HackerNews 编译，转载请注明出处： 应用安全领域正面临一个持续十余年的悖论：检测工具越先进，警报结果却越无用。随着静态分析工具、扫描器和CVE数据库的警报激增，真正的安全保障却愈发遥不可及。取而代之的是警报疲劳与不堪重负的团队——这已成为行业新常态。 根据OX Security的《2025年应用安全基准报告》，95-98%的应用安全警报无需采取行动——事实上，这些警报对组织的危害可能大于帮助。我们的研究覆盖178个组织的1.01亿个安全检测结果，揭示了现代应用安全运营的低效。每个组织平均收到近57万条警报，其中仅有202条代表真实关键问题。 这个令人震惊的结论难以忽视：安全团队正在追逐幻影，将时间浪费在对无实际威胁漏洞的处置上，消耗预算，并与开发团队关系紧张。最糟糕的是——安全正在阻碍实际创新。正如Chris Hughes所言：“我们以业务赋能者自居，实则将同事埋没于苦工，延缓开发速度，最终损害业务成果。” 回溯2015年，全球公开披露的CVE漏洞仅6,494个，彼时检测能力被视为核心指标。十年间，云原生应用普及、开发周期提速、攻击面扩张，至2025年全球CVE漏洞总数已突破20万。然而，多数安全工具仍固守“检测为王”逻辑，向控制面板倾泻未经筛选、缺乏上下文的警报。 OX的基准报告证实了从业者长期怀疑的现象： 32%的已报告问题存在低利用概率 25%没有已知公开漏洞利用 25%源于未使用或仅用于开发的依赖项 这种无关检测结果的洪流不仅拖慢安全速度——更在主动削弱安全效能。 为对抗这种厄运循环，组织必须采用基于证据优先级的更复杂应用安全方法。这需要从通用警报处理转向涵盖从设计阶段到运行时代码的全面模型，包含以下要素： 可达性：漏洞代码是否被使用，是否可访问？ 可利用性：该环境中是否存在漏洞利用条件？ 业务影响：此处被攻破会造成实际损害吗？ 云到代码映射：该问题在SDLC中起源于何处？ 通过实施此类框架，组织能有效过滤噪音，专注于构成真实威胁的少数警报。这能提升安全效能，释放宝贵资源，并支持更自信的开发实践。OX Security正通过代码投影（Code Projection）应对这一挑战——这项基于证据的安全技术将云和运行时元素映射回代码源头，实现上下文理解和动态风险优先级排序。 通过基于证据的优先级排序，每个组织平均569,354条警报可缩减至11,836条，其中仅202条需立即处置。行业基准揭示多个关键洞见： 一致的噪音阈值：无论企业或商业环境，不同行业的基线噪音水平惊人相似 企业安全复杂性：企业环境因更广泛的工具生态、更大的应用覆盖、更多的安全事件、更频繁的事件和更高的整体风险敞口面临更大挑战 金融行业脆弱性：金融机构警报量显著更高。其对金融交易和敏感数据的处理使其成为高价值目标。如《Verizon数据泄露调查报告》所示，95%的攻击者主要动机是经济利益而非间谍活动。金融机构与货币资产的密切关系为攻击者创造了直接获利机会 这些发现具有深远影响。如果少于5%的应用安全修复对组织至关重要，那么所有组织在分类、编程和网络安全工时上的巨额投入都将徒劳。这种浪费延伸至漏洞赏金计划支付（白帽黑客发现需修复的漏洞），以及未及时发现并进入生产环境的漏洞修复成本。最终重大成本是开发团队与安全团队之间因要求修复无关漏洞而产生的紧张关系。 面对2025年预计新增的5万个漏洞，传统“全检测、后修复”模式已显危险。OX报告强调应用安全的未来不在于修复所有潜在漏洞，而在于智能识别真实风险。当企业能将97.8%的无效警报过滤，安全团队方能摆脱“救火队”角色，真正成为业务创新的护航者。          消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lattica本周摆脱了隐形模式，推出了一个利用全同态加密（FHE）的平台，使AI模型能够处理加密数据。 全同态加密允许直接处理加密数据而无需先解密，这对于需要在不暴露敏感数据的情况下进行处理的应用场景至关重要。 Lattica平台可供AI供应商用于托管模型、管理访问和分配资源，终端用户则可通过该平台运行加密查询，因此数据永远不会暴露给AI供应商。 该解决方案采用“全同态加密抽象层（HEAL）”——一种基于云服务，旨在提升FHE性能并标准化其加速流程。 该组件充当FHE软件与硬件之间的桥梁，兼容CPU、GPU、TPU以及ASIC和FPGA芯片。 该公司表示，其平台特别适合金融、医疗和政府等对数据隐私和安全要求严格的领域，这些领域的数据顾虑可能限制AI技术的采用。 Lattica已获得由Konstantin Lomashuk旗下Cyber Fund领投的325万美元预种子轮融资。 Lattica创始人兼CEO Rotem Tsabary表示：“通过将硬件加速进展与软件优化相结合，我们不仅将FHE效率提升到商业可行水平，还解决了阻碍AI在敏感行业应用的关键数据困境。我们正在通过开发专为神经网络定制的解决方案，实现实用的全同态加密。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周二透露，作为其“隐私沙盒”（Privacy Sandbox）计划的一部分，将不再于Chrome浏览器中为第三方Cookie提供独立提示。 谷歌隐私沙盒副总裁安东尼·查韦斯（Anthony Chavez）表示：“我们已决定维持当前向Chrome用户提供第三方Cookie选择权的方案，不会推出新的独立第三方Cookie提示。用户仍可通过Chrome的隐私与安全设置选择最适合自己的选项。” 早在2024年7月，谷歌就表示已放弃逐步淘汰第三方跟踪Cookie的计划，转而推出一种新方案，让用户能够基于充分知情权做出选择。 谷歌称，来自出版商、开发者、监管机构和广告行业的反馈表明，对可能影响第三方Cookie可用性的调整存在“显著分歧”。 作为替代方案，谷歌表示将继续投入资源，增强Chrome隐身模式（默认屏蔽第三方Cookie）的跟踪防护功能，并计划在2025年第三季度推出新的“IP保护”功能。 该功能已作为开源项目发布，旨在限制隐身模式下用户原始IP地址在第三方场景中的暴露，防止跨站跟踪。 查韦斯指出：“基于此次更新，我们意识到隐私沙盒API可能在支持生态系统中承担不同角色。未来几个月，我们将与行业合作收集反馈，并分享包括未来投资方向在内的技术路线图更新。” 值得注意的是，尽管苹果Safari和Mozilla Firefox自2020年起已默认屏蔽第三方Cookie，但谷歌作为兼具浏览器厂商、广告平台和搜索引擎多重身份的竞争者，推行类似防护措施时面临更大阻力。 此次调整正值谷歌在美国面临严格监管审查之际。近期两项独立裁决指控该公司在搜索和广告市场维持垄断地位。 美国司法部上月提议通过剥离Chrome浏览器、强制谷歌将搜索结果分发给其他平台来恢复在线搜索市场的竞争。 据彭博社和路透社报道，若谷歌被迫出售Chrome，人工智能公司OpenAI表示有兴趣收购该浏览器，并“向用户展示以AI为核心的全新浏览器形态”。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加利福尼亚州非营利健康保险机构蓝盾（Blue Shield of California）近日声明，因Google分析与广告平台配置错误导致470万会员的受保护健康信息泄露。该机构服务全州近600万会员，其官网发布的通报显示数据泄露时间为2021年4月至2024年1月。 美国卫生与公众服务部数据泄露门户网站更新信息证实，此次事件影响470万人的敏感健康数据。蓝盾表示，泄露源于部分官网Google Analytics配置错误，可能导致数据被共享至Google广告平台及第三方广告商。 官方声明指出：“2025年2月11日发现，2021年4月至2024年1月期间，Google Analytics配置允许将含受保护健康信息的会员数据共享至Google广告产品。Google可能利用这些数据对受影响会员实施精准广告投放。” 暴露数据类型包括： 保险计划名称、类型及团体编号 所在城市与邮政编码 性别与家庭规模 蓝盾会员账户识别码 医疗索赔服务日期、服务商名称、患者姓名及自付费用 “寻找医生”功能搜索条件与结果（含位置、计划信息、医疗提供方信息） 蓝盾强调社会安全号、驾照号、银行账户及信用卡信息未受影响，但仍建议会员密切监控账户动态与信用报告。目前机构未提供身份盗窃保护服务，尚不清楚是否会向受影响会员寄送个别通知。 这是加州蓝盾一年内披露的第二起重大网络安全事件。2024年该机构软件服务商Connexure（原Young Consulting）遭BlackSuit勒索软件组织入侵，导致近百万会员数据被盗。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现，数十款Chrome扩展程序（其中多款在Chrome应用商店获得推荐位，但存在搜索引擎未收录的隐藏版本）含有追踪用户的隐蔽功能。这些扩展程序累计安装量已达600万次。 Secure Annex机构研究员John Tuckner揭露了一个由58个扩展程序构成的网络。这些扩展程序均获取了过于宽泛的权限，并暗藏可能恶意操作的功能模块，包括访问Cookie和令牌、监控用户行为、执行远程代码及窃取其他敏感数据。 “这些扩展具备显著的指令控制能力，例如罗列用户高频访问网站、操控浏览器标签页开关、获取用户访问热点等。”研究人员在报告中指出。这些扩展伪装成隐私保护或实用工具，涵盖优惠券搜索器到广告拦截器等多种类型，部分甚至声称能防护其他恶意扩展。 网络安全媒体Cybernews研究团队近期警示称，多数热门Chrome扩展在安装时会索取过度宽泛的侵入性权限。分析数据显示，每100个扩展中就有86个要求获取高危险权限。 Tuckner的发现清单进一步印证了扩展程序的潜在危险性。 被发现的扩展大多处于未上架状态，这意味着普通用户无法通过Chrome应用商店或搜索引擎直接发现。用户仅能通过特定URL链接访问，而此类链接通常通过恶意广告、弹窗、钓鱼欺诈、虚假更新提示等渠道传播。 研究人员强调：”为何这些普通用户无法发现的扩展会被谷歌标注为’推荐’？这完全突破了我的认知底线。普通用户很可能将’推荐’标识等同于官方认证的可靠产品。’推荐’与’不可发现’两种属性绝不应该同时存在。” Tuckner最初通过拼写错误的”unknow[.]com”域名锁定了35个未上架可疑扩展。在Obsidian Security的技术支持下，研究团队将具有相同行为特征的扩展补充至清单。据Bleeping Computer报道，谷歌已获知该研究结果。 目前可疑扩展已上报至Chrome，研究人员持续监控其状态演变。”值得庆幸的是，部分扩展现已被移出Chrome应用商店，但并非全部！为何存在如此差异！”研究人员在社交媒体发文质疑。 Tuckner公开了含有可疑功能的扩展清单，安装量排名前位的包括： 1、Cuponomia优惠券与返现工具（超70万安装） 2、浏览器防护盾（超30万安装） 3、Chrome全安防护（超30万安装） 4、医生版浏览器检测（超20万安装） 这些扩展关联域名均使用相似关键词模式，完整危害指标(IoC)清单已包含在研究报告中。 恶意扩展判定依据分析： 1、权限清单异常：所有Chrome扩展的manifest文件都需声明所需权限。要求获取与基础功能不匹配的过度权限成为首要疑点 2、域名拼写错误：扩展程序通信域名存在明显拼写错误，如”unknow[.]com”具有典型诱导特征 3、代码结构异常：宣称功能的实现代码量极少甚至缺失，核心代码经过深度混淆处理 4、远程控制能力：扩展配置支持远程操控，代码结构具备间谍软件或信息窃取程序家族特征 深度代码分析揭露了Cookie窃取、用户追踪、强制设置搜索引擎、通过推荐参数劫持收益等多项恶意功能。所有问题扩展均采用相同代码模式、回调域名结构及权限配置列表。 Cybernews团队再次警示：Chrome扩展权限直接决定其对浏览器及系统的控制范围。建议用户定期审查并删除闲置扩展，严格遵循安全操作规范。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对于注重隐私的人而言，在线生成成人内容通常不是明智之举。例如，苹果应用商店的”Novel AI: Book Creator”因Firebase数据库配置错误导致数据泄露，显示用户生成的内容远不止普通鬼故事那么简单。 “Novel AI: Book Creator”用户生成故事及其他个人数据遭泄露，部分泄露故事涉及少儿不宜内容，攻击者可利用泄露信息进行性勒索和敲诈，Cybernews已联系应用开发者但未获回复。我们用户往往对应用开发者及其隐私保护能力过度信任。以iOS应用”Novel AI: Book Creator”为例，Cybernews研究团队发现该应用因安全规则配置错误导致用户数据泄露。 这款在美国应用商店拥有近2000条评分的应用，允许用户通过人工智能(AI)生成故事。然而安全配置错误使这些故事处于公开可访问状态。此外，用户与客服的互动记录及邮箱地址也遭曝光。 唯一值得庆幸的是，AI提示词本身已匿名化处理，这意味着攻击者只能识别同一用户生成的多篇故事，但无法获取相关个人信息。换句话说，攻击者需要付出更多努力才能确定故事来源。 令人担忧的是，尽管多次尝试联系开发者，该数据库已持续公开访问超过一个月。我们已联系”Novel AI: Book Creator”开发团队寻求置评，收到回复后将更新报道。 “泄露数据包括用户与客服的沟通记录、邮箱等个人身份信息，以及用户生成的各类故事。部分用户生成内容涉及成人题材。”Cybernews信息安全研究员Aras Nazarovas指出。 iOS应用具体泄露哪些数据？数据通过Firebase数据库泄露，该数据库作为临时存储区，在数据量达到阈值后会同步至永久存储系统。研究团队发现泄露的数据库包含：用户与客服的互动记录，用户邮箱地址以及用户借助AI生成的故事。 如前所述，用户故事仅关联用户ID而非真实姓名，但攻击者仍可进行关联匹配。研究人员表示，若用户曾在应用中提交反馈或客服咨询，攻击者即可确定特定故事的创建者。 研究团队特别指出，鉴于部分故事包含大量性内容，有些用户可能非常不愿让人知晓其使用过某些特定AI提示词。 Nazarovas解释：”此类内容的泄露风险极高，可能暴露令人尴尬或社会难以接受的个人偏好，攻击者可利用这些信息进行勒索或性胁迫。” 研究团队认为，攻击者可利用该漏洞设置数据抓取程序，持续从暴露的Firebase数据库中下载敏感信息。此外，网络犯罪分子还能实时获取新的AI提示词提交记录、客服咨询记录（含邮箱地址）等数据。 调查期间，该Firebase数据库已泄露约400封含邮箱地址的客服邮件，以及55,000篇用户生成故事。但考虑到Firebase作为临时数据库的特性，实际存储数据量可能远高于此。 泄露的Firebase数据库不仅暴露用户隐私数据，还公开了应用客户端的多项机密信息，包括：API密钥、客户端ID、数据库URL、Google应用ID、项目ID、反向客户端ID、存储桶、Facebook应用ID、Facebook客户端令牌。API密钥和数据库URL的公开会显著提升安全风险。攻击者可反编译应用，利用泄露凭证访问后端服务，绕过应用安全控制，导致非授权数据访问、账户劫持乃至完整数据库泄露等问题。 此外，API密钥通常具有广泛权限，攻击者可借此篡改或窃取用户敏感数据。而Facebook应用ID等社交媒体凭证则可能被用于实施仿冒攻击。 研究人员建议分别针对Firebase实例和硬编码密钥采取修复措施。针对Firebase相关问题，建议：制定适当的Firebase安全规则，确保只有经授权的认证用户和服务能访问存储数据。研究人员表示。”该应用使用的Firebase实例处于公开可访问状态，攻击者可实时连接数据库并抓取数据，获取包括用户客服沟通记录和AI提示词在内的所有操作信息。” 为防止应用密钥落入不法分子之手，建议：将敏感密钥从应用客户端移除，转存至服务器端，通过自有基础设施代理应用与第三方服务的通信。Nazarovas解释称。”硬编码密钥使攻击者可枚举应用使用的基础设施。若存在认证密钥，攻击者还可能滥用相关服务窃取用户数据，或将服务用于非授权用途。” “Novel AI: Book Creator”远非首个存在密钥泄露问题的iOS应用。研究团队近期发现多款应用存在严重安全隐患。例如，多个BDSM、LGBTQ+和sugar dating应用被曝泄露用户私密照片，部分甚至泄露私聊信息中的图片。 其他案例中，用于追踪家人行踪或秘密存储敏感数据的应用也被发现存在大规模数据泄露。 最新泄露事件是在大规模调查中发现的——Cybernews研究人员下载了156,000个iOS应用（约占苹果商店应用的8%），发现开发者普遍在应用代码中明文存储密钥凭证。 调查结果显示，71%的被分析应用至少泄露一个密钥，平均每个应用代码暴露5.2个密钥。     消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复一个已知问题，该问题导致在使用 Kerberos PKINIT 预认证安全协议的系统上启用 Credential Guard 时出现认证问题。 据微软称，这些认证问题影响了客户端（Windows 11 24H2 版本）和服务器（Windows Server 2025）平台，尽管仅在一些特殊场景中出现。 在受影响的系统上，用户遇到问题，因为当使用身份更新管理器证书/预引导密钥初始化（PKINIT）协议时，密码未能正确轮换。 然而，由于 Kerberos 认证通常用于企业终端，因此家庭设备可能不受此已知问题的影响。 “由于这个问题，设备无法按照默认的 30 天间隔更改密码。由于这种失败，设备被视为过期、禁用或已删除，导致用户认证问题，”微软在 Windows 发布健康仪表板更新中解释道。 “运行 Windows 家庭版的设备不太可能受到此问题的影响，因为 Kerberos 认证通常用于企业环境中，在个人或家庭设置中并不常见。” 微软表示，该问题已在 2025 年 4 月的 Windows 安全更新中得到修复，适用于 Windows 11 24H2 和 Windows Server 2025。然而，它还补充说，在找到永久解决方案之前，已禁用 Credential Guard 中依赖 Kerberos 密码轮换的机器账户。 “我们建议您为您的设备安装最新的更新，因为它包含重要的改进和问题解决，包括此问题，”该公司表示。 2022 年 11 月，微软发布了紧急带外（OOB）更新，以修复另一个导致企业 Windows 域控制器上 Kerberos 登录失败和各种其他认证问题的已知问题。 它还在 2021 年 11 月解决了与 Windows Server 上 Kerberos 委托场景相关的认证失败问题，并在一年前解决了影响运行 Windows 2000 及更高版本的域连接设备的类似 Kerberos 认证问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大安全意识培训提供商Beauceron Security的负责人大卫·希普利（David Shipley）周一回应了美国联邦调查局（FBI）丹佛办事处本月初发布的一则警告，该警告涉及一种利用免费在线文档转换工具窃取信息或向毫无戒心的用户计算机植入恶意软件的骗局的增长。 “使用被污染的网站，这些网站可能试图通过未打补丁的浏览器部署恶意软件，或者使用特洛伊木马程序部署远程访问工具，这些方法是寻找传统带有恶意Office附件的网络钓鱼替代方式的有效手段，”他指出。 为了实施这一骗局，美国联邦调查局表示，“全球的网络犯罪分子正在使用任何类型的免费文档转换或下载工具。这可能是一个声称将一种文件类型转换为另一种的网站，例如将.doc文件转换为.pdf文件。它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 该机构称，除了执行承诺的任务外，恶意工具还会从提交的文件中抓取个人身份信息、银行信息、电子邮件地址和密码。 信息科技研究集团（Info-Tech Research Group）的首席研究总监弗雷德·沙格农（Fred Chagnon）呼应了美国联邦调查局的警告，指出，“使用在线文档转换器的担忧是双重的。首先，也是最突出的是，你无法信任你得到的文件的完整性。即使是恶意服务也会为用户执行实际的转换。” 然而，他说，“生成的PDF文件可能包含嵌入式JavaScript代码，该代码在启动时执行，或者在Word或Excel文档的情况下，Visual Basic代码形式的宏可能隐藏在文档中。端点检测和响应工具可以作为抵御这些恶意程序的一层防御，但这并非万无一失。” 其次，他补充说，无法确定服务对上传文件中的数据做了什么，这些文件可能包含敏感或机密信息。 桑斯技术研究所（SANS Technology Institute）研究院长约翰内斯·乌尔里希（Johannes Ullrich）博士说，“这些攻击很简单。用户被欺骗执行恶意代码，声称该代码是一个文件转换工具。过去，攻击者声称是‘破解软件’（软件的许可证检查被移除）或游戏作弊。” 在这种情况下，他说，“用户通常会在谷歌上搜索一个工具，例如将Word文档转换为PDF。坏人有时会购买谷歌广告，或者操纵搜索排名，使其恶意工具出现在结果列表的顶部。在某些情况下，他们可能会回复像Stackoverflow这样的网站上的问题，以宣传恶意工具。” 一旦受害者执行程序，乌尔里希说，“工具将运行恶意代码。在某些情况下，工具会直接退出，并在用户看来‘损坏’。在其他情况下，工具可能同时执行合法操作和恶意操作。” 此外，美国联邦调查局丹佛办事处的公共事务官员维姬·米戈亚（Vikki Migoya）在电子邮件中表示，“骗子试图模仿合法的网址——只改变一个字母，或者用‘INC’代替‘CO’。过去在搜索引擎中输入‘免费在线文件转换器’的用户容易受到攻击，因为现在用于结果的算法通常包括付费结果，这些结果可能是骗局。” 她说，“在过去的一个月里，丹佛都会区的一个公共部门实体遭到了这种骗局的攻击，并随后遭遇了勒索软件攻击。”她拒绝提供更多细节，指出，“任何其他细节，包括有多少案例或何时首次出现，都会让骗子知道什么对他们有效，以及我们已经发现了他们的哪些骗局。” 网络安全软件和咨询公司Emsisoft的威胁分析师卢克·康诺利（Luke Connolly）说，美国联邦调查局发布警告这一事实很好地表明这个问题相当普遍，应该被严肃对待。 他说，防御措施包括只使用来自可信供应商的服务，在打开来自外部来源的文件之前使用端点保护进行扫描，使用网络保护阻止访问已知的恶意网站，以及仔细检查任何你正在交换信息的网站的网址。 康诺利说，不要“只看标志。骗子使用的域名看起来很可信，但并非如其表面所示，在快速浏览时，‘rn’组合看起来像‘m’。” 希普利补充说，IT部门可以通过解决根本问题来帮助降低风险。“理解业务摩擦痛点，比如文件转换，这有助于改变与同事的关系，将IT和安全部门从令人讨厌的‘不’部门转变为友好的‘知道如何安全地做这件事’部门，”他指出。 他说，简单的答案是IT部门要确保普通用户不能从未经批准的来源安装软件，并且浏览器和操作系统已更新。但他指出，“如果有人认为他们需要为工作做某事而工具没有提供，他们可能会试图绕过控制。”例如，他们可能会将文件电子邮件发送到他们的私人账户，并使用不安全的个人设备进行转换。 降低这种风险的唯一方法是通过用户教育，并提供人们需要的工具，使他们能够成功完成工作，他补充说。 乌尔里希表示同意。他说，用户应该对任何下载的来源保持谨慎，尽可能坚持使用官方应用商店。此外，他说，“组织的安全部门还应通过提供经过审查的工具库来支持用户。反恶意软件可能有帮助，但效果参差不齐。”   消息来源：CSO Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于隐私的电子邮件提供商 Tuta（原名 Tutanota）和 VPN 信任倡议（VTI）对法国拟议的法律表示担忧，这些法律可能会在加密消息系统中设置后门，并限制互联网访问。 第一个案例涉及法国“毒品贩运法”的一项拟议修正案，该修正案将迫使加密通信服务提供商设置后门，使执法部门能够在 72 小时内访问疑似犯罪分子的解密消息。不遵守规定可能会导致巨额罚款：个人最高可达 150 万欧元，公司最高可达其全球年营业额的 2%。 该法律尚未生效，但修正案已通过法国参议院，正在提交国民议会，因此增加反对意见至关重要。 在一份新声明中，Tuta 呼吁法国国民议会拒绝这一修正案，倡导保护强大的加密技术，以维护个人隐私和安全。他们再次强调，强制在软件中设置后门会破坏所有用户的安全和隐私，而不仅仅是犯罪分子，因为这会制造出可能被恶意行为者利用的漏洞。 “为好人设置后门只是一个危险的幻觉，”Tuta 邮件的首席执行官 Matthias Pfau 告诉 BleepingComputer。“为了执法而削弱加密技术，必然会制造出可能被网络犯罪分子和敌对外国行为者利用的漏洞。这项法律不仅会针对犯罪分子，还会破坏每个人的安全。” Tuta 进一步指出，拟议的修正案引发了法律复杂性，因为它据称与欧洲的 GDPR 和德国的 IT 安全法相冲突。 VPN 反对访问限制 本周早些时候，VTI 就法国一项由版权方 Canal+ 和法国足球联赛（LFP）推动的法律修正案发表了强烈声明，他们已采取法律行动，迫使 VPN 提供商阻止对盗版网站和服务的访问。 VTI 的成员包括 AWS、Google、Cloudflare、Namecheap、OVH、IPVanish VPN、Ivacy VPN、NordVPN、PureVPN 和 ExpressVPN，认为这是对 VPN 服务的错误 targeting，并敦促法国当局重新考虑他们的方法。 “将重点放在内容中立的工具如 VPN 上，而不是解决非法内容的来源，不仅无法打击盗版，还会对网络安全和隐私造成附带损害，使用户面临风险，”VTI 表示。 政府压力不断增加 关于法国全面法律提案的最新消息证实了政府行动呈上升趋势，旨在对互联网上的数据流施加更严格的控制和监控。 上周，苹果决定从英国撤下其 iCloud 端到端加密功能“高级数据保护”（ADP），此前政府秘密要求创建一个后门以访问用户数据。 瑞典提出的一项类似法律将允许执法机构访问用户在 Signal 等应用上的消息历史。然而，Signal 的总裁 Meredith Whittaker 在最近的一次采访中表示，这项法律将迫使他们将服务撤出该国。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文