noyb 指控 Meta 擅自使用欧盟用户数据训练 AI
HackerNews 编译,转载请注明出处: 奥地利隐私非营利组织noyb(none of your business,意为“不关你的事”)已向Meta爱尔兰总部发出停止侵权函,警告若该公司坚持在未获得用户明确选择加入(opt-in)授权的情况下,继续使用用户数据训练其人工智能模型,将面临集体诉讼。 此举发生在该社交媒体巨头宣布新计划数周后。Meta曾于2024年6月在爱尔兰数据监管机构关切下暂停相关计划,现宣布将于2025年5月27日起重新启动,计划使用欧盟成年用户在Facebook和Instagram平台公开分享的数据训练其AI模型。 “Meta未寻求用户主动授权,而是妄称拥有‘合法利益’来攫取所有用户数据。”noyb在声明中指出,“由于采用‘选择退出’而非‘选择加入’机制进行AI训练,Meta可能面临重大法律风险。” 该维权组织强调,Meta的AI训练计划违反欧盟《通用数据保护条例》(GDPR)。除不当主张“合法利益”外,Meta还刻意限制用户在训练开始前行使拒绝权。 noyb特别指出,即便仅有10%的Meta用户明确同意数据使用,其数据量也足以覆盖欧盟各语言的学习需求。值得关注的是,Meta此前声称收集这些数据是为准确反映欧洲地区多元化的语言、地理和文化特征。 “Meta大费周章只为推行选择退出机制而非选择加入。”noyb创始人马克斯·施雷姆斯表示,“他们试图通过虚构的‘合法利益’来合理化数据掠夺行为,这既不合法也非必要。其他AI供应商无需社交网络数据就能开发出更优秀的模型,Meta所谓‘盗取数据是AI训练必需’的论调荒谬可笑。” 该隐私组织同时批评Meta将合规责任转嫁给用户,并指出欧盟各国数据监管机构对“未经同意的AI训练”合法性普遍保持沉默。“Meta显然在监管缺位下强行推进计划,这无异于在欧盟境内再次进行高风险法律赌博,严重践踏用户权利。”声明补充道。 针对路透社的质询,Meta否认所有指控,称noyb的指控在事实和法律层面均属错误,强调已为欧盟用户提供“清晰”的反对数据用于AI训练的选项。 这并非Meta首次因依赖GDPR“合法利益”条款规避用户明示授权而遭质疑。2023年8月,该公司曾迫于压力,同意将欧洲用户定向广告的数据处理法律依据从“合法利益”改为“用户授权”。 此次争议爆发之际,比利时上诉法院最新裁定由谷歌、微软、亚马逊等科技巨头采用的“透明与同意框架”(TCF)违反GDPR多项原则,宣布该个性化广告数据处理机制在欧洲全境非法。这项裁决或对Meta当前主张的合法性构成进一步挑战。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新报告发现:多数浏览器扩展可访问企业敏感数据
HackerNews 编译,转载请注明出处: 众所周知,浏览器扩展(从拼写检查工具到生成式AI工具)几乎已嵌入每位用户的日常工作流程。但多数IT与安全人员尚未意识到:浏览器扩展的过度权限正成为企业日益增长的风险。 LayerX今日发布《2025企业浏览器扩展安全报告》,这是首份也是唯一将公共扩展市场统计数据与企业实际使用遥测数据相结合的报告。通过这种方式,该报告揭示了现代网络安全中最被低估的威胁面之一:浏览器扩展。 报告揭示了多项值得IT与安全负责人在制定2025下半年计划时关注的发现,包括有关”多少扩展具有危险权限”、”授予了哪些类型权限”、”扩展开发者是否可信”等数据与分析。以下是报告关键数据摘录。 《2025企业浏览器扩展安全报告》核心发现: 浏览器扩展在企业环境无处不在。99%(几乎所有)员工安装了浏览器扩展,52%安装超过10个扩展。 安全分析:几乎所有员工都暴露于浏览器扩展风险中。 多数扩展可访问关键数据。53%企业用户安装的扩展能访问Cookie、密码、网页内容、浏览信息等敏感数据。 安全分析:单个员工层面的漏洞可能危及整个组织。 扩展发布者身份成谜。超半数(54%)扩展发布者身份未知(仅通过Gmail识别),79%发布者仅发布过1个扩展。 安全分析:追踪扩展信誉度极为困难(即便动用IT资源也难以实现)。 生成式AI扩展威胁加剧。超20%用户至少安装1个生成式AI扩展,其中58%具有高风险权限范围。 安全分析:企业应制定明确的生成式AI扩展使用与数据共享政策。 未维护/未知扩展引发担忧。51%扩展超过1年未更新,26%企业扩展采用旁加载方式(绕过应用商店基础审查)。 安全分析:即使非恶意扩展也可能存在漏洞。 报告不仅提供数据,更为安全与IT团队提供应对浏览器扩展威胁的行动指南。 LayerX建议企业采取以下措施: 全面审计扩展 – 掌握所有扩展信息是理解威胁面的基础。因此,防范恶意扩展的第一步是审计员工使用的所有扩展。 分类扩展类型 – 某些扩展类型因其广泛用户基础(如生成式AI扩展)或获得的高危权限而更易受攻击。分类有助于评估浏览器扩展安全态势。 枚举扩展权限 – 列出各扩展可访问的信息类型,帮助绘制攻击面并配置后续策略。 评估扩展风险 – 基于权限与数据访问能力评估各扩展风险。整体风险评估还需纳入信誉度、流行度、发布者及安装方式等外部参数,最终形成统一风险评分。 实施自适应策略 – 根据分析结果,制定符合企业使用场景、需求与风险特征的自适应风险策略。 浏览器扩展不仅是生产力工具,更是多数企业尚未意识到的攻击媒介。LayerX《2025报告》通过全面发现与数据驱动分析,帮助CISO与安全团队管控风险,构建可防御的浏览器环境。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
勒索软件忙招人,2024 年网络安全五大新趋势
虽然网络安全行业裁员降薪一片哀嚎,但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》,网络犯罪趋于“专业化”,开始积极招募渗透测试员来优化勒索软件性能。同时,未授权的人工智能(影子AI)的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势,如下: 1 勒索软件“研发升级”:积极招募渗透测试员 Cato Networks的报告揭示,勒索软件团伙正在积极招募渗透测试员,以测试和提高其勒索软件的可靠性。通过模拟攻击,渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一,几乎所有企业和消费者都可能受到影响,”Cato Networks首席安全策略师Etay Maor指出,“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段,为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”,试图通过技术手段提升攻击成功率,这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁:影子AI 所谓影子AI,是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程,给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中,有10款被企业用户广泛采用(如Bodygram、Craiyon、Otter.ai、Writesonic等)存在数据泄漏风险。报告指出,这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息,可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁,”Maor表示,“企业必须警惕未授权AI工具的使用,并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键:TLS流量检视 传输层安全(TLS)流量的加密使得恶意活动更难被检测到,但许多企业由于担心影响正常业务,选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究,只有45%的企业启用了TLS检视,其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示,在启用TLS检视的企业中,阻止的恶意流量比未启用TLS检视的企业高出52%。此外,企业在TLS流量中成功拦截了60%的已知漏洞利用行为(包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞)。 4 网络犯罪分子的首选策略:品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注(Cybersquatting),他们冒用知名品牌的域名,进行网络钓鱼、传播恶意软件、托管盗版软件,甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度,还能绕过许多传统的安全检测手段,给企业和消费者带来巨大风险。企业需要加强品牌保护策略,同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络,如有侵权请联系删除
数据跨境!美英将联合建立“数据桥梁”
近日,美国和英国达成协议,发布联合声明承诺建立“数据桥梁”,以实现两个地区之间的数据自由流动。 该声明称,英国计划为“英国对美国-欧盟数据隐私框架的扩展”建立一个数据桥,这项工作取决于两个条件:一个是英国的数据桥评估和进一步的技术工作;另一个是美国将为英国指定符合美14086号行政令的美属地区。美商务部表示“美英数据桥”将维护数据主体的权利,促进负责任的创新,并为两国个人提供更多适合的服务,同时减轻企业的负担。 “原则上的承诺”代表英国对欧盟和美国于 2022 年达成的数据隐私框架的扩展。这意味着获准加入该框架的美国公司将能够接收英国的个人数据。 初步的数据隐私框架旨在修改美国和欧盟之间之前的隐私保护协议,该协议在 2020 年的 Schrems II 案中根据 GDPR 规则被裁定为非法。 根据英国政府的一份声明,新的英美协议是在两国政府进行了两年的技术讨论之后,进一步的工作将在未来几个月内完成。 双方强调,该安排旨在促进经济增长并促进科学研究等领域的创新。 英国科学、创新和技术大臣克洛伊·史密斯评论说:“数据桥不仅为国家间个人数据的安全传输提供了更简单的途径,而且还为各种规模的企业消除了繁文缛节,使他们能够进入新市场。 她补充说:“国际合作是我们实现科技超级大国雄心的关键,与美国等全球伙伴合作确保我们能够开辟新的机会来发展我们的创新经济。” 白宫在一份声明中说:“数据的可信和安全跨境流动是进一步创新努力的基础。为此,我们原则上承诺建立一个美英数据桥,以促进我们两国之间的数据流动,同时确保强有力和有效的隐私保护。我们正在努力尽快完成各自的评估,以实施该框架。” Hunton Andrews Kurth 的合伙人 Sarah Pearce 在评论这一消息时说:“这是一个非常受欢迎的消息:它不仅促进了从英国到美国的转移,而且还表明英国和欧盟的立场一致,尊重向美国传输数据。” “这个想法是,获准加入该框架的美国公司将能够接收个人数据,而无需当前所需的额外合同条款。”Pearce 补充道。 在品诚梅森律师事务所的一篇博文中,高级业务发展律师 Rosie Nance 对这一声明表示欢迎,并指出延长欧盟-美国协议的方法而不是单独的安排“可能是达成政治协议的最顺利方法。” 她补充说:“这也是最不可能对英国自身的欧盟充分地位造成问题的,因为英国的做法可能会与欧盟的做法保持一致。” 2023 年 3 月,英国政府向议会提交了数据保护和数字信息 ( DPDI ) 法案,该法案将修改当前的 GDPR 规则。主要目的是降低企业在传输和使用数据方面的成本和复杂性。 然而,专家警告说,这些规定可能会损害消费者的隐私权,并危及英国与欧盟的充分安排。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/wkhu4qrf9X82_vFrsKMKGQ 封面来源于网络,如有侵权请联系删除
2000 万美元!微软为侵犯儿童隐私买单
Bleeping Computer 网站消息,微软同意支付 2000 万美元罚款并改变儿童数据隐私程序,以解决联邦贸易委员会(FTC)对其违反《儿童在线隐私保护法》(COPPA)的指控。 COPPA 是一项美国联邦通用法律,主要针对在线收集 13 岁以下儿童个人信息的行为,规定网站管理者要遵守隐私规则,必须说明何时和如何以一种可以验证的方式向儿童家长索求同意,并且网站管理者必须保护儿童在线隐私和安全。 微软未经家长允许,收集儿童隐私数据 根据消费者保护机构的说法,微软在未征得父母同意甚至未通知他们的情况下,收集并保留了注册 Xbox Live 服务儿童的个人信息。邦贸易委员会表示在 2015 年至 2020 年间,微软将儿童数据存储在其服务器中数年。 法庭文件显示,从 2017 年 1 月到 2021 年 12 月,大约 21.8 万名美国 Xbox 主机用户通过出生日期创建了微软账户,但是这些出生日期在注册时大都小于 13 岁。联邦贸易委员会声称微软没有采取立法建议的适当行动,阻止未成年人注册,此举违反了多个法律条款。 FTC 新闻稿中指出即使用户表明了他们未满 13 岁,但也被要求提供包括电话号码在内的个人信息,并同意微软的服务协议和广告政策,其中包括一个预先勾选的方框,允许微软发送促销信息,并与广告商分享用户数据。 对于微软收集儿童个人信息一事,联邦贸易委员会除对其罚款外,还提出了微软必须采取有力措施,以确保自身经营遵守 COPPA 的相关规定。尽管微软和 FTC 都同意处罚方案,但最终的结果仍有待法院批准。 微软必须实施以下措施: 为儿童创建一个单独的帐户,告知家长额外的隐私保护; 如果账户持有人仍是儿童,则在 2021 年 5 月之前创建的账户应获得家长同意; 如果不再需要提供指定原始集合的服务,请删除受 COPPA 保护用户的所有个人数据,删除未经父母同意而收集的存储在其系统上的所有用户数据; 自收集之日起,两周内删除受 COPPA 保护的用户数据; 将 COPPA 保护扩展到从微软接收用户数据的第三方游戏发行商; 如果为创建头像而收集的生物特征和健康信息与个人身份信息相结合,则将 COPPA 保护扩展到这些信息。 值得一提的是,美国联邦贸易委员会近期一再强调科技公司应遵守数据隐私法规的重要性,尤其是那些处理敏感未成年用户数据的公司。上周,美国联邦贸易委员会对亚马逊处以 2500 万美元的罚款,原因是亚马逊无视家长删除孩子数据的请求,并继续使用敏感用户信息来训练机器学习算法。 转自 Freebuf,原文链接:https://www.freebuf.com/news/368861.html 封面来源于网络,如有侵权请联系删除
将欧洲用户数据传输至美国,meta 公司被罚 13 亿美元
Facebook的母公司Meta因将该地区用户的个人数据转移到美国,被欧盟数据保护监管机构处以破纪录的13亿美元罚款。 在欧洲数据保护委员会(EDPB)发布的一项具有约束力的政策中,Meta公司被勒令使其数据转移符合GDPR的规定,并在六个月内删除非法存储和处理的数据。 此外,给Meta五个月的时间调整,禁止今后向美国转移Facebook用户的数据。 EDPB主席Andrea Jelinek在一份声明中说:EDPB发现Meta IE的侵权行为非常严重,因为它涉及系统性、重复性和连续性的转移。 Facebook在欧洲有数百万用户,因此转移的个人数据量是巨大的。此次破纪录的罚款也是向其他组织发出的一个强烈信号,即对用户数据的侵权行为会带来严重的后果。 欧洲数据保护当局一再强调,美国缺乏与GDPR对等的隐私保护措施,这让美国情报部门可以通过数据转移获取属于欧洲人的数据。 NOYB的创始人Schrems说,最简单的解决方法是美国出台类似GDPR的隐私保护措施。大西洋两岸都有一个共识,即我们需要有正当理由和司法保护的监控。 为了实现对欧洲用户数据的基本保护,接下来将会对美国云计算供应商进行审查了。任何其他大型美国云计算供应商,如亚马逊、谷歌或微软,都可能根据欧盟法律受到类似决定的打击。 Schrems进一步补充说:”Meta公司计划通过新的协议进行数据处理,但这很可能只是一个临时性的修复”。”在我看来,新协议被欧盟法院通过的概率很低。除非美国的监控法律得到完善,否则美公司很可能必须将欧盟的数据保留在欧盟”。 Schrems还指责爱尔兰数据保护委员会(DPC)一直试图阻止案件的进展,并试图保护Meta公司不被罚款和不得不删除已经转移的数据。但这两项均被EDPB驳回。 Meta公司回应说,他们打算对裁决提出上诉,称罚款是 “不合理且不必要的”,美国政府的数据访问准则与欧洲的隐私权之间存在着 “根本的法律冲突”。 Meta公司的Nick Clegg和Jennifer Newstead说:如果没有跨境传输数据的能力,互联网有可能被分割成国家和地区的孤岛,限制了全球经济,使不同国家的公民无法获得我们已经开始依赖的许多共享服务。 去年,该公司曾表示表示,如果被勒令暂停向美国传输数据,它可能不得不停止在欧盟提供 “我们最重要的一些产品和服务”。据《华尔街日报》报道,一项新的跨大西洋数据传输协议有望在今年晚些时候敲定,以取代隐私保护。 这笔罚款是建立欧盟GDPR隐私法有史以来最大的一笔罚款,超过了2021年7月对亚马逊类似隐私侵犯行为的7.46亿欧元(约为8.866亿美元)的罚款。 转自 Freebuf,原文链接:https://www.freebuf.com/news/367289.html 封面来源于网络,如有侵权请联系删除
又吃巨额罚单!Meta因违反欧盟数据隐私规定被罚 3.9 亿欧元
据BleepingComputer消息,当地时间1月4日,爱尔兰数据保护委员会 (DPC) 以Meta强迫 Facebook 和 Instagram 用户接受定向投放的个性化广告,违反欧盟《通用数据保护条例》为由,向Meta开出3.9亿欧元巨额罚单。 《通用数据保护条例》 (GDPR) 于2018年5月出台,旨在更好地保障用户隐私。但Meta被指通过与用户签订“用户协议”来绕过条例监管,一旦签订协议即代表用户同意平台处理个人数据以提供有针对性的广告投放,而不是单独询问用户“是否接受”。 爱尔兰数据保护委员会开出的3.9亿欧元罚单中, 2.1 亿欧元用于处罚Facebook,1.8亿用于处罚Instagram。爱尔兰数据保护委员会还勒令 Meta 在未来三个月内进行整改,使数据处理行为符合条例规定。 Meta将对处罚结果提出上诉 当日,Meta已对这一处罚结果发表声明,称并不认同这一裁决,将进行上诉。Meta表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定,并对爱尔兰数据保护委员会“缺乏监管透明度”而表示遗憾。 无论结果如何,这已经是短短三个月内Meta被爱尔兰数据保护委员“二度施以重罚”。在刚刚过去的2022年11月,因Facebook泄露5.33亿用户隐私数据,Meta被处以2.65 亿欧元罚款。 截至目前,爱尔兰数据保护委员会已累计对Meta开出了13亿欧元罚单,同时还有针对该公司的其他11项调查正在进行中。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354374.html 封面来源于网络,如有侵权请联系删除
美众议院小组推进具有里程碑意义的联邦数据隐私法案
美一个众议院小组周三以53比2的两党投票结果推进了一项全面的数据隐私法案,该法案旨在为科技公司如何收集和使用美国人的数据设定一个国家标准。 众议院能源和商业委员会对《美国数据隐私和保护法(ADPPA)》的投票是在立法者对联邦数据隐私法采取行动拖延多年后迈出的重要一步,但仍有一些悬念可能会使该提案向前推进。 加利福尼亚州的几位议员对联邦法案可能破坏该州数据隐私法的保护措施表示担忧。众议员 Anna Eshoo和Nanette Diaz Barragán是唯一投票反对推进该法案的人。 众议员Doris Matsui表示,她将投票推进该法案以继续讨论,但不会投票赞成在没有额外修改的情况下通过该法案。 “我承认这项法律对全国大部分地区来说将是一个改进,但我不能对我的选民和所有加州人说同样的话,”Eshoo说道。 据悉,Eshoo提出了一项修正案从而将联邦标准设定为底线并允许各州超越联邦法规。该修正案获得了其加州民主党同事的支持,但在周三的讨论中未能通过。 委员会主席Frank Pallone Jr.则是对该修正案投反对票的成员之一,他说认为设定底线的更新将破坏所做的妥协,反过来使整个法案无法在两党的支持下向前推进。 Pallone说道:“但基本上,这项修正案将拒绝所有达成妥协的努力,用一项不设定真正的联邦标准的条款取代精心设计的豁免条款,并注意到一些州的情况。” 加利福尼亚州拥有美国最强的数据隐私法,但其他州缺乏跟黄金之州相同的保护措施。 为了纳入更新内容,委员会审议的法案版本在审议前进行了修正,其授予根据该州隐私法设立的加州隐私保护局执行ADPPA的明确权力。 联邦提案的目的是建立一个全国性的标准而不是各州法律的拼凑。共和党人广泛推动联邦标准优先于州法律,因为他们说认为不同的州标准会给企业特别是小公司带来遵守不同标准的问题。 该法案将使用户有能力通过私人诉讼权对违反法律的行为提起诉讼。小组投票通过的法案版本允许在法律生效两年后开始私人执法,这比最初提出的四年时间缩短了时间。 参议院商务委员会主席Maria Cantwell在该法案草案首次发布时将四年的延迟作为批评的主要目标。参议院商务委员会的排名成员Roger Wicker表示支持该提案,但如果没有Cantwell的支持,该法案在参议院面临的进展机会很小。在众议院提出的修正提案也改变了围绕保护儿童的语言。该提案仍然禁止针对儿童的广告并将跟17岁以下个人有关的所有信息视为敏感数据。 提案的版本包括对构成“知道”一个人未满17岁的分层方法,对不同规模的公司适用不同的级别。 众议员Debbie Lesko对该法案提出了一项修正案。据悉,Debbie Lesko和Ann Kuster的修正案获得通过,其将国家失踪和被剥削儿童中心排除在受保护实体之外,从而确保其能够收集、处理和传输数据以协助其开展有关儿童贩运、虐待和诱拐的工作。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1294907.htm 封面来源于网络,如有侵权请联系删除
梅赛德斯奔驰 OLU 源代码在网上曝光
外媒ZDNet获悉,梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。 Kottmann告诉ZDNet,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。 什么是OLU? 根据戴姆勒的网站,OLU是介于汽车硬件和软件之间的一个组件,它负责将车辆连接到云端。 戴姆勒表示,OLU简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。 这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。 不安全的GitLab安装泄漏了OLU代码 Kottmann告诉ZDNet,他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks(专门的Google搜索查询)。 GitLab是一个基于web的软件包,各大公司用它来集中处理Git存储库。 Git是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于Gitlab的网页门户。 Kottmann告诉ZDNet:“当我感到无聊的时候,我经常会寻找有趣的GitLab实例,大多数情况下都是使用简单的Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。” Kottman表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。 这位研究人员称,他从公司的服务器上下载了超580个Git存储库,他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。 针对这一情况,ZDNet审查了一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的专有信息。 泄露的项目包括梅赛德斯厢式货车OLU组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。 虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。 现在,ZDNet和Under the Breach都已经跟戴姆勒公司取得了联系,该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。 Kottmann告诉ZDNet,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。 然而,关于Kottmann行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。 而另一方面,GitLab服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet在今日早些时候审查的源代码并没有出现这是专有技术的警告。 (稿源:cnBeta,封面源自网络。)
微软收购软件安全公司 BlueTalon:简化 Azure 数据隐私和治理
今天微软宣布收购软件安全公司BlueTalon,以进一步简化现代化数据之间的数据隐私。BlueTalon团队表示目前已经开始为Azure数据开发深度数据隐私解决方案,并且为其他现代化数据平台提供自家的统一数据访问控制解决方案。通过微软的云计算平台,将会让更大规模的集中数据治理将更加高效。微软正寻求帮助企业遵守所有现代安全和隐私法规,例如GDPR。此举将使BlueTalon成为Microsoft Azure Data Governance的重要助力,以实现上述目标。 对于本次收购,BlueTalon首席执行官Eric Tilenius解释道 BlueTalon企业客户越来越多地开始将越来越多的数据迁移到云端,并要求我们在此过程中为他们提供支持。当我们开始探索与各种超大规模云提供商的合作机会以更好地为客户服务时,微软给我们留下了深刻的印象。 Azure数据团队在数据治理方面具有独特的思想和远见。我们发现它们在使命和文化方面都非常适合我们。所以当微软要求我们联手时,我们抓住了这个机会。 BlueTalon 成立于 2013 年,公司位于加州 Redwood City。微软在官方博客中介绍说,BlueTalon是一家为现代数据平台提供统一数据访问控制解决方案的领先供应商。BlueTalon与全球财富100强企业合作,消除数据安全盲点,获得数据的可见性和控制权。 BlueTalon 是微软 2019 年第 5 家收购的公司。 (稿源:cnBeta,封面源自网络。)