Bleeping Computer 网站披露，美国密歇根州总检察长办公室周一对外宣布，谷歌将支付 3.915 亿美元，就 40 个州指控其非法追踪用户位置达成和解。 从和解协议内容来看，美国总检察长调查美联社 2018 年的一篇文章时，发现谷歌至少从 2014 年起就开始追踪安卓用户位置。 值得一提的是，和解协议显示，谷歌甚至存在误导用户的情况，当用户本以为禁用设备设置中的 “位置历史 “就能禁用位置追踪时，另一个账户设置会默认打开名为 “网络和应用程序活动”，使得谷歌能够收集、存储和使用用户个人定位数据。 和解协议要求谷歌对用户保持透明 和解协议中要求谷歌必须引入更人性化的账户控制，并限制公司使用和存储某些类型的位置数据。此外，谷歌还应该对其用户位置数据跟踪和收集保持透明，在切换与位置相关的帐户设置时，必须显示其收集的数据以及如何使用这些数据的详细信息。 密歇根州总检察长达纳-内塞尔表示，谷歌作为行业巨头，在线影响力使其能够在用户不知情或未经允许的情况下轻松锁定消费者，然而，和解协议的达成将确保谷歌让用户知道其位置数据是如何被使用的，如果用户希望禁用与位置相关的帐户设置、删除收集的数据并设置数据保留限制，可以更改其帐户设置。 谷歌曾因收集澳大利亚、法国等国用户数据被罚 今年 8 月，澳大利亚竞争和消费者委员会（ACCC）宣布，就谷歌在 2017 年 1 月至 2018 年 12 月的近两年时间里，误导和收集属于澳大利亚安卓用户位置数据一事，对其处以 6000 万美元的罚款。值得一提的是，2018 年 12 月 20 日之前，谷歌已经采取补救措施，解决了误导和收集澳大利亚用户数据的问题。 除陷入过度收集美国、澳大利亚等国用户数据漩涡中，近年来谷歌多次被罚，下面列出了一些典型的案件： 谷歌因使用户难以拒绝网站追踪 cookies，从而侵犯了互联网用户的同意自由，法国国家信息学和自由委员会（CNIL）对其处以 1.7 亿美元的罚款； 2021 年 11 月，谷歌因过度收集数据被罚款 1130 万美元； 2021 年 6 月，因偏袒其服务而不利于竞争对手被罚款 2.2 亿欧元； 2019 年 3 月，因在线广告的反竞争行为被罚款 17 亿美元； 2017 年 6 月，因滥用其市场支配地位来调整搜索结果而被罚款 27.2 亿美元。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349832.html 封面来源于网络，如有侵权请联系删除

11 月 12 日，某短视频平台突然曝光了一段视频，视频中一网友声称双十一期间在得物 App 收到购买商品后发现货物存在问题，随即拍下视频反馈给得物官方，并上传了一些与货物相关的视频证据到得物平台。 之后发生的事情就非常诡异了，该网友发现手机突然弹出两条信息，疑似是得物涉嫌通过调用其手机权限，删除了手机里与得物货物相关的视频。据悉，用户两条视频遭删除，其中一条是开箱确定商品是有否问题，另外一条是去专柜做对比的视频。 （图源互联网） 舆论发酵后，这一视频迅速传播，有关得物 APP 侵害用户个人信息的言论开始广为流传，13 日一早，得物 APP 立刻冲上热搜，得物方面不得不站出来回应。 得物 APP 表示绝不会侵害用户权益 对于网友曝光的得物 APP 调用客户手机权限，删除其录下关于收到货物有问题的视频证据一事，得物 App官方发文表示，经内部团队核实，平台从未删除用户手机相册中的“原视频”，删除的是临时“缓存文件”，用户使用的华为手机系统可能检测到了得物 APP 临时缓存文件的处理，触发了系统拦截通知。此外，在收到用户反馈意见后，已第一时间研究优化该体验，以期避免误会。 值得一提的是，得物方面早已发文强调，公司完全没有立场和动力进行删除用户相册等不合规行为，此外，对于用户海量视频数据，得物方面也没有相应技术能力进行批量识别，甚至定向删除。 另外，得物方面认为当 App 对产生的缓存文件进行管理操作时，手机系统可能会将其判定为异常行为，并出现类似的误报。因此，对该用户反馈的被手机系统判定为异常行为的情况，正在与用户及厂商沟通确认。 APP 权限问题需要进一步管理 从权威人士的说法来看，删除用户手机相册里的视频或图片，只能人工手动进行操作。同时，就算是用户对某一个 App 打开了手机相册权限后，该 App 也只能读取相册信息，并不能定向删除手机内的视频，类似某视频平台网友出现的这种情况，发生的概率比较小，从业多年还没见过。 “得物 APP事件”并不是偶然事件，国内多家互联网厂商都曾发生类似事件。现阶段，App 运营商和用户之间的权利实际上很不平衡，当用户使用应用程序时大都需要用户授权拍照、相册、定位、通讯录等功能，这样可能导致 App 获得超出运营需求外的权限。 一旦应用程序获得如此大的权限后，难免会有一些运营商动歪心思，例如有意无意投放广告、检测用户喜好，定点推送内容，因此，App 权限获取机制应该进一步完善，已达到最大程度保护用户隐私，对于过度收集、使用用户手机权限的 APP 应当受到法律的惩处。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349707.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 乌克兰网络警察和欧洲刑警组织逮捕了一个跨国诈骗集团的五名成员，该集团每年造成超过2亿美元的损失。 这些逮捕行动是在阿尔巴尼亚、芬兰、格鲁吉亚、德国、拉脱维亚和西班牙执法人员的支持下进行的联合行动的结果。在这些国家，该团伙建立了办事处和呼叫中心，雇佣了2000多人进行犯罪活动。 该组织通过加密货币和证券的伪投资计划欺骗投资者，调查始于2020年。 投资者被诱骗进行了一系列虚假投资。该团伙运营其网站和平台，向储户提供加密货币投资和证券（股票、债券、期货、期权）交易的超额利润。他们还通过这些平台模拟资产增长，但投资者无法提取资金。 据欧洲刑警组织称，全球数十万人受到跨国集团非法活动的影响。每年损失估计超过2亿欧元。执法人员在涉案人员的家中，以及基辅和伊万诺-弗兰基夫斯克呼叫中心的地址进行了搜查，查获了500多件电脑设备和手机，同时，在其他国家对该团伙其余成员的居住地进行了搜查。 警察在被捕者的家中以及基辅和伊万诺-弗兰基夫斯克呼叫中心的办公室进行了搜查。 已根据《乌克兰刑法》第190条（欺诈）第3部分启动刑事诉讼。该条款的制裁规定最高可判处8年监禁。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月11日消息，加拿大肉类生产巨头Maple Leaf Foods（也称枫叶食品）在上周日（11月6号）证实，经历了一起网络安全事件，导致系统与运营中断。 Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商，共拥有21处制造工厂、雇佣14000名员工，并承包超700处库房。2021年，该公司总销售额达33亿美元。 恶意黑客经常在周末发动网络攻击，这是看准目标正在放假、应对人手不足，希望最大限度提高成功机率。 尽管攻击者时机选得不错，但这家加拿大包装食品巨头表示，其IT团队还是立即采取了应对措施。 目前，该公司专员正与网络安全和恢复专家们合作，希望尽快解决问题。 Maple Leaf Foods在公告中表示，“我公司正在执行业务连续性计划，着手恢复受到影响的系统。” “但预计全面解决中断仍然需要时间，且期间部分运营和服务将无法正常进行。” Maple Leaf Foods表示将继续与客户及合作伙伴携手，尽量缓和加拿大市场上的食品供应中断。 该公司发言人还在发给媒体的评论中指出，他们正在对事件开展调查，但尚未确定此次攻击是如何发生的。 声明提到，“中断已经造成部分运营和服务无法正常进行，具体情况依各业务部门、工厂和地点而定。” 至于接下来的恢复阶段，这位发言人预计系统恢复期间会继续发生中断，但他们会努力将这种影响降至最低。 “目前，我们专注于恢复业务连续性。” “在恢复过程中，预计我们的运营和服务还会出现一定波动。但我们的团队正在部署业务连续性计划并实施变通办法，着力减轻对我们运营和业务造成的影响。” ——Maple Leaf Foods 该公司最后补充称，他们还未发现此次事件对其他合作伙伴造成的任何可能影响。 截至本文撰稿时，各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。 转自 安全内参，原文链接：https://www.secrss.com/articles/48899 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 11月10日消息，Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用，让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。 Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权，而最引人注目的特征，则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去，这一标识只对知名人士和组织机构的帐号开放。 这项订阅一经推出，就遇到了滥用风险，攻击者可以仿冒他人账户，并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人，比如特朗普，甚至连马斯克本人的账号都没能幸免。在马斯克的例子中，虚假帐号直接从马斯克的真实帐号全盘复制个人资料，并通过了Twitter Blue认证。 真（右）假（左）马斯克推特账号都带有蓝色认证 到目前为止，区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标，查看弹窗中的认证说明信息，过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。 11月初，马斯克在接管Twitter后正式推出Twitter Blue订阅服务，在此之前，马斯克就曾表示，要改进该平台的认证流程，但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况，马斯克表示将积极打击假冒和欺骗行为，任何假冒账号将会在不提前警告的情况下直接被永久停用。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349499.html 封面来源于网络，如有侵权请联系删除

据美国司法部网站消息，一夫妇因试图窃取核军舰设计机密并出售，于11月9日正式被判刑入狱。 据称，44岁的被告Jonathan Toebbe在任职海军核工程师期间，具备访问海军核推进机密信息，包括军事敏感的设计元素、性能特征以及核动力军舰反应堆其他敏感数据的权限，他协同自己46岁的妻子Diana Toebbe，试图将上述部分信息出售给外国政府。 根据法庭文件披露，泄密过程始于2020年4月1日寄给外国政府的一个包裹，其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡。FBI在了解到泄密情报后，于 2020 年 12 月派出一名冒充为对方国家特工的卧底，通过ProtonMail 加密邮件与被告取得联系。 2021 年 4 月至 2021 年 6 月与被告的交流中，这名FBI卧底在同意以门罗币加密货币支付报酬后，说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点（dead drop）。在这期间，被告也曾表现出对这名卧底的不信任，表示在将机密信息送至情报秘密传递点之前可能不会再与其进行沟通。 2021 年 6 月 26 日，Jonathan Toebbe将一张加密 SD 卡藏进半个花生酱三明治中，放置在了预先约定的地点，而他的妻子负责放风。在向他们支付2万美元报酬后，FBI收到了解密密钥，审查发现，其中包含与潜艇核反应堆有关的军事敏感信息。8月28日，Jonathan Toebbe将另一张加密SD卡藏在口香糖包装中，放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥，其中也包含与潜艇核反应堆有关的敏感数据。 2021 年 10 月 9 日，在按约定将第三张SD卡交付后，这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕，并于 2022 年 2 月认罪。在11月9日的审判中，Jonathan Toebbe被判处19年监禁，其妻子Diana Toebbe被判处21年监禁。 美国检察官 Cindy Chung 表示，Jonathan Toebbe受托负责并保护国家机密，但他和其妻子的做法将国家的安全置于风险之中，是对忠诚无私的海军军人的背叛，其罪行的严重性怎么强调都不为过。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349380.html 封面来源于网络，如有侵权请联系删除

英国国家网络安全中心启动了一项新计划，将持续扫描英国托管的每个互联网连接设备的漏洞，以帮助政府应对零日威胁。国家网络安全中心是政府通信总部的一部分，作为英国面向公众的网络威胁的技术权威，它说它发起这个倡议是为了建立一个数据驱动的”英国的脆弱性和安全性”的观点。 这与挪威国家安全局的努力类似，去年，该机构寻找利用微软Exchange漏洞针对该国互联网用户的证据。斯洛文尼亚的网络安全响应单位，即SI-CERT，当时也表示，它正在通知其互联网空间中的Exchange零日漏洞的潜在受害者。 该机构解释说，NCSC的扫描活动将涵盖任何在英国境内托管的互联网可访问系统，并将重点定位那些常见的或因影响广泛而特别重要的漏洞。 英国国家安全委员会说，它将使用收集到的数据来创建”英国在漏洞披露后的暴露概况，并跟踪他们在一段时间内的补救情况”。该机构还希望这些数据将有助于向系统所有者提供有关其日常安全状况的建议，并帮助英国更快地应对事件，如正在被积极利用的零日漏洞。 该机构解释说，从这些扫描中收集的信息包括连接到服务和网络服务器时发回的任何数据，如完整的HTTP响应，以及每个请求和响应的信息，包括请求的时间和日期以及源和目的端点的IP地址。 它指出，请求的目的是收集检查被扫描资产是否受漏洞影响所需的最低限度的信息。如果无意中收集到任何敏感或个人数据，NCSC说它将”采取措施删除这些数据，并防止其在未来再次被捕获”。 扫描是使用从NCSC的专用云托管环境内运行的工具进行的，允许网络管理员在其日志中轻松识别该机构。总部设在英国的组织可以选择不接受政府对其服务器的扫描，方法是向NCSC发送电子邮件，列出他们希望排除的IP地址。 NCSC即将离任的技术总监Ian Levy在一篇博文中解释说：”我们不是为了其他邪恶的目的而试图在英国寻找漏洞。我们从简单的扫描开始，并将慢慢增加扫描的复杂性，解释我们在做什么（以及为什么我们要这样做）。” 转自 cnBeta，原文链接：https://www.toutiao.com/article/7163273562827162153/?log_from=ecf1366fcccb4_1667876211079 封面来源于网络，如有侵权请联系删除

2022年10月底，沸沸扬扬的Twitter收购案已经落下帷幕，马斯克以440亿美元的价格买下推特。在消息公布的当天，马斯克端着一个洗手盆，以一种搞怪式的出厂方式正式入主Twitter。 但是谁也没有想到，刚刚坐上Twitter大BOSS位置的马斯克转眼就掀起一场腥风血雨，发布了前所未有的大裁员命令。所有员工在毫无准备的情况下得知，马斯克将立马辞退至多 75% 的推特员工。 根据Twitter新任首席信息安全官Lea Kissner发布的消息，原有的网络安全部门集体被裁撤。此前，Twitter 的多名高管被解雇，其中包括首席执行官 Parag Agrawal、公司总法律顾问 Sean Edgett、公司法律政策、信息安全负责人 Vijaya Gadde，他以致力于保护用户数据免受法院执法命令而在业界名声大振。 对此，马斯克表示，推特将组建一个观点广泛的内容审核委员会，在该委员会召开会议之前，不会发生重大的内容决定或帐户恢复。内容审核对任何平台上的用户安全都有密切的影响，尤其是涉及仇恨言论、暴力信息等。在未来的几周内，Twitter将着重发力用户隐私信息保护，对非法政府数据请求的保护，以及提高Twitter整体的安全防护能力。 安全公司 Scythe 的网络威胁情报主管 Jake Williams 表示：在任何重组中首先被裁减的一些人员是参与非职能活动的人员，例如安全专家和内部监督。 这大概是马斯克开除整个安全部门的主观原因，对于Twitter一直以来在内容安全、隐私保护等方面的工作并不满意，因此在开始新的安全征程之前所有的安全团队都被裁撤。 值得注意的是，前 Twitter 首席安全官 Zatko 在他的书面报告和随后的国会证词中都对 Twitter 的流氓内部人员（包括民族国家行为者）、访问控制严重不足和数字安全防御薄弱提出警告。随着时间的推移，马斯克时代缺乏安全投资可能会对用户构成真正的危险。毕竟多年来，Twitter 一直受到犯罪和国家背景攻击者的困扰。 那么，接下来压力给到Twitter用户这边，在未来的几周时间内，Twitter的安全性将会大大降低，而新的安全团队又无法及时进行响应，由此产生的网络攻击将会变得更加恐怖。甚至一些被裁撤的安全人员会充当黑客攻击的“辅助者”，进一步增加了黑客攻击出现的频率和实施的成功率。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348957.html 封面来源于网络，如有侵权请联系删除

如果有一件事是黑客们喜欢利用的，那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后，网络犯罪分子正在发送钓鱼欺诈邮件，声称这是新认证程序的一部分。 马斯克最近宣布，作为Twitter的新主人，他的首要任务之一是改革验证程序。据报道，这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵，那些已经验证的用户将有90天的时间来订阅，否则将失去他们的验证身份。 据报道，这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。如果这个期限没有得到满足，这些员工将被解雇。 而网络骗徒则已经试图利用这一变化，向已验证的用户发送钓鱼邮件，声称他们将不必通过确认他们是一个”知名”人士而为他们的蓝色复选标记付费。 欺诈邮件其实并不算高明，多处纰漏暴露了它是钓鱼诈骗。除了不专业的措辞和风格外，它来自Twittercontactcenter@gmail.com的邮件地址甚至都不是Twitter的官方域名。不过，邮件发得多了无疑会有一些人上当受骗。 点击欺诈邮件当中的”提供信息”按钮会将人们带到一个Google文档页面，它包含一个Google网站的链接，该网站允许用户托管网络内容，它很可能是为了试图避开Google的网络钓鱼检测工具。这个页面包含一个来自另一个网站的嵌入式框架，用户被要求提交他们的账户用户名、密码和电话号码。 即使有人启用了双因素认证并避免了他们的账户被泄露，他们仍然泄露了个人数据，包括他们可能在其他网站重复使用的密码。 Google关闭了这个钓鱼网站。但是，随着马斯克继续在Twitter上实施改革，预计会看到更多这种类型的骗局重复出现。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161037825914176011/ 封面来源于网络，如有侵权请联系删除

安全内参11月1日消息，欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件，导致上周举行的会议被迫暂停。 上周四（10月27日），斯洛伐克议会议长鲍里斯·科拉尔（Boris Kollár）在电视简报会中解释称，为了着手调查此次安全事件，原定的议会投票被迫取消。 科拉尔在简报会上透露，“我们发现了一起网络安全事件……有一个信号来自某个点，干扰了我们的系统和计算机，甚至为议员们服务的自助餐厅都受到了影响。” 斯洛伐克国家安全办公室（NSB）后续发表声明，确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节，也没有回应置评请求。 值得一提的是，官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”，并导致会议提前结束。但斯洛伐克国家安全局（NBU）发言人彼得·哈巴拉（Peter Habara）提醒说，这起（网络安全）事件可能不是网络攻击，只是普通的系统中断，网络攻击是一种“故意行为”。 据斯洛伐克共和国通讯社（TASR）发言人米凯拉·尤尔乔娃（Michaela Jurcová）介绍，“对这起网络安全事件的初步分析表明，网络通信确实出现了异常，结果导致所有组件功能均受到影响，包括接入网络基础设施的投票设备。” 该国执法机构目前正与国家安全局合作开展调查。 科拉尔称这起事件“非常严重”，并取消了11月8日之前的所有原定会议。他还指出，如果能早点解决问题，议会也可以考虑在下周重启会议。 斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃（Anna Zemanová）在采访中表示，把会议推迟到11月8日简直“荒谬”，并声称此次攻击可能是在故意拖延时间，避免执政党的几位政客在重要立法会议上缺席。 继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后，斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周，保加利亚政府网站也受攻击影响，官员们将事件归咎于某亲俄罗斯黑客团伙。 据路透社报道，波兰议会上周四同样遭遇了网络攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/48543 封面来源于网络，如有侵权请联系删除