Hackernews 编译，转载请注明出处： 黑客公布了一份从TikTok窃取的数据样本，但该公司否认该数据被泄露。 黑客团体（AgainstTheWest）最近在Breach Forums留言板上发布了一篇帖子，声称已经入侵了TikTok，并窃取了源代码和用户数据。该组织发布了涉嫌被盗数据的截图，声称可以访问包含 TikTok和微信用户数据的阿里云实例。 黑客报告称，该服务器在790GB的数据库中包含20.5亿条记录。 TikTok否认了AgainstTheWest的说法。 公司发言人表示：“TikTok优先考虑用户数据的隐私和安全。我们的安全团队对这些指控进行了调查，没有发现任何安全漏洞的证据。” 一位发言人补充说：“我们的安全团队调查后，确定所涉代码与TikTok的后端源代码完全无关。 ” 著名的数据泄露猎人Bob Diachenko和他的团队分析了公开暴露的数据，并确认了它们的真实性，但无法确定来源。 目前尚不清楚数据来源是中国公司还是第三方合作伙伴。 TikTok还告诉Bleeping Computer，泄露的用户数据不可能来自直接的数据抓取活动，因为该公司已采取安全措施来防止这种做法。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

伊朗政府正计划在公共交通工具上使用面部识别技术，以识别那些不遵守严格戴头巾新法律的妇女，因为该政权继续对妇女的着装偏好进行越来越严厉的打击。伊朗促进美德和防止罪恶总部的秘书穆罕默德-萨利赫-哈希米-戈尔帕耶加尼在最近的一次采访中宣布，在该国强硬派总统易卜拉欣-拉伊西签署关于限制妇女着装的新法令后，政府正计划在公共场所使用监控技术对付妇女。 该法令于8月15日签署，在7月12日全国”头巾和贞洁日”之后一个月，该节日引发了全国范围内的抗议，妇女们在社交媒体上发布了她们在街头、公共汽车和火车上露头的视频。最近几周，伊朗当局以一连串的逮捕、拘留和在电视上强迫招供作为回应。 头巾是穆斯林妇女戴的一种头饰，在1979年伊朗革命后成为强制性规定。然而，在此后的几十年里，妇女们已经突破了规定的着装准则的限制。一些因违反新法令而被捕的妇女在网上发布了她们因没有正确佩戴头巾而在公共交通工具上受到骚扰的视频。其中一名28岁的Sepideh Rashno在社交媒体上流传了一段视频，她因”着装不当”而被一名同伴责骂，然后被代表Rashno的旁观者逼下了车，她因此被捕。据人权组织Hrana称，拉什诺被捕后遭到殴打，随后被迫在电视上向骚扰她的乘客道歉。 拉什诺不是第一个因在互联网上走红而遭受暴力镇压的人。2014年，六名伊朗人三男三女被判处一年监禁和91下鞭刑，因为他们在德黑兰随着法瑞尔-威廉姆斯的歌曲《Happy》跳舞的视频有超过15万次观看。自2015年以来，伊朗政府一直在逐步推行生物识别身份证，其中包括一个存储虹膜扫描、指纹和面部图像等数据的芯片。研究人员担心，这些信息现在将与面部识别技术一起用于识别违反规定着装的人，包括在街头和网络空间。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312677.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 臭名昭著的Android银行木马SharkBot，再次伪装成防病毒和清洁应用程序出现在Google Play商店中。 NCC集团的Fox IT在一份报告中说：“这种新的dropper不依赖于可访问权限自动执行dropper Sharkbot恶意软件的安装。相反，新版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以防止受到威胁。” 存在问题的应用程序Mister Phone Cleaner和Kylhavy Mobile Security，总共被安装了6万多次，主要针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。 Mister Phone Cleaner (com.mbkristine8.cleanmaster, 50,000+ 下载) Kylhavy Mobile Security (com.kylhavy.antivirus, 10,000+ 下载) Dropper旨在投放由荷兰安全公司ThreatFabric称为V2的新版本SharkBot，具有更新的命令和控制 (C2) 通信机制、域生成算法 (DGA) 和完全重构的代码库。 Fox IT表示，它在2022年8月22日发现了一个更新的版本2.25，该版本引入了一个功能，当受害者登录其银行账户时，可以虹吸cookie，同时还取消了自动回复带有恶意软件传播链接的传入消息的功能。 通过避免安装SharkBot的可访问性权限，该开发表明运营商正在积极调整技术以避免检测，更不用说面对谷歌新施加的限制，寻找替代方法，以减少API的滥用。 其他值得注意的信息窃取功能包括注入虚假覆盖以获取银行账户凭据、记录击键、拦截SMS消息以及使用自动转账系统 (ATS) 进行欺诈性资金转账。 毫无疑问，恶意软件会构成一种不断演变且无处不在的威胁，尽管苹果和谷歌一直在努力，但应用程序商店很容易在不知不觉中被滥用以进行分发，这些应用程序的开发人员想尽一切办法逃避安全检测。 研究人员Alberto Segura和Mike Stokkel说：“到目前为止，SharkBot的开发人员似乎一直专注于dropper，以便在最新的活动中继续使用Google Play商店来分发他们的恶意软件。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网站安全和托管服务提供商 Cloudflare 于上周六宣布，将对鹬鸵农场（Kiwi Farms，充斥大量有害内容的在线论坛）采取屏蔽措施。在官方博文中，鹬鸵农场过去两天“有针对性的威胁”有所增加，对人类生命构成了“直接威胁”。 Kiwi Farms（官方中文名“鹬鸵农场”）是一个臭名昭著的美国论坛，致力于寻找互联网上的“lolcows（指值得被取笑的人）”，他们喜欢寻找那些看起来脆弱容易内心敏感容易受伤的人当作目标，把作恶当作一场电子游戏，尽其所能地让受害者感到精神上的难以解脱，并以此为乐。被鹬鸵农场盯上的目标往往会受到有组织的持续不断的骚扰。 充斥于鹬鸵农场的网络暴力已经导致天才模拟器程序员 Near 在内的不少人抑郁、自杀。在跨性别 YouTuber 和 Twitch 主播 Clara Sorrenti (Keffals) 成为该网站用户的危险骚扰活动的目标之后，人们对 Kiwi Farms 的担忧日益增加。上个月，Kiwi Farms 用户对 Sorrenti 发起了猛烈攻击，也就是向警方提供虚假提示，表明有人计划实施暴力犯罪，导致警方蜂拥而至受害者家中。 Sorrenti 后来躲藏起来并发起了#DropKiwifarms 活动，敦促 Cloudflare 停止为 Kiwi Farms 提供服务。 Twitter 上的用户分享了这个标签，其中一些人还透露了他们在 Kiwi Farms 用户手中所经历的骚扰。 Cloudflare 最初拒绝放弃 Kiwi Farms 的呼吁，称这样做是“滥用权力”。在上周发布到其网站的更新中，Cloudflare 概述了其关于滥用内容的政策，提出了维护服务的论据，但没有明确提及 Kiwi Farms。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312403.htm 封面来源于网络，如有侵权请联系删除

本周四，黑客通过叫车应用 Yandex Taxi 下单，让数十辆的士同时前往相同地点，意图造成莫斯科交通拥堵。这是首次发现攻击者利用基于应用的出租车公司在道路上制造混乱的方式。 社交媒体上流传的视频显示，出租车在一条原本就交通不便的道路上出现了很长时间的交通堵塞。该视频随后由 @runews 帐户分享，截至撰写本文时，该视频已被转发超过 6,500 次。 在提交给 Motherboard 的一份声明中，Yandex 公司发言人确认存在该事件。他表示：“9 月 1 日上午，Yandex Taxi 遭遇攻击，企图破坏服务——数十名司机收到了前往莫斯科 Fili 区的批量订单”。 Fili 区位于莫斯科市中心以外的 Kutuzovsky Prospekt 沿线，这是一条从西南通往莫斯科市中心的主干道。目前尚不清楚为什么该区域特别受到攻击，Yandex 发言人拒绝分享有关此次攻击的更多细节。 莫斯科以其交通拥堵而闻名，经常跻身世界上交通拥堵最严重的城市之列。 Yandex 发言人表示，该问题“在不到一个小时内”得到了解决，“Yandex Taxi 的安全服务及时制止了人为拥堵汽车的企图，并改进了检测和预防此类攻击的算法，以防止未来发生类似事件。 ” 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1311957.htm 封面来源于网络，如有侵权请联系删除

Apple Insider 报道称：全美各地的警察，一直在使用从数千款应用程序中挑选出来的数据对嫌疑人展开监视，且通常未事先取得搜查令。据悉，这款名叫“Fog Reveal”的工具，汇集了来自星巴克和 Waze 等应用程序的广告识别码。它由 Fog Data Science LLC 出售，可根据个人的地理位置信息和兴趣爱好而投放有针对性的广告。 （via Apple Insider） 然而作为一款允许警方使用应用程序数据展开大规模监视的应用程序，法庭记录中却鲜有提及美国各级政府执法机构一直在使用 Fog Reveal 。 辩护律师称，这使得他们在涉及该工具的案件审理过程中，难以为当事人提供充分且合理的辩护。 【背景资料】 Fog Data Science 由美国前总统乔治·W·布什领导下国土安全部的两位前高级官员组成。它购买了来自成千上万款应用程序的原始地理位置数据，涉及大约 2.5 亿台设备。 然后该公司将收集来的数据聚合到了一个包含数十亿数据点的可搜索数据库中，并以每年 7500 美元的订阅形式，向执法机构提供对该数据库的访问权限。 即便如此，该公司还是声称这些数据是匿名的、且无法回溯到特定的设备或持有者。 然而 Fog Data Science 经常与数据经纪方 Cenntel, Inc. 合作，同时为执法机构提供服务。 结合双方掌握的资料，其数据库能够进一步揭示人们的生活线索，比如家庭住址和其它有助于追溯到个人身份的蛛丝马迹。 对于警方来说，他们可以利用这些数据，调查特定时段和区域的地理围栏、甚至检索特定设备的广告身份码。 官方宣称调查人员可将位置输入到 Fog Reveal 工具中，以查看在犯罪现场附近发现了哪些设备 ID、并可往前追溯 180 天。 然而被曝光的 Fog 代表的电子邮件显示，该工具其实能够一路追溯到 2017 年 6 月的数据。 在犯罪现场调查之外，Fog 还在营销材料中吹嘘其能够为警方提供“预测分析”—— 声称可预测未来潜在的犯罪热点区域。 更让人感到不寒而栗的是，该公司声称能够通过可追踪的智能手机数据，提供有关人们日常活动的实时数据。 电子前沿基金会（EFF）对这种行为发起了炮轰，谴责这种大规模监视违反了美国宪法第四修正案。 在 Carpenter v. United States 案中，美国最高法院基于第四修正案裁定 —— 在从电话公司获取历史位置数据之前，执法机构必须先取得搜查令。 追溯至此，Fog 还是辩称其工具使用了人们‘自愿放弃’的数据 —— 即使应用程序经常会在未经用户同意的情况下展开数据收集，且应用追踪透明度等政策也被粗鲁地视作广告同意。 争议焦点还涉及几经转手的数据，不仅用户本人、甚至某些应用程序开发商，都不知道他们的数据被卖给了执法部门。 星巴克发言人 Megan Adams 表示，该公司并不知晓其广告数据竟被以这种方式使用。 星巴克未批准 Fog Data Science LLC 以这种方式使用我们的应用程序生成的广告 ID 数据。在迄今为止的审查中，我们与这家公司没有任何往来。 Waze 发言人的表述，也与星巴克大致相同 ——“我们从未以任何身份与 Fog Data Science 建立过合作关系和共享信息”。 最后，对于 iPhone 用户来说，可尝试通过广告拦截器、并在“设置 → 隐私与安全 → 追踪”中关掉位置信息服务，但最终还得寄希望于各级政府和立法机构制定明确的隐私保护政策。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1311597.htm 封面来源于网络，如有侵权请联系删除

据The Verge 8月31日消息，TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。 微软365防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为23.7.3之前的安卓版本。在微软向TikTok报告后，该漏洞已打上补丁。 博文披露，一旦TikTok用户点击一个特制链接，攻击者就可以在用户不知情的情况下劫持账户，访问和修改用户的个人资料、敏感信息、发送消息、上传视频。 该漏洞影响了安卓应用的deeplink（深度链接）功能。这种深度链接会指令操作系统如何处理链接，例如用户点击嵌入在网页中的 “关注此账户 “按钮后，会跳转到推特关注某用户。 这种链接处理还包括一个验证过程，但研究人员发现了一种方法，可以绕过这个验证过程，在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中，研究人员制作了一个恶意链接，点击后将TikTok账户的简介改为 “SECURITY BREACH”。 TikTok在CVE-2022-28799的Mitre数据库条目中表示，精心制作的URL（未经验证的deeplink）可以在新窗口加载任意网站。这可能允许攻击者利用附加的JavaScript接口进行一键接管。 该漏洞潜在影响巨大，安卓版TikTok在谷歌应用商店的总下载量超过了15亿次。好消息是，TikTok发言人莫琳·沙纳汉回应，目前并无证据表明该漏洞被恶意利用。微软证实，TikTok快速反应并修复了该漏洞。 此前，据PCMAG报道，一位安全研究人员发现，TikTok iOS版本的应用内，打开任何外部链接都会触发监控，记录所有键盘输入和屏幕点击行为。但TikTok发言人否认了这一说法，称“TikTok不会通过JavaScript代码收集屏幕点击或文本输入内容，这些代码仅用于调试、故障排除和性能监控。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343500.html 封面来源于网络，如有侵权请联系删除

尽管 Google Translate 从未推出过桌面端版本，但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意，其中最广泛的是用于加密挖矿。 本周，IT 安全组织 Checkpoint Research (CRP) 发布了一份报告，称其发现了隐藏在看起来合法的应用程序（包括Google翻译）背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。 研究人员在 Softpedia 和 Uptodown 等流行的软件下载网站上发现了来自土耳其开发商 Nitrokod 的恶意软件，这表明它是安全的。欺诈程序包括桌面版本的Google翻译、Yandex 翻译、微软翻译、YouTube Music、mp3 下载器和自动关闭应用程序。 下载任何这些程序的用户应尽快卸载它们，并改用官方的基于 Web 或移动版本的版本。这些服务都没有合法的桌面应用程序，这使得 Nitrokod 的版本似乎是唯一在搜索结果中排名靠前的版本。 Nitrokod 将恶意软件设计为在安装后看起来是合法的。例如，该组织的Google翻译应用程序的外观和工作方式与官方网页相似。那是因为 Nitrokod 通过 Chromium Embedded Framework 转换 Google 的页面来构建它。此外，这些应用程序不会立即开始出现可疑行为。相反，他们会等到用户在四天内至少重置系统四次，这可能需要数周时间，具体取决于用户。 Checkpoint 表示这有助于他们避免沙箱检测。 之后，恶意软件会删除其安装痕迹，使用户更难确定可疑活动的来源。 Nitrokod 的软件还会检查是否存在安全软件。如果它检测到它在虚拟机上运行的迹象，它也不会启动挖掘程序——这是对恶意软件的一种预防措施。在所有这些步骤之后，恶意软件开始使用受害者的计算机来挖掘加密货币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1311041.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Baker&Taylor是全球最大的图书经销商之一，于8月23日遭到勒索软件攻击。该事件影响了公司的电话系统、办公室和服务中心。 8月24日，该公司宣布，此次攻击导致其关键业务系统中断，其技术人员正在努力恢复受影响的服务器。 Baker&Taylor在8月29日发布的最新消息中表示：“从上周勒索软件攻击中恢复过来的这段时间里，再次感谢您的耐心和合作。我们的团队一直在夜以继日地工作，以恢复正常运营。首要任务是修复系统并确保它们被清理干净。完成这项工作后，我们会逐步上线系统，并分阶段恢复运营。预计本周将继续中断，但我们会为各个系统和应用程序提供时间表。感谢您的理解。” 目前，该公司没有透露感染其系统的勒索软件家族的名称，也没有透露黑客是否窃取了其数据。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，美国加利福尼亚州（下称“加州”）总检察长罗伯·邦塔（Rob Bonta）在发布会上表示，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。 公开资料显示，丝芙兰是1969年创立于法国里摩日的个人护理和美容产品跨国零售商，旗下拥有近340个品牌，在全球开设超过1000家门店，途径遍布巴黎、纽约、莫斯科等超过28个国家的国际化都市。 据了解，去年6月，邦塔所在部门针对各大在线零售商开展执法检查，其后发现丝芙兰存在多项违规问题。首先，丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实，允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。 其次，丝芙兰未能向消费者提供退出个人信息出售的相关渠道，未以显著的方式提供“不要出售我的个人信息”的选项。此外，Mozilla去年推出的全球隐私控制（Global Privacy Control，GPC）功能一旦启用，浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见，拒绝回应用户不愿出售个人信息的诉求。 诉状显示，邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》（CCPA）的相关条款，要求其在30天内采取补救措施。然而，丝芙兰并未采取任何行动，邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。 近日，邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议，并作出四项承诺： 在隐私政策中向消费者披露其向第三方出售个人信息的事实；为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道；与丝芙兰合作的服务提供商需符合法律的相关要求；向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。 “你生活中一些最私密的细节正在被收集。一家公司掌握的关于你的数据越多，他们对你的影响力就越大，他们就越有可能让你购买他们的商品和服务。”邦塔表示，“我希望这份和解协议能向未遵守CCPA的企业发出一个强烈的信号——我的办公室在看着，我们会让你负责。” CCPA要求，如果在发起针对企业的诉讼前，消费者提前30天向企业提供了书面通知，表明消费者指控的企业正在或已经违反法律，消费者可提起诉讼；如企业在30天内实际纠正了被通知的违规行为，并向消费者提供书面声明且不会再发生违规行为，则不得发起诉讼。 据报道，邦塔还向众多企业发出警告，指控其未能处理消费者通过启用GPC等功能提出的退出请求。该功能在消费者访问每个网站时，浏览器都会自动发送拒绝出售个人信息的信号，不必每进入一个网站都点击选择一次。他强调，目前收到警告的企业有30天的时间来纠正涉嫌违规行为，否则将面临司法部的强制措施。 转自 安全内参，原文链接：https://www.secrss.com/articles/46381 封面来源于网络，如有侵权请联系删除