近年来，网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上，Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露，只需点击一个按钮，浏览器就会跳转到正确的网址来帮助你轻松修改密码。 据悉，这项功能采用了“众所周知”的解决方案，因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转！ 以 WordPress 为例，该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 通过集成密码泄露检查和一件跳转修改功能，Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能，则谷歌会将你引导至它的主页。 按照计划，谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能，届时感兴趣的朋友可尝试手动开启或关闭该标记（flags）。 此外作为一项标准功能，其已在 Apple Safari 中得到使用，后续也将很快登陆其它基于 Chromium 内核的马甲浏览器中。     （稿源：cnBeta，封面源自网络。）

致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后，该公司正式宣布了这一消息，从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明，此次安全漏洞发生在一名黑客（或多名黑客）利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示，黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间，也没有说明它是何时发现的。不过，该公司表示，在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容，Freepik表示，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的信息。 该公司将这一数字定为450万，其中包括使用第三方联合登录账户的用户（谷歌、Facebook或Twitter）。 “对于剩下的377万用户，攻击者得到了他们的电子邮件地址和密码的哈希值，”该公司补充道。”散列密码的方法是bcrypt，还有22万9千名用户的方法是saltted MD5。随后，我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示，现在正在根据被采取的措施，用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户，这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。 当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     （稿源：cnBeta，封面源自网络）

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上，欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧，这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞，在此前四年多的时间里，该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示，此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧，这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心，根据这项法律，针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头，因为上述这些公司都在爱尔兰设有地区总部，但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示，在未能解决对其在Twitter案件中的分歧后，该机构启动了欧盟隐私监管机构之间的争端解决机制，这是该程序首次启动。Twitter案件是个风向标，因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定，或基于什么理由，但反对意见可能与其机制和罚款金额有关。 根据GDPR规定，监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款，基于Twitter 2019年的收入，罚款金额可能高达6900万美元。然而，该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素，例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律，在涉及多个国家的案件中，主要监管机构（如DPC）会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见，还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会，该委员会将通过投票决定。这个过程持续一个月，但可以延长到两个月，然后再延长两周。根据法律文本，一旦委员会批准了一项决定，主要监管机构需要在1个月内通知公司。     （稿源：网易科技，封面源自网络）

开发者兼逆向工程师 Tillie Kottmann 通过近期收集的资料发现：由于基础架构上的配置不当，来自科技、金融、零售、视频、电商、制造等行业的数十家企业的公开资料库的源代码已在网络上被曝光。公共存储库中的泄露代码，已波及微软、Adobe、联想、AMD、高通、摩托罗拉、海思（华为旗下）、联发科、GE 家电、任天堂、Roblox、迪士尼、江森自控等知名企业。 借助开发人员工具，Tillie Kottmann 收集到了上述各种泄露源码。即便有些被标记为“机密和专有”，还是可以在 GitLab 等代码托管和公共存储库平台上被大量找到。 专注于银行业威胁与欺诈事件研究的 Bank Security 指出，库中包含了来自 50 多家企业的源码。虽然不是所有文件夹都被曝光，但某些情况下还是泄露了敏感的凭据。 由 Kottmann 分享的截图可知，本次事件波及金融科技（Fiserv、Buczy Payments、Mercury Trade Finance Solutions），银行（Banca Nazionale del Lavoro），身份与访问管理（Pirean Access：One），以及游戏等行业。     （稿源：cnBeta，封面源自网络。）

一个数据泄露，影响的人比最初报道的多得多。这就是美高梅国际酒店集团发现自己的情况，在2019年的一次黑客攻击中，最初说影响了1060万客人，现在相信已经涉及超过1.42亿人。早在2月份，就有报道称，超过1060万名入住美高梅国际娱乐平台酒店的个人资料被公布在一个黑客论坛上。 现在，暗网上出现了一则广告，提供142479937名美高梅酒店客人的详细资料，价格仅为2900多美元，之后人们发现实际要价要高得多。据称，这些信息包括名人和政府雇员的数据，包括姓名、地址、电子邮件、电话号码和出生日期。美高梅表示，财务信息、身份证或社会安全号码以及酒店住宿细节都不在此次漏洞之列。ZDNet联系了一些过去的酒店客人，确认名单的准确性。 美高梅的细节来自于去年该酒店的一次数据泄露，一名黑客未经授权访问了一个云端服务器，其中包含了以往客人的信息。该连锁店表示，已经按照国家法律的要求，通知了所有受影响的人。发布广告的人声称，这些数据实际上来自于数据泄露监测服务DataViper最近的一次攻击，但该公司否认拥有一份完整的美高梅数据库，并表示黑客试图破坏该公司的声誉。 米高梅表示，它一直都知道有多少客人的数据在此次泄密事件中被泄露，但法律上并没有要求它透露这个数字。美高梅国际酒店集团知道去年夏天之前报道的这起事件影响范围，并且已经处理了这一情况。令人惊讶的是，实际受影响的客人数量可能会更多，俄罗斯黑客论坛上的帖子称，名单上有2亿人的详细信息。     （稿源：cnBeta，封面源自网络。）

市场研究公司eMarketer刚刚发布了一份关于COVID-19与数据隐私交叉点的实质性新报告。这份报告暗示我们中的一些人在新冠疫情消退后仍会同意接触追踪等技术。eMarketer表示，部分用户一旦看到了联系人追踪应用程序，一旦现它起作用了，如果他们确信它能充分保护你的隐私，也许他们会愿意继续使用类似的东西。 eMarketer引用的一项研究发现，我们几乎大多数人都接受健康和位置追踪，以监测那些已经被检测出病毒阳性的人，而其他用途则被大多数受访者反对。当提到这个话题时，我们大多数人都会想到通过手机进行联系追踪，但eMarketer介绍了在全球各个地区，从信用卡交易到面部识别等一切都在被追踪。这些数据被用来编制谁已经或正在传播冠状病毒的档案。 尽管医疗卫生界正在就进一步了解这种病毒达成共识。但是民众处在一个非常分裂的时期。任何人都可以从不同的角度看待其中的一些数据，并有不同的看法。消费者何时会分享他们接触过的人来减缓或停止COVID-19，其中的情况很复杂，但我们大多数人仍然对这个想法持谨慎态度。基于COVID-19共享数据对用户进行定位可能是杀鸡取卵的做法，并可能限制他们在下一波或下一波病毒攻击时共享数据的意愿。     （稿源：cnBeta，封面源自网络。）

有用户发现通过 Windows Update 更新到设备的新版 Edge 会出现从 Firefox 导入数据的情况，即便用户未授权 Edge 进行此操作。 根据 krankie 的描述，微软在 UI 方面设计了一些元素来“欺骗和误导”用户。更新完系统，待 Edge 安装完成后，微软会显示一个最大化的 Edge 窗口给用户，但它会先弹出一个只包含”Get Started”按钮的模态对话框。因此用户无法直接关闭 Edge 也无法关闭模态对话框。唯一的选择是使用任务管理器来杀死此进程。不过即便关闭了它，Edge 也会自动固定到任务栏上。 最后他还提到，新版 Edge 未经用户允许就从其他浏览器中导入数据。 “除非通过任务管理器关闭它而不是执行强制设置，否则无论如何它都会复制数据，最糟糕的是大多数人永远不会知道 Edge 在做什么，因为他们再也不会打开它”。 除此之外，微软还会取消系统的默认浏览器设置，所以当用户点击一个 URL 时，需要重新选择默认浏览器。 微软对此一直保持沉默。因此，尽管最初的向导实际上是由用户手动杀死的，但到目前为止，仍不知道将 Edge 数据导入 Firefox 数据的原因。   （稿源：开源中国，封面源自网络。）

谷歌的 Chrome Web Store 受到迄今为止规模最大的监视活动的打击。截止 2020 年 5 月，该活动通过下载超过 3200 万次的恶意扩展程序成功窃取了来自全球用户的数据。 Awake 安全威胁研究团队发布了一份研究报告指出，其发现了一个大规模的全球监视活动，该活动利用 Internet 域注册和浏览器功能的性质来监视和窃取来自多个地区和行业细分市场的用户的数据。研究表明，此犯罪活动是由单个 Internet 域注册商：CommuniGal Communication Ltd. (GalComm) 促进的。 并表示， 通过利用作为域名注册商的信任，GalComm 已启用了恶意活动，且该恶意活动已在检查的一百多个网络中被发现。此外，即使在网络安全方面进行了大量投资的复杂组织中，恶意活动也能够通过绕过多层安全控制措施而得以隐藏。 Awake 在报告中指出，通过 GalComm 注册的可访问域有 26,079 个，其中超过 15,000 个域为恶意或可疑。 仅在过去的三个月中，其就使用 GalComm 域收集了 111 个恶意或伪造的 Chrome 扩展程序，这些域用于攻击者的命令和控制基础结构和/或用作扩展程序的加载程序页面。这些扩展名可以截取屏幕截图、读取剪贴板、获取存储在 cookie 或参数中的凭据令牌，以及获取用户的击键（例如密码）等。 引诱安装恶意 Chrome 扩展程序的示例 截止 2020 年 5 月，这 111 个恶意扩展下载次数已达到 32,962,951 次。Awake 表示，该公司已与 Google 合作，着手从 Chrome 网上应用店中删除这些扩展程序。 针对此事，GalComm 负责人 Moshe Fogel 在与路透社的通信中则指出，“GalСomm 不参与任何恶意活动，可以说恰恰相反，我们与执法和安全机构合作，尽我们所能防止”。在 Awake Security 发表报告并列出所有可疑域名后， Moshe Fogel 也表示这些域名使用情况几乎都不活跃，并会继续调查其他域名。 有关报告的更多详细信息可查看：https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/   （稿源：cnBeta，封面源自网络。）

上周，美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合，源于德克萨斯州一家网页设计和托管公司的安全漏洞，该公司维护着一些州的执法数据共享门户。该集合总容量近270GB，是分布式拒绝秘密(DDoSecrets)的最新发布，DDoSecrets是维基解密的另一种选择。 DDoSecrets在Twitter上发文称，BlueLeaks档案索引了 来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据，在数十万份文件中，有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体，在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会（NFCA）6月20日的内部分析，证实了泄露数据的有效性。NFCA提醒指出，泄露文件的日期实际上跨越了近24年，从1996年8月到2020年6月19日，文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。 此外，数据转储还包含电子邮件和相关附件，初步分析显示，其中一些文件包含高度敏感的信息，如ACH路由号码，国际银行账户号码（IBAN）和其他金融数据，以及个人身份信息（PII）和信息请求（RFI）和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示，BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明，Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司，是此次泄密事件的源头。 NFCA表示，各种网络威胁行为者，包括民族国家、黑客活动家和有经济动机的网络犯罪分子，可能会寻求利用此次泄密事件中暴露的数据，针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日，又称 “六月十九日”，是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后，今年的纪念日再次引起公众的兴趣。   （稿源：cnBeta，封面源自网络。）  

据外媒报道，据法庭文件显示，Facebook正在起诉一名开发人员，称该名开发人员参与了一场数据搜集活动并从中窃取了数千人的个人信息。该公司在诉讼中要求被告提供7.5万美元的赔偿。这家社交网络公司于周四表示，他们正在对Mohammad Zaghar及其网站Massroot8提起诉讼，指控该网站在未经许可的情况下获取Facebook用户的数据。 该行为被指违反了《计算机欺诈和滥用法案》。这起在加州北部地区提起的诉讼称，Zaghar的网站向客户提供了从Facebook好友处获取数据的能力，其中包括电话号码、性别、出生日期和电子邮件地址等。 所有这些数据都是由Facebook用户公开发布的，但据称Zaghar网站提供的自动化将使人们能够以更快的速度、更大规模地获取这些信息。Facebook还指控Zaghar使用僵尸网络，通过伪装成使用社交网络的Android设备来绕过Facebook的检测。  针对这一诉讼，Zaghar没有回复记者的置评请求。 Facebook表示，数据搜集活动从4月23日持续到5月6日，约有5500人注册了这项服务。起诉书称，除了从这5500名客户在Facebook上的朋友处收集的数据外，Massroot8还要求其客户提供登录凭证。 Facebook表示，他们已经向Zaghar发出了多次勒令停止令，另外还暂时封掉了他的Facebook和Instagram账号并要求其客户出于安全考虑更改密码。   （稿源：cnBeta，封面源自网络。）