分类: 网络安全

因泄露 5.33 亿用户隐私,Facebook 被罚 2.65 亿欧元

据BleepingComputer 11月28日消息,近日,爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件,向其母公司Meta开出 2.65 亿欧元(约20亿人民币)巨额罚单。 2021年4月,黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛,其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。DPC 于 2021 年 4 月 14 日正式启动了对 Meta 可能违反 《通用数据保护条例》(GDPR )的 调查。 Facebook 当时表示,黑客通过利用Contact Importer工具中的一个缺陷将电话号码与 Facebook ID 关联,然后抓取其余信息来为用户建立个人资料来收集数据。Facebook表示该漏洞已在2019年修复,黑客在此之前窃取了数据。 根据DPC 的调查结论,Meta违反了 GDPR 第 25章第1及第2条: 25.1 数据控制者应实施适当的技术和管理措施,比如将数据进行假名化,并在处理过程中纳入必要的保障措施,以满足本规定的要求并保护数据主体的权利。 25.2 数据控制者应该使用适当的技术及管理措施,来保证在默认情况下,仅使用处理目的所必要的个人数据。 特别注意这类措施应应确保在默认情况下,不应允许任何个人干预,同时只向有限数量的自然人提供个人数据。 数据抓取 数据抓取器是一种自动化机器人工具,能利用 Facebook 等保存用户数据平台的开放网络 API 来提取公开信息并创建大量用户资料数据库。 虽然不涉及黑客攻击,但爬虫收集的数据集可以与来自多个点(站点)的数据相结合,创建完整的用户档案,从而使黑客的攻击目标更加精准有效。在 Meta 的案例中,黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一个缺陷将电话号码与这些公开收集的信息相关联,从而允许他们创建包含个人和公共信息的配置文件。 由于许多科技公司在爱尔兰运营,DPC 被认为是欧盟 GDPR 合规的先锋,因此其决定势必会给其他掌控大量数据的企业带来影响,迫使他们重新评估其反抓取机制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351014.html 封面来源于网络,如有侵权请联系删除

埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密

Hackernews 编译,转载请注明出处: 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是,其他各种消息平台,如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase,都已经支持消息加密。 此前,谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天,目前正在对群聊进行同样的尝试。同样,Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示,该社交媒体平台的新用户注册数量创下了“历史新高”,截至11月16日,过去七天平均每天超过200万,比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户(mDAU)。 本月早些时候,在推出改版后的Twitter Blue订阅服务前后,该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出,采用多色验证系统,旨在为公司发放金色徽章,为政府发放灰色徽章,为个人账户发放蓝色徽章。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Gartner 发布 2022 年中国安全技术成熟度曲线

Gartner于2022年首次发布《2022年中国安全技术成熟度曲线》,该曲线指出,随着国内数字化转型的推进,尤其是云计算、大数据、人工智能、物联网和电子商务的发展,企业机构数字资产保护已成为安全和风险管理领导者的关键任务。 国内法规日趋严格,安全的重要性更甚以往。这篇报告是全新的中国安全创新领域技术成熟度曲线。中国安全技术与市场,在技术成熟度、产品、供应商等方面与国际市场存在差异,因此本文针对国内特点筛选了一批创新安全技术和服务(见图一)。 (图一:2022年中国安全技术成熟度曲线) 中国的机密计算 机密计算是在基于硬件的可信执行环境(TEE,也被称作Enclave)中执行代码的安全机制。这些Enclave将代码和数据与主机系统及主机系统所有者隔离,保护代码和数据的安全,同时确保代码完整性并进行证明。 中国于2020年将数据定义为一种生产要素,希望通过数据交换和处理的方法来激活数据价值。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《中华人民共和国数据安全法》(以下简称《数据安全法》)的实施,也促使企业寻求数据保护。 机密计算将芯片级TEE与传统密钥管理与加密协议相结合,以实现不可读取的计算,支持多个项目在无需数据或IP共享的情况下实现重要的合作。 中国的物联网身份认证 物联网(IoT)身份认证是指设备、应用、云服务、网关或在物联网环境中操作的人工用户等实体在与某个单一实体(通常是设备)互动时,为该实体的身份建立信任的机制。物联网身份认证需要考虑到物联网设备的潜在资源限制、所用网络的带宽限制,以及各种物联网实体之间的机制性交互。 物联网解决方案,为优化流程或挖掘新的收入来源带来了新机会。工业物联网带来了更高的制造自动化水平,也推动了制造业的发展。在中国,互联汽车、智慧城市、智能家居和智能可穿戴设备等市场发展迅速。然而,这些互联互通的设备在联通网络和物理世界的同时,也引发了新的攻击威胁。为减少网络攻击,物联网设备需要可信的身份和强大的设备认证。 安全多方计算 安全多方计算(SMPC)是一种分布式计算和密码学方法,支持多个实体(例如:应用、个人、企业机构或设备)进行数据运算,同时使各方的数据或加密密钥受到保护。具体而言,SMPC可使多个实体共享洞察,同时保证可识别数据或其他敏感数据对除己方外的其他实体不可见。 中国政府出台了新的数据相关法律法规,如《个人信息保护法》《数据安全法》,而在中国运营的企业机构也需要实现其业务目标;因此,处理个人数据时面临的复杂性增加,同时需要应对数据安全和隐私保护的挑战。长期以来,数据保护主要用于确保静态数据和传输中数据的安全。采用SMPC方法,则可以保护使用中数据的安全。这是一种安全方法新范式,是传统安全策略的增强版。 中国的零信任网络访问 零信任网络访问(ZTNA)可以为应用提供基于身份和情景的逻辑访问边界。应用可以隐藏起来,无法在检索中发现,仅允许部分指定实体通过信任代理访问。信任代理在允许用户访问前,会先验证用户身份、访问情景以及指定人员和设备是否遵循规定,并禁止网络中的横向移动,从而避免应用对公众曝光,大幅缩小攻击面。 ZTNA通过信任代理,实现用户到应用的分段访问。这是一项重要技术,使企业机构能够隐藏专有应用和服务,并要求所有应用实施最小特权访问模型,通过创建仅包含用户、设备和应用的个性化“虚拟外围”来缩小攻击面。在中国,终端用户对于使用ZTNA来保护企业机构的数据兴趣渐浓。 攻防演练 在攻防演练中,攻击团队(红队)的任务是,利用攻击者可以采用的一切手段对企业机构系统实施攻击,以展示攻击成功带来的影响。这些手段包括网络钓鱼、社会工程、物理渗透、潜伏和突袭。与之相对的是,防守团队(蓝队)负责检测并应对来自红队的攻击。 中国政府每年都会组织国家级攻防演练,不可预测的恶意攻击也日益增多,这些都促使企业机构主动实施攻防演练。安全服务提供商可能会在演练中担任攻击团队的角色,帮助企业安全团队在接近真实的场景下查漏补缺。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350923.html 封面来源于网络,如有侵权请联系删除

以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备

美国当地时间11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备“对国家安全构成不可接受的风险”。 此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头,这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。 公开资料显示,华为、中兴、海康威视、海能达和大华等5家中企,此前都被FCC列入了2021年3月12日的 “对美国国家安全构成威胁的通信设备和服务”清单。 FCC主席Jessica Rosenworcel在11月25日的命令中表示,“这些新规则是我们保护美国人民免受涉及电信的国家安全威胁行动的重要部分。” 2022年9月20日,FCC将太平洋网络公司和中国联通(美洲)也加入 “对美国国家安全构成威胁的通信设备和服务”清单,至此中国三大电信运营商全部上榜。FCC称这一行动是为了遏制中国国有通信运营商在美国网络中的影响力。 上个月,拜登政府还宣布,将收紧对中国出口的可用于军事应用的半导体产品的监管。 不仅仅是美国,英国也采取了类似措施,禁止在“敏感”的政府场所安装中国企业生产的安全监控摄像头,涉及海康威视和大华股份两家企业。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350904.html 封面来源于网络,如有侵权请联系删除

戴尔、惠普和联想的设备使用过时的 OpenSSL 版本

Binarly 研究人员发现,戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。 OpenSSL软件库允许通过计算机网络进行安全通信,能够有效防止窃听。OpenSSL包含开源的安全套接字协议(SSL)和传输层安全(TLS)协议,研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。 专家们分析了作为任何UEFI固件所必要的核心框架之一EDKII,该框架在CryptoPkg组件中的OpenSSL库(OpensslLib)上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII的主要存储库托管在Github上,并经常更新。但专家们在分析这些厂商的设备时,发现在其固件镜像中使用过时版本的OpenSSL:0.9.8zb、1.0.0a 和 1.0.2j,其中最新的 OpenSSL 版本早在2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自2009 年发布的 0.9.8l 版本。 戴尔、惠普和联想部分设备中的 OpenSSL版本 Binarly Platform 在野外检测到的戴尔、惠普和联想设备中 不同OpenSSL 版本占比 Binarly 发布的报告表示,许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在8年前就已成为易受攻击的“不安全代码”。 专家指出,同一个设备固件代码往往依赖不同版本的OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库,而设备固件开发人员通常无法使用这些代码库,这通常会增加供应链的复杂性,带来潜在的安全风险。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350909.html 封面来源于网络,如有侵权请联系删除

真实案例!恶意黑客利用物联网设备成功入侵电网

安全内参11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。 本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。 尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。 微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。 “影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。 微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。 2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。 在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。 另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。 由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。 转自 安全内参,原文链接:https://www.secrss.com/articles/49412 封面来源于网络,如有侵权请联系删除

他们假装应聘偷偷潜入电商公司,目的竟是窃取物流信息

11月、12月是电商狂欢季,随之而来的是大批快递到货。你可知道,客户的物流信息可是香饽饽,总有坏人盯着!否则怎么客户刚下单不久,就接到了诈骗电话。 今年“双十一”以来,浙江慈溪网警大队接到多家电商公司报警,客户刚在网店下单,随后就接到诈骗电话,引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货,怎么骗子就知道了我们平台的发货信息呢? 慈溪网警对受害网店的电脑进行勘查,发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖,民警最终确定了犯罪嫌疑人。 慈溪警方果断出击,抓获了一个专门入室安装木马软件盗取打印信息的团伙,而背后的利益链条令人咋舌。 经查,犯罪嫌疑人蒙某和吴某拥有一定技术水平,此前通过境外聊天软件进行交流,购买木马软件。随后,他们在慈溪电商聚集地撒网,通过应聘等方式,寻找可以下手的电商公司。 深夜,他们秘密潜入电商公司,他们从不偷盗,只是在电商公司的办公电脑上安装木马软件,在他们眼中,海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器,上家一旦通过木马软件获取打印的客户信息,便会支付高额的佣金。 为了赚取佣金,早在“双十一”购物节前夕,犯罪嫌疑人蒙某和吴某就连续多次作案,在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发,他们非法获取物流信息3000余条,目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质,加强公司内部的网络安全知识培训,办公电脑务必密码锁屏,谨防客户信息在不知不觉中被窃取。 转自 安全内参,原文链接:https://www.secrss.com/articles/49375 封面来源于网络,如有侵权请联系删除

WhatsApp 数据大泄露,近 5 亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。 11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。 公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。 Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。 WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。 除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。 “在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。” 转自 Freebuf,原文链接:https://www.freebuf.com/articles/database/350756.html 封面来源于网络,如有侵权请联系删除

英国与韩国完成脱欧后首个独立数据传输协议

英国已经完成脱欧后的第一个独立数据保护决议,这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示,在7月首次达成原则性协议的新立法,将使两国的企业更容易分享数据,增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的,就评估结果而言,韩国拥有强大的隐私法,将保护数据传输,同时维护英国公民的权利。 消除数据传输障碍将促进研究和创新 英国政府在数字、文化、媒体和体育部的一份新闻稿中表示,一旦生效,新的数据传输协议将消除数据传输的障碍,通过简化协作来促进研究和创新。韩国作为英国增长最快的市场之一,超过三分之二的英国服务出口到韩国。在此之前,各企业需要制定昂贵且耗时的合同保障措施,如标准数据保护条款和有约束力的公司规则。消除这些障碍将为许多中小型企业提供机会,企业可以不为这些负担而担忧。 数据部长Julia Lopez在评论该立法时说:在今年年底之前,企业将能够自由地与韩国共享数据–因为我们知道这些数据将按照英国期望的高隐私标准进行保护。 比欧盟与韩国的协议更广泛 英国政府表示,这不仅是英国自脱欧以来第一个独立数据传输的新协议,它也比欧盟与韩国的数据传输协议更广泛。两项协议之间最重要的区别是,英国机构将能够与韩国分享与信用信息有关的个人数据,以帮助识别客户和验证付款,这将有助于促进在韩国的英国企业信贷、借贷、投资和保险业务。 英国信息专员John Edwards说:我们支持政府进行充分性评估,以使个人数据能够自由地流向世界各地值得信赖的合作伙伴。他补充说,英国信息专员办公室(ICO)在这次对韩国的评估中向政府提供了建议,它对政府承认韩国法律中类似的数据保护权利和法案感到满意。这将为英国企业带来帮助,减少合规的负担,同时确保人们的数据得到负责任的处理。 惠特克公司的全球数据合规总监Tash Whitaker说道:这一决定是在欧盟与韩国合作近一年后作出的,所以很高兴看到英国赶上了欧盟,在允许个人数据跨境自由流动到一个保护措施不损害英国或欧盟GDPR的国家。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350741.html 封面来源于网络,如有侵权请联系删除  

“去中心化版 Twitter”Mastodon 曝出严重漏洞

本周三晚间,安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。 过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。 然而,Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。 例如,Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。 Alevski在一篇技术博客文章(链接在文末)透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据,并将其替换为任意内容。 该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息(DM)共享的文件(Mastodon上的DM与Twitter不同,省略了加密)。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之,这个安全漏洞为各种恶作剧和恶意行为敞开了大门。 Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。 Bell表示:“该漏洞是存储桶访问策略配置错误,我没有从默认访问路径中删除写访问权限。” 在问题解决后发布的博客文章中,Alevski补充说:“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。 Alevski最后警告说:infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。 “我在其中几个(其他实例)中发现了类似的问题,并且已经报告了这些漏洞。”Alevski说道。 转自 安全内参,原文链接:https://www.secrss.com/articles/49338 封面来源于网络,如有侵权请联系删除