标签: 亚马逊

亚马逊 Facebook 等支持美国政府制定现代化的数据隐私法

包括Facebook、亚马逊和Alphabet等成员在内的美国互联网协会(The Internet Association)今日表示,支持美国政府制定现代化的消费者数据隐私法,但希望这部法规是全国性的,从而取代加州2020年即将生效的新隐私法规。除了Facebook、亚马逊和Alphabet,美国互联网协会其他成员还包括Netflix、微软和Twitter等。该协会周二称:“互联网公司支持一部全国性的法案来保护所有美国消费者的隐私。” 美国政府今年7月曾表示,正在新的消费者数据隐私政策,并且已开始与主要公司进行接触。美国互联网协会称,这样一部法规应该允许消费者对自己的数据进行有效控制,包括个人信息如何被利用,以及被哪些第三方所利用。此外,消费者还有权要求删除或更正自己的数据。 另外,美国互联网协会还向立法人员表示,在通知用户、制定隐私性能标准和数据安全保护等方面,应赋予互联网公司足够的灵活性。而且,这部法规应该适用于所有行业,而不仅仅是科技公司。 如今,由于大规模的消费者数据被泄露事件频发,数据隐私日益成为一个重要的话题。今年6月,加州市长杰里·布朗(Jerry Brown)签署了新的数据隐私法,赋予消费者对个人信息以更多的控制权。该法规将于2020年生效。 但美国互联网协会总裁兼CEO迈克尔·贝克曼(Michael Beckerman)认为,加州把这个问题弄错了,因此希望美国政府能提前推出一部全国性的数据隐私保护法。 此外,美国商会上周也公布了自己的隐私指导原则,旨在颠覆加州的新法规。   稿源:新浪科技,封面源自网络;

亚马逊计划 2020 年初彻底抛弃甲骨文专有数据库

北京时间 8 月 2 日上午消息,亚马逊在数据中心技术提供商这条路上的发展日渐将不少自己长期以来的供应商变为了难以共融的竞争对手,甲骨文(Oracle)即其中之一。最近,亚马逊正在考虑对甲骨文的新一轮打击。据知情人士透露,这家电子商务巨头已经将公司大部分内部基础设施转移到亚马逊网络服务(AWS),并计划于 2020 第一季度彻底移除甲骨文的专有数据库软件。 这一转变亦标志着亚马逊在企业计算领域的快速崛起,并进一步显示了在企业不断将工作转至云平台并抛弃传统数据中心这一过程中甲骨文的艰难挣扎。得益于 AWS 的发展(第二季度该业务的营收增长高达 49%),亚马逊在今年初超越 Alphabet 成为全球价值第二大的上市公司。 与此同时,甲骨文的规模与四年前大致相同,股价稍高于 2014 年底时的价格。报道刚出时,甲骨文的股价小降 1%。 五年前,亚马逊就开始计划移除甲骨文,一名要求匿名的知情人称。亚马逊的部分核心购物业务目前仍依赖于甲骨文,整个迁移过程大概需要 14-20 个月。另外一位人士则称,转移开始的前几年,亚马逊就已经开始考虑放弃甲骨文,但当时的决定是过早行动可能会需要较多的工程工作而且收效甚微。 知情人士称,亚马逊使用甲骨文时面临的一个主要问题时,后者的数据库技术无法扩展以满足亚马逊的性能需求。另外一人表示,此举或将于 2019 年中旬完成,并补充说,依赖甲骨文数据库的新技术在相当长一段时间内没有任何开发。 亚马逊的基础设施显然也不是万无一失的。上个月的亚马逊 Prime Day 购物狂欢期间,公司对容量升级的持续需求差点造成一场危机,公司的系统被证实无法处理突发的流量激增。 购物者报告了许多试图访问该网站的错误,据悉这个问题跟内部程序 Sable 的崩溃有关,亚马逊使用 Sable 来为零售和数字业务提供存储和服务。 口水战 The Information 在一月份曾经报道了亚马逊正在努力减少对甲骨文的依赖。Drexel Hamilton 的分析师布莱恩·怀特(Brian White)则发表了一份声明来反驳该报道,并引用了甲骨文董事长拉里·埃里森(Larry Ellison)在公司去年 12 月的电话财报会议上的话。埃里森表示,“有一家公司在这个季度刚向我们支付了 5000 万美元购买甲骨文数据库和其他技术,这家公司正是亚马逊。” 亚马逊发言人拒绝对此作出评论。甲骨文的发言人亚马逊在甲骨文的技术上消费了数亿美元。 两家公司一直处于激烈的口水战中。去年,甲骨文高管夸耀了一番使用公司数据库软件的成本优势。AWS 的首席执行官安迪·约斯(Andy Jassy)回击称甲骨文“在云计算领域实力不足”。 2014 年,AWS 推出 Aurora 关旭数据库服务之后,竞争趋向白热化。这项服务直指甲骨文的核心市场。亚马逊同时还提供了一个工具帮助企业将数据库转移至云平台。 但在 2016 年,埃里森告诉分析师,亚马逊的云服务仍旧未准备好迎接黄金时段。“我们的数据库客户没办法在亚马逊上运行重要的机器工作。” 然而自此之后,甲骨文始终未能在云基础设施领域取得显著的市场份额。 AWS 在该市场上领先,微软、谷歌、阿里巴巴和 IBM 紧随其后。 公司自上个季度不再披露云服务的收益之后,投资者如今也已放弃对甲骨文云服务规模的猜测。   稿源:新浪科技,封面源自网络;

美国公民自由联盟希望亚马逊停止向警方出售面部识别技术

据外媒Neowin报道,亚马逊于2016年宣布推出其称为Rekognition面部识别服务。该服务被称为一种“深度学习型图像和视频分析”,并已经与HERE等公司进行合作。但美国公民自由联盟(ACLU)担心私人客户不是唯一使用该技术的人。 事实上,亚马逊在其Rekognition页面提到奥兰多市政府也是其客户之一,但ACLU获得的文件对此进行了更详细的描述。根据这些文件,奥兰多市政府和俄勒冈州华盛顿县警长办公室自2017年以来一直是该服务的客户。在奥兰多,Rekognition现在作为面部监视系统实时运行。 ACLU还发现,上述两个地区都没有给民众提供讨论该系统实施情况的机会,甚至在华盛顿县警长办公室内部提出了问题。ACLU担心这种技术可能用于恶意目的,即使没有特定的理由,城市和警察也可以监视社区。鉴于这一切,ACLU和许多其他组织已向亚马逊CEO杰夫·贝佐斯发出一封信,要求亚马逊停止向政府机构出售其Rekognition服务。 根据ACLU在三个州的分支机构获得的文件,亚马逊并没有限制政府使用Rekognition,而是帮助政府部署。它为政府客户提供了产品支持和免费咨询服务。亚马逊已经征求了有关执法新产品功能的反馈意见。亚马逊甚至与一位知名的执法客户签署了保密协议。尽管如此,亚马逊对政府如何使用Rekognition没有任何有意义的限制。 亚马逊 Rekognition在政府手中被滥用。该产品对社区构成严重威胁,包括有色人种和移民,以及亚马逊努力建立的信任和尊重。亚马逊必须迅速采取行动,维护公民权利和公民自由,包括自己客户的自由权利,并将Rekognition从政府手中带走。 许多组织已在这封信上签名,但是它是否会对亚马逊的Rekognition策略产生影响还有待观察。       稿源:cnBeta,封面源自网络;

亚马逊智能音箱被爆可能窃听并记录谈话

亚马逊的 Alexa 是如今大热的一款智能音箱,只需你说出它的唤醒词,比如“Alexa”、“Echo”或 “Computer”,它就能对你的声音指令作出响应。不过,现在这一特性也让人们开始担心自己的隐私。来自安全公司 Checkmarx 的研究人员发现了一种方法,可以让 Alexa 窃听、记录并发送用户的谈话记录。 Checkmarx 的研究人员能够创造出一种看似无害的 Alexa 技能,在大多数技能被关闭以保护人们的隐私之后,这种技能将会持续生效。Checkmarx 的 AmitAshbel 告诉科技网站 CNET 的记者,这个技能可以持续记录谈话。“就我们所知,这个技能没有限制,”他说,“只要你不告诉它停止,它就不会停止。” Checkmarx 说他们在 4 月初通知了亚马逊这个漏洞,亚马逊向 CNET 的记者证实,目前已经解决了这个问题。“客户信任对我们很重要,我们会认真对待安全和隐私问题。”亚马逊的一位发言人在一份声明中说,“我们已经为检测这类技能行为提供了适当的缓解措施,当我们发现这样的漏洞时,我们会拒绝或抑制这些技能。” 稿源:凤凰网科技,封面源自网络网络;

Telegram 迁移后 俄罗斯封杀 180 万个亚马逊和谷歌云服务 IP 地址

上周末,Telegram 宣布将部分服务基础设备迁移到 Amazon Web Services 和 Google Cloud 服务器之后, 俄罗斯联邦通信监管局(Roskomnadzor)采取了更严厉的封禁措施。今天已经禁止了 180 万个隶属于亚马逊和 Google 云基础架构的 IP 地址。官方公告称将会从俄罗斯ISP级别禁止以下网段的 IP 地址,共计 1,835,008 个 IP 地址。 被禁的 IP 网段包括: 52.58.0.0/15 18.196.0.0/15 18.194.0.0/15 18.184.0.0/15 35.156.0.0/14 35.192.0.0/12 由于 Telegram 拒绝向俄罗斯主要情报服务 FSB 提交用户的加密秘钥,俄罗斯联邦通信监管局在今年 4 月 13 日(周五)开始封杀 Telegram 客户端。随后 Telegram 表示将服务迁移至亚马逊和 Google 的服务器上,以便于继续为俄罗斯用户提供服务。 很多俄罗斯用户在社交媒体上吐槽 Roskomnadzor 的决定,而且本次封杀了如此庞大的 IP 地址,也会导致很多合法网页服务无法正常工作。已经有用户报告大量在线游戏、移动应用和加密货币服务处于宕机状态。 稿源:cnBeta,封面源自网络;

英特尔信件揭示为何隐藏其芯片设计缺陷

外媒 2 月 23 日消息,英特尔以及其他六家公司(亚马逊、AMD、苹果、ARM、谷歌、微软)向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道,这些芯片广泛受到 Meltdown (熔毁)和 Spectre (幽灵)漏洞的影响。 美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司,以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外,由于这些芯片设计缺陷影响非常严重,以至于美国国会议员坚持要求这七家公司给出合理的解释。 目前来看,英特尔给出的信件似乎是最具信息量的,因为它揭示了在漏洞披露之前,英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息,发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出,英特尔就会加快部署缓解措施的计划,并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露(CVE)编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。 此外,该信还显示:“ 今年晚些时候,英特尔将在其产品中引入新的硬件设计更改,以解决诸如 Spectre 和 Meltdown 等漏洞。 不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。 例如,微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件,并也提前警告这些产品的供应商,但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。 而 ARM 公司则称在 Meltdown 和 Specter之前, ARM 并没有参与多方协调的漏洞披露。 亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

巴黎 Octoly 公司因亚马逊 S3 存储错误配置泄露全球 12000 明星/网红个人信息

外媒 2 月 6 日消息,UpGuard 安全研究人员发现,巴黎 Octoly 公司因其亚马逊 S3 存储桶错误配置,导致超过 12,000 名社交媒体影响者(俗称:明星或网红)的敏感数据在线暴露。据悉,这些用户大多来自 YouTube、Instagram、Twitter 和 Twitch 等社交平台,目前 Octoly 公司担心竞争对手利用该暴露事件乘机抢夺这些平台的用户资源。 Octoly 是一家总部位于巴黎的品牌营销公司,致力于向社交媒体明星提供来自顶级品牌的产品,并寻求其评论以及认可。Octoly 的客户包括迪奥、丝芙兰、欧莱雅、雅诗兰黛、兰蔻以及游戏巨头育碧和暴雪娱乐等。 UpGuard 网络风险团队总监 Chris Vicker 于 1 月初发现,一个配置错误、并且可公开访问的亚马逊网络服务(AWS)S3 云存储桶被 Octoly 公司用来存储内部重要文件。 这些文件包括: 用户敏感信息(真实姓名、地址、电话号码、电子邮件地址以及出生日期); 使用 bcrypt 加密的 Octoly 账户散列密码; 大量的品牌和分析信息(Octoly 服务的 600 个品牌的清单,以及受影响用户的 “ 深度社交 ” 报告); Upguard 认为,该暴露事件可能会在一定程度上影响 Octoly 公司的日常运营。 并且 Upguard 表示该暴露事件所带来的最大风险不在于经济损失,而在于人 ,因为泄露的用户资料让竞争对手有了可乘之机,各大品牌可能会争抢知名社交媒体影响者的青睐。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Twitter 用户称 Amazon Key 漏洞将导致摄像头和门锁无法正常使用

 Amazon Key 是亚马逊公司针对是 Prime 用户推出的一个项目,通过在用户家中安装监控摄像头和电子锁,这样亚马逊送货员就可以将货物放在用户的家中,而不是在门外。然而近日 Rhino 安全实验室透露可能通过从远程计算机对网络执行 DDoS 攻击来使摄像头无法正常使用。 这个漏洞不仅暂停了视频画面,还使电子锁无法正常使用。然而,亚马逊低估了这个漏洞的严重性。现在,一个独立的安全 “ 爱好者 ” 通过 Twitter 账号 MG 揭示了一个攻击者(非送货员)可能如何利用该系统。他称物理硬件为 “ Break&Enter dropbox ” ,并用他自己的 Amazon Key 设置在视频中演示了攻击。 简而言之,攻击者隐藏目标门附近的设备。硬件将以某种方式干扰锁定机制,也可能是摄像头。当送货员带着包裹并使用密码进入时,dropbox 防止门再次被锁。 MG 没有透露机制如何工作的细节,但表示在目前版本的亚马逊软件下它是有用的。 亚马逊公司发言人 Kristen Kish 向 TechSpot 提供了关于黑客入侵行为的以下陈述: “ 这不是一个真实世界的交付场景,因为用于室内交付的交付应用技术内置的安全功能没有被用于演示中,当使用相关技术时,安全措施已经到位:我们的系统监视器 1 )门只在短时间内打开,2 )与摄像头的通信和锁不会中断,3 )门可以安全地重新上锁,司机在没有实际检查门锁的情况下不会离开。而且服务的每个方面都建立了安全性。” Kish 声称,MG 演示中使用的软件是客户使用的软件,与亚马逊送货员使用的软件不一样。她还指出,司机在交货期间采取了几个步骤,包括检查,以确保交货后门已上锁。 亚马逊希望向主要客户保证,由于他们已有的对策,他们面临这种攻击的风险非常小。 稿源:cnBeta,封面源自网络;

Spectre / Meltdown 补丁或严重影响 SolarWinds 的 AWS 基础架构

外媒 1 月 15 日消息,IT 管理软件和监控工具供应商 SolarWinds 通过分析发现,Spectre / Meltdown 补丁使其亚马逊网络服务( AWS )基础设施的性能严重下降。 据悉,SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示,在亚马逊重启 SolarWinds 使用的 PV 实例后,CPU 使用率跃升至 25% 左右。 与此同时,SolarWinds 对其 EC2 HVM 实例的性能也进行了监控,发现在 Amazon 推出 Meltdown  的补丁时性能开始下降,并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示,结果并不可观,比如 Kafka 集群的数据包速率降低了 40%,而 Cassandra 的 CPU 使用率则猛增了 25%。 不过 SolarWinds 表示,目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平,但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国家信用联盟因亚马逊 AWS S3 配置不当,逾 100GB 用户敏感信息在线暴露

HackerNews.cc 12 月 1 日消息,网络安全公司 UpGuard 研究人员 Chris Vickery 于近期发现美国国家信用联盟(NCF)托管的亚马逊 AWS S3 存储器因配置不当,导致逾 100G 用户敏感数据在线暴露,其中包括用户姓名、地址、社保号码、银行账号以及信用报告等具体信息。据称,由美国三大知名信用机构 Equifax、Experian 与 TransUnion 整理的数千份客户信用报告也位于其中。 UpGuard 网络分析师 Dan O’ sullivan 在博客中写道:“经调查发现 NCF 创建的存储库中包含个性化信贷蓝图,即以一种特定形式收集用户大量敏感信息,包括客户所抵押的贷款细节以及信用卡账单支付时间。此外,该存储库中还包含了 NCF 员工访问客户记录,以及屏幕监控程序记录的所有计算机桌面视频。然而不管怎样,所有在线泄露的数据都极有可能遭黑客恶意利用,从而导致客户个人财产被窃。” 知情人士透露,该存储库一直都在持续更新并提供最新数据,直至研究人员告知公司 AWS S3 配置错误导致信息泄露后,NCF 才当即修改访问权限。这就意味着,如果黑客访问了该数据库,那么他们所要做的只是静静等待数据更新即可。据 UpGuard 研究人员估计,约有 4 万名 NCF 客户受数据泄露影响。另外,目前尚不清楚该存储器在线暴露时间,也不确定其是否已被非法访问。不过,该公司正开展深入调查并采取积极措施,以便确保客户财产安全。 相关阅读: ○ 美政府再因亚马逊 AWS S3 配置错误:超 100GB NSA 陆军机密文件曝光 ○ 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 ○ 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源:ibtimes.co.uk,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。