,如比特币,交易数据–包括用户的比特币地址–会永久记录在公共区块链上。这意味着,如果知道与特定比特币地址相关联的用户的名字,就可以搜集人们使用该地址的所有比特币交易信息。因此,拟议的法规要求货币服务企业收集与钱包地址相关的识别信息,这意味着政府可能会获得大量的数据,而不仅仅是法规声称的覆盖范围。 第三,该法规可能会阻碍更广泛地采用自托管钱包和依赖它们的技术,或者至少使这些技术难以与交易所等中介机构整合。该法规使自托管钱包用户与拥有受该法规约束的服务提供的钱包的其他用户进行无缝互动的难度大大增加。根据拟议的规则,这些托管钱包服务将不得不收集在某些情况下与其客户进行交易的自助钱包用户的某些信息。这可能会使智能合约等某些自动交易变得复杂,或者在涉及分散式交易所的场景中难以实施。尽管名字很好听,但 “钱包 “并不仅仅是个人的货币存储:它们是个人和计算系统在不依赖机构的情况下持有和发放货币的一种方式。为这些类型的交易增加摩擦,破坏了该技术在让个人控制其财务方面的重要性。它还可能会扼杀创新者创建具有广泛合法用途的去中心化金融平台的能力。 第四,虽然拟议的规则旨在简单地将涉及现金交易的现有法规适用于加密货币,但它们忽视了这些数字金融工具的存在部分是为了提供与传统现金相同甚至可能更多的金融隐私和匿名性。在这方面,拟议的法规是美国政府将传统银行系统的金融监控扩展到加密货币的更大令人不安的趋势的一部分。这项提案是在司法部公布其加密货币执法框架两个月后提出的,该框架非常清楚地表明,司法部希望破坏加密货币用户匿名交易的能力。 框架指出,仅仅使用Zcash和Monero这样的隐私币就“表明可能的犯罪行为”。框架还表示,操作混乱的人使加密货币交易更难追踪,可能要承担洗钱的刑事责任。金融监管机构,就像美国国家安全局一样,显然怀疑任何试图保护自己金融隐私的人都在做一些非法的事情。 该框架还针对去中心化交易所。去中心化交易所通常是一种开源软件,允许人们在没有其他方参与的情况下直接相互交换加密货币。司法部表示,这些项目必须向FinCEN注册,并且必须 “收集和维护客户和交易数据”,否则将受到民事和刑事处罚。 今年其他令人关注的事态发展包括:第五巡回法院决定,执法部门不需要获得搜查令就可以从加密货币交易所获得金融交易数据,以及FinCEN提议将机构必须收集和存储交易数据的门槛从3000美元降至250美元(加密货币或法币),以履行 “Travel Rule “义务。 这些发展是对私人在线交易能力的攻击,并试图将传统银行系统的广泛金融监控扩展到加密货币。金融记录包含了人们个人生活、信仰和所属机构的敏感信息。尽管如此,法院和立法者还是允许对传统银行系统进行广泛的无证金融监控。的《银行保密法》要求银行保存财务记录,因为这些记录对调查很有用,1976年,最高法院(在U.S. v. Miller案中)允许政府在没有搜查令的情况下获取银行客户的数据。EFF对美国政府试图将这种监控扩大到包括加密货币交易感到担忧。 加密货币之所以重要,还因为它能抵御审查。许多传统的金融中介机构进行了任意的金融审查,切断了成年人社交网络、成年人书商和有争议的网站对金融机构的访问,即使这些服务没有违反法律。 美国监管机构最近的行动,包括这次新的规则制定建议,有可能破坏点对点技术提供的隐私和公民自由保护。该规则制定要求公众在2021年1月4日前提出意见。EFF希望公民自由团体和希望保护其金融隐私的个人能够提交反对这一规则提案的意见,尽管事实上,部分原因是这一突然的截止日期。       (消息来源:cnBeta;封面来源于网络)

Twitter 因违反数据保护条例被欧盟罚款 55 万美元

据报道,爱尔兰数据保护委员会(DPC)今日对Twitter处以45万欧元(约合54.7万美元)的罚款,原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》(GDPR)的规定,及时公布并妥善记录一起数据泄露事件。 分析人士称,这一罚款决定备受关注,因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构,目前正在调查20多起案件,涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月,调查发现,Twitter违反了GDPR第33(1)条和第33(5)条之规定,没有及时向DPC通知违规行为,也没有充分记录违规行为。为此,DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布,正在对Twitter的数据泄露事件发起调查。在此之前,DPC接到Twitter的通知,称发生了数据泄露事件。 GDPR规定,大多数违反个人数据的行为,必须在管制员察觉到违规行为后72小时内,通知给有关监管机构。此外,该规定还要求服务提供商记录涉及哪些数据,以及他们是如何应对安全事件的,以便相关数据主管可以检查其合规性。 而对于本事件,Twitter同时违反了上述两条规定。根据GDPR规定,违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚,具体以数额更高者为准。 值得一提的是,受DPC调查的影响,Twitter也从中吸取了教训。今年7月,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定,也正值一个关键期,即欧盟稍晚些时候将推出两部新的法规,《数字服务法案》(Digital Services Act)和《数字市场法案》(Digital Markets Act),以急速区域数字化。 上周,法国数据保护机构“国家信息与自由委员会”(CNIL)曾宣布,对谷歌处以1亿欧元(约合1.21亿美元)的罚款,原因是其搜索引擎对Cookie的管理方式不当。此外,CNI还对亚马逊处以3500万欧元的罚款,原因是未经用户同意在他们的电脑上放置了Cookie。         (消息及封面来源:新浪科技)

苹果隐私标签打脸 Facebook :收集信息超级多

据报道,本周早些时候苹果更新App Store,里面开始显示App收集的用户数据类型。其中,Facebook收集的信息格外引人关注。App Store标签显示Facebook收集多种用户数据,光是标签长度就有好几页。在过去5年里,苹果与Facebook的冲突越来越严重,因为它们有着不同的业务模式。 苹果是一家硬件公司,靠销售硬件赚钱。最近几年苹果越来越重视隐私,这使得一些公司收集用户数据越来越困难,重视隐私也成为了苹果产品的一大竞争优势。 Facebook不一样,它靠广告赚钱,只有获得用户信息才能帮广告主发送定向广告。Facebook指责苹果大打隐私牌实际是为了追求利润。Facebook还解释称,它的App和网站都有隐私设置,用户可以自己设定隐私选项。 上周,Facebook子公司WhatApp也指责苹果,说隐私标签不利于竞争,因为一些苹果应用预装到iPhone,它们在程序店没有隐私清单或者隐私标签。 到底隐私标签里面有什么信息呢?在App下载页面可以看到App收集的数据,主要分两类,一类是“用来追踪你的数据”,另一类是“与你有关的数据”。 看看Facebook收集的数据,它会用通讯录信息、标识符及其它信息追踪用户,或者帮助其它App、网站发送定向广告;另外它还会收集许多与用户身份有关的信息,比如健康健身信息、采购信息、地理位置信息、联系人信息。 如果点击并查看详细信息,那就更是触目惊心了。页面显示,Facebook会用金融信息、用户内容发送定向广告,并为Facebook自己的分析服务收集敏感信息。 Facebook隐私标签之所以给人留下深刻记忆,可能最重要的还是它的长度,在手机上居然要几屏才能显示完。由此可见,Facebook收集的信息真的很多。         (消息来源:cnBeta;封面来自网络)

微软希望客户对近期频繁发生的国家级网络攻击事件保持高度警惕

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击,微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前,微软尚未在相关调查中发现自家产品或云服务有漏洞被利用,但该公司还是在一篇博客文章中发出了提醒,希望客户能够采取切实有效重要步骤,以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节,比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞,后续黑客可能以此为跳板,在网络中获得更高的权限。 其次,攻击者或利用本地窃取的管理员权限,获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌,假扮组织内任何现有用户的账户,甚至染指特权较高的账户。 为应对此类异常登录,建议客户在网络系统上进行适当的安全配置,以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书,组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后,攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中,从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题,微软将在完整版的 2020 数字防御报告中进行阐述。       (消息及封面来源:cnBeta)

新报告:越来越多的企业选择众包网络安全计划

根据 Bugcrowd 公布的 2020 年最新报告,越来越多的企业选择部署众包网络安全计划,以便于及时应对不断变化的网络威胁。在过去 12 个月里面,Bugcrowd 发现在其平台上的提交量增加了 50%,其中 Priority One (P1,指最关键的安全漏洞) 提交量增加了 65%。 和 2019 年全年相比,前 10 个月的漏洞提交量增长了 24%。在整个行业中,计算机软件公司支付的提交费用几乎是其他行业的五倍。最值得注意的是,软件行业的 P1 提交量在2020年几乎增加了两倍。 Bugcrowd 的首席执行官 Ashish Gupta 表示:“我们的 Priority One 报告结果清晰地表明,所有行业的领先组织都在接受众包安全作为其安全战略的核心要素。对比过去两年的数据,我们发现,由于快速的数字化转型和COVID-19大流行造成的威胁增加,众包网络安全正在快速增长。漏洞提交量上升,其中关键漏洞数量较多,总赔付额每季度以15%-20%左右的速度稳步增长”。 在2020年提交的前10个漏洞中,有8个–由Bugcrowd的漏洞评级分类法(VRT)评定,这是一个广泛使用的开源标准,为每个通过Bugcrowd平台提交的漏洞提供基准风险评级–也出现在2019年的榜单上。这表明,管理已知的风险对大多数企业来说仍然是一个挑战。       (消息及封面来源:cnBeta)

Pay2Key 勒索软件组织宣称从英特尔 Habana 实验室盗取了 53 GB 的数据

Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称,英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露,这位身份不明的作者表示,这些数据可能包括活动目录信息和相关密码,以及该公司Gerrit服务器的全部内容,据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称,Pay2Key勒索软件此前并未出现过。它表示,该名称已于6月在加密身份服务KeyBase.io注册,该勒索软件于10月开始出现。 据报道,自那以后,据Check Point称,至少有三家以色列公司被这种数据绑架软件感染,还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机,对发现的文件进行加密,然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件,也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示,Pay2Key组织进行 “双重敲诈”,威胁解密文件并公开发布,以此向受害者施压,迫使其付款。到目前为止,要求支付的赎金一般在7到9个比特币之间,目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是,过去的赎金支付是通过Excoino进行的,Excoino是一家伊朗加密货币交易所,拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         (消息来源:cnBeta;封面来源于网络)

新法案将剥夺美国《通信正派法》第 230 条对网络平台的保护措施

美国国会两党提出了一项法案,该法案将取消对 “从事某些操纵行为”的公司的第230条法律保护,但实际上,将剥夺美国几乎所有与用户互动的互联网场所的保护。《通信正派法》第230条规定,网络平台可以为他人在其网站上发布的内容免于承担责任。这些保护措施让早期的平台得以蓬勃发展,但却受到了立法者和监管机构的关注。 众议员Tulsi Gabbard(D-HI)和众议员Paul Gosar(R-AZ)周三提出的《2020拆分科技巨头法案》(Break Up Big Tech Act of 2020)旨在剥夺公司的这一保护伞,一旦法律实施,如果他们采取所谓的行动如 “充当出版商和审查某些用户”,就会受到监管。 Gabbard议员和Gosar议员都将该法案定位为阻止所谓的审查用户和意见的方式。法案中也有一些内容是为了遏制定向广告和用户数据的商品化。”这项法案取消了服务提供商利用法律豁免权行事而不受惩罚的情况,同时为那些提供真正中立的社交媒体平台或搜索引擎而不使用操纵算法的人保留第230条保护。”Gabbard说。 更具体地说,该立法将取消对从事以下活动的网络公司的第230条保护: 在未经用户同意的情况下出售和显示目标广告。 为 “直接销售交互式计算机服务以外的商业目的”收集数据。 “通过’将物品放入商业信息流’而实现实际上的平台地位。 采用数字产品,目的是让用户”参与并沉迷于”该服务。 作为出版商,使用算法在没有用户选择的情况下对内容进行控制或审查。 该提案的范围足够广泛,因此限制适用于任何承载广告的场所–即使是来自谷歌线上广告市场的交易,也不是直接委托的–同时也有评论区或其他方式让用户对该场所发布的内容做出反应,或由其他用户分享。 近年来,第230条已经成为政治目标。例如,共和党人认为社交媒体公司在审查保守观点,而民主党人则认为当社交媒体公司扩散错误信息或误导性内容时,第230条就会对其进行保护。在实际操作中,随着230条款改革的提出,各场所将进行更多的节制,以保证它们仍然属于该法规的法律保护范围。 早在10月,联邦通信委员会主席Ajit Pai就表示,联邦通信委员会有能力解释法律,并表示计划这样做。9月,司法部概述了将改变某些230条款保护的立法。 唐纳德·特朗普总统在2020年早些时候签署了一项行政命令,因为Twitter将他的一条推文标记为误导性。在竞选活动中,当选总统乔·拜登也表示,他支持撤销该法律。 Facebook的马克-扎克伯格(Mark Zuckerberg)、谷歌的桑达尔-皮查伊(Sundar Pichai)和Twitter的杰克-多西(Jack Dorsey)都在2020年早些时候在国会作证,为第230条和其带来的审查制度的指控辩护。对保护措施的批评也浮现在本应在7月举行的反垄断听证会上。           (消息及封面来源:cnBeta)

美国一 COVID-19 数据泄露者住宅遭警方突袭并被没收计算机

据外媒报道,8个月前,白宫新冠病毒特别工作组的Deborah Birx称赞佛罗里达的COVID-19仪表盘是“我们需要把知识和力量交到美国人民手中”的一个例子。据悉,该仪表盘由Rebekah Jones打造。然而在今年5月的时候,Jones被佛罗里达州卫生部门解雇,据称是因为其拒绝操控这些数据来证明该州能重新开放。 现在,佛罗里达州立警方突袭了她的家并拿走了她用来维护一个其个人版的新、独立COVID-19追踪的设备。 Jones在Twitter上发布了一系列关于这一事件的信息,其中包括一段警察持枪进入其房子的视频。 佛罗里达州执法部门(FDLE)向Miami Herald和Tallahassee Democrat证实,警方突袭Jones住宅的时候持有搜查证并没收了她的设备。 Tampa Bay Times上月报道称,有人神秘地向该州紧急公共卫生和医疗协调小组发送了一条未经授权的信息,上面写着“在1.7万人死亡之前大声说出来吧”。你知道这是错的。你不必参与其中。成为一名英雄。趁还来得及说出来。” 根据FDLE提供给媒体的一份宣誓书,执法部门认为是Jones或其住宅内的某个人发送了这条信息的。 尽管上个月有迹象表明该系统可能已经被黑客入侵,但它显然并没有特别强大的安全性:证词称所有的注册用户共享有相同的用户名和密码。 Jones没有立即回应记者的置评请求,但她在Twitter发文称,她买了一台新电脑并将继续更新她的新网站。       (消息来源:cnBeta;封面来自网络)