标签: 亚马逊

HTTPS 证书有效期被提议缩短至 13 个月

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。 关于这样的提案,已经不是第一次提出。在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。 而早在一年前,证书的最长有效期已经从 39 个月降至 27 个月。 我们都知道,HTTPS 证书用于加密浏览器和站点之间的连接,帮助软件确定没有人篡改或窃听这些连接。 如果减少 TLS/SSL 证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。 不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。 换句话说,减少有效期可能会促使企业免费使用 Let’s Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Let’s Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持 Let’s Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。 Hollebeek 称: 将证书寿命迅速缩短到一年,甚至更少,对于许多依赖数字证书保护系统的公司来说,这将带来巨大的成本。这些费用不会换来更加安全的改进,并且这项提案对从事非法活动或冒充合法公司的非法分子不会有任何影响。最主要的一点是,减少证书寿命的任何好处都是属于理论性的,在短期内要付诸实际的话,产生的风险和成本也将难以预测。 该提案于今年早些时候在谷歌员工 Ryan Sleevi 的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。   (稿源:开源中国,封面源自网络。)

亚马逊为美国警方开发高科技监控工具 引发社会担忧

北京时间8月8日晚间消息,据美国财经网站CNBC报道,亚马逊子公司Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。对此,隐私和公民自由的倡导者认为,Ring与政府的合作关系正在创造一种新的政府监控层。 今年的7月12日,在黎明之前的几个小时,美国亚利桑那州钱德勒(Chandle)地区的一名男子被手机上的警报惊醒。警报来自于他的Ring安全摄像头,后者检测到有人在他家外面移动。 视频显示,一群年轻人闯入了几辆汽车。这名男子从前门向他们大喊,然后报警。当一名警官赶到时,这几名男子乘车疾驰而去,留下了手机、作案工具和其他一些东西。当天上午晚些时候,他们自首了。 当时,房主已经向警方展示了其摄像头所拍摄的视频片段,并将其发布到了Ring的应用程序Neighbors上,Ring是亚马逊去年收购的一家智能设备厂商。Ring不仅制造无线安全摄像头,它还可以访问警方数据,提醒居民注意潜在的犯罪行为,鼓励用户分享可疑行为的录音,并将其与执法部门联系起来。 后来,这位房主在Neighbors上写道:“感谢Ring!!!”而钱德勒的一名警官回复称:“感谢你的发帖。” 这次交互是警方使用Ring的典型方式,在利用Ring侦查和调查犯罪的同时,也帮助Ring拓展业务。Ring在钱德勒的这种部署也是全美数十个这样的合作关系中的一部分,也是亚马逊更广泛努力的一部分,即加深与执法部门的合作。但同时,也有批评人士指出,亚马逊这是在帮助政府强化对国人的监控。 如今,亚马逊的政府业务已经成为该公司拓展电子商务以外业务、进入互联网工具市场的重要组成部分。金融咨询服务公司韦德布什证券(Wedbush Securities)分析师丹尼尔·艾夫斯(Daniel Ives)称,通过云计算子公司Amazon Web Services(AWS),亚马逊与政府部门(包括警察部门、联邦执法部门、国家情报机构和移民当局)签订的合同规模已经从2014年的2亿美元激增到今天的20亿美元。 艾夫斯说:“在许多调查中,时间是至关重要的。与亚马逊的合作,使得许多警察部门能够更快地获取数据,并以更有帮助的形式获取数据。” 但批评人士却指出,亚马逊与政府的合作表明,一家公司在与政府的合作中如何定位至关重要,它可能导致过度扩张和滥用。 隐私权和公民自由的倡导者警告说,Ring的合作伙伴关系正在创造一个新的政府监控层。亚马逊员工、人工智能研究人员和激进投资者已要求亚马逊停止向执法部门出售其面部识别服务,停止向联邦移民局提供网络托管服务,并成立一个委员会来审查其产品的潜在社会后果。 倡导数字权利的非营利性组织“新美国开放技术研究所”(New America‘s Open Technology Institute)政策主管莎伦·布拉德福德·富兰克林(Sharon Bradford Franklin)称:“虽然提供安全的云存储似乎不会构成隐私威胁,但提供一系列技术,包括面部识别和门铃摄像头等强大的监控工具,再加上将数据汇集到大型数据库并运行数据分析的能力,确实会造成真正的隐私威胁。” 对此,亚马逊在一份声明中称:“我们相信我们的客户,包括执法机构和其他致力于保护我们社区安全的团体,应该能够获得最好的技术,并相信云服务可以使社会获得实质性的裨益。” 事实上,亚马逊此前在这方面已经引发了社会的担忧。通过子公司Ring,亚马逊将摄像头安放在数百万人的门铃上,还邀请他们跟邻居、警察通过一个预防犯罪的社区共享视频。此外,亚马逊还向警方和私企出售人脸识别系统。   (稿源:新浪科技,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

沙特政府从亚马逊 CEO 贝索斯手机获取到个人数据

安全主管加文·德贝克尔(Gavin De Becker)在周六表示,沙特政府黑入了亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)的手机并获取到了个人数据。贝索斯先前曾要求德贝克尔调查《国家问讯报》是如何获取到其与电视主持人劳伦·桑切斯(Lauren Sanchez)发送的私密信息一事。 在二月被曝出的新闻中,贝索斯指控这家小报的母公司AMI曾试图敲诈他,威胁其如果不公开声明这家小报的报道无任何政治动机,便会将这些不雅照片公之于众。AMI坚持表示,自己的报道均是合法的。 德贝克尔表示自己在完成调查之后,非常确信“沙特曾经黑入贝索斯的手机并获取了个人信息”。 贝索斯也是《华盛顿邮报》的老板。一直以来,《华盛顿邮报》对于特朗普政府以及沙特政府的报道大多是负面信息。十月,《华盛顿邮报》的记者贾马尔•卡舒吉(Jamal Khashoggi)在沙特领事馆被杀,此举在全球范围内引发公众的愤慨。 “一些美国人也许会对此感到很惊讶,事实上沙特政府从去年十月开始便一直试图对杰夫·贝索斯不利,当时《华盛顿邮报》报道了卡舒吉被残酷迫害一事。” 德贝克尔之后表示,目前尚不清楚AMI是否知道其中详情,但他指出AMI董事长戴维·佩克尔(David Pecker)与沙特政府关系密切。 沙特方之前回应,自己与《国家问讯报》报道贝索斯一事毫无任何关系。 德贝克尔表示自己已经将调查结果交给了联邦官员。 沙特大使馆以及AMI尚未回应置评请求。     (稿源:新浪科技,封面源自网络。)

安全专家警告称:Ring Doorbell 智能门铃可被黑客攻击并显示虚假图像

在最近推送的一个补丁中,亚马逊旗下的智能门铃企业 Ring,修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击,将虚假的图像内容注入到视频源中。需要指出的是,尽管 Ring 会定期发布修复固件,但那些使用旧版 Ring 应用程序的客户,仍有暴露于这方面的风险。 在今日公布的一份报告中,BullGuard at Dojo 的安全研究人员,披露了有关该漏洞的详细信息。其支出,借助适当的技术手段,任何有权访问传入数据包的人,都可以收听到实时的反馈。 问题在于,Ring 所采用的方案,并未引用强加密。那些能够访问目标 Wi-Fi 的黑客,甚至可以在数据到达 App 端之前,就将虚假内容注入到消息流中。 举个极端点的例子,狡猾的攻击者能够利用该漏洞,向房主发送经过篡改的图像,以欺骗其打开门锁。当然,这并不是我们首次听说有关 Ring 设备的安全漏洞。 今年早些时候,有报道称 Ring 允许其员工观看客户家中的。对于此事,该公司拒绝了媒体的置评请求,只是声称不会在官网上暴露、且会采用其它安全措施来保护用户的数据安全。 去年 5 月,The Information 还报道了 Ring 允许密码修改,但不强制用户退出并重新登陆。 2017 年 3 月,一些用户发现,他们的 Ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。 Ring 没有给出更多的解释,只声称这是一个 bug,且该公司会定期更新固件,不至于引发这么大的关注。     (稿源:cnBeta,封面源自网络。)  

亚马逊部分用户信息被泄露:包括姓名和邮件地址

新浪科技讯 北京时间11月22日早间消息,据美国财经媒体CNBC报道,亚马逊向给用户发邮件称,由于出现技术问题,一些用户的姓名和邮件地址被泄露。目前已经有一些人在网上发布他们收到的邮件截图。 这些邮件中说,用户没有必要因此次事故而修改密码。但CNBC指出,有了名字和邮件地址,黑客仍然可以借此重设用户帐号,或利用邮件发起“钓鱼攻击”。 部分用户收到的邮件   而在一份声明中,亚马逊表示:“我们已经修复问题,并通知可能受到影响的用户。”但该公司并没有透露受影响的用户数量,以及具体泄露的信息量。 亚马逊新闻发言人表示,公司网站和系统并没有出现问题。他也没有透露在何处发现被泄露的用户信息。 在一个用户论坛中,一些收到亚马逊此类邮件的人对于亚马逊不建议修改密码一事感到意外。他们也很惊讶地发现,这类邮件中签名链接到的亚马逊网站并不是“https”安全连接,而是“http”。   稿源:新浪科技,封面源自网络;

亚马逊和超微要求彭博社撤回间谍芯片报道:内容不实

新浪科技讯 北京时间10月23日早间消息,据美国科技媒体The Verge报道,亚马逊和服务器厂商超微(Super Micro)的高管都要求彭博社撤回本月早些时候发表的关于间谍芯片的报道。 当时那篇报道指控这些芯片会危害多达30家公司的电脑网络,其中也包括亚马逊的电脑网络。而苹果CEO蒂姆·库克(Tim Cook)已经在上周呼吁彭博社撤下这篇报道。 该报道声称恶意芯片被植入一家公司的服务器。库克上周专门接受BuzzFeed News的采访来澄清此事。他说:“没有这回事情,这不是事实。”他还要求彭博社撤销该报道,而且还表示苹果几个月来一直在跟记者的对话中否认报道中的内容。 作为该报道中点名的另外两家企业,亚马逊和超微也在今天否认相关内容,并发表了各自的声明。亚马逊网络服务(AWS)高管安迪·杰西(Andy Jassy)在推文中说:“库克说的没错。彭博社关于亚马逊的报道也是错误的。” 亚马逊网络服务高管安迪·杰西的推文 超微周一表示,该公司将会继续对此展开的调查,并对其主板进行评估,寻找任何的硬件篡改行为。该公司CEO Charles Liang几个小时之后说:“彭博社应该承担责任,撤回这些没有事实支持的指控。” 这篇报道引述了17名未具名消息人士的话,但在报道刊发后几个星期都没有发现任何被破坏的硬件。在该报道本月早些时候刊发之后,立刻收到了很多网络安全专家的批评,主要是因为这篇报道并没有披露任何可信的证据。 美国国土安全部、国家安全局和英国最高网络安全机构的官员也表示,他们并没有发现任何与彭博社的指控相符的证据。   稿源:新浪科技,封面源自网络;

亚马逊修复智能家居13个漏洞:防止黑客完全控制设备

新浪科技讯 北京时间10月22日早间消息,亚马逊近期修复了物联网操作系统FreeRTOS以及AWS连接模块的13个安全漏洞。这些漏洞可能导致入侵者破坏设备,泄露内存中的内容和远程运行代码,让攻击者获得设备完全的控制权。 如果没有修复,这些漏洞可能会造成严重影响。FreeRTOS,以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上,包括汽车、飞机和医疗设备。 根据FreeRTOS的开源协议,发现这些漏洞的Zimperium在漏洞披露的30天后才提供了技术细节。这将使相关厂商有机会去修复这些漏洞。 这类漏洞披露并不少见,但对亚马逊来说是相对较新的工作。一年前,即2017年11月,AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验,而目前来看亚马逊似乎通过了考验。   稿源:新浪科技,封面源自网络;

苹果、亚马逊、Alphabet 等支持美出台数据隐私保护法

新浪科技讯 北京时间9月27日早间消息,周三,主要科技公司和互联网服务商向美国参议院专门小组表示,他们支持联邦立法以保护数据隐私,但希望国会可以取代加州已经采取的新的严格规定。 亚马逊、Alphabet、苹果、AT&T、Charter Communications以及Twitter等向参议院商务委员会一致表示他们将支持新的联邦隐私法规。 这些公司支持让用户拥有他们对自己数据的控制权,对数据如何使用的透明性以及删除他们数据的能力。个人数据包括网页浏览历史以及其他消费者数据。 商务委员会主席参议员约翰·桑恩(John Thune)说,他正在制定立法但同时承认今年不太可能获得通过。行业“希望有一个全国性的方法,而非50个州各自不一的方法。同时我也认为这为我们提供了一些机会,也表明他们必须坐下来与我们商量并为此提供良好的解决方案,”桑恩说。 桑恩希望在今年末的时候可以举行听证会,听取消费者群体的意见。 民主党参议员认为,立法需要更加严格的条款。 民主党参议员布莱恩·沙茨(Brian Schatz)指出,科技公司虽担心州法律带来的影响但仍需要支持更稳固的联邦隐私法。 今年6月份,加州州长杰瑞·布朗(Jerry Brown)签署了一项数据隐私立法,旨在让消费者对公司如何收集和管理他们的个人数据有更多控制权。Alphabet旗下的谷歌和其他大型公司均对该立法提出反对,理由是过于繁琐。该立法将于2020年生效。 亚马逊副总裁安德鲁·德沃尔(Andrew Devore)在听证会上说,加州的法律制定仓促,其对“个人数据”的定义超过了实际可以识别个人身份的信息。“结果导致该法律不仅令人困惑也难以遵循,甚至还可能会破坏重要的隐私保护措施,”他说。 大量的数据隐私泄露已然危及数百万美国互联网和社交媒体用户的个人数据,包括大型零售商以及信用报告机构Equifax的数据泄露。 “州法律先行出台是好事,”沙茨说,“只有州法律行得通,你才能最后实现自己的目的。”他还说民主党不会以“一个非进步的联邦法律取代进步的加州法律”。 但这里存在的一个重要问题是,联邦贸易委员会(FTC)是否有权制定隐私法规。 各大公司没有排除支持FTC制定法规的可能性,但也表示希望看到更多细节。 美国商务部周二表示,在欧盟和加州均采取严格的新规定之后,他们也在为如何制定全国性数据隐私法规征求意见。 欧盟的通用数据保护条例于今年5月生效。违反该隐私法规现在可最高导致全球收入4%或2000万欧元的罚款(以较高者为准),惩罚不再是以往的几十万欧元那么简单。   稿源:新浪科技,封面源自网络;

亚马逊 Facebook 等支持美国政府制定现代化的数据隐私法

包括Facebook、亚马逊和Alphabet等成员在内的美国互联网协会(The Internet Association)今日表示,支持美国政府制定现代化的消费者数据隐私法,但希望这部法规是全国性的,从而取代加州2020年即将生效的新隐私法规。除了Facebook、亚马逊和Alphabet,美国互联网协会其他成员还包括Netflix、微软和Twitter等。该协会周二称:“互联网公司支持一部全国性的法案来保护所有美国消费者的隐私。” 美国政府今年7月曾表示,正在新的消费者数据隐私政策,并且已开始与主要公司进行接触。美国互联网协会称,这样一部法规应该允许消费者对自己的数据进行有效控制,包括个人信息如何被利用,以及被哪些第三方所利用。此外,消费者还有权要求删除或更正自己的数据。 另外,美国互联网协会还向立法人员表示,在通知用户、制定隐私性能标准和数据安全保护等方面,应赋予互联网公司足够的灵活性。而且,这部法规应该适用于所有行业,而不仅仅是科技公司。 如今,由于大规模的消费者数据被泄露事件频发,数据隐私日益成为一个重要的话题。今年6月,加州市长杰里·布朗(Jerry Brown)签署了新的数据隐私法,赋予消费者对个人信息以更多的控制权。该法规将于2020年生效。 但美国互联网协会总裁兼CEO迈克尔·贝克曼(Michael Beckerman)认为,加州把这个问题弄错了,因此希望美国政府能提前推出一部全国性的数据隐私保护法。 此外,美国商会上周也公布了自己的隐私指导原则,旨在颠覆加州的新法规。   稿源:新浪科技,封面源自网络;