安全快讯Top News

欧盟将重罚科技公司违规泄露个人数据 或成全球标准

脸谱网(Facebook)在 4 月 6 日向欧委会提交了一封信,承认可能在欧盟内不当地分享了 270 万用户的个人数据。欧委会随即宣布将要求脸谱网进一步调查并公布结果。同时,欧盟将在 5 月底发布新的个人数据保护规定。 270 万份个人数据 上周,欧盟就向脸谱网致信,要求其查清有多少欧盟公民在信息泄漏事件中受影响。 3 月,媒体爆出英国战略实验室公司旗下的数据公司剑桥分析通过数据分析和建模,预测并影响了政治活动中公众的选择,并从 2016 年 6 月起受雇于特朗普的总统竞选团队,未经授权获取 5000 万脸谱网用户的数据,试图利用大数据技术影响美国总统选举结果。 但是,特朗普竞选团队否认曾使用过剑桥分析公司的数据。很快,脸谱网首席执行官马克·扎克伯格承认,脸谱网在保护用户数据方面犯了错误,并向美国国会当面解释。剑桥分析于 2013 年创立,目前在 24 个不同国家和地区拥有分部,曾在 2014 年参与了 44 场美国政治竞选。 欧盟也担心,脸谱网的数据泄漏是否也在欧洲造成了影响?影响有多大?毕竟,剑桥分析是一家英国公司,而且主张脱欧的英国独立党也承认,曾向剑桥分析公司提供过数据用于分析。3 月底,曾在剑桥分析担任高层的布利塔尼·凯瑟(Brittany Kaiser)爆料,该公司曾为脱欧组织 Leave.EU 提供数据分析。 欧委会发言人克里斯蒂安·维甘德(Christian Wigand)称:“脸谱网向我们确认欧盟共计有 270 万人的个人信息可能曾被不当地共享给剑桥分析公司。” 这也是脸谱网对欧洲在事件中的受影响程度首次给出具体数字。此前,脸谱网在其博客公告中列举了 10 个受影响最大的国家,其中的欧洲部分,英国大概有 100 万人的个人信息被共享给了剑桥分析,德国最多有 30 万用户,意大利则有不超过 21.4 万用户。 80% 受影响用户在美国 据了解,欧盟司法委员维拉·朱罗瓦(Vera Jourova)将在下周与脸谱网的首席运营官谢丽儿·桑德伯格(Sheryl Sandberg)会面,对该公司下一步将采取那些措施弥补漏洞进行讨论。 “我们会详细研究脸谱网向我们传达信息中的细节,但现在已经明确此事需要与脸谱网进一步商谈。”维甘德称。 上周,扎克伯格表示,全球至多大概有 8700 万人受到此次信息泄漏的影响,其中 80% 在美国。这番表态再次引发舆论震动,科技公司在数据保护方面的能力遭到严重质疑。 出于应对,欧盟方面表示准备在 5 月 25 日实施更严格的数据保护新规,违反规定的公司,将被处以相当于全球营业额 4% 的罚款。此外,根据新规,欧盟公民将被赋予权利知晓商业公司获取了他们的哪些个人数据,并有权索取一份数据副本,消费者也有权将个人信息同一家服务商转移到另一家。 外界认为,由于互联网并无边界,因此诞生于欧盟的新规有可能成为个人数据保护方面的新的全球标准。扎克伯格本人也对新规持积极看法,认为即便是非欧盟用户也会受益于新规。 “我们打算在所有地方都做相同的管控和设置,不止欧洲。是否完全一样的模式呢?那倒不一定。我们要看在不同市场怎样做才奏效,因为不同的地方有不同的法律。”扎克伯格表示。 根据 Internet World Stats 网站的数据,2017 年中,欧盟共有大约 2.5 亿脸谱网用户,也就是说,欧盟人口中大约一半都有脸谱网账号。以此计算,如果脸谱网所称 270 万欧盟用户受影响,则占脸谱网欧盟用户的 1% 多一点。 稿源:cnBeta、第一财经,封面源自网络;

印度要扫描 13 亿人口的指纹、眼睛和脸部

印度正寻求建立一个覆盖 13 亿人口的全国身份识别系统,扫描所有居民的指纹、眼睛和脸部,并将其用于从福利到手机的各种事情。公民自由主义者将这个名为 Aadhaar 项目称为是将奥威尔的老大哥带到现实中。 在世界其它地方,政府正将技术作为一种新的监视公民的工具。包括英国在内的许多国家也部署了监控人群的闭路探头。印度的项目不仅大规模收集居民的生物识别信息,而且还尝试将其与一切关联起来,包括交通罚单、银行账户、养老金、甚至是学童营养餐。 哈佛 FXB 健康和人权中心教授 Jacqueline Bhabha 称,在规模和雄心上没有人能接近印度。 稿源:cnBeta、solidot,封面源自网络;

印度与巴基斯坦央行禁止银行为加密货币交易提供服务

据国外媒体报道,去年价格疯涨的比特币等加密货币在今年面临的监管也越来越严格,印度和巴基斯坦央行日前先后发出禁令,禁止银行为加密货币交易提供服务。 当地时间周五,作为印度央行的印度储备银行发出禁令,要求其监管的银行在三个月内切断与加密货币交易相关的联系。 而同样是在周五,作为巴基斯坦央行的巴基斯坦国家银行也发出了相似的禁令,禁止该国的银行和金融机构为加密货币交易提供服务。 除了禁止银行与金融机构向加密货币交易提供服务,巴基斯坦国家银行还认为加密货币不是巴基斯坦政府担保或发行的法定货币,巴基斯坦国家银行也未获授权或授权任何个或实体,在巴基斯坦发行、销售、交易或投资任何形式的虚拟货币。 印度和巴基斯坦央行禁止银行为加密货币交易提供服务,也直接影响到了当地的加密货币价格,印度当地加密货币交易所就透露,印度比特币交易价格直线下降,已比全球平均价格低了1000 多美元。 稿源:新浪科技,封面源自网络;

拒不交出加密密钥,Telegram 被俄罗斯监管机构告上法庭

据外媒报道,俄罗斯媒体监管机构 Roskomnadzor 已经将总部位于迪拜的即时通讯工具企业 Telegram Messenger LLP 告上了法庭,理由是该公司未交出它们的加密密钥。在本周五于莫斯科提起的诉讼中,该监管机构提出了它们的要求 —— 限制 Telegram 对俄罗斯境内信息资源的使用。Roskomnadzor 曾援引俄罗斯联邦安全局(FSB 是该国境内的首要安全机构)的请求称 —— 为解密该应用内的加密信息,需要用到 app 的加密密钥。 俄方称,此举是出于反恐的需要。 Telegram 是一款拥有 2 亿活跃用户,目前在全球同类 app 中的排行为第 9 位。由于对消息采用了端到端加密,其在俄罗斯和中东都深受欢迎。遗憾的是,这一特性也使得它被许多别有用心的人滥用,比如恐怖分子和分享儿童色情的人们。 至于拒绝交出加密密钥一事,该公司给出的解释,与拒绝为 iPhone 解锁的苹果类似 —— 基于该 app 的构建方式,我司无法访问加密密钥。 稿源:cnBeta,原文编译自 Neowin。封面源自网络。

因数据丑闻 Facebook封杀加拿大公司AggregateIQ

北京时间 4 月 8 日上午消息,Facebook 周五时表示,已经暂时封杀加拿大政治咨询公司 AggregateIQ,因为之前有报道称这家公司用不适当方式获取 Facebook 用户的个人信息。英国政治咨询公司 Cambridge Analytica从Facebook 获取大量用户的数据,此事给 Facebook 带来很大的麻烦。 克里斯托弗·威利(Christopher Wylie)曾经是 Cambridge Analytica 的员工,他说前东家曾与加拿大公司 AggregateIQ 合作。 Facebook在声明中表示:“因为最近有报道说 AggregateIQ 可能与 SCL 有关系,可能用不适当方式收集了 Facebook 用户的数据,我们决定将它拉入黑名单,暂时从平台上封杀,展开调查。我们会继续进行内部评估,对于监管机构发起的任何调查,我们也会全力配合。” 声明中所说的 SCL 指的“ Strategic Communication Laboratories ”,它是一家政府、军事合同承包商,是 Cambridge Analytica 的母公司。 此前威利指出,2016 年英国“退欧”公投前,AggregateIQ 曾经收取了一些支持退欧团体的钱款,帮它们造势。 稿源:cnBeta,新浪科技;封面源自网络

伊朗疑似遭到网络攻击 全国互联网出现短暂中断

据伊朗媒体 7 日报道,伊朗 6 日晚疑似遭到网络攻击,伊全国范围内互联网出现短暂中断。伊朗新闻电视台援引伊朗通信和信息部长穆罕默德·贾赫鲁米的话报道说,6 日晚伊朗国内几处数据库遭到攻击,互联网维护人员随后迅速采取行动,恢复网络正常。他强调,所有受攻击目标均已恢复运行。 贾赫鲁米说,此次攻击不局限在伊朗境内,很快就能找到攻击源头。 伊朗曾多次遭到电脑病毒攻击。2010 年 9 月,伊朗国内数万个互联网终端感染“震网”病毒,随后伊朗数次推迟其核电站布什尔核电站的供电时间并一度卸载已加载的核燃料。 稿源:cnBeta、新华社,封面源自网络

思科智能安装协议遭到滥用,数十万关键基础设施倍感压力

外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法,他们发现试图检测设备的互联网扫描量大幅增加,因为这些设备在完成安装后,其智能安装功能仍处于启用状态,并且没有适当的安全控制,以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS,IOS XE 或智能安装功能本身中的漏洞,而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”,其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底,思科修补了其 IOS 软件中的 30 多个漏洞,包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的,攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装(SMI)协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现,有 168,000 个系统在线暴露。 思科安全公告: 《Cisco Smart Install Protocol Misuse》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

印度央行宣布禁止金融机构提供加密货币服务

北京时间 6 日讯,当地时间周四,印度央行宣布,接受监管的印度金融机构禁止提供加密货币相关服务。该银行在声明中表示,鉴于相关风险,该禁令立即生效。该银行同时表示,将为那些已经提供加密货币服务的公司另行规定特定时间以结束该项服务。 该禁令发布之前,印度政府早就发布过相关交易风险警示。印度央行表示,加密货币还会引发消费者保护、市场诚信和洗钱等问题。 周四发布的声明只是加强金融市场更广泛监管政策的一部分。 稿源:cnBeta、新浪美股,封面源自网络;

新落成的亚甘广场电子屏被入侵:显示 PornHub 网站内容

耗时两年多时间,西澳大利亚州政府斥资 7350 万澳元(3.56 亿人民币)建成了亚甘广场(Yagan Square)。作为珀斯市(Perth)的市中心,该广场于上个月正式对外开放。然而令人尴尬的是,当地时间本周四,多名黑客成功入侵亚甘广场的两块电子广告牌,并换上了色情网站 PornHub 的页面信心。 当天黑客在 Twitter 上分享了这起“恶作剧”,随后这两块广告牌被迅速关闭。在接受美国广播公司采访时候,该市的大都会重建局表示:“亚甘广场有两块可触控的寻路指示牌,分别设立在威廉街购物中心的两个入口。不幸的是,今天这两块屏幕似乎已经被攻破,并且在短时间内显示了一些不恰当的内容。两块屏幕被迅速切断电源,我们将努力确保不再有同类事情发生。” 稿源:cnBeta,封面源自网络;

Delta/Sears 被曝出遭网络攻击 数十万名客户信用卡信息可能曝光

据外媒报道,当地时间 4 月 4 日,Delta 和 Sears 表示最新曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。获悉,该数据泄露事件最先由路透社曝出,其发生的地点为一家同时为 Delta 和 Sears 在线聊天平台提供服务的公司–[24]7。 去年 9 月 27 日至 10 月 12 日,这家公司遭遇到恶意软件攻击,但 [24]7 却到了今年 3 月中旬才通知了 Sears 和 Delta。曾于该时间段在 Sears 或 Delta 网上进行过交易的消费者其信用卡信息可能已经泄露。 目前,联邦执法部门、银行以及 IT 安全公司正在对这一安全事件进行调查。而 Sears 和 Delta 都分别开设了针对此事件的客户通道,前者开通了一个客户咨询热线,后者设立了一个专用解答网页 delta.com/response。 [24]7 则发表声明表示:“我们相信平台是安全的,另外我们正在与我们的客户合作来判定其客户的信息是否遭到了(不正当)访问。” 稿源:cnBeta,封面源自网络;