安全内参消息称，美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。 这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。 这项法案提出者Mark R. Warner是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。   该法案提出，如果付款需求确为网络事件导致，接收付款的医疗提供商必须满足部长确立的最低网络安全标准，才有资格收到付款；如果提供商的中介是事件目标，中介也必须满足部长确立的最低网络安全标准，提供商才能收到付款。这些规定将在方案生效后两年内实施。该法案规定：“自2024年《医疗保健网络安全改进法案》生效之日起两年后，如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况，造成严重的现金流问题，只有医院满足部长确立的最低网络安全标准，方可向该医院提供加急付款；如果受影响的是医院中介的运营，只有中介满足部长确立的最低网络安全标准，提供商才能获得付款。”法案进一步规定：“自本法案生效之日起两年后，如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节（或任何后续法规）描述的计划付款，只有服务提供商或供应商满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款；如果提供商或供应商的中介是此类事件的目标，只有中介满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款。” 医疗行业极为脆弱，需要针对性保护措施 参议员Warner在媒体声明中说：“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们，整个医疗行业都很脆弱，需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励，帮助他们采取行动。” 他还强调，在极少数情况下，某些无法控制的事件（比如新冠疫情）会给医疗保险A部分的提供商（如急诊医院、康复护理机构和其他住院护理设施）和B部分的供应商（包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员）带来现金流困难。 自20世纪80年代以来，美国医疗保险与医疗补助服务中心（CMS）通过加急付款和预付款（AAP）计划为这些计划参与者提供临时财务救济。救济期间，这些提供商和供应商从联邦政府获得预付款，后续政府会通过扣留后续索赔的付款的形式收回资金。 2022年，Warner参议员撰写了一份政策选择文件《网络安全即患者安全》，概述了当前医疗提供商和系统面临的网络安全威胁，并提供了一系列政策解决方案供讨论，以改进整个行业的网络安全。自发布以来，Warner参议员与跨党派同僚成立了医疗保健网络安全工作组，负责审查并提出潜在的立法解决方案，从而加强医疗和公共卫生领域的网络安全。   转自安全内参，原文链接：https://www.secrss.com/articles/64725 封面来源于网络，如有侵权请联系删除

近日，英国国家网络安全中心 (NCSC) 发布了新的安全指南，以帮助使用运营技术 (OT) 的企业确定是否应将其监控和数据采集 (SCADA) 系统迁移到云端。 出于安全考虑，SCADA 系统传统上一直与互联网甚至本地企业网络隔离开来，但现实来看云技术可以带来许多额外好处，因此，许多企业都在考虑云技术。NCSC 发布的安全指南旨在帮助 OT 组织识别云托管 SCADA 的优势和挑战，使企业能够在迁移到云之前做出基于风险的决策。 NCSC 表示，云迁移必须考虑到每个企业独特的风险状况和特定的技术要求，并强调 OT 组织，尤其是关键基础设施组织，面临着复杂网络攻击的更大风险。正在考虑实施云 SCADA 的企业应首先决定是要进行全面迁移，还是仅将云用作备用或恢复解决方案，或是进行混合部署。 NCSC 机构还指出，云可以提供了更高的灵活性、抵御网络攻击和其他破坏性事件、改进远程访问以及集中身份和保密管理。但这些优点也可能带来其它安全风险。例如，与云相关的软件定义网络（SDN）组件可提供更大的灵活性，但需要对未经授权的更改进行监控。云可能会提供更大的弹性，但企业也需要考虑到云也可能出现故障。如果管理不当，远程访问也会大大增加攻击面。 在决定是否准备好将 SCADA 产品迁移到云端时，企业需要确定其是否拥有支持这一转变的技能、人员和政策。 一些缺乏必要技能的企业可能通过寻求托管服务提供商的帮助完成迁移，但 NCSC 表示这些类型的公司通常在云方面拥有丰富的经验，在特定的 SCADA 系统方面可能会缺乏经验。此外，企业还应该评估其技术是否适合云迁移，包括软件对云的适用性、现有遗留硬件、延迟影响以及敏感 SCADA 数据的保护。 Illumio 关键基础设施总监 Trevor Dearing 表示，网络犯罪分子明白通过针对 SCADA 系统，可能会导致能源和制造业等关键基础设施部门的运营停机，从而可能导致大规模的社会混乱。NCSC 目前已经认识到 SCADA 系统连接到云时对运营弹性带来的安全风险，这是一个好的”信号“。 最后，Dearing 强调，在将 SCADA 系统迁移到云端方面，完全赞同 NCSC 的‘企业准备就绪’信息。企业应采用“永不信任，始终验证”的方法，以帮助企业在入口点遏制攻击并限制 SCADA 系统的横向移动。   转自Freebuf，原文链接：https://www.freebuf.com/news/395251.html 封面来源于网络，如有侵权请联系删除

上周四（3月15日），谷歌宣布宣布升级 Google Safe Browsing，为用户提供实时 URL 保护功能，降低用户受到恶意网站攻击的风险。 桌面版和 iOS 版 Chrome 浏览器的标准保护模式将根据谷歌服务器端的已知不良网站列表对网站进行实时检查。通过匹配主列表，帮助用户防范网络钓鱼攻击、恶意软件和潜在有害程序。 Chrome 浏览器用户在 Standard 级别保护下，在设备本地存储一份不良网站黑名单，每隔 30 到 60 分钟和谷歌云服务器同步，而现在谷歌将这项安全方案挪到谷歌服务器端，这样可以实现实时检测。 谷歌新闻稿中前后对比图如下： 此前方案为每隔 30 到 60 分钟同步 新方案可实时保护 URL 去年 9 月，谷歌表示会尝试在不与公司共享用户浏览历史记录的情况下切换到实时服务器端检查。之所以做出这样的改变，是因为有害网站的列表数量正在快速增长，而且 60% 的钓鱼域名存在时间不到 10 分钟，因此很难对其进行拦截。但并非所有设备都有必要来维护这个不断增长的列表，也并非所有设备都能以必要的频率接收和应用列表更新。 因此，在新的架构下，用户每次尝试访问一个网站时，都会根据浏览器的全局和本地缓存（包含已知的安全 URL 和以前的安全浏览检查结果）对 URL 进行检查，以确定网站的状态。如果缓存中没有访问过的 URL，就会进行实时检查，将 URL 混淆成 32 字节的完整哈希值，然后截断成 4 字节长的哈希前缀，加密后发送到隐私服务器。 谷歌解释称：隐私服务器会移除潜在的用户标识符，并通过 TLS 连接将加密的哈希前缀转发给安全浏览服务器，该连接会将请求与许多其他 Chrome 浏览器用户的请求混合在一起。安全浏览服务器随后会解密哈希前缀，并将其与服务器端数据库进行匹配，返回与浏览器发送的哈希前缀之一相匹配的所有不安全 URL 的完整哈希值。在客户端，完整哈希值会与访问过的 URL 的完整哈希值进行比较，如果发现匹配，就会显示警告信息。 此外，Chrome 浏览器用户还可以选择 Enhanced Protection 模式，这是一种安全浏览模式，使用人工智能来阻止攻击，并提供针对恶意 Chrome 扩展程序的保护。 谷歌最近还更新了 iOS 设备上的密码检查功能。除了让用户意识到密码泄露外，它还会标记弱密码和重复使用的密码。   转自Freebuf，原文链接：https://www.freebuf.com/news/395061.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国电信公司AT&T 表示，一名黑客在网络犯罪论坛上泄露了影响超7000 万人的数据，并声称这些数据在 2021 年该公司的一次违规行为中被盗，但这些数据并非来自该公司的系统。 这些数据据称来自2021年AT&T数据泄露事件，名为 ShinyHunters 的黑客试图在 RaidForums 数据盗窃论坛上以 20万美元进行起价出售。 ShinyHunters 试图出售所谓的 AT&T 数据截图 AT&T表示：目前没有证据表明系统被入侵，被盗数据并不属于该公司。他方认为，ShinyHunters不在乎AT&T是否承认，只在乎出售数据。 目前已询问该公司数据是否来自第三方，但暂未收到回复。 据称 AT&T 数据两年后泄露 近期，另一位名为 MajorNelson 的黑客在论坛上免费泄露了此次所谓的 2021 年数据泄露事件的数据，并声称这本是 ShinyHunters 试图在 2021 年出售的数据。 黑客论坛信息截图 这些数据包含姓名、地址、手机号码、加密的出生日期和社会安全号码等。黑客解密了出生日期和社会安全号码，并将它们添加到另一个泄露文件中，使其可访问。 BleepingComputer审查了数据，通过与受影响的人确认及与拥有在线AT&T账户的用户合作，验证出部分数据包含准确信息，如社会安全号码、地址、出生日期和电话号码。 其他网络安全研究人员也确认了数据的部分准确性。目前无法找到2021年及之前已知的AT&T客户数据。 考虑到AT&T移动客户总数达到2.018亿订户，这并不罕见，意味着数据可能只是部分转储。数据的来源目前尚不清楚，但大多数迹象都表明它是AT&T客户的数据。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌增强了其安全浏览服务，以在桌面版Chrome、iOS版和即将推出的Android版Chrome中提供针对危险网站的实时保护，同时不会将浏览历史数据发送到广告行业。 安全浏览是谷歌提供的非商业性API，允许客户端应用程序查询数据库以查找网站，以确定其是否构成已知风险。 安全浏览的标准版本将支持实时数据查询，但不会将浏览历史数据发送回谷歌。 谷歌Chrome安全部门的Jasika Bawa、Xinghui Lu，以及谷歌安全浏览部门的Jonathan Li和Alex Wozniak解释说，本地存储的可疑网站列表每30到60分钟更新一次，并使用基于哈希的检查。然而，这已经不够了。 因此，在本月的桌面版、iOS版和Android版Chrome中，安全浏览的标准层将获得隐私保护和实时保护。 这些信息将被加密并发送到由Fastly运营的Oblivious HTTP隐私服务器，该服务器将删除任何潜在的用户标识符，并将清理后的结果转发到谷歌安全浏览服务器。   转自安全客，原文链接：https://www.anquanke.com/post/id/293989 封面来源于网络，如有侵权请联系删除

darkreading网站消息，继众议院能源与商务委员会上周通过禁用流行社交媒体平台TikTok的法案后，美国国会于周三投票赞成该法案。该法案规定，任何受“外国”控股的企业需在180天内撤资。 长期以来，TikTok作为字节跳动的子公司，一直面临着日益增长的压力。 法案建议将TikTok出售给一家美国公司，如果字节跳动拒绝出售，美国的应用商店和网络托管服务将被禁止提供TikTok应用，违反规定的公司将面临罚款。 尽管众议院大力支持该法案，但参议院是否会审议该法案尚不明确。如果法案通过，它将成为首次通过立法手段尝试禁止像TikTok这样拥有约 1.7 亿美国用户的大型社交媒体平台。 TikTok因数据隐私和数据存储问题在全球范围内引起关注，不仅在美国，英国因为该公司去年未能遵守儿童数据保护规定对TikTok进行了巨额罚款。另外，整个欧盟对此也表示担忧。 欧盟委员会已禁止其员工使用TikTok，禁令基于可能被用于发起网络攻击的“网络安全威胁和行为”。 目前，TikTok 已投资 15 亿美元用于重组计划，并在美国成立了一家拥有 1500 名员工的子公司。 TikTok被视为“高度威胁” 亚当·马雷（Adam Marrè），北极狼（Arctic Wolf）公司的首席信息安全官（CISO）表示，TikTok在美国的监管防线之外构成了一个高度威胁，实施对TikTok的全面禁令带来了实质性的后勤挑战。 他进一步表明，如果国会能通过严格、明确、健全的法规来保护用户隐私，让用户控制个人数据的收集、存储和使用，就能对外资应用程序进行更有效的监督，禁令也就没有必要了。 Zendata的首席执行官纳拉亚纳·帕普指出，联邦政府的介入和指导有助于保护用户，并建立起对社交平台具有问责制的、更加有效的监管框架。 TikTok 为小型企业带来数十亿美元收入 上周，牛津经济研究院（Oxford Economics）发布报告称，TikTok在2023年为小型型企业带来了147亿美元的收入，为美国GDP贡献了242亿美元，并创造了22.4万个工作岗位，其中在加利福尼亚、德克萨斯、佛罗里达、纽约和伊利诺伊等地的影响尤为显著。 小型企业使用TikTok带来了53亿美元的税收，其中39%的企业认为TikTok对他们的生存至关重要，69%的企业表示销售额有所增加。 此外，TikTok在美国的运营为GDP贡献了85亿美元，创造了20亿美元的税收，并支持了超过5.9万个工作岗位。 媒体信托公司总裁克里斯-奥尔森（Chris Olson）表示，虽然TikTok的禁令尚未确定，但依赖TikTok获得大部分收入的品牌显然需要重新思考这种依赖性，因为不确定性本身就是一种商业风险。 奥尔森指出，首先，该法案并没有禁止美国公司使用 TikTok 的商业或广告服务；其次，即使法案通过，也不能确定其实际效果如何。 如果字节跳动拒绝剥离 TikTok，它仍将托管在非美国服务器上，用户可以通过互联网访问，也可能通过非官方应用程序访问。如果字节跳动真的剥离了 TikTok，就不会执行禁令，也无需改变业务运营。   转自Freebuf，原文链接：https://www.freebuf.com/news/394901.html 封面来源于网络，如有侵权请联系删除

意大利数据保护监管机构 Garante3月8日宣布，将对 OpenAI 新推出的视频人工智能模型 Sora 展开隐私调查。 监管机构虽然没有对 OpenAI 提出任何具体指控，但表示正在研究 Sora 对意大利（包括欧盟）个人数据使用可能产生的潜在影响，同时给予OpenAI 20 天的时间提供包括如何训练 Sora 算法、公司收集的数据类型以及收集的数据是否包含敏感信息（例如意大利和欧洲公民的政治观点、遗传和健康数据）在内的材料。 该机构还特地要求OpenAI清其向用户和非用户告知其产品 Sora 使用的数据的方式是否符合欧盟法规。 意大利对人工智能的安全审查力度在欧盟国家中一直走在前列。去年，该机构以违反欧洲通用数据保护条例为由，暂时封禁了ChatGPT，直到OpenAI 同意进行包括年龄验证和选择退出表单以从大语言模型中删除个人数据的选项后才得以解封。 在欧盟其他国家，OpenAI因其隐私做法而在德国、法国、西班牙和波兰面临审查。在对人工智能公司的审查力度加大之际，欧盟即将实施《人工智能法案》，禁止AI应用进行例如情绪识别和从闭路电视上抓取面部数据。 目前OpenAI 没有对意大利启动的这项调查进行回应，但该公司从去年12月起便更新了隐私政策，其中提供了有关公司收集的数据以及公司如何处理这些数据的信息。根据修订后的政策，OpenAI 用户可以拒绝出于直接营销或合法利益而处理其数据的请求。   转自Freebuf，原文链接：https://www.freebuf.com/news/394077.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的网络安全专家发现了一种专门针对中小型企业新的网络钓鱼活动。 攻击的方式包括利用电子邮件服务提供商(ESP) Twilio SendGrid来访问客户邮件列表，以及利用窃取的凭证发送令人信服的网络钓鱼电子邮件等。 这些电子邮件伪装得十分真实，所以如果收件人收到后没有意识到是钓鱼邮件，极可能会造成其一定的损失。 卡巴斯基在其最新发现中解释说，通过利用 SendGrid 的基础设施，攻击者可以利用收件人对过往发件人来源的信任度，来提高网络钓鱼成功的效果。 这些欺诈性电子邮件通常是伪装成来自ESP的合法消息，提示收件人在增强安全性的幌子下启用双因素身份验证(2FA)。但其提供的链接会将用户重定向到一个模仿SendGrid登录页面的假冒网站，然后在那里获取他们的凭据。 卡巴斯基安全专家Roman Dedenok表示：使用可靠的电子邮件服务提供商对企业的声誉和安全非常重要。但现在有一些骗子学会了伪装，他们往往伪装成提供可靠服务的邮件提供商。所以对企业来说，认真检查您收到的电子邮件至关重要，为了更好地提供保护，请安装可靠的网络安全解决方案。 安全专家还强调称，网络钓鱼者经常利用被劫持的账户，这是因为 ESP 通常会对新客户进行严格检查，而已经发送过大量电子邮件的老账户通常被认为是值得信赖的。 为了降低遭受网络钓鱼攻击的风险，卡巴斯基建议对员工进行基本的网络安全培训，利用具有反钓鱼功能的邮件服务器保护解决方案，并部署端点安全解决方案。 对此，Twilio 发布声明称：假冒网站管理员或其他关键功能已被证明是整个行业中一种有效的网络钓鱼手段，不少黑客对其平台和服务加以滥用，不仅窃取了客户的账户凭证，还利用平台发起了钓鱼攻击，Twilio SendGrid 对此非常重视，安全团队一经发现与网络钓鱼活动有关的账户就立即将其关停。 Twilio 发言人表示：平台鼓励所有终端用户采取多管齐下的方法来打击网络钓鱼攻击，包括双因素身份验证、IP 访问管理和使用基于域的消息传递等。   转自Freebuf，原文链接：https://www.freebuf.com/news/392548.html 封面来源于网络，如有侵权请联系删除

有研究指出，美国数据泄露通知制度未对网络安全产生显著影响，数据泄露事件依旧频发；研究提出了多种改进方案，如对规模以上公司进行网络安全评分、实施强制网络安全基线、改进法律问责制度等。 有消息称，随着科技的不断发展，网络攻击也在持续增加，导致4亿用户的个人数据存在被窃取的潜在风险。作为应对，美国50个州政府相继推出了数据泄露通知法（BNLs），要求公司在数据泄露时通知消费者。 近日，美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M. Vaaler在《法律与经济评论》期刊上发表论文指出，数据泄露通知法对整体安全保护几乎没有产生任何显著影响。 研究人员使用了隐私权利清理中心（简称PRC）统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计，也称为“双重差分”估计法。 研究旨在评估从2005年到2019年间，美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会（FTC）消费者哨兵网络数据手册的数据作为替代数据，剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。 研究结果显示，没有证据表明数据泄露事件有所减少，或者泄露后数据的长期滥用有所减少。 Greenwood指出：“统计结果非常不显著，我们基本可以推定，因变量的影响是随机的。”这表明，数据泄露通知法可能并未实现预期目标，未能减少数据泄露数量。 Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资，避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”，这种激励的效果被严重削弱。 他说，为了激励公司采取切实行动，“必须提供经济回报，或对未采取行动者施加经济处罚。” 改进建议 Greenwood和Vaaler提出了几种可能方案，以替代或补充数据泄露通知法。其中一项方案是，由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分，以便人们比较它们的网络安全状况。 Greenwood补充道：“还可以通过联邦立法规定最低安全协议，例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。” 另一种可能的方案是改变当前的法律责任制度。目前，索赔人实质性损害的定损标准过高，这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到，个人因网络安全漏洞而花费的时间可以被视为损害，他们可以寻求赔偿。但是，证明实质性损害的标准仍然相当严苛。” Greenwood总结道：“就消费者保护而言，未来显然是不确定的。但我们唯一确定的是，目前的保护制度只对网络犯罪分子有利。”   转自安全内参，原文链接：https://www.secrss.com/articles/63805 封面来源于网络，如有侵权请联系删除

近日，乌克兰警方逮捕了一名 31 岁的黑客，罪名是其非法获取美国和加拿大用户的银行账户信息并在暗网上出售。 警方公告中指出，该嫌疑人利用其管理的网站以“免费资源”的形式，向用户提供可免费下载软件的服务（带有各种木马软件），分发的软件既适用于台式机，也适用于手机（安卓）操作系统。值得一提的是，该嫌疑人甚至互联网上打起了广告，以最大程度上”推广 “所控制的网络资源”。 一旦有受害者“中招”，下载了带有木马的软件，有效载荷就会立刻感染受害者的网络设备，并将敏感数据窃取给嫌疑人。随后，该嫌疑人会立刻利用数据信息入侵了受害者的谷歌账户和网上银行。不仅如此，该嫌疑人还通过暗网将被入侵账户的访问权出售给其他网络犯罪分子。 乌克兰当局表示，该嫌疑人自 2017 年开始活跃于互联网，并于 2021 年“转向”网络钓鱼，初步细节证实，该名网络罪犯从其非法活动中至少获得了 9.2 万美元。此外，嫌疑人疑似有同伙帮助其开展窃密活动，这些犯罪分子也都开设了暗网账户。 2024 年 2 月 14 日，警方在嫌疑人家中将其逮捕，并搜查除了各种设备，其中包括一辆价值约 6.5 万美元的豪华奔驰 SUV。 从警方披露的信息来看，该名嫌疑人的罪名涉及违反《乌克兰刑法典》第 209 条第 2 部分（对通过犯罪手段获得的财产进行洗钱）、第 361 条第 2 部分（未经授权干扰信息系统、电子通信网络的运行）和第 361-1 条第 1 部分（为非法使用、分发或销售有害软件或技术手段以及分发或销售这些软件或技术手段而制作）。鉴于其非法活动带来的影响，该嫌疑人可能面临长达 8 年的监禁并被没收所有财产。 最后，网络安全专家强调，为降低搜索特定软件工具时感染恶意软件的风险，用户应谨慎对待谷歌搜索的推广结果，并核实加载的网站是否为官方供应商的官方网站。此外，用户尽量使用广告拦截器，以保护在线活动免受恶意广告威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/391984.html 封面来源于网络，如有侵权请联系删除