安全快讯Top News

参议员提出的隐私法草案可能会让科技公司的 CEO 因数据泄露而入狱

在Equifax发生大规模破坏之后一年,数百万人感到沮丧,因为此后没有任何改变。全国范围内都有集体诉讼,这通常是对数据泄露事件的回应,律师今年也起诉Facebook和Uber,但立法者仍然认为这些公司无需对错误处理数百万人的数据负责。 来自俄勒冈州的民主党参议员罗恩·怀登希望通过“消费者数据保护法”改变这一点。这位立法者在参议院一直处于网络安全和隐私问题的最前沿,于周四提出了一项数据隐私法案草案,对违反用户隐私权的公司准备进行更严厉的处罚。 该法案仅适用于市值超过5000万美元且拥有超过100万人以上个人信息的公司。该草案建议提高联邦贸易委员会执行反隐私侵权的能力,并且要求公司提交年度数据保护报告,类似于Google和Apple等公司自愿发布的透明度报告。该报告需要由首席执行官签署,如果他们向联邦贸易委员会撒谎,他们可能面临长达20年的监禁。 Wyden的法案草案还引入了一个全国性的“Do No Track”,该网站将为美国人创建一个中心页面,让他们选择退出互联网上的数据共享。目前,如果您想退出数据跟踪,则必须在您注册的每个网站的设置中执行此操作。在某些情况下,选择退出的唯一方法是不使用网站。 去年,国会山正在推动联邦数据隐私法,以应对像Facebook在Cambridge Analytica的问题上遇到的隐私问题。另外,苹果首席执行官蒂姆库克呼吁制定联邦数据隐私法,认为隐私是一项“基本人权”。谷歌,Facebook和亚马逊也表示他们支持联邦数据隐私法,尽管科技公司想要什么和隐私倡导者想要什么有很大的不同。   稿源:cnBeta,封面源自网络;

Facebook 将为 Workplace 提供单独域名保障商户数据安全

新浪科技讯 北京时间11月1日凌晨消息,9月28日,在Facebook公布了一项影响数百万用户的安全漏洞的那一天,该公司创业企业业务负责人向顶级客户沃尔玛确保其数据尚未泄露。 沃尔玛是Facebook的Workplace的客户。而Workplace是Facebook社交网络的工作版本,公司付费以后,他们的员工可以使用Facebook风格的功能进行沟通,例如私人消息,新闻提要和实时流。根据Facebook在2017年10月分享的最多数据显示,该服务与Slack和其他企业通信服务竞争,被包括星巴克和雪佛龙在内的30,000家组织使用。 在9月28日的沟通中,Facebook的Workplace负责人Julien Codorniou向沃尔玛企业首席信息官Clay Johnson表示,Facebook正在采取措施进一步将Facebook的企业业务与其消费者服务分开。根据沃尔玛副总裁乔·帕克(Joe Park)的说法,Facebook告诉该公司,Facebook很快会为Workplace提供单独的域名。 Park称,“我们得到的保证是(企业)数据将会存在于Facebook的消费者版本之外,这是彻底的改变,他们甚至会改变域名以反映这一点。” 新域名Workplace.com现已成为营销网站。 Facebook的Workplace产品经理卢克泰勒(Luke Taylor)周三告诉CNBC,预计在2019年的某个时候,Facebook企业客户将会从Workplace页面登录。 泰勒表示,这一域名的改变来自于一部分Facebook的Workplace客户先前对企业工具与Facebook的消费者业务托管在同一域名表示担忧。该公司已经逐一告知客户有关域名转移的信息。 泰勒告诉CNBC,“我们已经处于和他们分开这样的一个位置。继续把他们一起放在Facebook.com域名上有点困难了。从品牌的角度来看,这是我们想做的事情,当然我认为这也让我们的客户对产品本身更加信任。” 泰勒说,该公司希望首先对新客户开始使用该域名,然后帮助现有客户迁移进入。 “我们将与客户合作,确保客户以他们的节奏进行迁移”,泰勒表示:“当你看到Oculuses,Instagrams甚至Facebook的消费业务时,他们都拥有自己的域名和自己的品牌标识。正如我们看到我们的增长如此迅速增长以及我们对市场的牵引力增加,我们感到现在恰好是推进自有品牌的正确时机。”   稿源:新浪科技,封面源自网络;

谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌

新浪科技讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。谷歌表示,只有大约0.01%的用户会受到这次更新的影响,一小部分用户会为了提升浏览器的性能而禁用JavaScript。 谷歌本次推出的第二个更新与Android恶意应用有关。谷歌计划调取该公司推出的安全扫描应用Google Play Protect的数据,该应用会对用户的手机进行扫描,并且发现手机中所安装的恶意软件,提醒用户进行卸载。 谷歌的第三个更新,是向用户展示他们此前曾经允许那些第三方应用和网站调用用户的帐号信息,提醒用户定期进行检查,对那些已经不再使用的第三方应用和网站进行取消授权操作。 谷歌的第四个更新针对的是用户帐号被入侵之后的恢复工作。这个更新能够帮助用户重新获得帐号的访问权,并且对已经被入侵的数据进行重新保护。另外,用户可以使用这个功能查看Google Pay帐号的消费情况,并且查看Gmail和Drive中是否被添加了新的文件。   稿源:新浪科技,封面源自网络;

美女童军加州奥兰治县分部网络遭攻击 或涉及 2800 名成员信息泄露

据 Threat Post报道,美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击,最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露,该组织已经向所有填写申请的成员邮箱发送了一份通知信,承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉,并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号,破解进入了GSOC的计算机网络,获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名,出生信息,电邮地址,家庭地址,驾驶执照,健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号,通过传统邮箱寻求GSOC分部的确认。   稿源:cnBeta,封面源自网络;

研究称谷歌 Home Hub 存在诸多安全隐患 能被远程控制

新浪科技讯 北京时间10月31日上午消息,谷歌首次涉足智能显示器领域并且推出了Google Home Hub,产品得到大家的一致好评。然而,根据一项安全审查,事实情况可能有所不同。一位研究人员声称这项设备的安全性“令人大失所望”。当然,谷歌肯定是否认这些说法的。 Google Home Hub无法像JBL Link View、Lenovo Smart Display等其他智能助手显示器在安卓系统上运行,而是使用谷歌的Cast Platform。根据近期的一次采访,似乎是因为公司对于Cast Platform更加熟悉才做出此决定的。 研究人员杰里·甘布林(Jerry Gamblin)表示,这一决定就使得设备可能面临诸多安全隐患。根据他的研究,使用不安全的应用程序接口可以在一些情况下远程控制Home Hub。据此,甘布林能够利用command prompt命令让Google Home Hub重新启动。 “过去两个晚上,我一直在研究Google Home Hub的安全性,结果令人大失所望。通过(非正式)的应用程序接口,可以不经身份验证就能进行远程控制。” 这里提到的API是Google Home应用程序用于连接设备的。更重要的是,这已经不是新闻媒体第一次报道此“安全漏洞”了。今年早些时候出现了更为严重的安全问题,即它可以揭露Chromecast或Google Home设备的准确位置(精确到街道地址)。 在上一次被曝出安全漏洞之后,谷歌修补了此漏洞,但是其他问题似乎依然未去处理。无所畏惧的黑客和研究人员还在继续利用该应用程序接口存在的问题进行尝试。 谷歌对此发表声明:“所有的Google Home设备在设计时都将用户安全和隐私问题置于首位,设备采用了受硬件保护的启动机制,进而确保只有谷歌认证的代码可以在设备上使用。此外,任何携带用户信息的对话内容都经过了验证和加密。 最近有关于Google Home Hub安全性问题的言论都是不准确的。此声明中提到的应用程序接口是手机应用用于配置设备的,只有在这些应用与Google Home设备使用相同WiFi网络的情况下才可以进入。尽管此言论描述了一些问题,但没有证据表明用户信息存在风险。” 谷歌并未给出明确的判定,双方都有理可据。但谷歌声称该API是用于配置设备且不会透露个人信息时,这其实已经验证了我们在非官方文件中发现的事实。 甘布林提出了一个非常合理的观点,即该应用程序接口至少可以进行身份验证,而不必完全开放。这对谷歌来说可能是轻松就能修复的问题,但鉴于谷歌已经不是第一次因此应用程序接口而备受抨击了,想来事情也不会太快发生转变。   稿源:新浪科技,封面源自网络;

对一些服务在海外的同学提个中肯的建议 | 知道创宇云安全

*海外CN2专线防护上线啦* 在拓展海外业务的征途中,您是否有过这些烦恼? · 国外云防护服务商家太多,不知道选哪家才靠谱? · 好不容易选中一家,付款太麻烦? · 恶意攻击不断,消耗服务器资源影响运转还泄露信息? · 服务器部署在海外,国内老用户访问太慢还掉线,一不小心就流失了?   不用担心了,知道创宇海外CN2专线防护现已上线! 什么是CN2? CN2(CNCN),即互联网第二平面(俗称二平面),是相关网络运营商的下一代多业务的承载网,主要用于海外地区。CN2采用的核心技术是IP/MPLS,海底光缆直连大陆,省去跳转国际网络的延迟,具有高弹性、高冗余性和低延迟的特性,属于专线通道,速度更快更稳定。  产品简介 又快 China Telecom Global等大陆运营商合作,多条海外CN2专线直连大陆,PING值低至30ms,几乎等同于国内服务器的访问速度。 又安全 通过CN2线路接入抗D保、创宇盾和加速乐三大王牌安全产品,保障业务快速稳定、安全无忧。  为什么选择我们? 1. 网络结构完善,传输速度更快 海外CN2线路在IP层,实现平均小于500ms的快速路由收敛;在MPLS层,核心节点之间50条链路部署了FRR,实现50ms的保护切换。知道创宇在国内PING值低至30ms,欧美PING值约为100~200ms之间,极大缩短网络访问延迟。   2. 多地域节点 知道创宇在海外拥有多条CN2线路直连大陆,自2013年起便开始在香港部署数据中心,在台湾、日本、韩国、新加坡各地均有CN2节点,实力满足海外各地域与大陆间的业务稳定开展。   3. 带宽升级,满足多业务需求 CN2承载的是网络运营商具有QoS保证的SLA业务,可同时支持语音、数据、视频、专线、国际互联等多业务,知道创宇提供CN2带宽升级服务,保障充足的带宽资源,满足多业务的需求。   4. 全球Anycast抗DDoS服务 若CN2线路遭受到DDoS攻击,知道创宇将会及时调Anycast进行抗D,完美防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC(ChallengeCollapsar)攻击,确保线路连接正常。     所以, 不用再烦恼,不用再担心, 选择知道创宇海外CN2专线防护,为您的征途保驾护航! 详细了解:https://www.yunaq.com/cn2/  

才发布几个小时 有黑客发现了 iOS 12.1 一个新的密码绕过漏洞

据外媒报道,就在苹果为iOS 12发布了安全补丁几个小时后,iOS狂热爱好者、黑客Jose Rodriguez在iOS 12.1中发现了又一个漏洞,即可以在绕过密码的情况下使用群组FaceTime访问联系人列表。正如Rodriguez在YouTube上上传的视频那样,用户可以通过接听电话或让Siri打电话然后切换到FaceTime上来利用密码绕过漏洞。 演示视频:https://player.youku.com/embed/XMzg5NTk5MDAyNA== 一旦切换到FaceTime状态下,即便设备还处于锁屏状态,用户只要进入右下角菜单并点击“添加联系人”之后就可以访问iPhone上的完整联系人列表。 另外,在访问联系人列表之后,用户还能通过使用iOS 3D Touch功能查看地址簿的每一位联系人的额外信息并且还能发起新的通话。 Rodriguez表示,他发现这个新的密码绕过漏洞可以在所有支持苹果群组FaceTime功能的iPhone机型上使用。不过他也指出,若想要解决掉这个漏洞则可以通过关闭Siri在主屏幕上使用功能就可以。   稿源:cnBeta,封面源自网络;

欧洲议会要求全面审计 Facebook:评估个人数据安全性

新浪科技讯 北京时间10月26日上午消息,据美国科技媒体TechCrunch报道,在Facebook出现一系列数据泄露丑闻之后(包括此前“剑桥分析”事件),欧洲议会提出要对Facebook进行全面审计。 之前Facebook有870万用户的数据被不正当获取及滥用,为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计,以评估数据保护和用户个人数据的安全性。 在决议中,他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任,还“违反了欧盟法律”。 本月早些时候,欧盟议会的民权委员会通过了一项类似的决议,要求对Facebook进行全面且独立的审计,并要求该公司进一步调整其平台。 民权委员会还要求欧盟竞争法进行更新以反映它所称的“数字现实”,并调查大型科技社交媒体平台“可能出现的垄断行为”。 在议会投票之后,民权委员会主席克劳德·莫拉斯(Claude Moraes)在声明中表示:“这是一个全球性的问题,已经影响了我们的公民公投和选举。这一决议规定了一些需要落实的措施,包括对Facebook进行独立审计、更新我们的竞争法以及采取额外的措施保护我们的选举。我们必须立刻采取行动,这么做不仅是要恢复公民对于在线平台的信任,也是要保护公民的隐私,恢复他们对于我们民主体系的信任和信心。” 在该决议通过之前,Facebook的创始人马克·扎克伯格(Mark Zuckerberg)曾出席欧盟议会的党团主席联席会议。此前,欧盟议会委员会也举办了一系列的听证会,Facebook工作人员参与出席。 欧盟新出台的数据保护框架《一般数据保护条例》(GDPR)在今年五月才生效——因此,Cambridge Analytica数据泄密事件的处理依然是依据先前的数据保护网络,即由成员国法东拼西凑而得的一个规定。 今天早些时候,英国数据监管机构表示对于Facebook的违规行为进行罚款的决定维持原判。根据英国之前的数据保护制度,罚款金额最高可达50万英镑。 在新的决议中,欧洲议会成员表示Cambridge Analytica获取的数据也许被用于政治用途,包括英国脱欧的公投以及2016年的美国总统大选——并称选举法将数字竞选因素考虑在内一事刻不容缓。 为了应对社交媒体干预选举一事,欧洲议会成员提议: – 在网络上采用传统的“离线”选举保障措施:制定关于花费透明度以及限制的规定、尊重静默期、平等对待候选人; – 便于识别线上付费政治广告以及活动背后的组织; – 严禁出于选举目的进行介绍,包括利用线上行为来揭露政治偏好; – 社交媒体应当标记机器人分享的内容,加快删除虚假账号,并与独立的事实核查人及学术界合作,以解决虚假信息的问题; – 成员国在欧洲检察官组织的支持下对于境外势力滥用在线政治空间的问题进行调查。 最近,英国的一个议会委员会敦促政府优先考虑民主流程面临的数字风险并据以调整选举法。不过至今为止,政府对此的态度依旧是较为谨慎,称还在通过审查该问题的不同方面以收集证据。 与此同时,Facebook也在一些地区推出了针对政治广告商的监测系统——包括英国。但是议会成员国显然认为这家公司需要采取更多措施。 英国DPA此前曾呼吁从道德角度认真考虑在线平台出现的政治微目标定位问题,并表示对于数据的使用方式以及可能被滥用一事有诸多担忧。   稿源:新浪科技,封面源自网络;

英国航空承认最近发生的网络攻击比想象中还要糟糕

据外媒报道,日前,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。在与网络法医专家和英国国家犯罪署合作之后,这家公司宣布,该攻击所带来的影响比此前预测的可能还要严重。 英国航空表示,他们现在正在提醒另外一拨可能也受到影响的客户,他们的个人和支付信息可能受到损害。受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。 需要注意的是这部分受影响的客户则是在4月21日-7月28日在英国航空操作过交易的人。针对这一新发现,航空公司敦促客户尽快联系他们的借记卡或信用卡供应商,另外他们还承诺为客户提供为期12个月的信用评级监控服务并赔偿与攻击相关的任何财产损失。不过眼下,英国航空明确表示,没有迹象显示其客户的交易存在欺诈行为。 虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。   稿源:cnBeta,封面源自网络;

UWP API 被爆安全漏洞:可在用户不知情下窃取任意数据

相关证据表明Windows 10系统中的UWP API存在严重的安全漏洞,允许恶意开发人员远程自由遍历你的磁盘信息,并窃取你的任意数据。UWP应用由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。 不过近期外媒发现broadFileSystemAccess API允许者访问整个硬盘,而该API存在的BUG可以不向用户发出咨询的情况下获得访问磁盘的权限,并且默认授予完整的文件系统访问权限。 在Windows 10 October 2018更新中微软已经修复了这个问题。   稿源:cnBeta,封面源自网络;