据英国广播公司(BBC)报道，荷兰检察官发现，一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020！”，成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers，因他的行为是“道德”的。 Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时，白宫否认特朗普的Twitter账号被黑客攻击，而Twitter也表示没有证据。 在提到最新进展时，Twitter表示：“我们没有看到任何证据来证实这一说法，包括从今天荷兰发表的文章中。我们主动对美国指定的一批高知名度、与选举相关的Twitter账号实施了账号安全措施，其中包括联邦政府部门。” 白宫没有回应进一步评论的请求。 Gevers则表示，他对这个结果非常满意。他说：“这不仅仅是关于我的工作，而是关于所有寻找互联网漏洞的志愿者。”这位受人尊敬的网络安全研究人员说，他在10月16日对美国大选高知名度候选人的Twitter账号进行了安全测试，当时他猜中了特朗普总统的密码。 荷兰警方表示：“黑客自己发布了登录名。他后来向警方表示，他调查了密码的强度，因为如果这个Twitter账号能在总统大选前这么短的时间内被接管，涉及到重大利益。”他们补充说，他们已将调查结果发给美国当局。 Gevers曾告诉官员，他拥有实质上更多的“入侵”证据。理论上，他本来可以看到总统的所有数据，包括： 私人照片和信息 私人收藏的推文 他屏蔽了多少人 这位拥有8900万粉丝的总统账户现在是安全的。但Twitter拒绝回答BBC新闻的直接问题，包括该账户是否有额外的安全或日志，会显示未知的登录。 今年早些时候，Gevers还声称，他和其他安全研究人员在2016年使用一个密码–“yourefired”–登录了特朗普的Twitter账户，该密码在之前的数据泄露事件中与他的另一个社交网络账户相连。       （消息及封面来源：cnBeta）

援引外媒 ZDNet 报道在对 SolarWinds 黑客事件深度调查中 ，微软通过和一家科技联盟合作查封并沉洞了在本次事件中扮演核心角色的域名。该域名是avsvmcloud[.]com，作为恶意软件的命令和控制(C&C)服务器，通过该公司的 Orion 应用程序的木马化更新交付给约 18000 名 SolarWinds 客户。 在 2020 年 3-6 月期间，SolarWinds Orion 更新了 2019.4 到 202.2.1 版本，其中均包含名为 SUNBURST（也称为Solorigate）的恶意软件。一旦安装在计算机上，该恶意软件会休眠 12-14 天，然后ping avsvmcloud[.]com 的一个子域。 根据安全公司FireEye的分析，C&C域名会回复一个包含CNAME字段的DNS响应，其中包含另一个域名的信息，SUNBURST恶意软件会从那里获得进一步的指令和额外的有效载荷，以便在受感染公司的网络上执行。 今天早些时候，一个科技公司联盟查封并下架了avsvmcloud[.]com，将该域名转入微软所有。熟悉今天行动的消息人士将此次查封描述为 “保护性工作”，目的是防止 SolarWinds 黑客背后的威胁行为者向受感染的计算机交付新的订单。       （消息及封面来源：cnBeta）

据外媒Axios了解，美国联邦贸易委员会(FTC)将于当地时间周一宣布，将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。 此举正值该行业受到更广泛的审查之际，它似乎是一项广泛的调查，目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。 FTC要求从上述平台获取大量信息和文件，另外Discord、Reddit和Snap也都在调查范围内。 据悉，该机构需要这些平台收集的用户使用和参与数据以及它们用来衡量这些事情的指标、短期和长期的商业策略和其他许多领域的调查。 据了解，FTC启动这项研究则是在利用其职权展开广泛的研究，并没有具体的执法目的。 根据Axios看到的一份新闻稿，在这项研究中，该委员会特别想要调查技术的隐私和数据实践如何影响儿童和青少年。共和党委员Christine Wilson早在去年秋天就已经推动了这样一项研究。 该机构的五名委员以4比1的投票结果通过了这项调查，共和党委员Noah Phillips表示反对，其称这一调查的范围太大。         （消息及封面来源：cnBeta）

与iOS 14.3同时发布的iOS 12.5更新为老款iPhone机型带来了冠状病毒暴露通知系统。此外，它还提供了安全补丁，修复了上一次更新中已知的漏洞。苹果上一次更新iOS 12是在11月发布的iOS 12.4.9。随着周一的最新更新，该公司正在扩大可添加到区域暴露通知网络的设备数量。 暴露通知系统由苹果和谷歌开发，如果用户接触过COVID-19检测呈阳性的人，就会向用户发出警报。它依靠匿名的短程蓝牙识别器，并不收集任何位置数据或个人身份信息。该系统完全是可选加入，必须由用户激活。当地的卫生部门也必须支持该系统才可以运作，因此用户应该检查自己所在的州或地区是否具备相关的通知功能。 虽然iOS 14更新支持所有与iOS 13相同的设备，但它仍然遗漏了iPhone 5s、iPhone 6和iPhone 6 Plus以及第六代iPod touch等老机型，这些机型接下来也可能不会再收到功能方面的更新了。 iOS 12.5现在应该可以在兼容设备上作为OTA更新被找到。用户可以通过前往设置>通用>软件更新开始升级。         （消息来源：cnBeta；封面来自网络）

援引路透社报道，黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应，微软今天发布了 IT 管理员指南，帮助他们寻找和缓解潜在的恶意活动。 不过，微软否认云服务遭到入侵。在声明中表示：“我们还想要向所有客户澄清，在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动，并警告安全人员注意以下迹象： ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点，攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来，他们就可以伪造SAML令牌，以模拟组织的任何现有用户和帐户，包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录，由于已对其进行了配置，因此可以将其用于任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）信任证书。由于SAML令牌是使用其自己的受信任证书签名的，因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户，攻击者可以将自己的凭据添加到现有的应用程序服务主体，从而使他们能够使用分配给该应用程序的权限来调用API。     （消息及封面来源：cnBeta）

美国国会两党提出了一项法案，该法案将取消对 “从事某些操纵行为”的公司的第230条法律保护，但实际上，将剥夺美国几乎所有与用户互动的互联网场所的保护。《通信正派法》第230条规定，网络平台可以为他人在其网站上发布的内容免于承担责任。这些保护措施让早期的平台得以蓬勃发展，但却受到了立法者和监管机构的关注。 众议员Tulsi Gabbard(D-HI)和众议员Paul Gosar(R-AZ)周三提出的《2020拆分科技巨头法案》(Break Up Big Tech Act of 2020)旨在剥夺公司的这一保护伞，一旦法律实施，如果他们采取所谓的行动如 “充当出版商和审查某些用户”，就会受到监管。 Gabbard议员和Gosar议员都将该法案定位为阻止所谓的审查用户和意见的方式。法案中也有一些内容是为了遏制定向广告和用户数据的商品化。”这项法案取消了服务提供商利用法律豁免权行事而不受惩罚的情况，同时为那些提供真正中立的社交媒体平台或搜索引擎而不使用操纵算法的人保留第230条保护。”Gabbard说。 更具体地说，该立法将取消对从事以下活动的网络公司的第230条保护： 在未经用户同意的情况下出售和显示目标广告。 为 “直接销售交互式计算机服务以外的商业目的”收集数据。 “通过’将物品放入商业信息流’而实现实际上的平台地位。 采用数字产品，目的是让用户”参与并沉迷于”该服务。 作为出版商，使用算法在没有用户选择的情况下对内容进行控制或审查。 该提案的范围足够广泛，因此限制适用于任何承载广告的场所–即使是来自谷歌线上广告市场的交易，也不是直接委托的–同时也有评论区或其他方式让用户对该场所发布的内容做出反应，或由其他用户分享。 近年来，第230条已经成为政治目标。例如，共和党人认为社交媒体公司在审查保守观点，而民主党人则认为当社交媒体公司扩散错误信息或误导性内容时，第230条就会对其进行保护。在实际操作中，随着230条款改革的提出，各场所将进行更多的节制，以保证它们仍然属于该法规的法律保护范围。 早在10月，联邦通信委员会主席Ajit Pai就表示，联邦通信委员会有能力解释法律，并表示计划这样做。9月，司法部概述了将改变某些230条款保护的立法。 唐纳德·特朗普总统在2020年早些时候签署了一项行政命令，因为Twitter将他的一条推文标记为误导性。在竞选活动中，当选总统乔·拜登也表示，他支持撤销该法律。 Facebook的马克-扎克伯格（Mark Zuckerberg）、谷歌的桑达尔-皮查伊（Sundar Pichai）和Twitter的杰克-多西（Jack Dorsey）都在2020年早些时候在国会作证，为第230条和其带来的审查制度的指控辩护。对保护措施的批评也浮现在本应在7月举行的反垄断听证会上。           （消息及封面来源：cnBeta）

2018年5月，欧盟《通用数据保护条例》（GDPR）正式生效。此后，法国对Google开出了高达5千万欧元的罚单，认为其服务条款不够透明，违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单，认为使用人脸识别记录出勤违背了“必要性原则”。 据统计，截至2020年1月，欧盟各国数据监管机构接到的违规举报超过16万件，而各国开出的罚单总金额达1.14亿欧元。 GDPR被誉为“史上最严格数据保护法”，也影响了其后多国的数据立法，包括中国刚刚出台的《个人信息保护法（草案）》。但面对更为敏感的生物识别数据，比如人脸数据，GDPR仍存在局限性。比如，它未能覆盖“数据生命全周期”，原始数据采集过程中的风险性就被大大低估了。 本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物识别技术监管：全球举措及关键问题）的第四章。为便于理解，我们对原文进行了必要的补充和修改。 2004年，欧盟颁布了一项法律，要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时，欧盟建立了一个大型数据库，涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。 不久，生物识别的应用在公共部门和私人企业得到了进一步扩张，用于控制人流、公司的电子门禁，以及校园监控。技术的优越性得到了欧洲委员会的承认，但后者提醒，生物识别数据应被视为“敏感”信息，它包含个人的健康状况、种族等敏感信息，能识别人的身份，能轻易与其他信息扣连，且不可更改。 面对上述风险，法律层面的监管一度“缺位”，无论是一般意义上的数据保护法，还是大多数国家的立法，都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时，法律相对滞后。 为弥补其间差距，一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如，强调数据的敏感性、数据库维护的风险性，以及 “功能潜变”（编者注：function creep，即出于某一特定目的采集的数据被用于其他目的）的可能性，还包括使用目的和手段之间是否相称（编者注：proportionality，相称性原则，即需考察为达成某一目的，是否有必要采用生物识别技术）。然而，这些法案在实际操作时留下了诸多不确定空间。 2016年，欧盟推出了《通用数据保护条例》(General Data Protection Regulation，下文简称GDPR)，适用于各成员国，涵盖了生物识别数据在公共和私人领域的应用。此外，欧盟还通过了《数据保护执法指令》（Data Protection Law Enforcement Directive，下文简称DP LED），专门针对执法部门，当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时，需遵守该指令。 DLA Piper律师事务所统计了2018年5月至2020年1月期间，各国数据监管机构依据GDPR所做出的判罚，其中，荷兰、德国、英国位列数据泄露案件数的前三位。图片来源：DLA Piper统计报告。 欧盟如何监管生物识别数据？ GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据，这些个人数据可用于确认该自然人的独特身份，如面部图像或皮肤（指纹）数据。” 值得注意的是，对“特定技术处理”（specific technical processing）的强调排除了那些存储和保留在数据库中的“原始”数据，如视频监控拍到的人脸或录音，以及用户发布在网站、社交媒体上的原始信息。 此外，GDPR提及，“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据，除非它经过特殊技术处理，可以识别出个人。 虽然GDPR规定，禁止“以唯一识别为目的进行生物特征数据处理”，但这项禁令仍存在许多例外。比如数据“明显公开”，或“出于重大公共利益的目的”。这些“例外情况”大量存在，模糊不清，实际上，GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架，GDPR也提及，各个成员国可以引入进一步的法规或禁令。 而DP LED则对执法机关使用生物识别数据提出了限制，只有在以下三种情况下执法机关可以使用生物识别数据：获得了法律授权、保护关键利益，或处理已被数据主体公开的数据。 当新技术的应用“可能导致高风险”时，或大规模处理特定类型的个人数据时， GDPR和DP LED要求启动“数据保护影响评估”（Data Protection Impact Assessments， DPIA）。此外，当公共部门系统性监控某个可公开进入的区域时，同样需要启用这种评估。 “数据保护影响评估”是一个综合性评估，包括数据处理的风险性、必要性，以及目的与手段是否相符。某些情况下，当私人机构或公共部门想要使用生物识别技术时，他们需要事先向当地或本国的数据监管部门咨询，获得许可。 英国信息委员会办公室（Information Commission Office）列出的“数据保护影响评估”的基本步骤，其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示，该评估应先于技术的应用。图片来源：ICO官网 此外，生物识别数据的处理和技术应用需尊重公民的基本人权和自由，当隐私权或个人数据保护权受到侵害时，与人权相关的法律框架也会被启用。 以下各节概述从这些监管尝试中获得的主要经验教训，讨论了它们的有效性，并重点介绍了未来监管应吸取的经验。 模糊的定义：原始数据在采集阶段的风险性被大大低估 GDPR和DP LED中，生物识别数据被定义为“经过特定技术处理”的数据，（编者注：由于过多强调数据的处理环节）。在采集和存储环节，除了获得用户同意、满足必要性等原则之外，相较于其他一般意义上的个人数据，生物识别数据并不享有更高级别的保护。 正因如此，生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注：即尚不符合GDPR对生物识别数据的定义），而无法被保护。这一点尤为关键，特别在执法部门使用时，透明度受限，数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型图像数据库，这些数据以后可能用于执法目的。 2020年，Clearview AI公司引发了巨大争议，通过一张人脸信息就可以识别出其身份和电子足迹，这也让更多人意识到现有法律框架的局限。图片来源：Clearview AI官网。 这也与欧洲人权法院的判例法相违背，后者一再强调，从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前，英国人Gaughran就将英国政府告上欧洲人权法庭，（编者注：2008年Gaughran因酒驾被捕，在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁，但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭，要求警方销毁个人数据或退还给自己。）欧洲人权法院将人脸识别和面部特征比对等技术考虑在内，最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。” 更恰当的定义应能为人类特征数据提供法律保护，这些数据可用于身份识别目的，或可供自动化识别过程， 法规还应对数据的存储提出限制 。我们尝试提出另一种生物识别数据的定义：所有满足以下条件的个人数据：(a)直接或间接与人类独特的生物或行为特征有关的数据；(b)可使用或可通过自动化手段使用的数据；(c)可用于身份识别、身份验证或验证自然人主张的数据。” 生物识别“禁令”的模糊性 现有的法律未能对不同的生物识别系统进行区分，也未能对不同的数据处理方式设置针对性规范。例如，虽然GDPR的第9.1条列出了一些禁止使用和处理的规定，但它并没有区分“一对一” 的“验证”（编者注：1：1，比如通过电子门禁时，确认进入者身份）和“一对多”的“识别”。 目前，欧洲委员会和许多国家的数据监管部门表示，验证比识别的风险性小，因为验证不需要数据库。 一对多的身份识别存在额外的风险，包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配（这引起了人们对准确性和误报的担忧），以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能，这也造成了技术开发者的顾虑，对于希望投资生物识别验证技术和隐私增强方法的公司来说，这些操作存在法律上的不确定性。 恰当的监管应该更积极地区分不同处理方式的风险性差异，禁止那些构成真正风险的技术，鼓励那些有可能提供真正隐私和安全保护的功能。 什么是“例外情况”？ 最后，法律中含糊的“例外情况”也存在漏洞，为一些高风险的技术使用方式打开了大门。 GDPR对“例外”的定义极为宽泛，允许基于“重大公共利益”进行生物识别数据处理（编者注：由于未对“重大公共利益”进行具体界定，它会成为一个宽泛的“筐”）。 由于对“例外”情况的界定笼统宽泛，目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据（例如，在大型体育场活动中）。GDPR和DP LED无法回答这些问题的，还需要制定更针对性的法律。         （消息来源：cnBeta；封面来自网络）

据英国卫报报道，黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构，价值1万美元。捐款后，Darkside在暗网公布了得到捐款的这两家慈善机构的收据。根据法律，慈善机构不得保留犯罪收益捐款，但因捐赠加密算法导致捐款无法退回，机构因此陷入尴尬境地。 Children International表示:“如果这笔捐款跟黑客有关，我们将无意保留。” 但Darkside发出警告称:这笔钱是通过加密算法mixer发送的，模糊了比特币的真正发送者和接收者，故无法退回。 资料显示，网络犯罪组织Darkside主要开发勒索软件，通过给电脑加密，借此向大公司勒索牟利。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，勒索只针对盈利的大公司进行，如果要求得不到满足，他们就会在网上泄露大公司的数据。             （消息来源：cnBeta；封面来自网络）

外媒报道称，欧洲药品管理局（EMA）刚刚经历了一次网络攻击事件，黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称，攻击者“非法获取”了该公司及其合作伙伴（辉瑞）提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局（EMA）在官方声明中证实了本次攻击，目前相关调查仍在进行中，因此不方便披露更多细节。庆幸的是，EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道，该公司的服务器并未受到本次攻击事件的影响，目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份，但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时，英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗，预计可在 12 月底覆盖 400 万人。           （消息及封面来源：cnBeta）

Chrome 漏洞奖励计划（VRP）自 2010 年启动以来，得到了很多安全研究人员的踊跃参与，通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目，谷歌也修复了大量漏洞，从而让软件变得更加安全。现在，谷歌宣布进一步扩大奖励计划，并为 V8 JavaScript 引擎中的漏洞提供两倍的赏金。 此前，谷歌只是对那些在 V8 中具备完整功能报告的安全专家提供奖励。而现在，谷歌还会对那些耗时提出如何利用安全漏洞的研究人员提供奖励，这些悬赏的赏金已经增加了一倍。谷歌表示，提供可供利用证据的安全专家能够帮助公司修复错误和缓解漏洞，因此应给予相应的奖励。它还强调，即使V8安全错误不属于上述类别，它仍可能有资格获得更高的奖励。         （消息来源：cnBeta；封面来自网络）