分类: 国际动态

微软提醒欧洲:这个冬天做好与俄罗斯网络战的准备

近日,计算机巨头微软公司就10月份俄罗斯军事情报组织对波兰的运输和相关物流业发起的勒索软件攻击事件表明:俄罗斯在今年冬天可能会对欧洲网络空间推行其在乌克兰方面同样的攻势。 微软在近日的一份警报中写道:俄罗斯已经在欧洲推行了一种以数字网络为基础的虚假信息策略,它在包括德国在内的中欧国家尤其有效,而且这种策略在未来几个月可能会加强。 微软数字威胁分析中心总经理克林特-瓦茨说道:世界应该为今年冬天俄罗斯在数字领域的几条潜在攻击线做好准备。 今年秋天的时候,微软将活跃在乌克兰和波兰的新型勒索软件活动归咎于对NotPetya恶意软件,该恶意软件的始作俑者与2015年和2016年冬季对乌克兰电力供应商进行网络攻击的背后组织相同。都与俄罗斯GRU军事情报机构有关,该攻击组织被称为 “沙虫”。 同时,俄罗斯情报机构(包括 GRU、SVR 和 FSB)一直对在俄乌战争后帮助乌克兰的国家政府的网络攻击,试图破坏全球数十个国家的实体,绝大多数攻击主要集中在北约和西方对俄乌战争中发挥关键作用的国家。 根据“沙虫 ”最近的活动显示,俄罗斯从之前占领的乌克兰领土上撤退后,开始更加针对乌克兰的关键基础设施。微软表示,乌克兰反击战的成功与CaddyWiper和FoxBlade恶意软件活动的激增相匹配,这些恶意软件主要服务于基辅,涉及发电、供水以及人员和货物的运输。 “沙虫 ”对波兰部署了微软称为 “Prestige “的勒索软件,表明它已经准备好破坏乌克兰的供应链。虽然Prestige的效果有限,但至少可以肯定的是他们收集了关于供应路线和物流操作的情报,这可能有助于未来的攻击。 微软公司还评估说,破坏欧洲对乌克兰支持的一个更容易的方式可能是加强虚假信息行动,特别是在德国。根据俄罗斯赞助的新闻机构和推广媒体消费的衡量标准,德国在西欧国家中对俄罗斯宣传的消费排名最高。德国有大量的俄罗斯侨民,加上政府几十年来与莫斯科的和睦政策,使的在德国形成了对以经济和能源为噱头的宣传,有着很大的受众群体。 微软还表示:德国并不是唯一一个受俄罗斯影响行的国家。捷克国内正在举行大规模的抗议活动。抗议要求与乌克兰结盟的右翼政府下台以促进与俄罗斯在能源方面的谈话。此抗议活动在俄罗斯国家和国家附属媒体上反复出现。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351700.html 封面来源于网络,如有侵权请联系删除

美国警方采购汽车取证工具,可破解上万款车型信息娱乐系统

安全内参12月5日消息,日前,有安全研究人员详细介绍了一个新漏洞,据称攻击者可使用该漏洞,远程解锁全球任意位置的本田、日产等品牌汽车。 此次漏洞披露凸显出现代汽车联网系统的又一缺陷,特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上,这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度,希望借此从上万种不同车型中提取大量数据,比如密码、地理位置等。 汽车数据取证成执法人员办案利器 美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候,从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示,负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录,也确实从车载计算机中获得了大量有价值证据。与此同时,隐私倡导者则发出警告,称现代汽车堪称“车轮上的监控探头”。 “虽然我们还不知道海关及边境保护局(CBP)和移民海关执法局(ICE)具体入侵了多少辆汽车,但可以肯定的是几乎每辆新车都可能受到攻击……” Eleni Manis, S.T.O.P.研究主任 在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中,一名巡逻警员写道,负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息,“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪,包括对所调查犯罪行为的了解、动机和自愿性”。 巡逻警员还提到,信息娱乐系统还会暴露用户密码,但没有提供具体细节。今年10月,密苏里州酒精、烟草、火器和爆炸物管理局(ATF)提交的一份搜查令中也做出类似的表述,但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据,但可以认定这种风险真实存在:之前曾有报道称,特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。 另外,ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”,并且“有望在无需访问手机本身的情况下,通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到,使用这种数字技术能够入侵多种主流车型,包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。” 黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实,只要在车身看一眼VIN码,就能查询到大量相关信息,这也凸显出VIN码公开的“可怕后果”。他补充道,“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目,全都可以用VIN码进行查询。” 美国执法机构采购汽车取证预算创历史纪录 为了从被扣押的汽车身上获取有用数据,美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算,供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据,供当地/联邦执法部门以及军事机构使用。 根据政府合同记录,今年8月,海关及边境保护局在iVe上的花费超过38万美元,几乎是过去两年来最大单笔采购金额(5万美元)的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务,今年9月更是在iVe身上花掉了50万美元,超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中,海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。 在警方深入调查现代汽车中的大量个人信息时,隐私保护组织们对此深感忧心。今年10月,监控技术监督项目(S.T.O.P.)发布一份报告,警告称“从汽车上收集到的数据比手机数据更详细,并且获取车载数据的法律和技术门槛反而更低。” S.T.O.P.研究主管Eleni Manis认为,海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。 她总结道,“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查,包括轻松访问汽车的历史位置记录、常去的地方,乘客的家人和社交联系人、彼此间的通话记录,甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车,但可以肯定的是几乎每辆新车都可能受到攻击。” 截至本文发布时,海关及边境保护局与移民海关执法局均未回应置评请求。 转自 安全内参,原文链接:https://www.secrss.com/articles/49723 封面来源于网络,如有侵权请联系删除

微软联手国防承包商研发新的 AR/VR 工具以促进国家安全

根据微软11月29日发布的一篇博客文章,该近几个月与BAE Systems和其他公司建立了合作伙伴关系,以寻求国防部的游戏、演习、建模和模拟或GEMS合同。 微软联邦国防副总裁韦斯·安德森在博文中表示,该公司及其合作伙伴正在使用微软Azure的云平台和服务来开发GEMS功能。微软很乐意再次参加今年022年11月28日至12月2日在佛罗里达州奥兰多举行的军种/行业培训、模拟和教育会议(I/ITSEC),分享其如何支持美国武装部队,通过带来最好的游戏、演练、建模和模拟(GEMS)功能,帮助他们比以往更安全、更有效地分析、实验和训练。借助超大规模Microsoft Azure的力量,Microsoft和其强大的合作伙伴生态系统正在开发创新功能,为任务领导者释放新机会,将数据转化为行动。微软对GEMS的关注旨在实现跨越物理和虚拟世界的人与机器之间的新水平协同推理。 为此,Microsoft实现了快速的世界级数据摄取和洞察力生成,并提供了解决特定目标所需的灵活性和适应性。Lockheed、BAE Systems其他公司正在使用这家西雅图巨人的Azure云平台来开发培训和演练系统。 国防部将更先进的GEMS能力视为维持现代军事力量的重要组成部分。国防科学委员会2021年1月的一份关于GEMS的报告指出,在“系统开发、采购、训练、威慑和作战”方面,“有必要增加GEMS的使用,以确保国防部能够应对未来的挑战”。 国防部进行更准确模型和模拟的能力对于五角大楼预测和充分准备应对未来威胁的能力也起着重要作用。国防部2022年核态势评估——其公开版本于10月27日发布——部分指出,“情报分析、模拟和兵棋推演、‘红队’和其他手段为美国领导人提供了可操作的见解,有助于减轻”核升级和误判的风险。 鉴于国防部增强其GEMS能力的需求日益增长,微软最近几个月更加重视与致力于为国防部门开发和支持建模和仿真技术的公司和机构合作。这些合作在很大程度上集中在使用Microsoft Azure来支持被视为对下一代作战至关重要的平台和新兴技术的公司。 BAE Systems也于29日宣布,他们将使用Microsoft Azure来托管他们的Pioneer兵棋推演平台,他们将其描述为“一个系统的系统,可以实现跨多个领域的兵棋推演,包括陆地、空中、海洋、太空和网络。” 同一天,总部位于伦敦的云计算初创公司Hadean还宣布,它将致力于将其“元宇宙基础设施”与Microsoft Azure集成,以“生产适合用途的强大解决方案,这些解决方案可以快速切割数据并为政府机构、国防承包商和武装部队的客户。” 周一(28日),虚拟现实和增强现实公司VRAI发布了类似的公告,称他们还将使用Microsoft Azure“为军事终端用户带来下一代模拟能力”。 微软在其博文中表示,通过将物理世界带入数字规模,利用数字孪生和人工智能服务的力量在全球范围内构建解决方案,并推动自主努力以帮助获得新的见解和分析,他们正在帮助任务领导者跟上快速发展的步伐世界。 无论您是在开发严肃的游戏还是模拟游戏以加快自主资产的使用,Microsoft决方案都是模块化的并且可以适应任务需求。这意味着您可以构建、训练和部署专为特定任务目标设计的 AI 模型——帮助推动洞察力,从而在需要的时间和地点做出关键决策。分布式培训解决方案支持通过云进行远程参与,所有这些都受到最高机密级别的保护。 这些功能是推动任务领导者实现价值的关键。Microsof的GEMS解决方案允许实时交互、迭代和适应性,减少模拟与现实世界之间的差距。可重复、可复制的模拟减少冷启动,并帮助国家安全规划人员随着全球环境的变化快速启动和调整模拟。借助一套丰富的值得信赖的生产力和协作工具,战略游戏分析师可以从包括文本和语音数据在内的大量数据源中获取参与者的见解,以推动更深入的理解和洞察力。 本月早些时候,微软还宣布与洛克希德马丁公司达成协议,共同致力于国防部四个关键的GEMS相关技术领域,包括机密云创新;人工智能/机器学习和建模与仿真能力;5G.MIL技术;和数字化转型工作。 安德森表示,与洛克希德马丁公司的战略合作伙伴关系将使该公司能够“以微软GEMS技术和Azure功能为基础,使洛克希德马丁公司及其客户能够测试军事平台和技术,为数字平台上的联合全领域作战提供动力。” 虽然微软最近优先考虑与其他以国防为重点的公司建立合作伙伴关系,但他们此前曾于5月宣布与海军研究生院合作,研究将新兴技术引入海军的方法。这项正在进行的工作包括探索“海军和海军陆战队可以利用游戏、演习、建模和模拟来帮助作战指挥官做出更快更好的决策的方式。” 微软还将与多个行业合作伙伴一起支持国家培训和模拟协会的Multi-Verse Training Environment (MVTE)。MVTE展示一种端到端的沉浸式解决方案,该解决方案利用创新技术来压缩空间和时间并同时提供上下文和内容,从而提供更快、更有效的培训。 微软最近与BAE Systems、Hadean和VRAI合作的消息发布之际,该公司参加了本周在佛罗里达州奥兰多举行的服务间/行业培训、模拟和教育会议,组织者称其为“世界上最大的建模、模拟和培训事件。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49645 封面来源于网络,如有侵权请联系删除

不仅删数据,还删 AI 算法模型!美国 FTC 公布“特殊”隐私处罚案例

近日,美国联邦贸易委员会(Federal Trade Commission,FTC)公布了一项特殊的处罚决定:勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片,以及利用这些数据训练出的所有算法。 “通过面部识别,公司可以将亲友的照片转换为敏感的生物识别数据,”FTC消费者保护局局长安德鲁史密斯说,“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。” Everalbum提供了一个名为“Ever”的应用程序,允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频,以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称,2017年2月,Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能,该功能使用面部识别技术将出现在照片中的人的面孔分组,并允许用户按姓名“标记”人。据称,Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。 Everalbum表示,在2018年7月至2019年4月期间,除非用户确定选择激活该功能,否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始,该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能,但它在2019年4月之后对所有其他用户自动激活,并且无法关闭。 FTC诉称,Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间,Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合,创建了四个数据集,用于开发其面部识别技术。起诉书称,Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能,并开发面部识别服务出售给其企业客户;但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。 根据起诉书,Everalbum还向用户承诺,将删除停用其帐户的Ever用户的照片和视频。然而,FTC声称,至少在2019年10月之前,Everalbum还未删除任何已停用帐户的照片或视频,而是无限期保留它们。 拟议的和解要求Everalbum删除: Ever应用程序停用帐户的照片和视频; 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据,都是来自未明确同意使用的Ever用户的照片; 使用Ever用户的照片或视频开发的任何面部识别模型或算法。 此外,拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式,包括使用面部识别技术创建的人脸嵌入,以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议,如果该公司向消费者销售供个人使用的软件,在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前,必须获得用户的明确同意。 委员会以5比0的投票结果发布了拟议的行政投诉,并接受了与公司达成的同意协议。 转自 安全内参,原文链接:https://www.secrss.com/articles/49617 封面来源于网络,如有侵权请联系删除

澳大利亚《隐私法》迎来重大修订:严重或多次违法至少重罚 5000 万澳元

2022年11月28日,澳大利亚议会正式通过《2022年隐私法修订案(执行和其它措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022),本次修订大幅提高了对于严重或多次侵犯隐私行为的处罚力度,并赋予澳大利亚信息专员办公室(OAIC)更广泛的监管权力。之前,澳大利亚《隐私法》下最高罚款为 222 万澳元(约合人民币 1076 万元)。修订后,此项罚款金额至少为5000万澳元(约合人民币 2.42 亿元),或为滥用个人信息所获利润的3倍与公司在相关期间调整后营业额的30%之中的较高者(当其高于5000万澳元时)。 澳大利亚信息专员兼隐私专员Angelene Falk表示,本次修订将使澳大利亚《隐私法》与竞争和消费者的救济措施,以及国际上诸如欧洲《通用数据保护条例》下的法律责任规定更加一致。与此同时,本次修订也是在对1988年《隐私法》进行全面修订之前迈出的积极一步,将更好为个人隐私提供保护。此外值得注意的是,本次修订案还对域外效力条款进行了简化,将有助于确保在澳大利亚开展业务的外国公司遵守澳大利亚《隐私法》。 导读系本公众号原创,转载请注明文字出自本公众号。 转自 安全内参,原文链接:https://www.secrss.com/articles/49569 封面来源于网络,如有侵权请联系删除

美国网络司令部与 DARPA 合作,推动将创新网络科技成果转化为网络战能力

美国网络司令部已于今年10月与国防高级研究项目局(DARPA)签署合作谅解备忘录,两个机构将建立聚焦需求确立及加速创新网络科技成果转化的合作关系,网络司令部未来将深入参与其感兴趣的国防高级研究项目局科研项目,并在相关项目产出成果时投资支持其转化为美军网络战能力。这一合作也是美国网络司令部在逐渐降低其对美国安局人力资源及网络基础设施依赖、开始构建自主的网络战基础平台“联合网络作战架构”(Joint Cyber Warfighting Architecture,JCWA)的背景下,拓宽其新能力来源渠道、深化其与美国军方背景科研机构沟通合作的又一重要动作。 美国网络司令部和国防高级研究项目局未来合作将采取所谓“星座”(Constellation)的流水线式作业模式——国防高级研究项目局发起科研项目,而网络司令部在项目开展过程中参与并提供意见建议,之后再共同将项目成果转化为与网络司令部现有的“联合平台”(Unified Platform)、“持续网络训练环境”(Persistent Cyber Training Environment,PCTE)等网络战生态系统主要构件相匹配的网络武器。 随着其规模逐渐扩大,美国网络司令部开始寻求更好运用其现有职能授权的途径。预计到2024年,网络司令部将获得“加强的预算授权”即允许其直接控制和管理自身运作、项目筹备、预算规划及为旗下网络任务部队安排资源的授权,在此背景下,深化与国防高级研究项目局、国防创新单元(DIU)及美军各军种实验室的沟通合作,自然便成为网络司令部拓宽其新能力来源渠道的重要思路。 网络司令部与国防高级研究项目局之前已就“Project IKE”——原为美国陆军于十几年前启动的网络单位指挥控制科研项目“Project X”——的成果转化进入网络司令部“联合网络指挥与控制”(Joint Cyber Command and Control)框架开展过合作。而与国防创新单元及网络司令部支持的创新设施“梦之港”(DreamPort)的合作,也为网络司令部带来了加强旗下网络任务部队能力的新能力。最近网络司令部还首次组织了参会者包括来自美国国防部研究与工程次长办公室旗下各实验室之代表的研讨会,共同讨论其后续发展网络战能力应重视的优先方向。 转自 安全内参,原文链接:https://www.secrss.com/articles/49517 封面来源于网络,如有侵权请联系删除

印度最大医院遭网络攻击:业务中断超 4 天 只能手动处理工作

安全内参11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。 此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。 AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。 医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。 AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。 由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。 在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。 一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。” 到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。 据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。 印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。 与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。 目前还不清楚,恶意黑客能否访问到患者的细节数据。 转自 安全内参,原文链接:https://www.secrss.com/articles/49466 封面来源于网络,如有侵权请联系删除

俄罗斯 RansomBoggs 勒索软件瞄准乌克兰组织

Hackernews 编译,转载请注明出处: 乌克兰遭受了新一轮勒索软件攻击,类似于此前俄罗斯Sandworm民族国家组织的入侵。 斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs,该公司表示,针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。 该公司在周五的推文中表示:“虽然用.NET编写的恶意软件是新的,但其部署与之前的Sandworm攻击类似。” 与此同时,被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件,对乌克兰和波兰的运输和物流部门发动了一系列攻击。 据称,RansomBoggs活动使用PowerShell脚本分发勒索软件,后者与今年4月份曝光的Industrier2恶意软件攻击中使用的脚本“几乎相同”。 据乌克兰计算机应急响应小组(CERT-UA)称,名为POWERGAP的PowerShell脚本利用一个名为ArguePatch(又名AprilAxe)的加载程序部署了名为CaddyWiper的数据擦除恶意软件。 ESET对这种新型勒索软件的分析表明,它会生成一个随机生成的密钥,在CBC模式下使用AES-256加密文件,并附加“.chsch”文件扩展名。 沙虫(Sandworm)是俄罗斯军事情报机构内部的一个精英对抗黑客组织,多年来在打击关键基础设施方面有着臭名昭著的记录。 该黑客与2017年针对医院和医疗设施的NotPetya网络攻击,以及2015年和2016年针对乌克兰电网的破坏性攻击有关。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

德国:拼写检查功能可能将数据非法跨境传输给第三方

2022年11月3日,德国黑森州数据保护和信息自由专员(HBDI)发布信息,告知黑森州的数据控制者应当紧急检查其使用的浏览器设置,因为在开启基于云的拼写支持功能时,密码等个人数据可能在没有法律依据的情况下被传输给浏览器提供商,这可能违反对个人数据的保护要求。 本文译自《增强的拼写检查:浏览器功能可能会将个人身份信息传输给第三方》(Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln),原文来自德国黑森州数据保护和信息自由专员官网。 现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。 同时,网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能,例如通过人工智能(AI)实现更好的结果。如果这种基于云的拼写支持是开启的,所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示,如果相关网站的运营者没有通过特别的预防措施来防止这种情况,甚至连密码都可以被传送。 HBDI了解到,在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下,HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置,并在必要时进行调整。 如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商,则需要采取进一步行动。根据GDPR第四条第12项,此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险,控制者必须立即并尽可能在72小时内向主管监督机构报告(GDPR第三十三条第1款)。此外,如果数据主体的权利和自由有可能面临高风险,则必须将数据泄露事件通知这些数据主体,不得有不当延迟(GDPR第三十四条第1款)。无论风险如何,数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件,以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。 如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险,可以联系当地的信息安全联系人和/或当地的信息专家。 转自 安全内参,原文链接:https://www.secrss.com/articles/49393 封面来源于网络,如有侵权请联系删除

英国与韩国完成脱欧后首个独立数据传输协议

英国已经完成脱欧后的第一个独立数据保护决议,这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示,在7月首次达成原则性协议的新立法,将使两国的企业更容易分享数据,增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的,就评估结果而言,韩国拥有强大的隐私法,将保护数据传输,同时维护英国公民的权利。 消除数据传输障碍将促进研究和创新 英国政府在数字、文化、媒体和体育部的一份新闻稿中表示,一旦生效,新的数据传输协议将消除数据传输的障碍,通过简化协作来促进研究和创新。韩国作为英国增长最快的市场之一,超过三分之二的英国服务出口到韩国。在此之前,各企业需要制定昂贵且耗时的合同保障措施,如标准数据保护条款和有约束力的公司规则。消除这些障碍将为许多中小型企业提供机会,企业可以不为这些负担而担忧。 数据部长Julia Lopez在评论该立法时说:在今年年底之前,企业将能够自由地与韩国共享数据–因为我们知道这些数据将按照英国期望的高隐私标准进行保护。 比欧盟与韩国的协议更广泛 英国政府表示,这不仅是英国自脱欧以来第一个独立数据传输的新协议,它也比欧盟与韩国的数据传输协议更广泛。两项协议之间最重要的区别是,英国机构将能够与韩国分享与信用信息有关的个人数据,以帮助识别客户和验证付款,这将有助于促进在韩国的英国企业信贷、借贷、投资和保险业务。 英国信息专员John Edwards说:我们支持政府进行充分性评估,以使个人数据能够自由地流向世界各地值得信赖的合作伙伴。他补充说,英国信息专员办公室(ICO)在这次对韩国的评估中向政府提供了建议,它对政府承认韩国法律中类似的数据保护权利和法案感到满意。这将为英国企业带来帮助,减少合规的负担,同时确保人们的数据得到负责任的处理。 惠特克公司的全球数据合规总监Tash Whitaker说道:这一决定是在欧盟与韩国合作近一年后作出的,所以很高兴看到英国赶上了欧盟,在允许个人数据跨境自由流动到一个保护措施不损害英国或欧盟GDPR的国家。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350741.html 封面来源于网络,如有侵权请联系删除