本周二，欧洲刑警组织（Europol）宣布联合多国执法机构开展了 Operation Nova 活动，关闭了 Safe-Inet 在德国、荷兰、法国和美国境内的服务器，从而让网络犯罪分子更难掩盖他们的踪迹。据悉 Safe-Inet 是最受勒索软件和其他网络犯罪分子青睐的 VPN 服务，主要用于隐藏身份。 据欧洲刑警组织称，这项服务可以隐藏客户的 IP 地址，并在互联网上提供一定程度的匿名性。该服务已经在网络上活跃了十多年，它被犯罪分子用来进行勒索软件活动和从零售网站上窃取信用卡号码，以及其他攻击，如网络钓鱼活动和账户接管。         （消息及封面来源：cnBeta）

据外媒报道，美国根据金融犯罪执法局(FinCEN)拟议的新规，政府追踪比特币交易将可能会变得更加容易。虽然政府目前开放了15天的评论期，但加密货币交易所Coinbase和电子前沿基金会(EFF)对此表示不满，因为这段时间还包括了平安夜、圣诞节、新年前夜和元旦。 据了解，这个备受争议的私人钱包法规是在美国东部时间12月18日下午4点20分被提出。根据这项新规，如果交易者通过私人钱包进行的交易金额超过3000美元那么其必须证明其就是该钱包的所有者。如果想跟其他拥有私人钱包的人做生意那么则需要告诉交易所一些非常详细的个人信息。交易所随后会被要求存储所有这些记录并在要求时提供这些记录。此外，根据拟议的规例，如果交易者在一天内的交易总额超过10,000元，那么交易所亦须上报其个人资料。 这对于加密货币来说显然是一种天大的讽刺，这种货币诞生于一个由自由主义者、无政府主义者和乌托邦主义者组成的群体，它承诺将成为一种在不可信系统中进行绝对私密交易的方式。比特币–这个世界上最大的加密货币–在2008年金融危机之后出现并作为银行的替代品，但现在这些新规定将使得加密货币交易所的行为更像是银行。跟另一项关于国际交易的规则变化相一致，这可能意味着加密货币的疯狂时代已经结束–匿名交易将更难找到。 加密货币交易所可以很容易地从美元或其他货币转移到加密货币，反之亦然，这也意味着更多的人可以接触到加密货币。然而FinCEN现在的提议却让这些交易所和在其中运营的人工作量变多，同时还将削弱让加密货币闻名的匿名性。 EFF指出，这会带来一些具体的后果。首先，在私人钱包和由交易所服务托管的钱包之间的交易中匿名变得更加困难；其次，拟议中的立法还降低了拥有私人钱包的吸引力。不过第三个问题才是真正的麻烦：包括比特币在内的一些加密货币需公开记录所有交易。这意味着，如果交易者从交易所将比特币交易到自己的私人钱包中那么必须要发送一串关于该钱包的识别信息，然后美国政府可能会获得这些信息。EFF写道，这意味着“政府可能获得了超出规定范围的大量数据。” 因此，比特币–一种旨在确保匿名性的加密货币在这些规则下将完全被置于相反的境地。当然交易者可能可以通过某些方式绕过它们。 Coinbase首席法律顾问Paul Grewal于昨日在给FinCEN的回应中抱怨了对这一新规的评论时间–“FinCEN只给公众提供了15天的评论期，这还跨越了平安夜、圣诞节、新年前夜、新年且还处于全球大流行期间–这给评论只留了极少的实际工作日。” Coinbase认为相关部门应该提供60天的审查期–这是惯例。而美财政部之所以将审查期限缩短至15天是因为它认为重大的国家安全要务意味着必须加快行动。 无论是15天还是60天的期限，美财政部似乎在试图向任何可能成为密码朋克的人传递一个信息：你无法打败现有的金融世界–你能做的只有加入它。         （消息及封面来源：cnBeta；）

12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook安全政策负责人Nathaniel Gleicher告诉Axios，Facebook明年计划为那些想要采取额外措施保护自己账户的用户提供安全密钥的移动端支持。Facebook明年还将把Facebook Protect安全计划扩展到更多类型的账户。该计划将提供给记者、人权维护者和名人等弱势用户，也将提供给所在国即将举行重大选举的用户。 Facebook Protect包括额外的安全功能，比如双因素认证和对潜在黑客威胁的实时监控。到目前为止，它只在美国向政治家、政党官员、政府机构、选举工作人员以及任何拥有蓝色认证标志的Facebook页面、参与选举过程的人提供。安全密钥建议用于高知名度的账户，但将提供给任何想要安全密钥的Facebook账户持有人使用。 Facebook正在考虑向决策者等公众人物发送安全密钥。用户将能够从各种零售商那里亲自或在线购买密钥，然后将能够在Facebook上注册它们。但是。虽然硬件密钥是一种久经考验的安全控制手段 但它们也不是无懈可击的，它们可能会丢失或被盗。 正是因为这个原因，Gleicher建议拥有高知名度账户的用户同时使用Facebook Protect和安全密钥。Facebook认为其2016年最大的改进之一是，它阻止了不良行为者黑客入侵真实账户或创建假账户传播虚假信息。Facebook认为用户必须保护账户，因为每一个被泄露的资产除了给人们造成直接的伤害外，还可能成为不良行为者事后利用的工具，造成更大的伤害。 从数字上看。在2020年，Facebook估计，超过70%与美国大选密切相关的人开启了双因素认证。虽然Facebook提示许多用户，如州和选举官员、候选人和党派领导人注册该功能，但最终还是依靠与选举密切相关的工作人士选择加入该项目。除了这些安全保护措施，Facebook表示还将扩大对安全威胁的公开报告。Gleicher表示，公开披露不同的影响行动或黑客企图，有助于阻止和减缓不良行为者。         （消息及封面来源：cnBeta；）

去年，WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下，受害者或许无法意识到他们已被间谍软件给盯上。几个月后，WhatsApp 方面开始向后者提起诉讼，以披露幕后都有哪些黑手。被告方一再对这些指控提出异议，并且试图以遵从政府指令为由申请法律上的豁免，但未能说服美国法院在今年早些时候撤销该案件。 最新消息是，由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟，已经共同发声支持 WhatsApp，恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出，NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备，受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限，从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置，窃听消息、呼叫，以及照片、文件等私密内容。 通常情况下，攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下，NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前，该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在，由微软（及其子公司 LinkedIn 和 GitHub）代表的这一联盟，已经向法院方面施加了更大的压力。 其指出，间谍软件和相关工具的开发与交付不仅降低了普通人的安全感，也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示，NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼，帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时，NSO Group 方面尚未就此事作出回应。         （消息及封面来源：cnBeta；）

电子前沿基金会(EFF)周一发文称，从公民自由的角度来看，加密货币最重要的一个方面是它们可以为用户提供隐私保护。但EFF担心，美国政府越来越多地采取措施破坏加密货币交易的匿名性，并将传统银行系统的广泛金融监控导入加密货币。 上周五，美国财政部金融犯罪执法网络(FinCEN)宣布了一项拟议法规，该法规将要求货币服务企业（其中包括加密货币交易所等）收集使用自助加密货币钱包或国外交易所与其客户进行交易的人的身份数据。拟议的法规将要求他们保留这些数据，并在某些情况下（例如，当一天内的交易金额超过某个阈值时）将其交给政府。 该提案似乎旨在成为在本届总统任期结束前推动通过的午夜法规，因为其15天的评论期异常短暂，且恰逢假期。该法规的作者写道，需要这个短暂的评论期来应对这些技术对“美国国家利益的威胁”，但他们没有为这一说法提供事实依据。 虽然EFF仍在审查该提案，但有几个初步的担忧。首先，该法规将意味着在自己的钱包中存储加密货币的人（而不是使用专业服务）将实际上无法与在货币服务企业存储加密货币的人进行匿名交易。该法规很可能会扼杀使用自营钱包进行现金隐私交易的能力。 其次，对于一些加密货币，如比特币，交易数据–包括用户的比特币地址–会永久记录在公共区块链上。这意味着，如果知道与特定比特币地址相关联的用户的名字，就可以搜集人们使用该地址的所有比特币交易信息。因此，拟议的法规要求货币服务企业收集与钱包地址相关的识别信息，这意味着政府可能会获得大量的数据，而不仅仅是法规声称的覆盖范围。 第三，该法规可能会阻碍更广泛地采用自托管钱包和依赖它们的技术，或者至少使这些技术难以与交易所等中介机构整合。该法规使自托管钱包用户与拥有受该法规约束的服务提供的钱包的其他用户进行无缝互动的难度大大增加。根据拟议的规则，这些托管钱包服务将不得不收集在某些情况下与其客户进行交易的自助钱包用户的某些信息。这可能会使智能合约等某些自动交易变得复杂，或者在涉及分散式交易所的场景中难以实施。尽管名字很好听，但 “钱包 “并不仅仅是个人的货币存储：它们是个人和计算系统在不依赖机构的情况下持有和发放货币的一种方式。为这些类型的交易增加摩擦，破坏了该技术在让个人控制其财务方面的重要性。它还可能会扼杀创新者创建具有广泛合法用途的去中心化金融平台的能力。 第四，虽然拟议的规则旨在简单地将涉及现金交易的现有法规适用于加密货币，但它们忽视了这些数字金融工具的存在部分是为了提供与传统现金相同甚至可能更多的金融隐私和匿名性。在这方面，拟议的法规是美国政府将传统银行系统的金融监控扩展到加密货币的更大令人不安的趋势的一部分。这项提案是在司法部公布其加密货币执法框架两个月后提出的，该框架非常清楚地表明，司法部希望破坏加密货币用户匿名交易的能力。 框架指出，仅仅使用Zcash和Monero这样的隐私币就“表明可能的犯罪行为”。框架还表示，操作混乱的人使加密货币交易更难追踪，可能要承担洗钱的刑事责任。金融监管机构，就像美国国家安全局一样，显然怀疑任何试图保护自己金融隐私的人都在做一些非法的事情。 该框架还针对去中心化交易所。去中心化交易所通常是一种开源软件，允许人们在没有其他方参与的情况下直接相互交换加密货币。司法部表示，这些项目必须向FinCEN注册，并且必须 “收集和维护客户和交易数据”，否则将受到民事和刑事处罚。 今年其他令人关注的事态发展包括：第五巡回法院决定，执法部门不需要获得搜查令就可以从加密货币交易所获得金融交易数据，以及FinCEN提议将机构必须收集和存储交易数据的门槛从3000美元降至250美元（加密货币或法币），以履行 “Travel Rule “义务。 这些发展是对私人在线交易能力的攻击，并试图将传统银行系统的广泛金融监控扩展到加密货币。金融记录包含了人们个人生活、信仰和所属机构的敏感信息。尽管如此，法院和立法者还是允许对传统银行系统进行广泛的无证金融监控。的《银行保密法》要求银行保存财务记录，因为这些记录对调查很有用，1976年，最高法院（在U.S. v. Miller案中）允许政府在没有搜查令的情况下获取银行客户的数据。EFF对美国政府试图将这种监控扩大到包括加密货币交易感到担忧。 加密货币之所以重要，还因为它能抵御审查。许多传统的金融中介机构进行了任意的金融审查，切断了成年人社交网络、成年人书商和有争议的网站对金融机构的访问，即使这些服务没有违反法律。 美国监管机构最近的行动，包括这次新的规则制定建议，有可能破坏点对点技术提供的隐私和公民自由保护。该规则制定要求公众在2021年1月4日前提出意见。EFF希望公民自由团体和希望保护其金融隐私的个人能够提交反对这一规则提案的意见，尽管事实上，部分原因是这一突然的截止日期。       （消息来源：cnBeta；封面来源于网络）

据报道，爱尔兰数据保护委员会（DPC）今日对Twitter处以45万欧元（约合54.7万美元）的罚款，原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》（GDPR）的规定，及时公布并妥善记录一起数据泄露事件。 分析人士称，这一罚款决定备受关注，因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构，目前正在调查20多起案件，涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月，调查发现，Twitter违反了GDPR第33（1）条和第33（5）条之规定，没有及时向DPC通知违规行为，也没有充分记录违规行为。为此，DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布，正在对Twitter的数据泄露事件发起调查。在此之前，DPC接到Twitter的通知，称发生了数据泄露事件。 GDPR规定，大多数违反个人数据的行为，必须在管制员察觉到违规行为后72小时内，通知给有关监管机构。此外，该规定还要求服务提供商记录涉及哪些数据，以及他们是如何应对安全事件的，以便相关数据主管可以检查其合规性。 而对于本事件，Twitter同时违反了上述两条规定。根据GDPR规定，违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚，具体以数额更高者为准。 值得一提的是，受DPC调查的影响，Twitter也从中吸取了教训。今年7月，在遭遇公司历史上最严重的安全破坏事件数日后，Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定，也正值一个关键期，即欧盟稍晚些时候将推出两部新的法规，《数字服务法案》（Digital Services Act）和《数字市场法案》（Digital Markets Act），以急速区域数字化。 上周，法国数据保护机构“国家信息与自由委员会”（CNIL）曾宣布，对谷歌处以1亿欧元（约合1.21亿美元）的罚款，原因是其搜索引擎对Cookie的管理方式不当。此外，CNI还对亚马逊处以3500万欧元的罚款，原因是未经用户同意在他们的电脑上放置了Cookie。         （消息及封面来源：新浪科技）

据报道，本周早些时候苹果更新App Store，里面开始显示App收集的用户数据类型。其中，Facebook收集的信息格外引人关注。App Store标签显示Facebook收集多种用户数据，光是标签长度就有好几页。在过去5年里，苹果与Facebook的冲突越来越严重，因为它们有着不同的业务模式。 苹果是一家硬件公司，靠销售硬件赚钱。最近几年苹果越来越重视隐私，这使得一些公司收集用户数据越来越困难，重视隐私也成为了苹果产品的一大竞争优势。 Facebook不一样，它靠广告赚钱，只有获得用户信息才能帮广告主发送定向广告。Facebook指责苹果大打隐私牌实际是为了追求利润。Facebook还解释称，它的App和网站都有隐私设置，用户可以自己设定隐私选项。 上周，Facebook子公司WhatApp也指责苹果，说隐私标签不利于竞争，因为一些苹果应用预装到iPhone，它们在程序店没有隐私清单或者隐私标签。 到底隐私标签里面有什么信息呢？在App下载页面可以看到App收集的数据，主要分两类，一类是“用来追踪你的数据”，另一类是“与你有关的数据”。 看看Facebook收集的数据，它会用通讯录信息、标识符及其它信息追踪用户，或者帮助其它App、网站发送定向广告；另外它还会收集许多与用户身份有关的信息，比如健康健身信息、采购信息、地理位置信息、联系人信息。 如果点击并查看详细信息，那就更是触目惊心了。页面显示，Facebook会用金融信息、用户内容发送定向广告，并为Facebook自己的分析服务收集敏感信息。 Facebook隐私标签之所以给人留下深刻记忆，可能最重要的还是它的长度，在手机上居然要几屏才能显示完。由此可见，Facebook收集的信息真的很多。         （消息来源：cnBeta；封面来自网络）

针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击，微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前，微软尚未在相关调查中发现自家产品或云服务有漏洞被利用，但该公司还是在一篇博客文章中发出了提醒，希望客户能够采取切实有效重要步骤，以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节，比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞，后续黑客可能以此为跳板，在网络中获得更高的权限。 其次，攻击者或利用本地窃取的管理员权限，获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌，假扮组织内任何现有用户的账户，甚至染指特权较高的账户。 为应对此类异常登录，建议客户在网络系统上进行适当的安全配置，以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书，组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后，攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中，从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题，微软将在完整版的 2020 数字防御报告中进行阐述。       （消息及封面来源：cnBeta）

根据 Bugcrowd 公布的 2020 年最新报告，越来越多的企业选择部署众包网络安全计划，以便于及时应对不断变化的网络威胁。在过去 12 个月里面，Bugcrowd 发现在其平台上的提交量增加了 50%，其中 Priority One (P1，指最关键的安全漏洞) 提交量增加了 65%。 和 2019 年全年相比，前 10 个月的漏洞提交量增长了 24%。在整个行业中，计算机软件公司支付的提交费用几乎是其他行业的五倍。最值得注意的是，软件行业的 P1 提交量在2020年几乎增加了两倍。 Bugcrowd 的首席执行官 Ashish Gupta 表示：“我们的 Priority One 报告结果清晰地表明，所有行业的领先组织都在接受众包安全作为其安全战略的核心要素。对比过去两年的数据，我们发现，由于快速的数字化转型和COVID-19大流行造成的威胁增加，众包网络安全正在快速增长。漏洞提交量上升，其中关键漏洞数量较多，总赔付额每季度以15%-20%左右的速度稳步增长”。 在2020年提交的前10个漏洞中，有8个–由Bugcrowd的漏洞评级分类法（VRT）评定，这是一个广泛使用的开源标准，为每个通过Bugcrowd平台提交的漏洞提供基准风险评级–也出现在2019年的榜单上。这表明，管理已知的风险对大多数企业来说仍然是一个挑战。       （消息及封面来源：cnBeta）