讯 北京时间6月5日早间消息，近日，英国数据保护监督机构主管向欧盟立法者发出警告称，Facebook公司的隐私问题可能还会在其它在线平台上反映出来。 负责牵头对Cambridge Analytica丑闻进行调查的伊丽莎白·德纳姆（Elizabeth Denham）在接受欧洲议会质询时表示，Facebook数据泄露事件并非孤立案件。 本周一晚间，这位英国信息专员在布鲁塞尔的欧盟机构公民自由委员会上指出，“我认为对于用户而言，许多平台都缺乏透明度。” 本次听证会是立法人员首次对Cambridge Analytica丑闻进行详尽而深入地研究。这起丑闻涉及多达8700万人（其中包括大约270万名欧洲用户）的信息，并对2016年唐纳德·特朗普参与美国总统竞选的结果造成影响。 不到两周前，Facebook CEO马克·扎克伯格被指控回避欧洲议会主要成员的问题。该公司本周一发布了第二批答案，其中14个问题仍然悬而未决。 执法 德纳姆说，欧盟新颁布的隐私保护法规——《通用数据保护规则》（GDPR）——于5月25日生效，这将是保护人民的第一步。“现在真正重要的是执法，这是数据保护当局愿意做的，是我们所看到的制裁举措，是让用户和公民了解他们的权利。” 如今，欧洲各地的隐私监管机构将拥有平等的权利和义务，以及同样的权力，可在全球范围内对严重违规企业处以罚款，金额最高可达全年销售额的4%。 尽管德纳姆称，像她这样的监管者将在制裁手段上“适当权衡”，但GDPR所赋予的新工具可能比处罚更有效。 删除算法 “运用GDPR的新工具，我们能够向企业发送强制通知，要求他们删除算法或停止程序运行，”德纳姆说。“我认为停止程序运行的命令是强有力的，如果不比行政罚款更具威力的话，至少同样有效。” 本周一早些时候，Facebook发文驳斥了《纽约时报》的一篇报道，该报道称Facebook与苹果、亚马逊和三星等设备制造商分享数据。 Facebook称，他们对用户的信息很熟悉，但不会像Cambridge Analytica那样滥用个人数据。 在本周一的采访中，负责维护欧盟数据隐私法的安德列·耶利内克（Andrea Jelinek）说，欧洲监管机构打算审查这些报道。   稿源：，稿件以及封面源自网络；

Kenna Security 的安全研究人员最近发现，9,600 家分析机构中有 31％ 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏感的电子邮件信息。受影响的实体还包括财富 500 强公司、医院、大学和学院、报纸和电视台，甚至美国政府机构。 使用 G Suite 的组织在创建邮件列表可能会配置 Google Groups 界面。由于术语和组织范围与 Groups 特定权限很复杂，导致列表管理员无意中可能泄露电子邮件列表的内容。由于谷歌不会讲配置问题视为漏洞，也不会修复。因此，专家建议管理员阅读 Google 网上论坛文档，将“此域之外的访问权限 – 共享组”设置为“私有”。   稿源：Freebuf，封面源自网络；

据外媒CNET报道，杀毒软件先驱及加密货币“福音传教士”John McAfee当地时间周日宣布将在2020年竞选美国总统，并将其与他现在推动加密货币的角色联系起来。McAfee表示：“我相信通过为我们提供终极竞选平台，这将最好地服务于加密社区。” 2016年John McAfee曾竞选美国自由党总统候选人。不过他最终败给了前新墨西哥州州长Gary Johnson,未获提名。McAfee曾在推文中表示：“如果自由党再次提出要求，我会和他们一起参加竞选。否则，我将创建自己的党派。” McAfee似乎对他此次的总统竞选并不抱有期望，他发推文称：“不要以为我有获胜的机会，我不这样认为。但真正改变美国不是总统，而是选出一个美国总统的过程。” McAfee对加密货币的迷恋可能很快会带来另一个不寻常的转折。5月下旬，他宣布将发行一种名为“McAfee兑换单位（McAfee Redemption Unit）”的加密货币纸币。他将其形容为“与区块链联通，可兑换、转换或收藏。” 今年四月份他还透露，想要让他帮助推广加密货币项目和初始投币产品（ICO）,收费标准是每条推文10.5万美元。   稿源：cnBeta，封面源自网络；

腾讯科技讯 社交网络巨头Facebook陷入了公司历史上史无前例的舆论抨击风暴中，原因是向外界擅自披露用户数据和信息，侵犯民众隐私权益。Facebook的丑闻并未结束，据美国媒体最新爆料，多年来，Facebook向全球大批手机厂商提供了用户信息，包括私人日程安排等，最近批评Facebook的苹果公司也是获得信息的厂商之一。 Facebook旗下拥有20亿用户，该公司长期倡导实名制，但是Facebook对外散布用户信息的举动，却达到了触目惊心的地步。 据美国《纽约时报》6月3日披露，在过去多年中，Facebook一共和大约60家设备厂商签署了协议，向他们提供用户隐私信息，这些厂商中包括了三星、苹果、微软、黑莓、亚马逊等。 今年初，Facebook爆发英国剑桥分析公司获取信息的丑闻之后，上述的合作中一共有22项停止，但是其余合作继续生效。 据报道，在剑桥分析丑闻发生后，Facebook曾经对外声称2015年之后就停止了类似的用户隐私信息分享，但是这当中不包括手机厂商。 Facebook公司对媒体表示，他们严格限制手机厂商对用户隐私信息的使用，另外目前尚未发生手机厂商滥用用户信息的案例。 Facebook向手机厂商提供了用户的哪些信息，目前尚不得而知。 苹果公司一名发言人则表示，苹果需要使用来自Facebook的用户信息，来提供某些功能，比如在不打开Facebook客户端的情况下上传照片。不过去年九月份，苹果切断了数据分享管道。 据悉，Facebook的个人隐私政策中提到，将会向手机等设备制造商提供用户信息的访问权限，其中包括不同用户之间的人际关系、日程安排、宗教和政治信息。 另外，尽管Facebook的一些用户并未选择对外界披露数据，但是这些数据仍然能够被手机厂商获取到。 《纽约时报》披露的情况，对于苹果公司来说是一次“打脸”。 众所周知的是，在Facebook丑闻发生之后，苹果掌门人库克和扎克伯格、Facebook首席运营官桑德博格发生了口水战。 库克批评Facebook不保护用户隐私，面对库克的批评，扎克伯格认为他的表态非常油嘴滑舌，不符合事实。 显然，《纽约时报》的报道表明，苹果公司本身就从Facebook获取了大量的用户信息，这影响到多少同时拥有苹果和Facebook账号的用户，尚不得而知。 在个人隐私保护方面，苹果一般获得业内和消费者的肯定。网络广告并不是苹果的重要业务，苹果一般不采集用户信息并将其提供给广告主。库克等人之前也批评过谷歌等同行大量采集用户隐私的做法。 另外，最近外媒报道称，苹果又开始重视广告业务，他们是否会改变传统，开始大规模采集用户信息，尚不详。   稿源：腾讯科技，封面源自网络；

根据Kromtech Security发布的报告，本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序，用户可以操作他们的本田智能汽车，也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源：Freebuf，封面源自网络；

据外媒The Verge报道，加利福尼亚州参议院周三投票通过一项法案，该法案将恢复美国联邦通信委员会（FCC)去年12月废除的网络中立原则。这项名为SB 822的法案由参议员Scott Wiener在3月份撰写，并获得了三个委员会的通过。加州参议院以23-12的票数通过新法案。 Wiener在上个月的一份声明中表示：“在奥巴马总统的领导下，我们的国家在朝着正确的方向发展，确保一个开放的互联网，但特朗普领导下的FCC通过废除网络中立性使美国人民失去支持和帮助。” 在FCC采取行动废除网络中立规则后，美国各州开始实施自己的措施。超过20名律师在该命令发布前就起诉了该委员会。一些州长试图使用行政命令，而其他州则与立法者一起工作。加利福尼亚州恢复州内保护的法案是对FCC的最严厉回应之一。 该法案将恢复类似于FCC 2015年通过的《开放互联网法令》(Open Internet Order)中的规则。该法令禁止互联网服务提供商限制或阻止在线内容，并要求他们平等对待所有互联网流量。但该法令还通过特别禁止提供商参与某些类型的“免流量服务(zero-rating)”，其中某些有利内容不会影响每月数据上限。 电子前沿基金会周二发表声明称该法案“是各州希望保护网络中立性的黄金标准”。 前美国联邦通信委员会主席Tom Wheeler3月曾写信给加州各委员会表示支持该法案。 Wheeler指出：“这些保护对我们的经济和民主至关重要。SB 822通过全面恢复2015年网络中立性原则中的保护措施来保护加利福尼亚州及其经济。”   稿源：cnBeta，封面源自网络；

Git 由于在处理子模块代码库的设置档案存在漏洞，导致开发者可能遭受任代码执行攻击，多数代码托管服务皆已设置拒绝有问题的代码储存库，但建议使用者尽快更新，避免不必要的风险。 Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到，Git 社区最近发现 Git 存在一个漏洞，允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施，防止恶意代码库被推入微软的 VSTS（Visual Studio Team Services）。 此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时，他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据，它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时，Git 最初会将父仓库放到工作目录中，然后准备复制子模块。 但是，Git 稍后会发现它不需要复制子模块，因为子模块之前已经提交给父存储库，它也被写入工作目录，这个子模块已经存在于磁盘上。 因此，Git 可以跳过抓取文件的步骤，并直接在磁盘上的工作目录中使用子模块。 但是，并非所有文件都可以被复制。 当客户端复制代码库时，无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外，在 Git 工作流中的特定位置执行的钩子（如Git）将在将文件写入工作目录时执行 Post-checkout 钩子。 不应该从远程服务器复制配置文件的一个重要原因就是，远程服务器可能提供由 Git 执行的恶意代码。 CVE 2018-11235 的漏洞正是犯了这个错误，所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库，并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时，恶意的父库会被精心设计。 将写入工作目录，然后 Git 读取子模块，将这些子模块写入工作目录，最后一步执行子模块存储库中的任何 Post-checkout 挂钩。 为了解决这个问题，Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称，并且它们不能是符号链接，因此这些文件实际上必须存在于 .git 中，而不能位于工作目录中。 Edward ThomsonMay 提到，Git，VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布，微软希望开发人员尽快更新。   稿源：开源中国，封面源自网络；  

据美联社报道，随着朝鲜向纽约派出了一名高级顾问、为其可能的核峰会做准备，特朗普政府于星期二发布了一项关于朝鲜恶意网络活动的新警告。来自美国联邦调查局和国土安全部的技术警报中，重点描述了两款恶意软件，据说它们被用于攻击美国航空航天、金融、媒体等企业的基础设施。在持续的至少 9 年时间里，其涉及信息窃取和远程网络操控。 近年来，美国指责朝鲜方面发动了一系列的网络攻击，目前尚不清楚这一最新警告的发布时机有何意义。与此同时，美国总统特朗普正寻求与朝鲜领导人举行核谈判。 为给峰会做准备，曾任四星陆军上将和军事情报主管的金永哲（Kim Yong Chol），将在纽约与美国国务卿 Mike Pompeo 会面 —— 一名朝鲜高级官员访问美国，本就是一件极为罕见的事情。 2014 年的时候，索尼影视娱乐疑似因为讽刺朝方的《采访》一片，遭遇了一起严重的黑客入侵事件，而金永哲被高度怀疑参与了此事。 在美方最新公布的警报中，提到了一种名为 Joanap 的远程访问工具、以及一种名为 Brambul 的消息阻塞蠕虫。报道称，该恶意软件是朝方“隐形眼镜蛇”（Hidden Cobra）网络活动的一部分： FBI 对该组织用于维持利用其网络受害者的 IP 地址有很高的信心，至少从 2009 年开始，Hidden Cobra 可能就一直在使用 Jonap 和 Brambul 这两款恶意软件。 其在美国和全球有许多受害者，包括新闻媒体机构、航空航天、金融、以及关键基础设施等行业。 美国政府已经确认了超过 85 个被其攻陷的网络，这些地址和建议的补救措施被一起分发，官方敦促私营企业立即向国土安全部 NCCIC 或 FBI Cyber Watch 上报任何可疑的恶意软件活动。   稿源：cnBeta，封面源自网络；

据加拿大《环球邮报》5月28日报道，两家加拿大银行——蒙特利尔银行（Bank of Montreal）和网上银行Simplii Financial——都对外表示遭到黑客袭击，并且发出警告称，袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息，并威胁将公开这些数据。蒙特利尔银行（加拿大第四大银行）表示，此次黑客袭击事件涉及近5万名客户的信息，并认为此次袭击来源于国外，而非加拿大境内。Simplii Financial则表示，有4万名客户被卷入此次信息泄露事件中。据CNBC的报道，此次黑客袭击事件可能是加拿大金融机构遭受的首次重大攻击。 在世界范围内，类似的数据泄露案例层出不穷，更有趋势调查报告显示金融机构近年来已成为网络犯罪者的首要目标。《每日经济新闻》记者注意到，根据身份盗窃资源中心（Identity Theft Resource Center）和Generali全球援助（Generali Global Assistance）出具的报告，2017年仅美国就有1579起数据泄露事件，同比增长44.7%，其中8.5%的数据泄露发生在金融领域。 黑客来袭 加拿大9万银行账户信息被盗 据《环球邮报》的报道，5月27日，犯罪者联系了蒙特利尔银行以及Simplii Financial，两家银行都于5月28日上午对外披露了此次数据泄露事件。蒙特利尔银行的发言人表示，此次两家银行遭受的袭击事件似乎是相关联的。该行表示，目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。 “我们相信，与客户数据相关的泄露渠道已被关闭”，蒙特利尔银行的发言人保罗·甘马尔（Paul Gammal）在一封邮件中表示，“我们已经将此次数据泄露事件告知了所有被卷入事件中的客户”。 Simplii Financial成立于2017年，隶属于加拿大第五大商业银行——加拿大帝国商业银行（Canadian Imperial Bank of Commerce），目前约有200万名客户。该行也表示正试图与所有受影响的客户进行联系，并且承诺此次事件若对客户造成任何损失他们将进行全额赔偿。“我们非常严肃地对待此次事件，并已经采取行动加强我们的监管措施”，该行的发言人奥尔加·佩特里奇（Olga Petrycki）在一封邮件中表示，“我们正在进行调查，以确定索赔的有效性和可能访问的信息类型。” 加拿大警方也表示，正在与两家银行合作，全力调查此次事件。 目前，还没有迹象显示加拿大帝国商业银行以及其他六大加拿大银行的客户数据有遭到泄露。据《环球邮报》报道，加拿大的银行花费了大量资源来应对不断上升的网络威胁，并且至少从2000年以来，一直在通过协作来阻止网络袭击。 据《环球邮报》援引一位Simplii Financial的客户詹妮弗·高德特（Jennifer Gaudet）的说法称，“我很担心到底黑客盗走了多少信息，他是不是知道了我住哪里，知道我什么时候出生的……我感到自己被侵犯了”。 金融机构成为网络黑客的首要目标 据《环球邮报》援引安永的一份研究报告，加强网络和数据安全已经成为各家银行在2018年的首要任务。该报告指出，运用人工智能和先进的分析技术将有助于抵御攻击，但面对日益复杂的各种袭击，“网络安全技能的短缺”仍对各家银行构成挑战。 《Digital Guardian》在2017年10月曾发布10大金融服务机构数据泄露事件排行，排名第一的事件发生在美国三大信用报告公司之一的Equifax，事件涉及近1.43亿美国客户以及40万英国客户，当时的事件导致该公司的首席执行官、首席战略官、首席信息官悉数离职，众多客户也对该公司提起诉讼。 2014年，摩根大通约7600万个家庭以及700万家小型企业的信息泄露事件排名第四，其中客户的姓名、电话号码、邮箱以及账户持有人的地址被泄露。尽管此次泄露不涉及相关财务信息，但这也意味着黑客们能够进入银行的系统，获悉银行正在使用的应用程序清单，这反过来又为他们提供了新的入口，因为每个应用程序都有自己的安全漏洞。 数据泄露日益成为每个行业的痛点，《每日经济新闻》记者注意到，根据身份盗窃资源中心和Generali全球援助出具的报告，全球的金融服务领域，从银行到信用社，从借贷中介到信托公司，近年来已经成为网络犯罪者的首要袭击目标。而造成这一现象的主要原因是金融行业所掌握的数据拥有巨大的价值，这着实让黑客们眼红不已。   稿源：每经网，封面源自网络；

5月30日消息，据美联社报道，在美国旧金山市法庭举行的庭审中，23岁电脑黑客卡里姆·巴拉托夫(Karim Baratov)被控无意中与俄罗斯间谍机构合作，在雅虎大规模数据泄露事件中窃取数据，以获取私人电子邮件。法官文斯·查布里亚(Vince Chhabria)判处他5年监禁，并处以25万美元罚款。 2017年，两名俄罗斯间谍被控策划了2014年的雅虎黑客入侵事件，涉及5亿用户信息被盗。巴拉托夫也被美国起诉，被指控利用俄罗斯联邦安全局传递给他的被盗数据，侵入了数十名记者、商界领袖和其他人的电子邮件账户。检察官说，巴拉托夫是个“国际黑客雇佣兵”，对他的客户很少或根本没有研究。 去年11月份，巴拉托夫承认犯有9项重罪。他承认自己在7年前就开始从事黑客活动，并向客户收取100美元的黑客费，以侵入网络电子邮件中。巴拉托夫出生于哈萨克斯坦，但在加拿大多伦多居住。去年他在加拿大被捕，他通过欺骗用户将自己的凭证输入到伪造的密码重置页面，从而获得他人的网络邮件密码。 检察官在法庭文件中说，巴拉托夫的俄语“网络黑客”(webhacker)登载了广告，宣称“无需预付款就就可帮助侵入电子邮件账户”。检察官表示，俄罗斯情报机构支付给巴拉托夫报酬，支持他利用从雅虎获得的信息来攻击数十个电子邮件账户。检察官认为，俄罗斯联邦安全局的目标是俄罗斯记者、美国和俄罗斯政府官员以及金融服务和其他私人企业雇员。 巴拉托夫及其律师还说，他不知道自己在与俄罗斯间谍机构合作。在法庭文件中，巴拉托夫声称，他可以访问由谷歌和俄罗斯供应商(如Mail.Ru和Yandex)维护的网络电子邮件帐户。他会向客户提供被黑客入侵的账户截图，并承诺他可以更改安全问题，这样他们就可以长期控制账户。 美国司法部指控两名俄罗斯间谍策划了2014年雅虎安全漏洞袭击事件，窃取了5亿用户数据。德米特里·亚历山大·多库恰耶夫(Dmitry Aleksandrovich Dokuchaev)和伊戈尔·阿纳托利维奇(Igor Anatolyevich)仍然在逃，检方认为他们生活在俄罗斯，但俄罗斯与美国没有引渡条约。 巴拉托夫被认为已经收取了超过110万美元的黑客费用，他用这笔钱购买房屋和昂贵汽车。查布里亚法官在听证会上说：“在这种情况下，威慑尤其重要。”但他拒绝了检察官的要求，没有判处巴拉托夫10年监禁，因为他注意到巴拉托夫的年龄，而且被捕前没有犯罪记录。 自被捕以来，巴拉托夫始终处于被拘留状态。他告诉法官，他在狱中的时光“非常令人羞愧，经历也令人大开眼界”。他做出道歉，并承诺“做个更好的人”，在获释后会遵守法律。法官表示，一旦出狱，巴拉托夫很可能会被驱逐出境。 负责美国国家安全事务的助理总检察长约翰·德默斯（John Demers）说:“犯罪黑客和支持他们的国家在攻击美国公司和公民时犯了严重的错误。我们将在他们所到之处认出他们，并将他们绳之以法。”   稿源：网易科技，封面源自网络；