据路透社报道，美国国土安全部和数千家企业周一争分夺秒地调查和应对一场大规模的黑客攻击活动，官员们怀疑该活动是由俄罗斯政府指挥的。三位知情人士周一告诉路透社记者，作为复杂的系列漏洞的一部分，负责边境安全和防御黑客攻击的国土安全部官员发送的电子邮件被黑客监控。周日首次披露的攻击事件还袭击了美国财政部和商务部。 科技公司SolarWinds是黑客使用的关键“踏脚石”，该公司表示，其多达1.8万名客户下载了一个被入侵的软件更新，使黑客能够在近9个月的时间里不被察觉地监视企业和机构。 美国周日发出紧急警告，命令政府用户断开SolarWinds软件的连接，称该软件已被“恶意行为者”入侵。 这一警告是在路透社报道疑似俄罗斯黑客利用劫持的SolarWinds软件更新侵入包括财政部和商务部在内的多个美国政府机构之后发出的。莫斯科否认与攻击有任何关系。其中一位熟悉黑客活动的人士表示，国土安全部网络安全部门用来保护基础设施的关键网络，包括最近的选举，都没有被攻破。 国土安全部表示知道这些报道，但没有直接证实这些报道，也没有说受影响有多严重。国土安全部是一个庞大的官僚机构，其中负责保障COVID-19疫苗的分发。在国土安全部(DHS)下属网络安全和基础设施安全局(CISA)局长克里斯托弗·克雷布斯(Christopher Krebs)称2020年总统选举是美国历史上最安全的选举后，美国总统特朗普解雇了负责人克雷布斯。他的副手和选举负责人也已经离开。 SolarWinds在一份监管披露中表示，它认为这次攻击是 “外部民族国家 “所为，他们在今年3月至6月间发布的Orion网络管理软件更新中插入了恶意代码。 “SolarWinds目前认为，可能安装了包含此漏洞的Orion产品的客户实际数量不到1.8万，”它说。 该公司没有回应有关受影响客户的确切数量或这些组织的任何违规程度的评论请求。该公司表示，它并不知道其其他产品存在漏洞，目前正在美国执法部门和外部网络安全专家的帮助下进行调查。 SolarWinds在全球拥有30万客户，其中包括美国财富500强企业的大部分，以及美国和英国政府的一些最敏感的部分–如白宫、国防部门和两国的信号情报机构。目前，世界各地的调查人员都在争分夺秒地寻找黑客。英国政府发言人表示，英国目前还不知道这次黑客攻击有什么影响，但仍在调查。 三位熟悉黑客调查的人士告诉路透社，任何运行Orion软件受损版本的机构都会被攻击者在其电脑系统中安装了“后门”。“在那之后，只是攻击者是否决定进一步利用这一权限的问题，”其中一位消息人士说。 据两位熟悉周一上午启动的企业网络安全调查浪潮的人士称，早期迹象表明，黑客在选择入侵对象时是有区别的。”我们看到的是远远少于所有的可能性，”一位人士说。”他们正在像使用手术刀一样使用这个。” 与此次事件有关的知名网络安全公司FireEye在此间的一篇博客中表示，其他目标包括 “北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体”。 “如果是网络间谍活动，那么这是我们在相当长一段时间内看到的最有效的网络间谍活动之一。”FireEye的情报分析总监John Hultquist说。 专家表示，由于攻击者可以利用SolarWinds进入网络内部，然后创建一个新的后门，因此仅仅断开网络管理程序还不足以将黑客引导出去。为此，成千上万的客户都在寻找黑客存在的迹象，并试图猎取并禁用这些额外的工具。         （消息来源：cnBeta；封面来源于网络）

援引路透社报道，黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应，微软今天发布了 IT 管理员指南，帮助他们寻找和缓解潜在的恶意活动。 不过，微软否认云服务遭到入侵。在声明中表示：“我们还想要向所有客户澄清，在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动，并警告安全人员注意以下迹象： ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点，攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来，他们就可以伪造SAML令牌，以模拟组织的任何现有用户和帐户，包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录，由于已对其进行了配置，因此可以将其用于任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）信任证书。由于SAML令牌是使用其自己的受信任证书签名的，因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户，攻击者可以将自己的凭据添加到现有的应用程序服务主体，从而使他们能够使用分配给该应用程序的权限来调用API。     （消息及封面来源：cnBeta）

研究发现，一种新的勒索软件可以扩大目标范围，躲避安全软件的检测，发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现，它在加密前窃取文件，并且要求数百万赎金，这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示，“MountLocker背后的攻击者显然只是在热身。从7月份开始，他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高，能够快速过滤敏感文档，在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族，比如Maze（上个月关闭），这些勒索软件在暗网上运营一个网站，羞辱受害者，并提供泄露数据的链接。 到目前为止，这款勒索软件已经有5名受害者，但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务（RaaS）提供，它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击，但攻击者最终在10月份窃取并在网上发布了18G的敏感文件，这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析，MountLocker背后的攻击者利用远程桌面（RDP）和泄露的凭证，在受害者的环境中获得初步的立足点（这在Gunnebo的黑客攻击中也有观察到）。然后部署工具执行网络侦察（AdFind），接着部署勒索软件和横向跨网络传播，通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后，它会终止安全软件，使用ChaCha20密码触发加密，并创建一张勒索便条，其中包含一个Tor.onion URL的链接，通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密，删除卷影副本以阻止加密文件的恢复，并最终将自己从磁盘中删除以隐藏踪迹。 然而，研究人员指出，勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥，该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛，支持2600多个文件扩展名，包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外，我们在11月底发现了MountLocker的一个新变种（称为“版本2”），它删除了加密所需的扩展名列表，转而使用精简的排除列表：.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说：“自从成立以来，MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进，但可能短期内变得更强大。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在周四的一份公告中，Facebook 安全团队出人意料地透露了 APT32 组织的真实身份。作为近年来最为活跃的黑客组织之一，有消息称其与越南方面有说不清道不明的关系。不过在被发现利用社交平台传播恶意软件并试图感染用户之后，Facebook 已经果断地封禁了与 APT32 有关联的账户 —— 所谓的“CyberOne Security”。 Facebook 安全策略主管 Nathaniel Gleicher 与网络威胁情报主管 Mike Dvilyanski 表示，他们调查到了这些活动与越南 IT 企业 CyberOne Group 有关联。 Gleicher 和 Dvilyanski 补充道，APT32 在 Facebook 上的运作方式，就是通过虚构的角色来创建相关账户也页面，常用的伪装是活动家或商业实体。 然后通过其它诱饵，APT32 可逐步渗透到受害的目标网络中。比如网络钓鱼或恶意软件、甚至指向该组织设法在谷歌官方 Play 商店上传的 Android 应用程序的链接，以进一步监视受害者。 嫌疑账号的 Facebook 主页缓存截图 据信 APT32 组织的早在 2014 年就开始了运作，有时也会被外界称作 OceanLotus，但此前的行动有些杂乱无章。 然而由于此前公布的联系方式已经变灰，外媒暂时无法与 CyberOne 发言人取得联系，发出去的邮件咨询请求也被退回。         （消息及封面来源：cnBeta）

今年10月以来，研究人员发现，恶意软件攻击者在利用一种远程访问木马njRAT（也被称为Bladabindi）从Pastebin下载并传送第二阶段的有效负载。Pastebin是一个流行网站，可匿名存储数据。攻击者利用这一服务发布恶意数据，恶意软件可以通过一个简短的URL访问这些数据，避免使用他们自己的命令和控制（C2）基础设施，以免引起注意。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1425/         消息及封面来源：paloaltonetworks，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国国会两党提出了一项法案，该法案将取消对 “从事某些操纵行为”的公司的第230条法律保护，但实际上，将剥夺美国几乎所有与用户互动的互联网场所的保护。《通信正派法》第230条规定，网络平台可以为他人在其网站上发布的内容免于承担责任。这些保护措施让早期的平台得以蓬勃发展，但却受到了立法者和监管机构的关注。 众议员Tulsi Gabbard(D-HI)和众议员Paul Gosar(R-AZ)周三提出的《2020拆分科技巨头法案》(Break Up Big Tech Act of 2020)旨在剥夺公司的这一保护伞，一旦法律实施，如果他们采取所谓的行动如 “充当出版商和审查某些用户”，就会受到监管。 Gabbard议员和Gosar议员都将该法案定位为阻止所谓的审查用户和意见的方式。法案中也有一些内容是为了遏制定向广告和用户数据的商品化。”这项法案取消了服务提供商利用法律豁免权行事而不受惩罚的情况，同时为那些提供真正中立的社交媒体平台或搜索引擎而不使用操纵算法的人保留第230条保护。”Gabbard说。 更具体地说，该立法将取消对从事以下活动的网络公司的第230条保护： 在未经用户同意的情况下出售和显示目标广告。 为 “直接销售交互式计算机服务以外的商业目的”收集数据。 “通过’将物品放入商业信息流’而实现实际上的平台地位。 采用数字产品，目的是让用户”参与并沉迷于”该服务。 作为出版商，使用算法在没有用户选择的情况下对内容进行控制或审查。 该提案的范围足够广泛，因此限制适用于任何承载广告的场所–即使是来自谷歌线上广告市场的交易，也不是直接委托的–同时也有评论区或其他方式让用户对该场所发布的内容做出反应，或由其他用户分享。 近年来，第230条已经成为政治目标。例如，共和党人认为社交媒体公司在审查保守观点，而民主党人则认为当社交媒体公司扩散错误信息或误导性内容时，第230条就会对其进行保护。在实际操作中，随着230条款改革的提出，各场所将进行更多的节制，以保证它们仍然属于该法规的法律保护范围。 早在10月，联邦通信委员会主席Ajit Pai就表示，联邦通信委员会有能力解释法律，并表示计划这样做。9月，司法部概述了将改变某些230条款保护的立法。 唐纳德·特朗普总统在2020年早些时候签署了一项行政命令，因为Twitter将他的一条推文标记为误导性。在竞选活动中，当选总统乔·拜登也表示，他支持撤销该法律。 Facebook的马克-扎克伯格（Mark Zuckerberg）、谷歌的桑达尔-皮查伊（Sundar Pichai）和Twitter的杰克-多西（Jack Dorsey）都在2020年早些时候在国会作证，为第230条和其带来的审查制度的指控辩护。对保护措施的批评也浮现在本应在7月举行的反垄断听证会上。           （消息及封面来源：cnBeta）

2018年5月，欧盟《通用数据保护条例》（GDPR）正式生效。此后，法国对Google开出了高达5千万欧元的罚单，认为其服务条款不够透明，违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单，认为使用人脸识别记录出勤违背了“必要性原则”。 据统计，截至2020年1月，欧盟各国数据监管机构接到的违规举报超过16万件，而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”，也影响了其后多国的数据立法，包括中国刚刚出台的《个人信息保护法（草案）》。但面对更为敏感的生物识别数据，比如人脸数据，GDPR仍存在局限性。比如，它未能覆盖“数据生命全周期”，原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物识别技术监管：全球举措及关键问题）的第四章。为便于理解，我们对原文进行了必要的补充和修改。 2004年，欧盟颁布了一项法律，要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时，欧盟建立了一个大型数据库，涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久，生物识别的应用在公共部门和私人企业得到了进一步扩张，用于控制人流、公司的电子门禁，以及校园监控。技术的优越性得到了欧洲委员会的承认，但后者提醒，生物识别数据应被视为“敏感”信息，它包含个人的健康状况、种族等敏感信息，能识别人的身份，能轻易与其他信息扣连，且不可更改。 面对上述风险，法律层面的监管一度“缺位”，无论是一般意义上的数据保护法，还是大多数国家的立法，都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时，法律相对滞后。 为弥补其间差距，一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如，强调数据的敏感性、数据库维护的风险性，以及 “功能潜变”（编者注：function creep，即出于某一特定目的采集的数据被用于其他目的）的可能性，还包括使用目的和手段之间是否相称（编者注：proportionality，相称性原则，即需考察为达成某一目的，是否有必要采用生物识别技术）。然而，这些法案在实际操作时留下了诸多不确定空间。 2016年，欧盟推出了《通用数据保护条例》(General Data Protection Regulation，下文简称GDPR)，适用于各成员国，涵盖了生物识别数据在公共和私人领域的应用。此外，欧盟还通过了《数据保护执法指令》（Data Protection Law Enforcement Directive，下文简称DP LED），专门针对执法部门，当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时，需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间，各国数据监管机构依据GDPR所做出的判罚，其中，荷兰、德国、英国位列数据泄露案件数的前三位。图片来源：DLA Piper统计报告。 欧盟如何监管生物识别数据？ GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据，这些个人数据可用于确认该自然人的独特身份，如面部图像或皮肤（指纹）数据。” 值得注意的是，对“特定技术处理”（specific technical processing）的强调排除了那些存储和保留在数据库中的“原始”数据，如视频监控拍到的人脸或录音，以及用户发布在网站、社交媒体上的原始信息。 此外，GDPR提及，“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据，除非它经过特殊技术处理，可以识别出个人。 虽然GDPR规定，禁止“以唯一识别为目的进行生物特征数据处理”，但这项禁令仍存在许多例外。比如数据“明显公开”，或“出于重大公共利益的目的”。这些“例外情况”大量存在，模糊不清，实际上，GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架，GDPR也提及，各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制，只有在以下三种情况下执法机关可以使用生物识别数据：获得了法律授权、保护关键利益，或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时，或大规模处理特定类型的个人数据时， GDPR和DP LED要求启动“数据保护影响评估”（Data Protection Impact Assessments， DPIA）。此外，当公共部门系统性监控某个可公开进入的区域时，同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估，包括数据处理的风险性、必要性，以及目的与手段是否相符。某些情况下，当私人机构或公共部门想要使用生物识别技术时，他们需要事先向当地或本国的数据监管部门咨询，获得许可。 英国信息委员会办公室（Information Commission Office）列出的“数据保护影响评估”的基本步骤，其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示，该评估应先于技术的应用。图片来源：ICO官网 此外，生物识别数据的处理和技术应用需尊重公民的基本人权和自由，当隐私权或个人数据保护权受到侵害时，与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训，讨论了它们的有效性，并重点介绍了未来监管应吸取的经验。 模糊的定义：原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中，生物识别数据被定义为“经过特定技术处理”的数据，（编者注：由于过多强调数据的处理环节）。在采集和存储环节，除了获得用户同意、满足必要性等原则之外，相较于其他一般意义上的个人数据，生物识别数据并不享有更高级别的保护。 正因如此，生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注：即尚不符合GDPR对生物识别数据的定义），而无法被保护。这一点尤为关键，特别在执法部门使用时，透明度受限，数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型图像数据库，这些数据以后可能用于执法目的。 2020年，Clearview AI公司引发了巨大争议，通过一张人脸信息就可以识别出其身份和电子足迹，这也让更多人意识到现有法律框架的局限。图片来源：Clearview AI官网。 这也与欧洲人权法院的判例法相违背，后者一再强调，从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前，英国人Gaughran就将英国政府告上欧洲人权法庭，（编者注：2008年Gaughran因酒驾被捕，在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁，但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭，要求警方销毁个人数据或退还给自己。）欧洲人权法院将人脸识别和面部特征比对等技术考虑在内，最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护，这些数据可用于身份识别目的，或可供自动化识别过程， 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义：所有满足以下条件的个人数据：(a)直接或间接与人类独特的生物或行为特征有关的数据；(b)可使用或可通过自动化手段使用的数据；(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分，也未能对不同的数据处理方式设置针对性规范。例如，虽然GDPR的第9.1条列出了一些禁止使用和处理的规定，但它并没有区分“一对一” 的“验证”（编者注：1：1，比如通过电子门禁时，确认进入者身份）和“一对多”的“识别”。 目前，欧洲委员会和许多国家的数据监管部门表示，验证比识别的风险性小，因为验证不需要数据库。 一对多的身份识别存在额外的风险，包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配（这引起了人们对准确性和误报的担忧），以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能，这也造成了技术开发者的顾虑，对于希望投资生物识别验证技术和隐私增强方法的公司来说，这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异，禁止那些构成真正风险的技术，鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”？ 最后，法律中含糊的“例外情况”也存在漏洞，为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛，允许基于“重大公共利益”进行生物识别数据处理（编者注：由于未对“重大公共利益”进行具体界定，它会成为一个宽泛的“筐”）。 由于对“例外”情况的界定笼统宽泛，目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据（例如，在大型体育场活动中）。GDPR和DP LED无法回答这些问题的，还需要制定更针对性的法律。         （消息来源：cnBeta；封面来自网络）

据英国卫报报道，黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构，价值1万美元。捐款后，Darkside在暗网公布了得到捐款的这两家慈善机构的收据。根据法律，慈善机构不得保留犯罪收益捐款，但因捐赠加密算法导致捐款无法退回，机构因此陷入尴尬境地。 Children International表示:“如果这笔捐款跟黑客有关，我们将无意保留。” 但Darkside发出警告称:这笔钱是通过加密算法mixer发送的，模糊了比特币的真正发送者和接收者，故无法退回。 资料显示，网络犯罪组织Darkside主要开发勒索软件，通过给电脑加密，借此向大公司勒索牟利。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，勒索只针对盈利的大公司进行，如果要求得不到满足，他们就会在网上泄露大公司的数据。             （消息来源：cnBeta；封面来自网络）

外媒报道称，欧洲药品管理局（EMA）刚刚经历了一次网络攻击事件，黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称，攻击者“非法获取”了该公司及其合作伙伴（辉瑞）提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局（EMA）在官方声明中证实了本次攻击，目前相关调查仍在进行中，因此不方便披露更多细节。庆幸的是，EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道，该公司的服务器并未受到本次攻击事件的影响，目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份，但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时，英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗，预计可在 12 月底覆盖 400 万人。           （消息及封面来源：cnBeta）

Chrome 漏洞奖励计划（VRP）自 2010 年启动以来，得到了很多安全研究人员的踊跃参与，通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目，谷歌也修复了大量漏洞，从而让软件变得更加安全。现在，谷歌宣布进一步扩大奖励计划，并为 V8 JavaScript 引擎中的漏洞提供两倍的赏金。 此前，谷歌只是对那些在 V8 中具备完整功能报告的安全专家提供奖励。而现在，谷歌还会对那些耗时提出如何利用安全漏洞的研究人员提供奖励，这些悬赏的赏金已经增加了一倍。谷歌表示，提供可供利用证据的安全专家能够帮助公司修复错误和缓解漏洞，因此应给予相应的奖励。它还强调，即使V8安全错误不属于上述类别，它仍可能有资格获得更高的奖励。         （消息来源：cnBeta；封面来自网络）