美国联邦通信委员会 (FCC) 周二表示，将中国太平网络公司、其全资子公司 ComNet (USA) 和中国联通 (Americas) 列为对美国国家安全的威胁。这些指定是根据旨在保护美国通信网络的 2019 年法律。 据悉，2021年3月FCC最初将五家中国公司列入其所谓的“名单”，其中包括华为、中兴、海能达、海康威视和大华股份，今年3月中国电信和中国移动也被列入其中。 今年早些时候，美国监管机构以国家安全问题为由，投票撤销了中国联通在美国的子公司、太平洋网络和 ComNet 在美国运营的授权。FCC 主席 Jessica Rosenworcel 表示，此举对于保护美国通信网络免受外国国家安全威胁至关重要。 “我们正在采取额外的行动来关闭这些公司的大门。” 3 月，FCC将俄罗斯的AO卡巴斯基实验室、中国电信（美洲）和中国移动国际美国公司加入了涵盖名单。 2021年10月，FCC 还撤销了美国对中国电信（美洲）的授权，并于 2019 年以国家安全风险为由，拒绝了中国移动提供美国电信服务的投标。 列入名单意味着来自FCC的80亿美元（120 亿澳元）普遍服务基金的资金不得用于购买或维护这些公司的产品。该基金支持农村地区、低收入消费者和学校、图书馆和医院等设施。 今年早些时候，中国驻华盛顿大使馆表示，美国联邦通信委员会“在没有事实根据的情况下，再次滥用国家权力，恶意攻击中国电信运营商，美方应立即停止对中国企业的无理打压”。 中国商务部也早就指出，美方此举泛化国家安全概念，滥用国家力量，在缺乏事实依据的情况下恶意打压中国企业，违背市场原则，破坏双方合作氛围，中方对此表示严重关切。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/BuOze0I0v61JDJnFvmVJ9Q 封面来源于网络，如有侵权请联系删除

安全内参9月21日消息，欧洲国家波黑（全称为波斯尼亚和黑塞哥维那）的检察官正调查一场影响范围极大的网络攻击，据称已经影响到该国议会的正常运行。 最近两周来，波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员，对方称已被告知禁止访问自己的电子邮箱和官方文件，甚至最好干脆别使用电脑。 波黑检察官办公室一位发言人表示，他们几天前就已接到此案。 发言人Boris Grubešić表示，“当日值班的检察官向执法机构官员发出了必要指示，希望澄清案件具体情况，同时对IT网络与各级机构给予网络安全保护。” “此案正在调查当中，我们目前无法透露其他任何消息。” 议会已失去工作能力，议员批评安全人员不关心安全 波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne，目前立法机构已经失去了工作能力，而且此次攻击开始于9月8日-9日左右。 虽然检察官并未透露具体攻击类型，但有消息人士向Nezavisne证实，这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称，攻击发生后，该国议会的主服务器旋即关闭。 一位议会发言人告诉新闻媒体，“用户无法访问服务器，电子邮件和官方网站目前也都处于关闭状态。” 还有多位议员提到，他们收到了不要使用电脑的通知，理由是担心勒索软件会传播到他们的个人设备上。 Miletić对政府网络安全专家的工作持批评态度，强调在此次攻击之前，“根本没人关心安全问题”。 “他们本来有充足的时间采购必要的技术手段，为服务器施加额外保护。他们应该知道，网络安全领域就是需要投资，没有设备就没有安全可言。这些技术手段确实价格不菲，但我们必须要买起来、用起来。不只是议会，其他处理并存储各类数据的机构也应该从中吸取教训。” 另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧，还提到她自己的设备上甚至保存着2004年时的文件。 政治动荡更容易引发网络攻击，今年已有多起案例 随着塞族共和国分裂行为的逐步升级，波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实，则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。 现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击，哥新任总统称这是企图“在过渡时期威胁该国稳定”。 三周之前，就在黑山政府因不信任投票而被实际免职的同时，也有勒索软件攻击趁虚而入。 近年来，全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周，位于首都的阿根廷议会遭遇一起勒索软件攻击，事件破坏了该机构的内部操作系统和WiFi网络。 转自 安全内参，原文链接：https://www.secrss.com/articles/47176 封面来源于网络，如有侵权请联系删除

响应 NoMoreRansom Initiative 活动号召，罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器，LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现，以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro，导致这家挪威铝制造商停产近一周，损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称，LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击，造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态，当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示，逮捕后，警方花了几个月的时间检查突袭期间收集的数据，并发现了该组织的加密密钥，以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示：“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时，通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥，根据我们与相关执法部门的合作，这些密钥已私下与我们共享”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 9月19日消息，针对美国政府承包商的持续性网络钓鱼攻击呈逐渐扩大之势，攻击者正采用更加难以分辨的“诱饵”制作钓鱼文件。 在这些钓鱼攻击中，攻击者通过伪造利润丰厚的政府项目投标请求，通过电子邮件将承包商骗至仿冒合法联邦机构门户的网络钓鱼页面。 这与 INKY 在 2022 年 1 月报告的钓鱼操作基本相同，攻击者使用随附的 PDF 文件，其中包含有关美国劳工部项目招标流程的说明。但根据Cofense在9月19日发布的情报，这些攻击者已经扩大了他们的目标，如今的冒充对象还涵盖美国交通部和商务部。 更加“精致”的钓鱼文件 根据Cofense的情报，攻击者在之前已经颇有成效的钓鱼文件基础之上采用了更加多样且精细化的设计，并删除了在之前版本中可能露出马脚的细节。 在Cofense例举的样例中，钓鱼文件在首页采用了更大的徽标，并且更倾向于采用包含PDF的链接而不是直接在邮件中置入附加文件。此前，PDF 曾经包含有关如何投标的详细说明，其中包含过多的技术信息，而现在，这些信息已被简化，并在显要位置显示指向网络钓鱼页面的链接。 钓鱼活动中使用的新版PDF 此外，PDF 之前的签名者是edward ambakederemo，而现在，文档中的元数据与冒充的部门更加匹配。例如由威斯康星州交通部发送的“诱饵”将带有WisDOT的签名。 在钓鱼网站域名方面，除了显示.gov冒充政府机构外，攻击者现在还使用长域名，如transportation.gov bidprocure.secure akjackpot.com，以便在无法从URL栏里显示完整链接的移动浏览器中打开时看起来像是合法链接。 在试图诱骗访问者输入其 Microsoft Office 365 帐户凭证的网络钓鱼页面上，攻击者现在还添加了验证码识别步骤，以确保他们没有采用机器人输入。 在窃取凭证之前添加了验证码识别步骤 在这类钓鱼攻击事件中，使用的电子邮件、PDF和网站基本上都是照抄真实的招标文件和国家招标门户网站的实际内容，因此很难看出欺诈的痕迹，唯一的防御措施是除了检查内容本身外，还要包括其他所有细节，如发送地址、登陆网址，并最终通过搜索引擎访问投标门户网站，而不是按照提供的链接。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344938.html 封面来源于网络，如有侵权请联系删除

Avast是网络安全领域的巨头，刚刚完成了与NortonLifeLock 81亿美元的收购，将以未披露的价格收购这个有10年历史的软件。开发者丹尼尔-克拉德尼克表示，Avast.是一家著名的、值得信赖的IT公司，帮助保障用户数字体验，NortonLifeLock将继续致力于该扩展，它将保持免费，并要求停止捐赠。然而，Facebook、Twitter和该扩展的各个安装页面上的评论者并不同意丹尼尔-克拉德尼克对Avast的描述。 一位Facebook评论者表示：”祝贺你杀死了这个扩展! Avast是这个星球上的癌症，现在的治疗方法比疾病更糟糕”，另一位Facebook评论者写道：”可悲的是，一个伟大的弹出窗口阻止扩展被一家知名的弹出窗口创建公司收购。“ 对软件的收购总是有一定程度的”卸载”反应，但一个为你处理cookie政策的扩展“I don’t care about cookies”被Avast收购确实引起了一些问题。Avast已经因其数据管理的历史而成为新闻。 在Vice和PCMag的联合调查中，Avast在2020年关闭了数据经纪业务Jumpshot，该公司的杀毒程序向一些世界上最大的公司出售浏览数据，包括家得宝、Google和微软。这些数据包括Google搜索、Google地图上的GPS坐标，以及在各种网站上的搜索，包括YouTube和PornHub。Jumpshot吹嘘自己是”唯一一家解锁围墙花园数据的公司”，并在一条现已删除的推文中吹嘘自己有能力收集”每次搜索，每一次点击，在在每个网站上每一次购买。” 2019年，AdBlock Plus的创建者挖掘了Avast的在线安全浏览器扩展（以及Avast收购的AVG的一个类似扩展）。该扩展程序正在发送有关访问的网页、这些网页上的活动以及其他数据的广泛细节。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318105.htm 封面来源于网络，如有侵权请联系删除

otto-js 安全研究团队于本周五发布博文，概述了在未经用户许可且用户不知情的情况下，黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能，将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。 该漏洞不仅让普通最终用户的私人信息面临风险，而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特（Josh Summit）在测试公司的脚本行为检测能力时发现的。 在测试过程中，施密特和 otto-js 团队发现，在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中，正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据，并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们，一旦启用，用户通常不会意识到他们的数据正在与第三方共享。 除了字段数据，otto-js 团队还发现用户密码可能会通过查看密码选项暴露。该选项旨在帮助用户确保密码不被错误键入，通过增强的拼写检查功能无意中将密码暴露给第三方服务器。 面临风险的并不仅仅只是个人用户。该漏洞可能导致企业组织的凭据被未经授权的第三方泄露。 otto-js 团队提供了以下示例，以展示登录云服务和基础架构帐户的用户如何在不知情的情况下将其帐户访问凭据传递给 Microsoft 或 Google 服务器。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317813.htm 封面来源于网络，如有侵权请联系删除

9月14日，韩国个人信息保护委员会召开会议，对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议，并对谷歌处以692亿韩元（约合人民币3.46亿元）、对Meta 308亿韩元（约合人民币1.54亿元）的罚款。委员会要求，平台若要收集、利用第三方行为信息，必须提前通知用户并取得同意，让用户容易、明确地了解情况，并自由行使其决定权。 据悉，这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款，也是对企业违反韩国《个人信息保护法》开出的最大罚单。 根据韩国《个人信息保护法》第39条第15款，对此类违法行为，可以处以违法行为所得销售额百分之一以下金额的罚款。韩国个人信息保护委员会用谷歌和Meta提交的年度销售额乘以韩国用户比例，取2019-2021年3年的平均值为基础，考虑违法行为的严重性、持续时间等，最终共处以1000亿4千7百万韩元（约合人民币5亿元）的罚款。 据韩国中央日报，谷歌在一份声明中对此“深表遗憾”，并称将继续与韩国个人资料保护委员会沟通协商。Meta 则表示“无法就韩国个人信息保护委员的决定达成一致”，并称有可能提起上诉。对此，韩国个人信息保护委员会回应称“两家公司的违法行为十分确凿”，并表示已做好应对诉讼的准备。 根据韩国个人信息保护委员会发布的公告，自2021年2月起，委员会开始调查韩国国内外主要线上定向广告平台的行为信息收集和利用情况。调查持续了1年多的时间，重点为平台在收集第三方行为信息时是否得到了用户同意。 调查发现，谷歌在至少6年的时间内，在注册服务时没有明确告知用户第三方行为信息收集和使用事实细则，使用了“更多选项”隐藏部分设置，以及将隐私相关选项默认为“同意”。 具体来说，韩国和欧洲用户在注册谷歌账号时看到的界面不一样。对于个人信息权限的设置，谷歌在注册时提供了“快速定制”和“手动定制”的选择，在“手动定制”情况下，共分5个阶段显示浏览行为收集，保留时间、定向广告、个人信息保护等内容，用户可以分别选择同意或者不同意。委员会发现，欧洲用户界面上的显示更详细，而对韩国用户，“Web和APP活动”、“YouTube记录”、“广告个人优化”等被屏蔽在“更多选项”下，默认值设置为同意。 注册谷歌账户时同一阶段的界面，左图是韩国用户，右图是欧洲用户。图自韩国个人信息保护委员会公告文件 Meta则在约4年的时间内，将注册时需要告知用户的内容以不容易看懂的形式放在数据政策全文中。例如在创建Facebook账户时，共694行的协议显示在一次只能看到5行的滚动屏幕上。 创建Facebook账户时的协议显示界面。图自韩国个人信息保护委员会公告文件 今年5月，Meta试图将对韩国用户的隐私政策改为用户不同意收集信息便无法使用部分服务，但遭到用户强烈反对后于7月取消该计划。对此，韩国个人信息保护委员会正在调查Meta收集的第三方行为信息等是否为提供服务所必需的信息。 为什么平台在收集第三方行为信息时，要明确告知用户具体内容并得到同意？委员会公告指出，第三方行为信息是在用户访问其他网站或应用程序时自动收集的，因此用户很难预测自己在“哪些网站中的哪些行为信息”会被收集。特别地，在用户账号登录的所有设备上，平台都能监控在线活动，日积月累，可能收集或生成包括用户的“思想、信仰、政治见解、健康状况、生理数据、行为特征等”敏感信息。 韩国个人信息保护委员会的调查显示，大多数韩国用户的设置为允许平台收集第三方行为信息。其中，设置为允许的有82%以上的谷歌用户、98%以上的Meta用户，信息主体权利受到侵害的可能性和风险很大。 对此，韩国个人信息委员会委员长尹钟仁表示：“希望通过此次处分，纠正平台以提供免费服务为名，在用户不知情的情况下擅自收集、利用用户信息的行为。让这次处分成为一个契机，保障用户自主决定个人信息收集与利用的情况。……希望今后大型在线广告平台在收集和利用个人信息的过程中，能够显著提高透明度，尽到社会责任。” 韩国以外，其他国家也有类似案例，对谷歌和Meta第三方行为信息收集和定制广告的违法行为进行处罚。2019年1月，法国个人信息监管机构（CNIL）裁定谷歌在个性化广告方面“缺乏透明度，信息提供不充分，且未获得用户的有效同意”，对谷歌处以高达5000万欧元的罚款，是当时监管机构依据欧盟《一般数据保护条例》（GDPR）开出的最高金额罚单。2019年2月，德国反垄断监管机构（FCO）认为，Facebook在未经用户同意的情况下收集和利用了第三方行为信息，命其停止在德国境内的数据收集行为。 转自 安全内参，原文链接：https://www.secrss.com/articles/47026 封面来源于网络，如有侵权请联系删除

LastPass 表示发生于今年 8 月的安全事件里，在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中，Lastpass 的首席执行官 Karim Toubba 还表示，该公司的调查（与网络安全公司 Mandiant 合作进行）没有发现威胁行为者访问客户数据或加密密码库的证据。 Toubba 表示：“尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境，但调查发现，攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后，该公司也没有发现攻击者试图注入恶意代码的证据。 这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production，即便如此，Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外，他补充说，LastPass 开发环境与 LastPass 的生产环境“物理分离，并且没有直接连接”。 事件发生后，Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制，以及额外的威胁情报功能和增强的检测和预防技术。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317291.htm 封面来源于网络，如有侵权请联系删除

一项新的有关海岸警卫队重新授权法案将在联邦法律中为美国海上运输系统提供首批网络安全保护和数据管理要求。 新法案将要求军事部门制定人工智能和机器学习技术战略，以及一系列网络安全和数据管理要求。 上周，一个由两党议员组成的团体提出了2022年海岸警卫队授权法案，旨在解决围绕海上网络安全的联邦法律中的众多漏洞。该立法命令海岸警卫队制定一套网络数据管理政策和流程，以确保有效使用与任务相关的数据，并将指导总审计长研究影响美国海上运输系统的网络威胁。 该法案还将扩大海岸警卫队的采购权限，以开发和采购具有成本效益的技术，同时对特定“国家”技术的采购设定限制，其中一些目前由军方部门使用。 海岸警卫队还需要与网络安全和基础设施安全局 (CISA) 和海事管理局 (MARAD) 就网络安全工作进行协调，包括识别和向海事运营商提供应对网络事件所需的工具。 参议员 Maria Cantwell (D-Wash.)、商务委员会主席和排名成员参议员 Roger Wicker (R-Miss.) 与小组委员会主席 Tammy Baldwin (D-Wis.) 周四介绍了该法案。它的特点是对海岸警卫队在整个北极地区的存在进行了大量投资。包括用于第三个极地安全切割计划的 8.41 亿美元，以及用于解决基础设施维修和突出的岸边基础设施需求的 30 亿美元。 根据该法案，海岸警卫队将被要求研究军事部门与私营部门合作的程度，以加强港口和船舶系统的网络安全保护。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/HDHJFMdbRKj8wO1wNeF88w 封面来源于网络，如有侵权请联系删除

据NBC News报道，一款供家长和教师使用的短信应用的开发商周三表示，其应用遭到黑客攻击，因为一些家长说他们收到了带有一张在互联网上臭名昭著的露骨照片的信息。伊利诺伊州、纽约州、俄克拉荷马州和得克萨斯州的学区负责人周三都表示，这张照片是通过该应用程序Seesaw发给家长和教师的私人聊天记录。 Seesaw的网站显示，有1000万名教师、学生和家庭成员在使用其应用，它拒绝透露有多少用户受到影响。 Seesaw营销副总裁Sunniya Saleem在一份电子邮件声明中说：“特定的用户账户被外部行为者入侵”，“我们正在极其认真地对待此事”。 她说：“我们的团队继续监控这一情况，以确保我们防止这些图片进一步传播，使任何Seesaw用户无法看到。” 该公司在后续的电子邮件中表示，黑客没有获得对Seesaw的管理权限，而是通过所谓的凭证填充攻击攻破了个人用户账户。在这种攻击中，黑客通过以前的数据泄露事件来确定用户名和密码的组合。网络安全专家建议不要在多个网站上重复使用相同的密码，以避免凭证填充攻击。 照片以链接的形式发送给一些家长和老师，bitly是一种流行的链接缩短服务，可以掩盖实际的网络地址。对于一些用户来说，该应用程序在聊天中自动描绘了该图像。 Chris Krampert的孩子在佛罗里达州上小学，他向NBC News提供了一份截屏，显示他妻子的账户向惊恐的父母发送了自动显示在聊天中的图片。该图片是一张臭名昭著的模因照片，其中有一名男子正在进行露骨的行为。 一些学区发布公告，警告家长不要打开通过Seesaw发送的链接。伊利诺伊州汉诺威公园基尼维尔小学20区网站的访问者收到了弹出式警告。它说：“请不要打开今天早上在Seesaw消息中发给你的任何‘bitly’链接。它可能显示为从另一个学校家庭发给你的信息，但请立即删除该信息，不要打开，因为发送了不适当的内容。” 位于纽约哈德逊河畔卡斯尔顿的卡斯尔顿小学在其网站上宣布，它也看到了安全漏洞的证据。它说：“与此同时，如果你需要与你的学生的老师交谈，请向他们发送电子邮件。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1316433.htm 封面来源于网络，如有侵权请联系删除