安全内参5月20日消息，美国证券交易委员会（SEC）拟要求一些金融机构在发现安全漏洞后30天内披露相关信息。5月15日，SEC通过修正案，对管理消费者个人信息处理工作的《S-P条例》进行了修改。修正案要求，机构在发现未经授权的网络访问或客户数据使用后，必须“尽快在不超过30天”内通知受影响个人。新规将对美国证券市场的经纪交易商（包括融资门户）、投资公司、注册投资顾问和转账代理人具有约束力。 SEC主席Gary Gensler说：“在过去的24年里，数据泄露的性质、规模和影响已经发生了巨大变化。本次修正案对2000年出台的《S-P条例》进行了关键更新，有助于保护客户的金融数据隐私。基本理念是，只要相关公司出现了漏洞，就必须发出通知。这对投资者有利。” 新规详细内容 通知必须详细说明事件、受损信息以及受影响者应如何保护自己。不过修正案中有一项条款留下了回旋余地，只要相关机构能够证明，个人信息的使用没有导致，或者不太可能导致“重大伤害或不便”，就不必发出通知。 修正案将要求相关机构“制定、实施和维护书面的政策和程序”，这些政策和程序必须“设计合理，可以检测、响应未经授权的访问或未经授权的客户信息使用，并可以完成相应恢复工作”。修正案还包括以下内容： 扩展和协调保障措施和处置规则，以涵盖相关机构收集的自身客户的非公开个人信息，以及从其他金融机构收到的关于其他金融机构客户的非公开个人信息。 除融资门户外的相关机构必须制作并维护书面记录，用于记录保障规则和处置规则的要求的落实情况。 将《S-P条例》的年度隐私通知交付条款调整为符合《修复美国地面运输法案》（FAST）添加的例外条款。这些条款规定，如果满足某些条件，相关机构无需发布年度隐私通知。 扩展保障规则和处置规则的覆盖范围，囊括在委员会或其他适当监管机构注册的转账代理人。 修正案还扩大了涵盖的非公开个人信息的范围。除了公司本身收集的信息，新规还将涵盖公司从其他金融机构收到的个人信息。 针对新规的疑虑 SEC专员Hester M. Peirce表示，担心修正案可能过于严苛。她写道：“今天对《S-P条例》的更新将帮助相关机构适当提高客户信息保护的优先级。客户在其信息被泄露时将得到及时通知，以便他们采取措施保护自己，比如更改密码或密切关注信用评分。我对两方面持保留意见：规则覆盖范围可能过于广泛，也可能导致无意义的消费者通知泛滥。” 自2000年启用以来，《S-P条例》并没有进行实质性的更新。去年，SEC通过了新法规，要求上市公司披露对业务、战略或财务结果或状况有重大影响或可能有重大影响的安全漏洞。 修正案将在美国《联邦公报》（联邦政府发布法规、通知、命令和其他文件的官方期刊）网站上公布60天后生效。大型和小型组织分别需要在修正案发布后18个月和24个月内落实相关要求。

据Inforisktoday消息，英国立法者正在推进《调查权力法案》的更新，允许英国情报机构大规模收集数据，尽管受到了隐私倡导者、监管团体和科技公司越来越多的批评，但该法案近期仍通过了议会的进一步审查。 《调查权力法案》于 2015 年问世，因涉及大规模搜集公民数据，民间将其视为“窥探者宪章”，该法案在2016年进行过一次更新。而此次下议院批准的修订后法案，保留了允许英国情报机构大规模收集大量公共数据集的条款，其中包含“谁、何地、何时、如何以及与谁进行通信” 。 该法案还授权执法机构从第三方电信服务提供商处批量收集数据，包括互联网连接记录，例如用户访问的网站的详细信息，这使执法机构能够在用户的 IP 级别处理进一步的数据。 在听证会上，保守派议员兼该法案联合报告员安德鲁·夏普表示，修改后的提案将为英国情报部门提供“维护国家安全的工具”，同时确保执法部门在适当的情况下提出信息请求，以适当的方式将隐私置于核心位置。 听证会结束后，科技行业机构 TechUK 迅速批评该提案，担心该法案可能阻碍“旨在改善消费者隐私、诚信和安全的技术进步”。TechUK 表示，公司的注意力必须转移到满足政府的监控需求上，而不是专注于改善用户隐私和安全。 科技巨头苹果公司也对此提出异议，它告诉英国广播公司，该提案可能允许英国政府“秘密否决全球新的用户保护措施”，这将阻止该公司向其用户推出安全更新。 内政部发言人淡化了这些担忧，称政府支持“创新和隐私”，但表示合法的通讯渠道对于识别儿童性虐待者和恐怖活动至关重要。发言人告诉信息安全媒体集团：“我们一直明确表示，我们支持技术创新以及私有和安全的通信技术，包括端到端加密，但这不能以牺牲公共安全为代价。” 该修订该法案的推动力源于 2023 年 6 月英国议员大卫-安德森（David Anderson）对 2016 年《调查权力法》的审查。一份名为《安德森勋爵报告》（Lord Anderson report）的审查报告称，2016 年版本法律对批量个人数据集处理的限制阻碍了英国情报机构收集大量公共数据集。 目前，批量个人数据集的处理受到 “三重锁定 “授权的限制，要求情报机构首先从国务大臣那里获得拦截或设备干扰的授权令，然后，该授权令必须得到司法专员的批准，并最终得到首相的批准，且授权令的有效期只有 6 个月。他认为，这些限制不利于快速地侦测犯罪和破坏威胁，反过来又对国家安全构成了威胁。 报告还指出，目前一些科技公司推出的端到端加密技术也妨碍了情报机构及时收集数据。 报告建议进一步修订该法案，包括引入新的 “隐私期望值低或无隐私期望值 “的批量个人数据类别，延长数据保留时限，以及对司法专员这一角色进行重新修订。 针对这些建议，立法者提出了最新的法案，对大量个人数据集的范围进行了修订。根据修订后的法案，批量个人数据集可包括任何经同意共享的公共领域数据，包括官方记录、有声读物和播客，以及从在线共享视频中获取的内容。 修订后的提案还将允许情报部门负责人授权收集和处理数据，设立新的调查权力官员，该官员可以提名执法机构的个人担任司法专员一职。法案还建议将截获和保留数据的时间延长至 12 个月。 该法案还取消了先前条例中为确保新闻信息来源安全而设置的保障措施，允许执法机构 “识别任何机密新闻材料 “或 “识别或确认新闻信息来源”。 国际隐私组织（Privacy International）政策官员莎拉-西姆斯（Sarah Simms）表示，政府正在利用拟议修正案淡化《2016 年互联网安全法案》（IPA 2016）中规定的现有保障措施，以减轻执法机构的行政负担。她认为这些措施需要加强，而不是淡化。   转自Freebuf，原文链接：https://www.freebuf.com/news/391658.html 封面来源于网络，如有侵权请联系删除

美国国安部门国防安全局的内部文件显示，由于从NSA等机构获取信息耗费时间过长，该机构转而向私企Team Cymru购买网络流量数据（netflow），以便分析人员跟踪虚拟网络中的黑客活动。 数字媒体调查网站404 Media近日报道称，《信息自由法案》从美国国防安全局（DSS，现名“国防反情报和安全局”，DCSA）获取的内部文件显示，这家联邦反情报机构正从一家私营互联网公司手中购买数据，以便对黑客活动进行更快速、更便捷的追踪。 与私企打交道更快更方便 文件显示，DSS是从附属于Team Cymru公司的某个承包商手中获取所需数据的。Team Cymru是一家互联网安全公司，虽然在整体情报能力方面不如NSA等全球最强大的情报机构，但在数据获取和提供方面却也有上述联邦部门无法比拟的优势。 比如他们可以在未获同意的情况下，借助与互联网服务提供商（ISP）之间的关系对使用该ISP的个人或团队敏感数据进行收集。这些数据被称为“互联网流量日志”，可以显示用户在网络上的通信情况，还可以帮助分析人员借助虚拟专用网络对网络活动进行追踪。通常情况下，此类连接数据只有运营服务器的公司或个人，以及他们的互联网服务提供商才有权限获取。不过Team Cymru能侵入某个大多数人不可见但互联网运行又不可或缺的重要网络节点，对这些数据进行收集并把读取权限出售给其他私人企业甚至政府部门。 更重要的是，从Team Cymru公司购买数据要远比从政府部门手中申请数据更快速、更便捷。404 Media网站获取的文件抱怨，走流程向NSA等政府部门申请数据需要的时间要以“天”为单位计算，而向私营企业购买则“立即可取”。 其中一份文件指出，网络安全分析人员要花费大量时间对发生在联邦政府范围内的网络攻击进行IP地址和域名解析，有时需要向US-CERT（美国计算机应急响应小组）、NSA和其他各类“网络安全国家队”申请所需要的数据。但“这些部门并非查找机构，经常会让一个需要决定性回应的申请陷入长达数天的等待，”文件称。“等待时间越长，国家安全遭到破坏的可能性就越大。” 使用是否合法合规遭质疑 向政府部门和机构出售网络流量日志是互联网行业内的公开秘密。比如美国国税局、海军、陆军和网络司令部都曾是Team Cymru公司的客户。FBI和特勤局（Secret Service）也曾向Team Cymru的分公司Argonne Ridge Group进行过相关采购。DSS在文件中为自己向私人企业购买数据的行为进行了辩解，称是为了“通常情况下，外国情报实体往往会对他们的（网络黑客）行为进行深度隐藏”，向私营互联网企业采购数据的目的，是为了“获得对外国情报实体（网络）恶意活动进行追踪的能力”。 据悉，DSS的数据采购被归类为“商业行为”，在采购清单中列支的名目，是“向网络威胁情报公司Team Cymru购买技术”，数年中所花费的金额已高达几百万美元。专家认为，DSS的花费在某种程度上是“物有所值”，因为其购买的互联网流量日志等数据对网络安全分析人员来说是一款得心应手的工具，可以对黑客发起网络攻击的源头进行追踪。 虽然DSS和专家的解释向外界说明了反情报机构使用互联网流量日志的合法性，但部分互联网人士仍然担心DSS可能会非法使用从私营公司采购的数据，或超出宣称的使用范围（指追踪黑客）。这不是没有先例的。早前参议员罗恩·怀登就曾收到一封举报信，称海军罪案调查处（NCIS）向Team Cymru公司非法采购和使用网络数据。 他们的担心是出于两个方面的原因。一方面是Team Cymru公司获取数据的手段并不完全合法，因为这些数据是在大多数人并不知情的情况下收集并出售的，而且有些数据（比如位置信息）的收集并未得到应有的授权。另一方面是DSS使用这些数据时可能超出了追踪黑客的范围。DSS曾表示，该部门希望获得的数据服务，可以帮助自己锁定“谋划攻击、内部威胁、洗钱、破坏系统或尝试利用网络漏洞”的人群。这些目标显然超出了追踪黑客活动的范围，不由得不引起外界对反情报部门可能会滥用权力的焦虑。 与Team Cymru合作更节约成本 在被披露的文件中，DSS也阐述了不向Team Cymru公司的替代方案，即在全球范围内布设传感器，自己收集所需要的数据。 “我们也曾考虑过另外的数据获取方案，即在全球范围内设置可覆盖整个互联网的流量监视和收集传感器，”文件称。“但其设计、采购、部署、运行和支持是一个大工程，耗费的资金量将（比采购Team Cymru数据）更巨大。” 所以DSS最终决定不再做重复工作，因为Team Cymru公司已经拥有了一整套可供利用的全球网络传感器。“（Team Cymru公司）收集的网络数据来自全球范围内超过550个收集点位。这些收集点位遍布欧洲、中东、南北美洲、非洲和亚洲，每天都能产生至少1000亿条更新数据。”     转自安全内参，原文链接：https://www.secrss.com/articles/60167 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，9月20日，有T-Mobile 用户表示，他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。 根据Reddit 和 Twitter上的用户反映，暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如后四位数字和到期日期。有用户声称，这一情况从两周前开始就一直出现，在向 T-Mobile 反馈后也未得到回应。 T-Mobile 表示，此次事件并非网络攻击造成，其系统也没有遭到破坏，尽管大量用户报告称受到了此问题的影响，但T-Mobile 表示该事件的影响有限，仅影响不到 100 人。 当被问及更多细节时，一位发言人告诉 BleepingComputer：“T-Mobile 没有遭受网络攻击或违规。” 自 2018 年以来发生9起数据泄露事件 T-Mobile在过去几年内就已经发生多起数据泄露事件： 2018 年 8 月，攻击者访问了大约3% 的 T-Mobile 用户数据； 2019 年，T-Mobile泄露了数量不详的预付费用户的账户信息； 2020 年 3 月，T-Mobile 员工的个人和财务信息遭到泄露； 2020 年 12 月，攻击者访问了用户专有网络信息（电话号码、通话记录）； 2021 年 2 月，T-Mobile 内部应用程序被未知攻击者未经授权访问； 2021 年 8 月，黑客在 T-Mobile 的一个测试环境遭到破坏后，暴力破解了 T-Mobile 的网络； 2022 年 4 月，臭名昭著的 Lapsus$ 勒索团伙使用窃取的凭证入侵了 T-Mobile 的网络。 仅在今年上半年，T-Mobile就披露了两起数据泄露事件。 5 月，T-Mobile披露了自在 2 月底至 3 月期间，攻击者侵入该运营商的系统，数百名客户的个人信息遭到泄露； 1 月，T-Mobile称有3700 万用户的敏感信息被使用其一个应用程序编程接口 (API) 窃取。   转自Freebuf，原文链接：https://www.freebuf.com/news/378727.html 封面来源于网络，如有侵权请联系删除

Mozilla分析了25个主要汽车品牌，并在隐私和安全方面给所有品牌打了不及格的分数。他们收集大量的个人数据，并与其他人共享这些数据，而通常未经客户的明确许可。 Mozilla是为支持和领导开源的Mozilla项目而设立的一个非营利组织。该组织制定管理开发政策，经营关键基础组织并管理商标及其他知识产权。他们把自己描述为“一个致力于在互联网领域提供多样化选择和创新的公益组织”。 作为“不包括隐私”项目的一部分，Mozilla分析了汽车制造商提供的隐私政策和应用程序。目标品牌包括宝马、雷诺、斯巴鲁、菲亚特、吉普、克莱斯勒、大众、丰田、雷克萨斯、福特、奥迪、梅赛德斯-奔驰、本田、林肯、讴歌、起亚、GMC、雪佛兰、现代、日产和特斯拉。研究表明，这些公司提供的隐私政策文件向客户通报了所收集的各种数据，包括健康和遗传信息、种族、移民身份、体重、面部表情、位置、驾驶速度、多媒体内容。 这些数据是通过移动应用程序、经销商、公司网站、车辆远程信息处理、传感器、摄像头、麦克风和连接到车辆的电话收集的。Mozilla根据数据使用、数据控制、跟踪记录和安全性对公司进行了排名。最好的是雷诺及其子公司达西亚，它们是需要遵守欧盟通用数据保护条例的欧洲公司。而最差的则是日产和特斯拉。 主要汽车制造商经常披露出影响其客户个人隐私的数据泄露事件。此外，超过一半的品牌的隐私政策显示，他们可以与执法部门和其他政府机构共享收集的信息。此外，84%的受访者表示他们可以与服务提供商、数据经纪人和其他人共享个人数据，而76%的受访者表示他们可以出售收集的个人数据。该组织指出，虽然消费者可以选择不使用汽车应用程序或尽量不使用连接服务，但这可能意味着他们的汽车无法正常工作或者根本无法正常工作。消费者在隐私方面几乎没有控制权和选择权，除了简单地购买旧型号，监管机构和政策制定者在这方面没有提供保障。 Mozilla研究人员试图联系每个被分析的品牌，以澄清他们的隐私政策，但只有梅赛德斯以模糊的声明回应。Mozilla得出的结论是，在所有类型的产品中，汽车的隐私安全是最糟糕的。     转自E安全，原文链接:https://mp.weixin.qq.com/s/sCx8qK3Yo_2nUgvLWtEEpQ 封面来源于网络，如有侵权请联系删除

扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 一杯奶茶也许不贵，但订单里却包含着消费者的个人信息和消费轨迹。对商家来说，成千上万笔订单背后的用户数据堪称一笔重要的“财富”。 扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用” 相比直接窃取个人信息的案件，人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下，被商家索取姓名、位置、手机号码等个人信息，然后由于各种原因导致信息泄露。 互联网安全专家表示，个人信息泄露主要的危害有两类：一类是黑灰产对个人信息的利用；另一类是企业滥用用户信息，获取更多非正常的商业报酬、商业利益。除此以外，还会通过个人信息建立情报体系、树立行业壁垒。 尽管消费者抱怨声不断，为什么企业仍热衷于收集消费者个人信息呢？ 专家表示，在数字经济时代，数据就像石油。尤其是大量数据，具有非常大的价值。把这些数据全部整合在一起，形成每个人的画像，就是最具有商业价值的事。 一句话概括：数据就是打开财富大门的钥匙。因此，不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。 针对这些乱象，从6月中旬起，上海市网信办会同市场监管局开展了为期半年的专项执法行动，重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。 强制索取信息、信息保管、隐私权政策为执法焦点 通过对上海29家知名度较高的奶茶店、快餐店明察暗访中，执法小组发现了几个比较突出的问题。 首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所，仍被告知要通过App或者小程序扫码点餐，而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求，否则就无法完成点餐。 专家表示，这种做法既违反了最小必要原则，也剥夺了消费者的自主选择权，违反了消费者权益保护法。 门店越多，产生的数据也越多，有时甚至达到惊人的地步。比如，某知名连锁奶茶品牌每收到一笔订单，就会产生87条数据，目前已累计产生超过100亿条。其中，涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。 专家表示，在数字经济时代，数据通常被用于经营管理，这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用，但在采集信息的过程中，必须遵循“合法、正当、必要”三原则。 据了解，要搭建一个收集消费者个人信息的技术平台，门槛很低，费用也不高。网络安全专家表示，扫码点餐存在一定的风险性，尤其是在小商家扫描那些来路不明的二维码。 那么，这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢？ 调查发现，不少企业在保管用户信息时，存在一定的隐患。比如，采集数据量巨大的某知名奶茶店，根据网络安全法和数据保护法，应该按照三级标准进行等级保护，但是这家企业却没有做这些工作。 此外，隐私权政策也是本次检查的重点内容之一。所谓隐私权政策，就是信息收集方就如何收集个人信息所发布的声明。简单讲，就是告诉用户采集个人信息的目的、用途以及如何保管等。 执法人员发现，不少企业要么没有隐私权政策，要么不完善。还有些企业虽然制定了隐私权政策，但过于冗长，用户体验非常不友好。有的隐私权政策洋洋洒洒近万字，与其说是为了告知用户，倒不如说是为了保护企业自己。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。     转自安全内参，原文链接:https://www.secrss.com/articles/58508 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 你真的隐身了吗? 深入谷歌私人浏览，揭开网络隐身的神话和真相。 长期以来，谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览，或色情模式。 与流行的观点相反，隐私功能不仅仅是为了隐藏网上的成人内容。例如，大多数在线航班搜索引擎使用cookie来跟踪搜索，在多次搜索同一行程后，机票价格会慢慢上涨，从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。 “隐形页面”的真相 许多用户仍然没有意识到，隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时，大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说，这是显而易见的，但其他人仍带着虚假的安全感继续使用这个功能。 然而，在技术人员沾沾自喜之前，即使你相信你的在线行为被匿名所掩盖，看不见的力量可能仍然在起作用。即使没有登录到一个平台，你的虚拟足迹仍然很容易被追踪，这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。 这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着，让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以，即使你在“隐身”的保护伞下浏览网页，也要记住:你的数字身份影子可能仍然是可见的。 隐私审判:谷歌的隐身模式面临50亿美元的赔款 自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后，许多人对信任这家科技巨头变得越来越谨慎。从2020年起，谷歌将面临一场50亿美元的巨额诉讼，这是一项开创性的法律行动，给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为，尽管谷歌保证了隐私，但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪，即使用户认为他们在隐身保护伞下受到了保护。 相比之下，谷歌坚定地为自己辩护，强调其网站一贯有清晰的声明。他们指出，Chrome的隐身功能并不是一种隐形的面纱，而只是一种防止浏览数据被存储在本地的功能。事实上，每次用户打开私人浏览会话时，都会出现警告。问题是很少有人读到这个警告，这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。 这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看，潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说，处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判，这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。 谷歌是否歪曲了隐身模式的作用? 从技术角度来看，谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步，这个功能可以确保隐私不被窥探。 精通技术的人很清楚它的局限性。然而，普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成，似乎是为了鼓励用户盲目地同意。 对许多用户来说，“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户，那么问责制问题就出现了。 2018年，谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法，这为这场辩论增加了另一层含义。谷歌员工开玩笑说，使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来，这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快，但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的，但这种内部玩笑可以被视为淡化隐私问题。 隐私逐渐成为这个时代的奢侈品，但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障，防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。 虽然隐身面纱看起来不透明，但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省：我的数字身份是否真的隐藏起来了。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

一项新的研究发现，组织允许员工在使用软件即服务（SaaS）应用程序（如Google Workspace和Microsoft 365）时使用的许多浏览器扩展可以访问高级别的内容，并存在数据盗窃和合规性问题等风险。 Spin.AI的研究人员最近对企业环境中使用的约 300,000个浏览器扩展和第三方OAuth应用程序进行了风险评估。重点是跨多种浏览器（例如Google Chrome和Microsoft Edge）的基于Chromium的浏览器扩展。 研究显示，所有已安装的扩展中有51%具有高风险，有可能对使用它们的组织造成广泛损害。这些扩展程序都能够从企业应用程序捕获敏感数据，运行恶意JavaScript，并秘密向外部各方发送包括银行详细信息和登录凭据在内的受保护数据。Spin评估的大多数扩展（53%）都是与生产力相关的扩展。但最糟糕的——至少从安全和隐私的角度来看——是云软件开发环境中使用的浏览器扩展，Spin评估其中56%为高安全风险。 本周发布的一份报告表示：“这些扩展虽然提供了各种功能来增强用户体验和生产力，但可能会对存储在Chrome和Edge等浏览器中的数据或存储在Google Workspace和Microsoft 365等平台中的SaaS数据构成严重威胁。” 一个例子是最近的一起事件，其中黑客上传了一个浏览器扩展程序，该扩展程序声称是合法的 ChatGPT 浏览器插件，但实际上是劫持 Facebook 帐户的特洛伊木马。成千上万的用户安装了该扩展程序，并立即被盗了他们的Facebook帐户凭据。受感染的帐户包括数千个企业帐户。 Spin的分析显示，拥有2000多名员工的组织平均安装了1454个分机。其中最常见的是与生产力相关的扩展、帮助开发人员的工具以及能够实现更好可访问性的扩展。超过三分之一（35%）的此类延期存在高风险，而在员工少于2000人的组织中，这一比例为27%。 Spin的报告得出的一个惊人结论是，匿名作者的浏览器扩展数量相对较高，为42938个，组织似乎可以自由使用这些扩展，而不考虑任何潜在的安全隐患。考虑到任何有恶意的人都很容易发布扩展，这一统计数据尤其令人担忧。 更糟糕的是，在某些情况下，组织使用的浏览器扩展来自官方市场之外。公司有时也会为内部使用构建自己的扩展并上传，这可能会带来额外的风险，因为这些来源的扩展可能不会像官方商店中的扩展一样经过同等程度的审查和安全检查。 Spin还发现，浏览器有时还会通过自动更新获得恶意品质。当攻击者渗透到组织的供应链并在合法更新中插入恶意代码时，就会发生这种情况。开发人员还可以将他们的扩展出售给其他第三方，然后第三方可能会使用恶意功能对其进行更新。因此，对于组织和企业来说，建立和执行基于第三方风险管理框架的政策很重要，他们需要评估运营的扩展和应用程序。     转自E安全，原文链接:https://mp.weixin.qq.com/s/iroFqYWp2EcR6Q0AeURlGQ 封面来源于网络，如有侵权请联系删除

最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 “单因素身份验证的 VPN 访问 “入侵了一个网络。 一个名为 “Aura “的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。 SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。 SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。 在八起 “Akira “攻击中发现思科VPN特征  图源：SentinelOne SentinelOne 远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。 由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。 使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。     转自Freebuf，原文链接:https://www.freebuf.com/news/375848.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文