《欧盟通用资料保护规则》（GDPR）实施在即，微软周二宣布，其他地区的个人用户也能获得同样的资讯隐私保护。 GDPR将于本周五（5/25）正式上路，未来只要网站或服务会直接或间接搜集、处理和利用欧盟民众个人可识别资料时，都将强制受到GDPR的规范。微软是少数受邀与欧盟于比利时布鲁塞尔记者会上连袂宣布启动的厂商。微软企业副总裁暨法务长Julie Brill指出，GDPR为欧盟地区个人提供了重要的隐私权利，但微软相信这些原则和其他地区的人也有关。 为此微软宣布将把GDPR的权利扩大到全球所有消费者用户。微软于5月更新了隐私声明，其中变更的地方包括加入GDPR要求的文字（如用户权利及法源），并说明微软搜集的用户资料种类（语音、使用的内容及上网纪录）、用途（如用于改善产品、提供服务或功能更新，以及广告）及举例，且运用简明的文字或条列方式，方便用户阅读。 微软的隐私声明指出，微软将透过和用户的互动及产品，依据互动的情境及用户在隐私设定及产品功能选择，搜集使用者资料。 但微软表示，所有消费者用户都享有GDPR定义的「资料主体权利」（Data Subject Rights），包括了解微软搜集用户哪些资讯、及修改、删除与将资讯转移到其他地方的权利。针对企业用户，微软也说明从Azure、Office 365、SQL Server到Windows 10/Server 2016有哪些工具可确保资讯安全，符合GDPR规定。 号称欧盟最严格个资法的GDPR对个资外泄罚则十分严格。情节最重者可被罚款2千万欧元（新台币7.2亿元）或全球营业额4%。所有大小网路服务业者无不相继更新了GDPR的用户服务条款，也有小公司索性退出欧盟市场。脸书则是为了降低法规风险，上个月悄悄将欧洲15亿用户移到美国总部管理范围。   稿源：ithome.com.tw，封面源自网络；

据外媒Neowin报道，亚马逊于2016年宣布推出其称为Rekognition面部识别服务。该服务被称为一种“深度学习型图像和视频分析”，并已经与HERE等公司进行合作。但美国公民自由联盟(ACLU)担心私人客户不是唯一使用该技术的人。 事实上，亚马逊在其Rekognition页面提到奥兰多市政府也是其客户之一，但ACLU获得的文件对此进行了更详细的描述。根据这些文件，奥兰多市政府和俄勒冈州华盛顿县警长办公室自2017年以来一直是该服务的客户。在奥兰多，Rekognition现在作为面部监视系统实时运行。 ACLU还发现，上述两个地区都没有给民众提供讨论该系统实施情况的机会，甚至在华盛顿县警长办公室内部提出了问题。ACLU担心这种技术可能用于恶意目的，即使没有特定的理由，城市和警察也可以监视社区。鉴于这一切，ACLU和许多其他组织已向亚马逊CEO杰夫·贝佐斯发出一封信，要求亚马逊停止向政府机构出售其Rekognition服务。 根据ACLU在三个州的分支机构获得的文件，亚马逊并没有限制政府使用Rekognition，而是帮助政府部署。它为政府客户提供了产品支持和免费咨询服务。亚马逊已经征求了有关执法新产品功能的反馈意见。亚马逊甚至与一位知名的执法客户签署了保密协议。尽管如此，亚马逊对政府如何使用Rekognition没有任何有意义的限制。 亚马逊 Rekognition在政府手中被滥用。该产品对社区构成严重威胁，包括有色人种和移民，以及亚马逊努力建立的信任和尊重。亚马逊必须迅速采取行动，维护公民权利和公民自由，包括自己客户的自由权利，并将Rekognition从政府手中带走。 许多组织已在这封信上签名，但是它是否会对亚马逊的Rekognition策略产生影响还有待观察。       稿源：cnBeta，封面源自网络；

两名研究人员近日发现美国用于激活 Xfinity 路由器的 Comcast 网站会泄露用户的敏感信息。Concast 网站主要用于建立家庭互联网和有线电视服务，可能会被攻击者利用，显示路由器所在的家庭住址以及 Wi-Fi 名称和密码。 测试发现，这个网站会以明文形式返回用户联网的 Wi-Fi 名称和密码，就算修改密码，再次运行进程也能获得新的密码。攻击者可以借此重命名 Wi-Fi 网络名称和密码，暂时锁定用户甚至使用这些信息访问有效范围内的 Wi-Fi 网络，进而读取未加密的流量。 Comcast 目前已经从网站中删除了返回数据的选项，正在着手解决这个问题。   稿源：Freebuf，封面源自网络；

5月22日，腾讯科恩实验室对外发布了宝马多款不同车型上的14个通用安全漏洞，这些漏洞可以通过物理接触和远程无接触等方式触发，据其官方博客透露，目前所有漏洞细节和攻击方法均已得到宝马官方确认。 重点分析汽车暴露在外部的攻击面 据其官方博客介绍，研究始于2017年1月，实验室对多款宝马汽车的车载信息娱乐系统（Head Unit）、车载通讯模块（T-Box）和车载中心网关（Central Gateway）的硬件进行研究后，把重点放在了分析汽车暴露在外部的攻击面（包括GSM网络、BMW远程服务、BMW互联驾驶系统、远程诊断、NGTP协议、蓝牙协议、USB以及OBD-II接口），通过对宝马多款车型的物理接触和远程非接触式攻击，证明可以远程破解车载信息娱乐系统、车载通讯模块等，获取CAN总线的控制权。 目前，科恩实验室已经向宝马报告了漏洞和攻击链的详细细节，并提供了技术分析及相关修复建议。 漏洞攻击链 科恩实验室完成破解车载通讯模块和信息娱乐系统后，经过进一步分析，组合利用这些安全漏洞实现了完整的本地攻击链和远程攻击链。 据介绍，本地和远程攻击链的最终目的都是实现从车载网关向不同 CAN 总线（例如: PT-CAN、K-CAN）发送诊断命令来影响车上的电子控制单元（ECU）, 进而影响车辆功能。 ▲本地攻击链 ▲远程攻击链 影响范围 漏洞主要存在于宝马车载信息娱乐系统（Head Unit）、车载通讯模块（T-Box）和车载中心网关（Central Gateway）三大模块中，基于实验经验，车载信息娱乐系统中的漏洞可以影响宝马多款车型，包括i系、X系、3系、5系、7系等，而车载通讯模块中的漏洞影响自2012年以来的所有搭载该模块的宝马车型。 据悉，所有可以通过蜂窝网络发起的攻击，宝马已于2018年3月开始修复措施，这些措施已在4月中旬通过宝马配置文件更新功能对外推送更新。 其余的安全缓解措施宝马正在研发中，后续会通过可选的软件安全补丁方式，车主可以通过宝马官方维修渠道获取。 关于具体的漏洞细节，科恩实验室计划在2019年正式对外发布包含所有漏洞细节的宝马安全报告。   稿源：雷锋网，封面源自网络；

据外媒报道， 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器，目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法，通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本，Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外，尽管最初的袭击旨在针对来自东南亚的用户 ，但目前该新活动已经演变到支持 27 种语言，以扩大在欧洲和中东地区的业务范围。 与之前的版本类似，新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发，攻击者更改无线路由器的 DNS 设置，将流量重定向到由他们控制的恶意网站。因此，当用户试图通过一个被破坏的路由器访问任何网站时，他们都会被重定向到恶意网站，这些网站可用于：提供 Android 用户虚假银行恶意软件；提供 iOS 用户 钓鱼网站；提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害，安全研究人员给出了以下建议： “建议您确保您的路由器运行最新版本的固件并使用强密码保护； 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名，将用户重定向到恶意下载文件，所以建议您在访问站点前确保其启用了 HTTPS； 您还应该禁用路由器的远程管理功能，并将可信的 DNS 服务器硬编码到操作系统网络设置中； 建议 Android 用户从官方商店安装应用程序，并设置禁用安装未知来源的应用程序； 检查您的 Wi-Fi 路由器是否已被入侵，查看您的 DNS 设置并检查 DNS 服务器地址，如果它与您的提供商发布的不符，请将其修正，并立即更改所有帐户密码。” 卡巴斯基实验室分析报告： 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源：Thehackernews，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

谷歌因为被控“秘密追踪和整理”440万英国iPhone用户的信息而在当地高等法院遭到起诉，索赔额高达32亿英镑（约合43亿美元）。 这起集体诉讼由Which?公司前总监理查德·劳埃德（Richard Lloyd）领头，他们指控谷歌在2011年8月至2012年2月期间绕过苹果iPhone版Safari浏览器的隐私设置，通过收集的信息对用户进行分类，以供广告主使用。 在周一举行的听证会上，劳埃德的代理律师休·汤姆林森（Hugh Tomlinson）表示，谷歌收集的信息包含种族、身心健康、政治倾向、性别、社会阶层、财务、购物习惯和地理数据。这些信息随后被“汇总”，而用户则会被分成“足球爱好者”或者“时事爱好者”，以供广告主精准定位。 他表示，这些数据是通过对iPhone浏览信息的“秘密追踪和整理”收集的。这种活动被称作Safari Workaround，早在2012年就被一位博士研究员曝光。汤姆林森还表示，谷歌已经支付3950万美元在美国和解了与此有关的官司。谷歌在2012年因此遭到美国联邦贸易委员会（FTC）罚款2250万美元，并向美国37个州支付1700万美元。 劳埃德在听证会前表示：“我认为谷歌的所作所为是违法行为。他们的行为影响了英格兰和威尔士的数百万人，我们要求法官确保他们在我们的法庭上承担责任。” 劳埃德领导的组织名叫“谷歌你欠我们的”（Google You Owe Us），他们希望至少为大约440万英国iPhone用户索赔10亿英镑。法院文件则显示，该组织最多可能寻求32亿英镑索赔，也就是每人750英镑。 谷歌则认为这种集体诉讼并不合适，不应该继续推进。该公司的律师表示，没有任何迹象表明Safari Workaround获得的任何信息被第三方获取。 谷歌还认为，不可能判断具体哪些人可能受到影响，因此这一主张没有成功的可能。谷歌律师安东尼·怀特（Anthony White）表示，劳埃德的目的是“追求问责和惩罚活动”，而不是为所有受到影响的人索赔。 “用户的隐私和安全对我们至关重要。本案牵扯的事件发生在6年多以前，我们当时就已经解决了。”谷歌英国公关主管汤姆·普雷斯（Tom Price）说，“我们认为这起官司没有依据，应当被驳回。我们提交了证据支持这一观点，希望向法院说明我们的情况。”   稿源：，稿件以及封面源自网络；

据外媒Techspot报道，互联网通常被认为是一把双刃剑。对于许多用户来说，互联网给他们带来了便利，他们可以通过搜索引擎和社交媒体等了解外部世界。然而暴力行为和其他非法内容的直播也通常会在互联网上定期出现。因此Google、Twitter和Facebook等公司一直在努力警惕用户提交的内容。 根据英国政府发布的新闻稿，“约60%的人”表示他们在网上目击了不适当或有害的内容，“40%的人”表示他们经历过网络暴力。英国数字国务部长马特·汉考克(Matt Hancock)认为互联网的“狂野西部”本质是危险的，需要加强监管。因此，该国将出台新的网络安全法律来保护用户。 汉考克就即将出台的立法发表了如下声明： 人们的生活中接触越来越多的在线平台，因此人们的安全比以往任何时候都更重要，父母可以有信心让自己的孩子免受伤害。我们今天采取的措施将有助于确保儿童在网上受到保护，并通过互联网带来的巨大自由来平衡对安全的需求，因为我们必须脱离这种平衡。 在上述新闻稿中，英国政府表示即将出台的立法将旨在保护儿童不受利用，防止网络欺凌，并停止在线恐怖主义。英国政府今年晚些时候将出版一份关于即将出台的立法的白皮书。   稿源：cnBeta，封面源自网络；

本周一，英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体，存在该漏洞的芯片被广泛应用于计算机和移动设备上。 英特尔称该新发现的漏洞为“变体4号”。该公司表示，尽管该最新变体与今年一月份发现的安全漏洞属于同种类型，但它使用了一种不同的获取敏感信息的方法。 Spectre and Meltdown安全漏洞还在继续影响着英特尔、ARM、和AMD等芯片厂商，这些公司生产的计算机和移动设备芯片中大多存在此漏洞。该漏洞使得黑客能读取计算机CPU上的敏感信息，已经在过去二十年内影响了数百万的芯片。尽管类似苹果、微软、英特尔这样的厂商都在发布修补该漏洞的补丁，但有些补丁并不管用，并且还导致计算机出现故障。 黑客们经常在线搜寻各类漏洞，以对存在该漏洞的计算机实施攻击。比如，去年造成严重影响的WannaCry勒索软件攻击就利用的是一个微软已经修补了的漏洞，没有安装系统安全更新的电脑更易受到攻击。 据英特尔发表的一篇博客文章显示，该公司将这个“变体4号”漏洞标记为中级风险，因为与该漏洞有关的浏览器的多个缺陷已经通过首个补丁包解决了。该新变体利用的是“Speculative Store Bypass”，该缺陷能使处理器芯片向潜在的不安全区域泄露敏感信息。 英特尔表示，还没有发现有黑客在利用这个漏洞发起攻击，并将在未来几周内发布修补此漏洞的安全补丁。英特尔主管安全的高级副总裁莱斯利·库尔本森（Leslie Culbertson）在博客文章中提到，将向硬件厂商和软件开发商提供该漏洞的补丁。她表示，这次的补丁更新不会出现以往影响计算机性能的情况了。 在一份由微软公布的安全报告中，该公司称此次发现的漏洞变体可能使得黑客能在浏览器的JavaScript中植入攻击脚本。 来自谷歌Project Zero项目的研究人员首次发现了该漏洞的初始版本，并在今年二月份向英特尔、AMD和ARM公司报告了此漏洞。该团队同样将该变体标记为中等严重风险。   稿源：，稿件以及封面源自网络；

首届中国工业信息安全大会将召开，会上将发布《中国工业信息安全产业发展白皮书》，该白皮书是国内首份全面系统深入研究分析我国工业信息安全产业发展的报告。 首份产业发展白皮书将发布 2018年5月24日-5月25日，首届中国工业信息安全大会将召开，会上将发布《中国工业信息安全产业发展白皮书》，该白皮书是国内首份全面系统深入研究分析我国工业信息安全产业发展的报告。 白皮书梳理了2017年全球和我国工业信息安全产业发展状况，重点对产业规模结构、政策环境、技术发展、行业应用及人才现状等进行深入分析，剖析我国工业信息安全产业发展面临的挑战，并对产业发展趋势进行了展望。 工业信息安全引发全球关注 目前，日益复杂严峻的工业信息安全形势已经引发全球关注。近年来，”震网”病毒入侵导致伊朗上千台离心机报废、乌克兰电网被攻击导致140余万家庭断电、”WannaCry”勒索病毒导致国际知名汽车制造厂商被迫停产、工控恶意软件”Triton”导致能源工厂停运等工业信息安全事件层出不穷，对当事国的经济社会稳定运行和国家安全造成巨大冲击。世界各国政府与产业界高度重视工业信息安全，不断加大安全投入，工业信息安全产业迎来发展机遇。 我国工业信息安全产业进入”快车道” 工业信息安全事关经济发展、社会稳定和国家安全，是制造强国和网络强国建设的重要支撑，是保障国家网络安全的重要基础。”十三五”以来，党中央、国务院科学构建工业信息安全战略布局，出台了一系列法规政策、战略规划和指导意见，工业信息安全产业发展环境不断优化，我国工业信息安全产业发展进入”快车道”。 放眼全球工业信息安全形势，立足我国工业信息安全产业发展现状，国家工业信息安全发展研究中心联合360企业安全集团、启明星辰、威努特、烽台科技、天地和兴等企业共同编写了《中国工业信息安全产业发展白皮书》。 白皮书将在5月24日首届中国工业信息安全大会上发布。大会由工业和信息化部指导，国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办，以”筑工信安全 建网络强国”为主题，聚焦工业信息安全发展趋势、标准制定、应用实践、人才教育等行业关切，邀请全球工业信息安全领域嘉宾出席论坛，共商工业信息安全未来发展。   稿源：央视网，封面源自网络；

安全研究人员发现，CalAmp（一家为多个知名系统提供后端服务的公司）运营的一台服务器因为错误配置，黑客可借助该漏洞接入账号数据，甚至直接接管相关车辆。 发现该问题时，安全专家 Vangelis Stykas 和 George Lavdanis 正在搜寻 Viper SmartStart 系统中的安全漏洞，这是一款让用户能远程启动、锁闭、解锁或定位车辆的设备，有了它，用户只需操作手机中的应用就能直接完成上述操作。 与其他移动应用类似，这套系统用了 SSL 和证书锁定（Certificate Pinning，已知其服务器用上了硬编码）安全连接来自动拒绝那些提供虚假 SSL 认证连接的网站。 不过两位安全专家指出，该应用不但会连接到 mysmartstart.com 的域名，还会连接第三方域名（https://colt.calamp-ts.com/，即 Calamp.com Lender Outlook 服务）。只要使用 Viper 应用生成的用户凭证，谁都能登陆控制台。 “该控制台看起来是 Calamp.com Lender Outlook 服务的前端，我们试着用 Viper 生成的用户凭证登陆，居然成功了。”安全专家 Stykas 在一篇博文中写道。“显然，这是那些拥有多个子账户和大批车辆需要控制公司的控制台。” 进一步测试后，研究人员确认了一点，那就是这套系统的入口还是安全的。不过，在评估中他们却发现，各种报告其实是来自另一台专用服务器，它负责运行的是 tibco jasperreports 软件。 这还是两位专家第一次分析这种类型的服务器。移除所有参数后，他们发现，自己居然以用户身份登陆了，虽然权限受限，但已经可以接入许多报告了。 “我们不得不运行所有报告，并且发现前端根本就没有审核用户 ID，而是选择自动让其通过。不过，现在我们得从控制台提供 ID 作为输入项。当然，我们可以选择想要的任意数字。” 一番研究后他们发现，自己已经可以接入所有车辆的所有报告了（包括位置记录），而且只要知道了用户名，就能直接接入数据源（密码做了伪装处理，所以无法导出）。同时，借助服务器还能轻松复制和编辑现有报告。 “我们无法创建报告、AdHoc 无线网络或其它项目，不过我们能对现有内容进行复制粘贴和编辑，这也就意味着我们已经大权在握。此外，我们还能在报告中加入任意的 XSS 来窃取信息。当然，这是正派人士所不齿的。”上述专家说。 雷锋网(公众号：雷锋网)了解到，掌握了服务器上的生产数据库后，研究人员就能通过移动应用接管用户账户。如果黑客知道了某账户的密码（老密码），就能直接定位车辆并开车走人。 两位专家指出，这一漏洞可能导致下列严重后果： 1. 黑客只需修改用户密码，就能直接解锁并开走车辆； 2. 拿到所有位置记录报告； 3. 在某人开车时直接关掉车辆引擎； 4. 远程操控开启引擎； 5. 拿到所有用户的数据； 6. 通过应用拿到总线信息； 7. 从连接数据库拿到 IoT 设备的数据或重设密码。这也就意味着黑客手中能掌握千万种可能。 据悉，两位专家本月月初就将问题反映给了 CalAmp，而后者在十天内就将问题彻底解决。   稿源：雷锋网，封面源自网络；