在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后，微软和 FireEye 高管于本周二联合敦促国会采取行动，以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示：“我们需要让私营机构承担明确、一致的披露义务，否则企业会在遭受黑客入侵时纷纷保持沉默”。 显然，作为 SolarWinds 入侵事件的余波，安全行业对当下的糟糕状况感到十分无奈，因而 Brad Smith 认为大家是时候做出集体的转变。 我们需要用明确、一致性的义务，来代替这种可怕的沉默。只有这样，私营组织才会在遭受到重大事件影响时及时披露信息。 曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道： 企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告，而不必担心因此而受到法律的制裁。 与此同时，美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报，还应通报与黑客攻击 / 入侵事件相关的细节。 FireEye 指出，去年 12 月，拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞，渗透了多达 1.8 万名客户的内部网络，其中就包括 FireEye 和微软。 某位白宫官员在上周表示，在长达数月的行动期间，其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响，且情报官员直指攻击者与俄方有关。 Kevin Mandia 和 Brad Smith 指出：“遗憾的是，按照现行的法律，相关企业并不需要主动公开披露黑客攻击事件”。 “虽然法律上没有提出举报和披露的义务，但我们认为这么做仍然很有必要。 除了保障每位客户的权益，还有助于维护联邦政府的安全。 如果没有这方面的信息披露与共享，那我们就无法确保这个国家的安全。” 据悉，虽然目前全美多州已明确规定要以某种形式披露安全公告，但在经历了多年的拉扯之后，联邦政府仍未能将此事摆上重要的日程。 参议院情报委员会主席 Mark Warner 周二表示：“我们可能等到有意披露的机构，但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者，但就是没人选择挺身而出”。 基于此，Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度，并且建议在联邦层级上做出相应的努力。           （消息及封面来源：cnBeta）

据外媒CNET报道，美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布，他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上，SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前，美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉，该黑客攻击始于2020年3月左右，当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码，该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道，此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实，美国财政部、能源部和商务部都遭遇了黑客入侵。据报道，此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         （消息及封面来源：cnBeta）

几位恶意软件研究人员宣称，iOS 14.5 中即将引入的一项改动，将使得在 iPhone 上执行“零点击”（Zero Click）漏洞利用变得更加困难。据悉，苹果悄然改变了在 iOS 14.5 Beta 测试版本上的代码运行方式，更多细节有望在下一次公开推送时披露。 具体说来是，该公司添加了指针验证码（PAC），以保护用户免受通过内存破坏来注入恶意代码的攻击。 在调用之前，系统将会验证所谓的 ISA 指针，后者是一种告知 iOS 程序要运行什么代码的安全特性。 一位研究人员指出，其在 2 月初的反向工程工作期间，发现了 iOS 14.5 Beta 测试版本中引入的这项新变化。 与此同时，苹果还在 2 月 28 日公开发布的新版《平台安全性指南》中分享了有关 PAC 的一些细节。 研究人员向 Motherboard 表示，这项安全性缓解措施，将使得零点击漏洞的利用过程变得更加难以实现。 这类攻击特指攻击者无需用户进行任何干预，即可对 iPhone 发起入侵，甚至通过复杂的技术手段，从 iOS 内置隔离的沙盒安全机制中逃逸。 苹果发言人亦在接受外媒采访时称，该公司相信这项改变将使得零点击漏洞攻击变得更加难以实现，但也补充道，设备安全性并不取决于单一的缓解策略，而是需要借助一系列的组合拳。 安全研究人员表示，尽管不能完全排除，但新措施可以提升相关标准，让此类攻击的利用成本大幅提升。 在此之前，零点击漏洞已被用于针对 iPhone 用户的几次引人注目的攻击。比如 2016 年的时候，阿联酋方面就利用名为 Karma 的黑客工具，侵入了数百部的 iPhone 。 此外 2020 年的一份报告表明，零点击漏洞被用于监视 37 名记者的 iPhone，且谷歌 Project Zero 安全团队还发现了其它潜在的零点击攻击漏洞。       （消息及封面来源：cnBeta）

CD Projekt Red是一家电子游戏开发商，其代表作品是2020年争议巨大的电子游戏之一《赛博朋克2077》。那款游戏非常令人期待，但推出后却出现了巨大的问题，以至于变成了其开发商的累赘，并激怒了全球等待多年才能玩到这款游戏的玩家。该公司不久前宣布，黑客进入了其服务器，并窃取了网上泄露的游戏数据。 正如你所预料的那样，已经有一些用户通过Twitter和其他社交网络链接到这些被盗数据。据报道，CD Projekt Red一直在使用DMCA的移除请求来消除链接到该被盗数据的推文甚至账户。报道指出，上周四，至少有两名Twitter用户通过一家版权监测公司的电子邮件收到了DMCA移除请求的通知。 报道指出，邮件中列出了对侵权行为的描述，包括链接到非法获取源代码的《Gwent: The Witcher Card Game》的源代码，公司认为他说，该链接导致了一个便利的入口，让其他人下载源代码。 DMCA取缔通知的目标还有至少其他三个Twitter用户。他们的推文被一条标准的Twitter DMCA提示消息所取代，指出内容已被删除，以回应版权持有人的报告。CD Projekt Red上周宣布被黑客攻击，并发布了一张黑客要求的赎金截图。 游戏开发商拒绝与黑客合作，也没有支付赎金。据报道，黑客正试图出售他们在攻击中获得的其他数据。         （消息及封面来源：cnBeta）

2月22日上午消息，据报道，广受欢迎的音频聊天室应用Clubhouse曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在，至少有一名网络攻击者证明了Clubhous平台的实时音频是可以被窃取的。 Clubhouse发言人瑞玛·巴纳西（Reema Bahnasy）表示，本周末，一位身份不明的用户能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。 虽然Clubhouse公司表示将“永久禁止”这一用户，并配备了新的“安全措施”以防止此类事件再次出现。但仍有研究人员认为，Clubhouse平台可能永远无法兑现这样的承诺。 2月13日，斯坦福互联网天文台（Stanford Internet Observatory）首次公开提出了Clubhouse的安全问题。该机构周日晚些时候表示，使用这款只有受邀才能使用的iOS应用程序的用户应假定所有对话都会被录音。 Facebook公司前安全主管、SIO现任主管亚历克斯·斯塔莫斯（Alex Stamos）表示：“Clubhouse不能为发生在世界各地的任何一场谈话提供任何隐私承诺。” 斯塔莫斯和他的团队还证实，Clubhouse依靠一家总部位于上海的初创公司Agora Inc.来处理其大部分后台业务。斯塔莫斯称，虽然Clubhouse公司主要负责用户体验，比如添加新朋友和寻找房间，但该平台的数据流量处理和音频制作服务仍然依赖这家中国公司。 斯塔莫斯称，Clubhouse对Agora的依赖引发了广泛的隐私担忧。Agora表示，它不能对Clubhouse的安全或隐私协议发表评论，并坚称不会为任何客户“存储或共享个人身份信息”，Clubhouse只是其中之一。Agora公司表示：“我们致力于使我们的产品尽可能安全。” 上周末，网络安全专家注意到，有一些音频和元数据被从Clubhouse平台移到了另一个网站。位于澳大利亚堪培拉（Canberra, Australia）的Internet 2.0的首席执行官罗伯特·波特（Robert Potter）表示：“一个用户建立了一种与世界其他地方远程共享其登录信息的方法。真正的问题是，人们竟认为这些对话从来都是私密的。” 周末音频盗窃背后的幕后黑手围绕用于编译俱乐部会所应用程序的JavaScript工具包构建了自己的系统。斯塔莫斯认为，他们实际上是临时搭建了平台。SIO公开宣称尚未确定袭击者的来源或身份。 SIO的研究员杰克·凯布尔（Jack Cable）称，虽然Clubhouse拒绝解释究竟采取了哪些措施来防止类似的违规行为，但解决方案可能包括防止使用第三方应用程序访问聊天室音频而不实际进入聊天室，或者只是限制用户可以同时进入的聊天室数量。 最近，Clubhouse以10亿美元的估值融资了1亿美元。自1月中旬以来，Agora的股价已经飙升了150%以上，现在它的市值接近100亿美元。         （消息及封面来源：cnBeta）

在 iPhone 和某些 Android 机型中首次运行应用程序的时候，在使用位置数据之前需要征求你的许可。其中有个选项是只允许本次运行启用定位服务，而不是永久授权该应用程序。但这样严苛的地理位置策略并不意味着就能妥善保护你的数据，尤其在 Android 平台上。近日一项新研究揭示了如何仅从位置信息中就推断出可怕的额外数据量，并提出了处理应用程序可访问的位置数据的新方法，从而更好地保护个人隐私。 来自意大利博洛尼亚大学的 Mirco Musolesi 以及来自英国伦敦大学学院的 Benjamin Baron 两位安全研究专家试图确认通过位置追踪能够收集多少用户个人信息。他们为此开发了一款名为 TrackAdvisor 的应用程序，安装在 69 名用户的设备上。该应用在每台设备上运行了至少两周，追踪了超过 20 万个地点。 该应用识别了大约 2500 个地点，并收集了 5000 条与人口统计学和个性有关的个人信息。TrackAdvisor 只需查看收集到的位置信息，就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等数据。这就是用户会认为是敏感和隐私的数据。 Musolesi 在一份声明中说：“用户在很大程度上没有意识到他们授予应用程序和服务的一些权限对隐私的影响，特别是在涉及位置跟踪信息时。由于机器学习技术，这些数据提供了敏感信息，如用户居住的地方，他们的习惯，兴趣，人口统计学，以及用户的个性信息”。 作者表示，这是第一次广泛的研究，阐明了可以从位置跟踪中了解到什么样的信息。在新闻稿中写道：“因此，这项研究也表明了收集这些信息是如何代表侵犯用户隐私的”。研究人员表示，这样的研究可以为改进应用程序中的位置跟踪政策铺平道路，以更好地保护用户隐私。这将涉及更细化的隐私控制，允许用户选择哪些类型的位置信息不应该与应用程序共享。       （消息及封面来源：cnBeta）

据报道，硅谷顶尖风险投资公司红杉资本周五对投资者表示，在它的一名雇员遭遇网络钓鱼攻击后，该公司的一些个人信息和财务信息可能已被第三方窃取。红杉对投资者表示，目前还没有迹象表明这些被窃信息在暗网上交易，或者遭到不法分子利用。 红杉资本发言人周六证实，该公司“最近经历了一起网络安全事件”，其安全团队正在调查的此事。该公司表示，他们已经上报给执法部门，并且在与外部网络安全专家合作处理此事。 红杉发言人说：“我们很遗憾这次事件已经发生，目前已经通知了受此影响的个人。我们已经大举投资加强安全性，今后仍将继续应对不断发展的网络威胁。” 红杉的投资者被称作有限合伙人，通常包括大型金融机构、大学捐赠基金、私人家族理财室或主权财富基金，但风险投资公司很少会公开分享投资者的信息。 根据Pitchbook的数据，红杉资本是硅谷最老牌、最成功的风险投资公司之一，管理的资产超过380亿美元。这家拥有49年历史的风险投资公司已经投资了Airbnb、DoorDash和23andMe等公司。根据官网信息，它还投资了FireEye和Carbon Black等网络安全公司。 此次黑客入侵似乎与Solarwinds攻击无关，后者对FireEye构成较为严重的破坏，并对政府机构和微软等大型科技公司产生了影响。         （消息及封面来源：cnBeta）

2020年底，全球发生了一起重大网络攻击事件，横跨美国联邦部门、英国、欧洲议会等数千家机构受到影响。据悉，此次事件是由三大公司的供应链攻击引发的。SolarWinds，微软，和VMware， 攻击者能够借此访问大量私人文件和电子邮件。 这次攻击被微软称为 “Solorigate”，总裁布拉德·史密斯（Brad Smith）称其为 “清算时刻”。现在，该公司已经分享了Solorigate调查的最后进展。 微软公司安全、合规和身份认证副总裁Vasu Jakkal得出结论，虽然有国家背景的黑客能够破坏一些初始安全程序，但他们随后被 “统一的人类和数字保护团队”所阻止。她还澄清，公司没有发现客户数据或生产服务被入侵的证据。此外，调查证实，微软软件也没有被用来攻击其他主体。 微软表示，多种因素有助于限制此次攻击的范围，其他安全团队和组织也应该接受这些因素来推进工作。这些因素包括采用零信任安全模式，对凭证进行多因素认证，以及Azure Active Directory和Microsoft 365 Defender等云技术。最后，Jakkal强调，最重要的是公司和团队要共同加强集体防御。 微软安全响应中心(MSRC)接着表示。 虽然我们的内部调查已经结束，但这并不意味着事件会就此平息。这意味着我们依然要保持正常的 “零信任”安全态势，安全团队应该不断努力保护用户、设备和数据免受环境中持续存在的威胁。我们与网络安全社区的合作工作仍在继续，以保护我们免受持续的威胁，随着我们了解到更多的信息，我们将适当地分享学习和指导。 MSRC强调，即使攻击是在2020年12月发现的，各组织都在争分夺秒地减轻威胁，但它的分析显示，恶意行为者在2021年1月也依然在试图访问各类数据。微软已经澄清，在其所有服务中，攻击者只能够查看和下载Azure、Intune和Exchange的少量代码文件。被入侵的代码文件都不包含任何正在生产环境中使用的真实凭证。         （消息及封面来源：cnBeta）

加州车辆管理局（DMV）日前警告说，在一个承包商遭遇勒索软件攻击后，可能出现数据泄露。总部位于西雅图的自动资金转移服务（AFTS）表示，自2019年以来，DMV一直用于与国家数据库核实地址变更，本月早些时候受到了一个不明勒索软件的攻击。 DMV在通过电子邮件发送的一份声明中表示，此次攻击可能已经泄露了“过去20个月的加州车辆登记记录，其中包含姓名、地址、车牌号和车辆识别号”。但DMV表示，AFTS无法获取客户的社会安全号码、出生日期、选民登记、移民身份或驾照信息，并没有被泄露。 DMV表示，此后已经停止了所有向AFTS的数据传输，并在此后启动了一项紧急合同，以防止任何宕机。 AFTS在美国各地被用于处理付款、发票和核实地址。已经有几个市镇确认他们受到数据泄露的影响，这表明它可能并不限于加州的DMV。但目前还不知道是什么样的勒索软件袭击了AFTS。勒索软件通常会对公司的文件进行加密，并会解锁以换取赎金。但由于许多公司都有备份，一些勒索软件组织威胁说，除非支付赎金，否则将把被盗文件公布在网上。 AFTS无法立即获得评论。它的网站已经离线，并有一条简短的消息。“AFTS的网站和所有相关的支付处理网站由于技术问题而无法使用. 我们正在努力尽快恢复它们。” “我们正在研究实施更多的措施来加强安全性，以保护车管所和与我们签订合同的公司所持有的信息，”加州DMV局长史蒂夫·戈登说。 据报道，去年加州DMV通过出售司机的个人信息，包括向债券商和私人调查员出售信息，每年赚取超过5000万美元。 加州有超过3500万辆注册车辆。       （消息及封面来源：cnBeta）

去年 12 月，知名网络安全公司 Avast 在 Chrome 和 Edge 扩展商城上发现了 28 个含有恶意代码的扩展程序，有超过 300 万互联网用户受到影响。今天，Avast 进一步披露了该恶意代买 CacheFlow 的相关细节。所幸的是自 2020 年 12 月 18 日起，谷歌和微软均已将所有恶意扩展删除。 这些恶意扩展程序之所以能够躲避谷歌和微软严苛的安全审查，关键原因在于该恶意扩展会尝试使用分析请求的 Cache-Control HTTP 标头来隐藏其命令并控制秘密通道中的流量。Avast 认为这是一项新的技术。Avast 认为攻击者增加了 Google Analytics（分析）样式的流量不仅是为了隐藏恶意命令，而且扩展作者也对分析请求本身感兴趣。 Avast 认为攻击的步骤如下： 基于 Avast 的遥测数据，受影响最严重的三个国家和地区是巴西、乌克兰和法国。 这些恶意扩展程序伪装成工具，帮助用户下载 Facebook、Instagram 等社交媒体或 Vimeo、Spotify 等流媒体平台网站中的内容，但其中的恶意代码允许下载恶意程序来窃取用户敏感数据，重定向到广告和钓鱼网站。 Avast表示，这28个扩展包含可能执行一些恶意操作的代码，包括: ● 将用户流量重定向到广告 ● 将用户流量重定向到钓鱼网站 ● 收集个人数据，如出生日期、电子邮件地址和活动设备 ● 收集浏览历史 ● 擅自在用户设备上下载更多的恶意软件           （消息及封面来源：cnBeta）