分类: 安全快讯

不仅删数据,还删 AI 算法模型!美国 FTC 公布“特殊”隐私处罚案例

近日,美国联邦贸易委员会(Federal Trade Commission,FTC)公布了一项特殊的处罚决定:勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片,以及利用这些数据训练出的所有算法。 “通过面部识别,公司可以将亲友的照片转换为敏感的生物识别数据,”FTC消费者保护局局长安德鲁史密斯说,“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。” Everalbum提供了一个名为“Ever”的应用程序,允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频,以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称,2017年2月,Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能,该功能使用面部识别技术将出现在照片中的人的面孔分组,并允许用户按姓名“标记”人。据称,Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。 Everalbum表示,在2018年7月至2019年4月期间,除非用户确定选择激活该功能,否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始,该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能,但它在2019年4月之后对所有其他用户自动激活,并且无法关闭。 FTC诉称,Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间,Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合,创建了四个数据集,用于开发其面部识别技术。起诉书称,Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能,并开发面部识别服务出售给其企业客户;但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。 根据起诉书,Everalbum还向用户承诺,将删除停用其帐户的Ever用户的照片和视频。然而,FTC声称,至少在2019年10月之前,Everalbum还未删除任何已停用帐户的照片或视频,而是无限期保留它们。 拟议的和解要求Everalbum删除: Ever应用程序停用帐户的照片和视频; 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据,都是来自未明确同意使用的Ever用户的照片; 使用Ever用户的照片或视频开发的任何面部识别模型或算法。 此外,拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式,包括使用面部识别技术创建的人脸嵌入,以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议,如果该公司向消费者销售供个人使用的软件,在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前,必须获得用户的明确同意。 委员会以5比0的投票结果发布了拟议的行政投诉,并接受了与公司达成的同意协议。 转自 安全内参,原文链接:https://www.secrss.com/articles/49617 封面来源于网络,如有侵权请联系删除

安装量达 1500 万,这款诈骗软件专门针对发展中国家

Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。 为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。 在网络安全公司Lookout的一份新报告中,研究人员发现了251个安卓35个iOS的借贷应用,这些应用的下载量合计达1500万次,主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。 Lookout向谷歌和苹果报告了所有这些应用的情况,并成功地将它们全部删除。 欺诈性贷款应用程序 这些贷款应用程序在发展中国家取得了巨大的收益,因为这些国家的金融机制问题,欺诈行为的报告不太可能被起诉。 在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。 一旦授予权限,应用程序立即开始从设备中上传敏感数据到他们自己的服务器。 如果用户不批准这些权限请求,应用程序将不允许他们提交贷款请求。 在第一次启动时,被要求授予权限,并且要求用户填写KYC(了解你的客户)表格,要求提供身份证的信息,等等。 接下来,这些应用程序向用户提供欺骗性或虚假的贷款条款,促使他们贷款。 当受害者收到部分贷款时,利率条款会发生变化,或者出现之前的隐藏费用,有时会达到总借款额的三分之一。 一些用户还报告说,这些应用程序将还款期从承诺的180天减少到只有8天,在逾期时征收高额利息和罚款。 由于大多数人无法接受,没有能力或不愿意偿还贷款。应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰,从通讯录中联系他们的家人和朋友并透露债务情况。 甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人,对贷款人造成极大的困扰。 苹果和谷歌进行了干预 苹果和谷歌允许小额贷款应用程序在其应用程序商店中使用,但有严格的政策来规范其运作。 准则规定,最短的还款期应该是60天,最高的年收费百分比应该是36%。 上述应用程序声称条款符合这些准则,但在实际应用中,并不像他们所说的这样,所以应用程序商店因违反条款而将其删除。 当然,还需要进行更多的检查,以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时用户在下载时也应该保持警惕,防止不合规的条款盗取我们的信息。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351277.html 封面来源于网络,如有侵权请联系删除

研究人员发现了恶意 NPM 库规避漏洞检测的方法

Hackernews 编译,转载请注明出处: 网络安全公司JFrog的新发现表明,针对npm生态系统的恶意软件可以利用npm命令行接口(CLI)工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能,可以检查软件包及其所有依赖项是否存在已知漏洞,通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样,当软件包遵循特定的版本格式时,不会显示安全建议,这会造成严重缺陷,可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说,只有当安装的软件包版本包含连字符(例如,1.2.3-a)时,问题才会出现,其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能,但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说:“黑客可能会利用这种行为,故意在他们看起来无辜的软件包中植入易受攻击或恶意代码,这些代码将被其他开发人员包括在内,因为它们有价值的功能,或由于感染技术的错误,如拼写错误或依赖关系混淆 。” 换句话说,对手可以发布一个预发版本格式看似无害的软件包,然后可能会被其他开发人员接收,尽管有相反的证据,但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的,以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁,建议开发人员避免安装带有预发布版本的npm包,除非已知源代码完全可靠。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

一年多才解决!索尼、Lexar 的加密设备供应商泄露敏感数据

当用户购买 Sony、Lexar 或 Sandisk USB 密钥或其它任何存储设备时,都会附带一个加密解决方案,以确保数据安全。 据悉,该方案由第三方供应商 ENC Security 开发,然而 近日Cybernews 研究小组披露,该公司在一年多时间里一直在泄露其配置和证书文件。 随着事件发酵,ENC Security 迅速做出回复,声称泄露事件原因是第三方供应商的错误配置,在收到通知后已立刻修复漏洞。 ENC Security 是一家位于荷兰的公司,在全球拥有 1200 万用户,通过其流行 DataVault 加密软件提供“军用级数据保护”解决方案。 Cybernews 发现安全问题 从 Cybernews 披露的内容来看, 泄漏服务器内的数据主要包括销售渠道的简单邮件传输协议(SMTP)凭证、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息验证码以及以 .pem 格式存储的公共和私人密钥。 2021 年 5 月 27 日到 2022 年 11 月 9日 ,一年多的时间里,任何人都可以公开访问这些数据,直到 Cybernews 向 ENC Security 披露该漏洞后,该服务器才被关闭。 安全研究人员 Vareikis 表示,数据暴露长达一年多时间,潜在网络攻击者可利用上述数据进行从网络钓鱼、勒索软件等各种形势的网络攻击。 举个简单的例子,攻击者可能通过销售沟通渠道向客户发送假发票或通过可信的电子邮件地址传播恶意软件来欺骗客户。 此外,由于 Mailchimp API 密钥允许攻击者发送大规模营销活动并查看、收集线索,对攻击者来说无疑具有更大价值。不仅如此,勒索软件运营商也能够利用 .pem 文件里面的密钥开展未经授权的访问,甚至是服务器被接管。Vareikis 一再强调,泄漏一年多的数据对威胁者来说不亚于一个“金矿”。 ENC Security 公司回应 在收到并仔细分析 Cybernews 研究小组报告后,ENC Security 迅速采取措施,解决安全问题。ENC Security 发言人表示,公司始终认真对待数据的安全和保护,每一个安全问题都会被彻底研究并采取适当的措施进行补救,必要时也会通知客户进一步加强安全。 ENC Security 也曾出现其它安全事件 Cybernews 研究小组的发现与 2021 年 12 月研究人员 Sylvain Pelissier 的发现一样令人担忧。 去年,Pelissier 演示了在 ENC Security  DataVault 加密软件中发现的几个漏洞,这些漏洞可能允许攻击者在未经检测的情况下,获取用户密码并修改 vault 中的文件。不止于此,DataVaul 软件还使用了“计算工作量不足的密码哈希”,这可能会让攻击者暴力破解用户密码。 当时,ENC Security 承认 DataVault 软件 6 和 7.1 及其衍生版本易受攻击,不久后通过发布升级解决了漏洞。 Vareikis 告诫用户,一些“超级”安全公司喜欢使用类似“军用级”加密等词汇,过度夸大产品能力,进行虚假宣传,对于这种宣传,用户应当始终持怀疑态度。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351241.html 封面来源于网络,如有侵权请联系删除

应对挑战!元宇宙可能成为 2023 年网络攻击的主要途径

随着成熟和新兴的面向消费者的恶意网络攻击增加,企业安全团队在 2023 年需要应对的许多挑战。 卡巴斯基的研究人员着眼于2023年网络攻击格局可能发生的演变,预计攻击者将扩大使用他们当前的许多策略,同时通过社交媒体、流媒体服务和在线游戏平台探索新的攻击路径。 对于企业管理员来说,品牌扩展到元宇宙世界(互联网上普遍和身临其境的虚拟世界)可能会使他们受到攻击。在远程工作和自带设备 (BYOD) 时代,任何消费者威胁都可能是企业威胁,因此 IT 安全团队最好紧跟互联网趋势提前做好预案。 网络攻击将增加 有安全厂商预计,网络犯罪分子将继续利用消费者对在线流媒体服务兴趣大增的机会,分发恶意软件、窃取数据和执行其他恶意活动。 许多攻击的目标是寻找下载合法流媒体应用程序或某一集节目的替代来源的人。卡巴斯基表示,期待看到网络犯罪分子利用广受期待的标题和流媒体服务提供商的名称,如Netflix、Hulu和Amazon Prime Video作为诱饵,让用户下载恶意软件或将他们引向钓鱼网站。 消费者还将面临更多的游戏订阅欺诈和涉及在线货币和人工制品的诈骗。攻击者将主要针对那些使用货币并允许出售游戏内物品和加速器的游戏,因为它们给攻击者提供了从其他非法活动中获得的资金的途径。 在今年早些时候的一份报告中,Equifax旗下的欺诈保护服务机构Kount也指出,在线货币为对手洗钱和进行支付卡欺诈提供了大量的机会。”例如,欺诈者为一个在线多人游戏创建一个免费账户,然后用偷来的信用卡将游戏中的货币和皮肤填满账户,”Kount研究人员指出,”一旦账户被填满,欺诈者就在交易网站上出售,”价格在几百到几千美元之间。 卡巴斯基预计,攻击者还将试图利用流行游戏机供应的持续短缺,通过虚假的预售优惠,以及声称销售游戏官方商店的欺诈性赠品和折扣。 新的攻击途径 卡巴斯基表示,与此同时,元空间、在线教育平台和某些类别的健康相关应用程序都将成为2023年的新攻击途径。 卡巴斯基预测说,隐私将成为元空间的一个主要问题。”卡巴斯基说:”由于元空间的体验是普遍的,不遵守地区性的数据保护法,如GDPR,这可能会在有关数据泄露通知的法规要求之间产生复杂的冲突。 其他人也对在完全沉浸式环境中通过VR头盔及其收集的摄像头、麦克风和运动追踪器收集的个人信息数量增加表示担忧。许多人预计,这些数据将揭示很多关于用户的位置、外观和其他私人信息,同时也使攻击者能够进行更复杂的网络钓鱼和社会工程诈骗。 卡巴斯基说:”尽管技术公司努力在元空间中建立保护机制,但 “虚拟虐待和性侵犯将蔓延到元空间”。”由于没有具体的监管或节制规则,这种可怕的趋势可能会跟随我们到2023年。” 元空间是与过去几年不同的领域。卡巴斯基的安全专家安娜-拉金娜说:假的、恶意的VR和AR应用程序,以及与这个新领域有关的隐私风险和潜在的风险,是我们以前都未曾遇到过的。 拉金娜说,某些类型的应用程序,例如那些与冥想有关的应用程序或那些消费者可能提供他们当前情绪状态的app,可能成为另一个新的攻击途径。 在这些应用中,你表明你当前的状态、情绪,然后他们为你选择合适的选项,这样的数据可以很容易地被收集和存储,以便跟踪用户的状态。她指出,一个获得此类数据的攻击者可以以高度针对性的方式成功执行鱼叉式网络钓鱼和社会工程诈骗。 拉金娜说,针对消费者的攻击应该引起企业安全团队的重视,对于潜在的危险应该提前做好准备。保证系统在技术上的足够安全。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351133.html 封面来源于网络,如有侵权请联系删除

网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周

安全内参11月29日消息,受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。 几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。 居民生活和工作受到极大影响 这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。 太平洋咨询公司(一家与太平洋地区各企业及政府,包括瓦努阿图政府合作的咨询公司)管理合伙人Glen Craig表示,“这里的一切都通过电子邮件运行,所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内,很多待处理的事务都被搁置了。” 紧急服务也受到了影响,有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付,部分人还表示自己难以正常纳税。 在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示,“我有个朋友没法续签驾照,另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到,目前港口工人已经在用纸和笔来登记进出货物。 居住在该国首都维拉港的Craig表示,虽然居民们可以亲自到政府办公室缴纳税款,但“整个缴税记录,也是以手动方式在电子表格上完成的”。 攻击者索要赎金被拒,邻国正协助恢复业务 瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示,澳方一直在帮助瓦国政府恢复正常运作。 Conroy在瓦努阿图参加区域会议时告诉记者,“我们立即提供了帮助,并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。” 澳大利亚的《悉尼先驱晨报》本月报道称,黑客曾索取赎金,但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官,但对方并未回复置评请求。 尽管政府“每天”都会受到网络攻击,但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示,“这是因为政府一般在网络安全方面都做得很好。” Phair解释称,恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息,以及总理部门经手的某些信息,犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下,公园管理割草时间的IT系统的低敏感度信息则意义不大。” 多方面因素导致瓦努阿图缺乏应急计划 澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示,由于人口稀少,瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。 他解释称,“这个问题不仅跟太平洋地区的特点有关,也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之,网络安全是一个系统性问题,必须把它跟其他问题统一起来做整体分析。” Craig则表示,瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划,这确实“令人失望”。他认为“有些部门表示不错,能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应,导致人们根本不知道该如何与其沟通。” Craig还提到,瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家,受到气候变化的影响也极大。今年1月,另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪,原因就是该国与世界连通的唯一海底光缆在灾害中断开。 Craig总结称,“在当今时代,对于像瓦努阿图遭遇的这类高风险事件,都应该有相应的强大系统来应对和解决。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49516 封面来源于网络,如有侵权请联系删除

冒充阿联酋政府的网络钓鱼活动猖獗,且目前规模仍在扩大

早在今年7月,CloudSEK研究人员就发现了一场大规模的网络钓鱼活动,黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日,经过4个月的时间,这场钓鱼活动态势非但没有减弱,反而变本加厉,其规模可能比之前认为的更大。 CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称,该公司发现了另外一组网络钓鱼域,这些域使用与 7 月份类似的命名方案进行注册,以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域,并针对多个行业,例如整个中东的旅行和旅游、石油和天然气、房地产和投资。 该公司还警告说,他们发现了一些针对引诱用户的骗局:“除了供应商注册和合同招标外,他们还利用虚假的工作机会和投资机会来蒙蔽受害者。”上述网络钓鱼项目还可能被其他黑客团体利用,以特定用户为目标,窃取他们的密码、文件、加密钱包和其他敏感信息。 在CloudSEK发现的所有域中,有些只启用了电子邮件服务器,而另一些则设置了网站来诱骗用户认为它们是合法企业。一些诈骗域会重定向到合法域以诱骗受害者信任网络钓鱼电子邮件。CloudSEK 解释说:“该活动对删除或托管禁令具有弹性,因为它使用具有类似模板的预存储静态网页。这些是在禁令的情况下从一个域上传到另一个域。” 该公司表示,他们分析了 35 个网络钓鱼域,其中 90% 的目标是阿布扎比国家石油公司 (ADNOC)、沙迦国家石油公司 (SNOC) 和阿联酋国家石油公司 (ENOC),并且托管地区在北美。这种偏好是因为该地区有几个负担得起的供应商可供选择,此外,服务提供商也需要时间来处理删除请求。 从技术角度来看,这家安全公司表示,因为不需要像恶意软件活动那样复杂的基础设施,所以企业电子邮件妥协 (BEC) 的成本效益一般比很高,只需要带有电子邮件服务器的域名,以及来自第三方的域名,足以进行这些攻击。 CloudSEK 表示,合法地追捕这些攻击者可能会阻碍他们的行动,但考虑到一些域名提供商可能在一个国家而邮件服务器在另一个国家,所以这是一项具有挑战性的任务。因此,最好的解决方案是采取预防措施,从一开始就规避它们发生。比如对员工进行 BEC 诈骗培训,避免从未知来源下载可疑文件或点击可疑链接,启用文件扩展名的可见性(在Windows系统上),以便在下载未知扩展名的文件之前发现它们,还有为支付制定多级身份验证和识别机制。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/nilg2fZ6QR2MAJENzhrN1A 封面来源于网络,如有侵权请联系删除

宏碁部分笔记本电脑的漏洞可以用来绕过安全功能

Hackernews 编译,转载请注明出处: ESET宣布发现了一个影响宏碁笔记本电脑的漏洞,该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说,该漏洞被追踪为CVE-2022-4020,与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样,攻击者可以直接从OS创建NVRAM变量来触发这个漏洞,使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口(UEFI)2.3.1的一个安全特性,旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前,它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施,即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本,该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似,具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在,则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说,该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法,更新应该作为关键的Windows更新发布。或者,可以在此处下载更新的BIOS版本。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密

Hackernews 编译,转载请注明出处: 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是,其他各种消息平台,如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase,都已经支持消息加密。 此前,谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天,目前正在对群聊进行同样的尝试。同样,Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示,该社交媒体平台的新用户注册数量创下了“历史新高”,截至11月16日,过去七天平均每天超过200万,比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户(mDAU)。 本月早些时候,在推出改版后的Twitter Blue订阅服务前后,该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出,采用多色验证系统,旨在为公司发放金色徽章,为政府发放灰色徽章,为个人账户发放蓝色徽章。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备

美国当地时间11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备“对国家安全构成不可接受的风险”。 此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头,这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。 公开资料显示,华为、中兴、海康威视、海能达和大华等5家中企,此前都被FCC列入了2021年3月12日的 “对美国国家安全构成威胁的通信设备和服务”清单。 FCC主席Jessica Rosenworcel在11月25日的命令中表示,“这些新规则是我们保护美国人民免受涉及电信的国家安全威胁行动的重要部分。” 2022年9月20日,FCC将太平洋网络公司和中国联通(美洲)也加入 “对美国国家安全构成威胁的通信设备和服务”清单,至此中国三大电信运营商全部上榜。FCC称这一行动是为了遏制中国国有通信运营商在美国网络中的影响力。 上个月,拜登政府还宣布,将收紧对中国出口的可用于军事应用的半导体产品的监管。 不仅仅是美国,英国也采取了类似措施,禁止在“敏感”的政府场所安装中国企业生产的安全监控摄像头,涉及海康威视和大华股份两家企业。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350904.html 封面来源于网络,如有侵权请联系删除