HackerNews 编译，转载请注明出处： 三星与德克萨斯州就其智能电视涉嫌非法收集内容观看信息一事达成和解协议。 作为协议的一部分，该电视制造商将修订其隐私声明，向消费者清晰说明其数据收集和处理行为。 去年 12 月，德克萨斯州总检察长 Ken Paxton 对包括三星在内的多家电视制造商提起诉讼，指控其使用自动内容识别（ACR）技术，在未事先获得用户明确知情同意的情况下收集和处理观看数据。 今年 1 月，德克萨斯州获得了针对三星的短期临时限制令（TRO），要求其停止在该州非法收集消费者数据，法院确认其行为违反了《德克萨斯州欺骗性贸易行为法》（DTPA）。 尽管该命令于次日被撤销，但诉讼仍在进行。 针对三星的指控称，该公司利用 ACR 技术截取消费者电视屏幕截图，以识别其观看内容，并将这些信息用于定向广告。 法院在支持临时限制令时认定，有 “充分理由相信” 三星使用 “暗黑模式” 自动将用户纳入该系统，包括 “用户需要在四个及以上菜单中点击超过 200 次才能阅读隐私声明和披露信息”。 三星在向 BleepingComputer 发表的声明中表示，尽管其不认为观看信息服务（VIS）系统违反任何法规，但已同意 “进行改进，进一步强化隐私声明”。 三星电子美国公司发言人表示：“我们坚持原有电视隐私政策，相关声明符合德克萨斯州现行法规，作为值得信赖的品牌，三星很自豪能走在保护消费者隐私与安全的前沿。” “和解协议证实了三星自诉讼提起以来的立场 —— 三星电视不会监视消费者。事实上，三星允许用户掌控自身隐私，并可随时更改隐私设置。” 德克萨斯州总检察长 Ken Paxton 宣布：“根据协议，三星必须在未获得德克萨斯州消费者明确同意的情况下，停止所有 ACR 观看数据的收集与处理。” “此外，协议要求三星立即更新其智能电视，采用清晰醒目的声明与同意界面，确保德克萨斯州用户能够在知情情况下决定是否允许收集其数据及数据使用方式。” Paxton 对三星同意实施消费者保护措施表示赞赏，同时强调其他厂商尚未采取类似积极行动。 包括索尼、LG、海信、TCL 科技在内的智能电视制造商尚未针对诉讼做出任何整改。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  随着威胁行为者发起大规模的虚假在线零售商店攻击活动，2025年假日购物季面临着重大的网络安全威胁。这些欺诈性域名旨在冒充全球知名品牌，诱骗毫无戒心的消费者泄露敏感的财务信息或下载恶意软件。 该行动组织严密，利用自动化工具大量生产仿冒网站，高度模仿Zalando、Birkenstock和IKEA等合法零售商的观感。这一恶意活动利用了超过200个新注册的域名网络，这些域名主要通过中国基础设施提供商建立。犯罪分子利用”黑色星期五”、”双十一”等活动期间激增的在线购物流量，企图最大限度地扩大其影响范围。攻击途径包括在TikTok和Facebook等平台进行社交媒体推广，将用户引诱至这些虚假店铺。 一旦受害者访问这些网站，通常会看到仿冒的结账系统，用于窃取信用卡信息或将他们重定向至恶意载荷。 Bfore.ai的分析师于2025年11月发现了这一活动，并指出其依赖于隐私保护的WHOIS数据来隐藏攻击者身份。研究人员强调，该活动显示出”工业化”欺诈模式的迹象，不同活动集群可追溯到特定的托管服务提供商和自治系统。这种复杂的基础设施使攻击者能够在旧域名被检测和下线时，迅速转向并部署新域名。 对消费者的影响是严重的，除了直接的经济损失外，还可能涉及潜在的身份盗窃。该活动的规模表明，其背后是一个拥有资源以维持长期攻击的经济动机团伙。 欺骗性诱饵与规避技术 该活动采用多种欺骗性策略来规避检测并操纵用户信任。一种值得注意的方法是”议题导向”活动，即重新利用像”peaceforsecurity[.]com”这样的域名来销售时尚商品。此战术可能旨在通过使用与典型零售欺诈无关的关键词来绕过安全过滤器。 另一种技术通过混合品牌名称来制造混淆，例如一个推广无关护发产品的”lululemonsalehub”域名。这些不一致之处可以在利用品牌知名度的同时迷惑用户。此外，攻击者使用填充了无意义名称和”免运费”优惠的通用模板来营造合法性假象。 技术分析揭示了使用相同的JavaScript库和结账URL模式，例如： /collections/all /products/item123 最后，通过像”mango-flashsale[.]com”这样的域名制造季节性紧迫感，模仿合法的促销活动以促使用户仓促决策。 这些复杂的诱饵，加上共享的名称服务器和后端基础设施，展示了现代零售钓鱼活动不断演变的复杂性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）主席安德鲁·弗格森于8月21日（周四）警告科技公司，若为遵守欧盟及英国关于平台内容的规定而审查美国用户或削弱数据安全，可能面临FTC追责。这位由特朗普任命的FTC主席在致多家企业首席执行官的函件中，批评外国试图实施“审查”并破坏加密技术对用户数据的保护。 弗格森在信中指出，“为遵守外国法律而审查美国人”可能违反《联邦贸易委员会法》第5条——该法案禁止商业领域的不公平或欺骗行为。尽管该法律传统上用于起诉消防安全虚假宣传或借贷公司隐藏费用等行为，但弗格森强调：“美国消费者不会合理预期自己会因取悦外国政府而遭审查，此类行为可能构成欺骗。” 信中重申了保守派普遍存在的担忧：“美国人因表达硅谷少数精英不认同的观点而遭审查甚至驱逐出平台。”弗格森特别点名欧盟《数字服务法》和英国《在线安全法》，以及英国政府试图获取苹果iCloud加密数据的举动，认为这些要求可能导致企业违反第5条。 威斯敏斯特官员已准备就网络安全法与副总统JD·万斯交锋，尤其在万斯谴责欧洲国家试图监管言论自由之后。包括4chan、Gab和KiFi Farms在内的极端平台迄今公开拒绝遵守英国法规。英国互联网服务提供商（ISP）或将被要求封锁这些网站。Gab公司法律团队援引特朗普总统第14149号行政令驳斥英方要求，声明称：“美国政策确保任何政府机构不得协助审查美国公民，并将动用关税打击数字审查制度。” 本周早些时候，美国高级情报官员透露，英国政府已在万斯干预下放弃对苹果iCloud加密数据的争议性法律要求。弗格森在信中警告：“外国势力强加审查并削弱端到端加密的行为，将侵蚀美国人自由并使其面临外国政府监控、身份盗用及欺诈等风险。”他邀请各企业首席执行官会面，共同商讨“如何在全球监管压力下履行对美国消费者的隐私安全承诺及法律义务”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国法院裁定Meta因在第三方网站嵌入跟踪技术，须向一名德国Facebook用户支付5000欧元（约5900美元）赔偿金。莱比锡地区法院确认，Meta的跟踪像素和软件开发工具包在未经用户同意的情况下收集数据，违反欧盟《通用数据保护条例》（GDPR）。 判决核心要点 先例意义 法院明确用户无需证明实际损害即可提起诉讼，开创了集体诉讼新路径。莱比锡法院声明指出：“所有用户访问含Meta跟踪技术的网站或应用时，即使未登录账号，其个人身份仍可被Meta识别。” 违法实质 Meta通过分析用户数据建立画像并牟利的行为构成“大规模侵权”，其跟踪技术覆盖无数网站和应用程序，每年为Meta创造数十亿美元利润。 行业影响 数据合规咨询公司AesirX首席执行官Ronni Christiansen警告，此裁决对使用跟踪技术的企业具有“业务破坏潜力”——若德国数百万网站访客发起集体诉讼，按每人5000欧元计算，赔偿总额将达天量。 后续连锁反应 集体诉讼闸门开启：消费者权益组织可代表所有被Meta像素追踪的德国用户发起索赔。 跨境监管压力加剧：此前Meta已在欧洲因反垄断和数据问题多次受罚，包括2024年11月被罚7.98亿欧元（分类广告垄断）及2023年12亿欧元（数据跨境违规）。 科技公司合规成本激增：需重新评估用户跟踪机制合法性，尤其涉及GDPR的“知情同意”原则。 该判决与2025年5月德国科隆法院允许Meta使用公开数据训练AI的裁定形成鲜明对比，凸显欧洲在数据利用与隐私保护间的司法分歧。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文