Bleeping Computer 网站披露，加利福尼亚州 Heritage Provider Network（全美最大的综合医疗服务网络之一） 中多个医疗机构遭遇勒索软件攻击，大量患者敏感信息泄露。 据悉， 此次勒索软件攻击影响的医疗机构包括 Regal medical Group、Lakeside medical Organization、ADOC medical Group 和 Greater Covina medical 等。 2 月初，受影响医疗机构集体发布一份安全通知，透漏此次攻击事件约 330 万名患者敏感数据暴露，并表示已经与加利福尼亚州总检察长办公室报告了攻击事件。 大量患者敏感数据被盗 从安全通知披露的信息来看，2022 年 12 月 1 日，勒索软件攻击开始行动，次日， 一名 Regal 员工注意到内部系统存在安全问题，立刻上报，在第三方网络安全专家协助调查下，Regal medical Group 确定恶意软件已感染其服务器，立刻启动了系统恢复程序。 根据日志审查，可以确定以下数据已被泄露： 患者全名； 社会保障号码（SSN）； 出生日期； 住址； 医疗诊断和治疗记录； 实验室测试结果； 处方数据； 放射学报告； 健康计划成员编号； 电话号码； 勒索软件攻击者窃取上述敏感数据，以期后续向医疗机构勒索赎金。 Regal 表示将尽一切努力帮助泄露信息的患者。此外，Regal 医疗机构指出为保护敏感患者信息免受未经授权的访问，其内部网络已经强化了安全措施并使用更严格的协议，以防止类似事件发生。 最后，网络安全专家提醒受影响的患者应注意网络钓鱼攻击、诈骗、社会工程或使用被盗数据的勒索，如果不确定电子邮件或文本是否合法，直接忽略或联系医生确认是否有效。       转自 Freebuf，原文链接：https://www.freebuf.com/news/357409.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客论坛上公开分享了一份美国”禁飞名单“，该名单上有超过 150 万名被禁飞者和超过 25 万名“被选中者”的数据信息。 目前，Bleeping Computer 已确认列表名单与 CommuteAir 航空服务器上发现的 TSA 禁飞列表名单相同。 黑客论坛公开分享“禁飞名单” 2023 年 1 月份，Daily Dot 记者 Mikael Thalen 报道瑞士黑客 maia arson crimew 偶然发现一个包含 TSA 禁飞名单的 AWS 服务器。据悉，该服务器属于俄亥俄州 CommuteAir 航空公司，尽管早些时候可能已采取措施修补漏洞，但截至 1 月 26 日，禁飞名单仍在一个可公开访问的黑客论坛上”浮现“。 美国禁飞名单在一个黑客论坛上公开分享（Bleeping Computer） Bleeping Computer 查看禁飞名单列表的一部分，这些列表以两个名为 “NOFLY（禁飞名单）”和“SELECTEE”的 CSV 文件的形式列出了一些飞往美国时在机场接受二级安检（SSSS）的乘客。黑客论坛上公布的禁飞名单包含 1566062 条记录（部分重复），SELECTEE 名单包括 251169 条记录，重复和别名意味着暴露的姓名总数少于 150 万。 值得一提的是，两个列表都包含用户的名、姓、潜在的别名和出生日期。据黑客称，这些名单是 2019 年的。据 Daily Dot 观察，列表名单提到了俄罗斯军火商维克托·布特及其 16 个潜在化名。 禁飞名单无疑是国家机密，据悉，美国联邦调查局 TSC（恐怖分子筛查中心）是多个联邦机构用来管理和共享反恐综合信息，该机构就有一个名为“恐怖分子筛查数据库”的观察名单，有时也称为“禁飞名单” ，考虑到这些数据库在协助国家安全和执法任务方面发挥着至关重要的作用，因此绝对保密，即使不是“机密”信息，也被视为敏感的资料。 因此，禁飞名单通常不为公众所知，但是私营航空公司和国务院、国防部、运输安全局（TSA）、海关和边境保护局（CBP）等多个机构都会参考这份名单，以检查乘客是否被允许飞行，是否能够进入美国。 包括鲍勃·迪亚琴科（Bob Diachenko）在内的研究人员此前就已发现互联网上暴露的秘密恐怖分子监视名单，但这些信息早在主流新闻报道之前就被修补好了。然而，此次“禁飞名单”是第一次在公众可访问的网站上共享。 有趣的是，与此次黑客论坛上发布的名单相比，迪亚琴科在 2021 发现的名单相当详细，其中姓名、性别、护照号码，甚至护照签发国、观察名单 ID 等字段都包含。 美国政府正在调查“禁飞名单”泄露事件 尽管此次安全漏洞源于一家航空公司的 AWS 服务器，但这种行为足够使美国政府机构感到震惊。目前，美国政府官员和立法者都在调查此事。 1 月 27 日，美国运输安全管理局向机场和航空公司发布了安全指令，旨在强化处理敏感安全信息和个人身份信息的现有要求，以保护系统和网络免受网络攻击。 除此之外，据一位知情人士透漏，没有任何 TSA 信息系统被破坏，联邦机构已向所有航空公司发布了行业安全意识信息，以审查其系统并立即采取行动确保其文件受到保护。 CommuteAir 表示，截至目前没有客户数据被泄露，公司也向网络安全和基础设施安全局报告了数据暴露情况，并通知其员工。 1 月 26 日，美国国土安全委员会成员在信中强调，黑客声称其可能已经能够利用服务器，取消或推迟航班，甚至换掉机组成员，如果情况属实，会严重影响国家安全。 注：黑客 maia arson crimew，此前使用 deletescape、antiproprietary 和 Tillie Kottmann 等别名，曾被美国以共谋、电信欺诈和严重的身份盗窃（PDF）起诉。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356083.html 封面来源于网络，如有侵权请联系删除

美国国家档案与记录管理局（NARA）今天发布更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。 一般记录时间表（GRS）明确了联邦机构必须保留的记录类型，以及在多长时间后可以删除或以其他方式进行销毁的处置规定。 GRS Transmittal 33已经在国家档案与记录管理局官网和联邦公报上发布，其中提出的新规则包括两类网络安全日志记录的保留要求： 完整的数据包捕捉数据（PCAP）至少保留72小时， 网络安全事件日志必须保存长达30个月。 根据新规则，如果已经“授权用于商业用途”，则两种类型的记录均可留存更长时间。 这是自2014年确立以来，GRS的信息系统安全记录条款做出的首次更新。 数据包捕捉数据是指经由网络传输的所有数据包的概要信息。这些数据对于网络安全取证工作至关重要，其中记录着网络上所有连接设备之间的一切数据往来情况。 GRS Transmittal 33文件指出，考虑到包含“网络威胁的检测、调查和补救”等一切相关数据和行动，应进一步细化网络安全事件日志的粒度。 美国政府持续改进安全日志留存、使用规定 这两种记录最初由2021年5月的第14028号总统行政令（Cyber EO）提出，随后在2021年8月的一份备忘录（M-21-31）文件中得到进一步细化。该备忘录指示各机构在发生安全事件时与应与网络安全和基础设施安全局、联邦调查局开展合作，包括共享关键安全日志。 现在，国家档案与记录管理局发布的更新文件明确了这些记录需要保存多长时间及具体留存要求。 更新文件指出，这两类记录“与介质形式密切相关”，因此仅适用于这些记录的电子版本。留存要求也仅适用于日志记录，并不涉及仍在持续记录的底层数据。 更新文件提到，“一般记录时间表涵盖了联邦机构所创建和维护的，与保护信息技术系统、数据安全以及响应计算机安全事件相关的记录。此时间表不适用于系统数据或内容。”   转自 安全内参，原文链接：https://www.secrss.com/articles/50985 封面来源于网络，如有侵权请联系删除

据悉，美国铁路巨头 Wabtec Corporation 披露了一起数据泄露事件，该事件暴露了个人和一些敏感信息。Wabtec Wabtec是全球铁路行业世界上最大的附加值、以技术为基础的设备和服务提供商之一。该公司拥有约 25,000 名员工，业务遍及 50 个国家，是世界货运机车市场的领导者和运输领域的主要参与者。该公司 2021 年的财务业绩78 亿美元，据报道，Wabtec 在全球运营的 23,000 台机车运输了全球 20% 的货运量。 Wabtec披露数据泄露 Wabtec 在年底发布的公告中表示，黑客早在 2022 年 3 月 15 日就破坏了他们的网络并在特定系统上安装了恶意软件。6 月 26 日，Wabtec 表示，他们在其网络上检测到异常活动，因此对此次攻击以及黑客是否窃取了数据进行了调查。次日， 新闻媒体报道称，Wabtec 一家工厂的消息来源表明，这是一场影响这家铁路巨头的勒索软件攻击。该公司并未正式回应传闻。 几周后，LockBit 发布了从 Wabtec 窃取的数据样本，并最终在 2022 年 8 月 20 日泄露了所有被盗数据，大概是在Wabtec未支付赎金之后。 正如 Wabtec 现在解释的那样，它对该事件的调查于2022年11月23日结束，当时数据审查专家确认 LockBit 窃取了包含敏感个人信息的文件。这些被盗数据暴露了各种敏感信息，包括： 全名， 出生日期， 非美国国民身份证号码， 非美国社会保险号码或财政代码， 护照号码， IP地址， 雇主识别号码 (EIN)， USCIS 或外国人登记号， NHS（国民健康服务）编号（英国）， 医疗记录/健康保险信息， 照片，性别， 工资、社会安全号码（美国）、 金融账户信息， 支付卡信息， 账户用户名和密码， 生物识别信息， 种族/民族， 刑事定罪或犯罪， 宗教信仰， 工会隶属关系 虽然没有迹象表明任何特定信息已经或将被滥用，但考虑到事件的性质和受影响的个人数据，但不能排除有人试图进行欺诈活动。出于这个原因，Wabtec 鼓励个人通过审查他们的财务账户报表和信用报告是否有任何异常情况，对身份盗用和欺诈事件保持警惕。 据悉，该公司于 2022 年 12 月 30 日开始向所有受影响的个人发送数据泄露通知，但受此事件影响的确切人数仍未披露。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/qFqwz6Fhs0d6lUT6MuZC8g 封面来源于网络，如有侵权请联系删除

12月23日，美国众议院与参议院拨款委员会通过一项1.7万亿美元的综合支出法案，确定2023财年的政府运营资金。12月29日，美国总统拜登签署该法案。 《2023财年综合拨款法案》的文本内容总计4155页，包括已经通过的8580亿美元国防开支（2023财年国防授权法案已签署通过）和其他8000亿美元非国防预算，里边涉及一系列重要的网络安全项目。 美国参议院国土安全小组委员会主席、参议员Christ Murphy表示，“这项法案是各方合理让步的结果，我为能有这样一份管理边境、抵御国家网络威胁、保护海岸线与机场的负责任法案而感到自豪。” 美国众议院国土安全小组委员会主席Lucille Roybal-Allard也说，“今年国土安全部的拨款法案对于美国国内、海上及边境安全做出了历史性投资，将保护关键网络与物理安全基础设施，以及支持救灾工作。” 法案中的关键网络安全条款 该法案数十次提及网络安全议题，凸显出联邦政府已将网络安全支出纳入常规例程。法案中的以下网络安全条款，凭借突出性、涉及的金额、首次出现在年度拨款流程内或立法者的高度重视而特别值得关注。 CISA拨款29亿美元创下纪录： 该法案为网络安全与基础设施安全局（CISA）拨款29亿美元，较2022财年高出3.135亿美元（12%），较总统预算提案高出3.964亿美元。立法者们还特别划拨了几笔CISA资金，包括： 超17亿美元用于网络安全工作，包括“保护同样有利于州、地方、部落及领地（SLTT）政府网络的联邦民用网络”； 2.142亿美元用于进一步推进CISA的安全运营，其中包括为联邦网络防御协作（JCDC）增拨的1700万美元； 为多州信息共享与分析中心（Multi-State Information and Analysis Center）增拨1600万美元，预算总额达4300万美元； 4600万美元用于跨联邦、州、地方、部落及领地政府与关键基础设施网络，建立“威胁搜寻与响应能力”； 1700万美元用于“紧急通信准备”； 另外3200万美元用于“提高区域运营能力”。 2023年乌克兰补充拨款法案： 作为总支出计划的一部分，此法案将拨款5000万美元用于解决来自俄罗斯及其他恶意黑客的网络安全威胁。 人事管理办公室：新法案为人事管理办公室提供4.22亿美元，用于“实现网络安全与招聘计划”，增拨4920万美元。 国家科学基金会：新法案为国家科学基金会的CyberCorps计划提供6900万美元，较去年增加600万美元。如果学生同意毕业后在政府从事网络安全工作，此计划将为他们提供奖学金。 财政部：新法案划拨1亿美元的补充资金作为工资和开支，用于增强财政部运营系统的网络安全水平。 国家网络总监办公室：新法案为国家网络总监办公室提供2192.6万美元资金。 特勤局：新法案拨款2300万美元，并重新授权特勤局继续运营国家计算机取证研究所。取证研究所属于国家培训中心，供执法人员学习调查和打击网络与电子犯罪的相关技能。 商务部：新法案专门拨款3500万美元，用于商务部的技术现代化与网络安全风险缓解。 国土安全部（DHS）：新法案为国土安全部情报和网络安全多元化奖学金拨款300万美元。 禁止政府部门手机上使用TikTok 尽管中国企业字节跳动一直在努力与美国外国投资委员会（CFIUS）达成妥协协议，以缓解其广受欢迎的TikTok视频应用引发的国家安全担忧，但新法案仍禁止在政府行政机构的手机上使用TikTok。 新法案要求美国白宫管理与预算办公室（OMB）及总务署署长、CISA局长、国家情报署署长及国防部长共同协商，在两个月内为各执行机构制定删除TikTok应用的标准和操作指南。 该法案颁布后，美国众议院议长立即禁止众议员及工作人员使用TikTok。TikTok方面一位发言人表示，“我们对国会禁止在政府设备上使用TikTok感到失望，此项措施属于无助于促进国家安全利益的政治姿态。外国投资委员会正在审查一项鼓励政府结束国家安全审查的协议，这份协议才是解决联邦及州一级政府所提出安全问题的意义之举。” 对中国等实施采购限制 新法案规定，根据美国国家标准与技术研究院（NIST）的规定，任何政府机构不得使用政府资金，为“具有中/高影响度的信息系统”向从China科技巨头华为或中兴购买电信设备。 法案还进一步指出，各级机构不得将任何资金用于购买China开发的技术，包括生物、数字、电信及网络等技术，除非国务卿及国际开发署署长等其他联邦机构负责人共同协商并酌情确定具体应用不会对美国国家安全产生不利影响。 此外，任何机构不得将资金花在由China、伊朗、朝鲜或俄罗斯持有、管理或资助的实体商，除非联邦调查局或其他相关联邦实体已经完成网络间谍或破坏风险评估。 报告外国勒索软件攻击及其他网络攻击活动 新法案还纳入了勒索软件法案，要求联邦贸易委员会（FTC）在2025年和2027年向国会提交报告，详细说明来自China、朝鲜、伊朗或俄罗斯的勒索软件事件或其他网络攻击的数量和类型。法案还要求联邦贸易委员会分享与这些事件相关的诉讼信息，并推荐新的法律与商业判例，以增强美国组织抵御数字威胁的能力。 保障医疗设备网络安全 最后，新法案修订了《联邦食品、药品和化妆品法案》，要求医疗设备制造商符合特定网络安全标准。其中一项要求是向食品药品监督管理局长提交一份计划，以监测、识别和解决上市后的网安漏洞与漏洞利用问题，包括协调漏洞披露与相关程序。 生产商须确保其设备及相关系统的安全性，并发布售后软件与固件更新和补丁。设备制造商还须向食品药监局长提交软件材料清单（SBOM），其中包含设备所使用的一切现成、开源及关键组件。 新法案进一步要求食品药监局在未来180天内及之后每年，发布关于改善医疗设备网络安全的额外资源和信息，包括帮助医疗保健提供商、卫生系统及设备制造商识别和解决网络漏洞的信息。另外，政府问责局（GAO）也须在一年内发布一份报告，确定医疗保健提供商、卫生系统、患者及设备制造商在解决漏洞上面临的挑战，以及联邦机构应如何加强协调以提高设备网络安全水平。     转自 安全内参，原文链接：https://www.secrss.com/articles/50668 封面来源于网络，如有侵权请联系删除

美国国会上周五通过的2023财年综合拨款法案中包含一份“圣诞彩蛋”，倡导开发者使用可支持内存安全的编码语言，以阻止网络对手利用绝大多数软件漏洞。 “有史以来第一次，国会将内存安全纳入法律，要求国家网络总监研究政府层面的内存安全问题。总体法案预计将在本周通过。为在参议院期间参与制定这项法规感到自豪！”知名安全研究员Jack Cable昨天发布推文称。 Cable推文中引用的法案原文采用了更保守的用词，称“鼓励”国家网络总监研究和报告内存安全问题，而非“要求”，并提到国家网络总监办公室的领导作用仍在不断变化。 非内存安全语言存在较高安全隐患 与此同时，美国国家安全局和网络安全与基础设施安全局一直在密切关注编码语言的影响，承认多数语言并不会自动检查和控制软件开发者的内存管理方法。 网络安全与基础设施安全局高级技术顾问Bob Lord在内部网络安全咨询委员会12月6日的会议上表示，“我们年复一年，甚至可以说十年如一日地发现各类漏洞，而其中约有三分之二”跟内存管理问题有关。 在11月公布的一份信息表中，NSA表示，“质量低下或粗糙的内存管理设计，可能令恶意黑客获得可乘之机，例如随意令程序崩溃、或者篡改正在执行的程序指令以完成任何恶意操作。” 内存安全语言可解决问题，但性能消耗大 NSA认为“软件程序的内存管理机制是预防各类漏洞、保障程序健壮性的核心所在”，并建议开发者应尽可能使用内存安全语言。 典型内存安全语言包括JavaScript、Ruby、Python等。NSA指出，与C、C++等常见的非内存安全语言不同，内存安全语言可以“控制内存的分配、访问和管理方式，在很大程度上提供安全保护。” 当然，这其中也存在着权衡取舍。内存安全语言的默认检查可能会耗费大量时间和开发资源。 NSA表示，“对于极端强调内存保护的语言，即使是简单程序的编译也涉及大量检查和保护工作。必须承认，内存安全也带来了高昂的性能和灵活性成本。” 另一方面，手动检查代码中的内存管理错误同样耗时耗力，考虑到可能引发的网络攻击后果，其成本可能更为沉重。 美国政府呼吁采用内存安全语言 在12月6日的会议上，网络安全与基础设施安全局长Jen Easterly强调了技术在“设计层面上保障安全”的重要意义。她认为应当“继续呼吁软件开发企业以完全透明的方式，从设计出发构建切实安全的产品。” 除了鼓励开发商改用内存安全编程语言之外，NSA的文件还列出了推荐工具，可用于测试应用程序是否存在易遭对手利用的内存管理错误。 考虑到开发人员已经习惯于使用非内存安全语言的软件库，并积累起大量相关专业知识，国安局承认这种开发范式转换绝非易事。 Lord总结称，“好消息是，新兴的内存安全编程语言已经存在，其他配套技术、硬件和保障性元素也陆续问世。所以，我们已经有了可行的解决方案。接下来的重点是提高人们的安全意识，现在各相关组织是时候行动起来了。”   转自 安全内参，原文链接：https://www.secrss.com/articles/50499 封面来源于网络，如有侵权请联系删除

当地时间12月23日，美国国会通过了支出法案，其中包含禁止在政府设备上安装TikTok。 美国共和党和民主党的立法者及联邦调查局局长克里斯托弗·雷都表示，担心TikTok的所有权结构可能会使美国用户数据容易受攻击。目前，该法案需由乔·拜登总统签署后成为法律。 TikTok方面一直努力与美国政府达成协议，通过美国外国投资委员会缓解政府对国家安全担忧。TikTok发言人在一份声明中表示，“国会已经采取行动禁止在政府设备上使用TikTok，这是一种政治姿态，无助于促进国家安全利益。”TikTok 正在制定安全和数据隐私计划，作为乔·拜登总统政府正在进行的国家安全审查的一部分。 据了解，部分美国大学开始限制校内设备或校园网络访问TikTok。俄克拉荷马大学在一份电子邮件中表示，为了遵守州长立即生效的第2022-33号行政命令，所有大学工作人员或学生不得在大学拥有或运营的设备上访问TikTok应用或网站，包括大学的有线和无线网络。佐治亚州大学系统的26所大学和学院也在采取类似的措施。 前不久，字节跳动解雇了若干名员工，称其违反公司的行为准则。据Security Affairs报道，几名员工访问了两名记者的TikTok数据，以调查公司信息泄露给媒体的事件。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/353538.html 封面来源于网络，如有侵权请联系删除

2023财年《国防授权法案》已在本周二公布。未来几天，美国国会准备就总预算8580亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。 以下是2023财年《国防授权法案》中涉及网络元素的重要内容，以及这份最新法案中一些值得注意的“遗漏”点。 积极推动前出狩猎、政务云安全、间谍软件管理等 首先，美国国会计划向网络司令部拨款4400万美元，用以加强“前出狩猎”（hunt forward）行动，这是网络司令部“持续交战”战略的组成部分。所谓“前出狩猎”，是指在网络空间与对手持续开展快速互动。网络司令部报告称，其前出狩猎行动已在全球至少35个国家50多个外国网络展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。 此次立法还要求，在国防部设立一名负责网络政策的助理部长，并且国防部长每年须向国会介绍网络司令部和国家安全局之间的合作情况。 如果总统确定有“外国势力在网络空间”针对美国政府或关键基础设施“发动积极的、系统的、持续的攻击活动”，该法案授权网络司令部可在总统批准的情况下在“外国网络空间”内开展行动。 拜登政府最近刚刚结束对“双帽”领导结构的评估。在这一架构下，国家安全局和网络司令部将由同一个人负责。虽然评估已经完成，但政府尚未对是否结束这种架构给出正式建议。 法案提出，在国务院内设立了新的网络空间和数字政策局，目前由前外交官Nate Fick负责领导。 新版《国防授权法案》还要求到2032年选举期之前，每两年发布一份非机密报告，用于介绍网络司令部在选举安全方面所做的工作。此外，法案要求由网络安全与基础设施安全局（CISA）设计并组织免费的网络安全培训。 法案还要求改革联邦风险和授权管理计划（FedRAMP），特别是其中涉及云服务商的网络安全授权制度。 法案同样关注到隐私问题，要求对美国情报部门如何使用商业间谍软件设置护栏条款。其中要求包括FBI、CIA和国家安全局（NSA）在内的各情报机构在90天内向国会提交报告，评估间谍软件对美国构成的威胁。 此次立法还扩大了国家情报总监的权力，其可以指导各情报机构如何使用间谍软件，包括禁止情报界采购或批准使用间谍软件的权力（但豁免情形可能仍然有效）。法案要求国家情报总监发布最佳实践，指导各情报机构预防间谍软件入侵。 预计白宫将在明年初发布行政令，就如何限制联邦机构使用可能构成国家安全风险的间谍软件做出指导。 两项提议未能推进 准备交付国会的法案最终版本中，也有一些例外情况。 《国防授权法案》去掉了一项修正案，即在联邦采购流程中强制提供软件材料清单（SBOM）的要求。之所以将其删除，是因为软件行业对此展开了激烈批评。 法案最初要求“一切当前合同持有人，以及响应美国国土安全部提案请求的各方，应提供材料清单并证明清单中的各项目不存在漏洞或缺陷。” 此外，直到最终表决阶段，法案仍未对“具有系统性重要意义的实体”或者重要关键基础设施的具体定义做出确切解释。这是因为一旦解释明确，则某些关键基础设施运营商将被迫接受更严格的数字安全标准。 网络空间日光浴室委员会前执行主任Mark Montgomery表示，法案中网络安全标准的退让“令人失望”。很明显，无论是Montgomery自己的呼吁，还是国土安全部长Alejandro Mayorkas对于“此类基础设施的优先级次序”的强调，都未能推动立法层面的实质性变革。   转自 安全内参，原文链接：https://www.secrss.com/articles/49855 封面来源于网络，如有侵权请联系删除

安全内参12月5日消息，日前，有安全研究人员详细介绍了一个新漏洞，据称攻击者可使用该漏洞，远程解锁全球任意位置的本田、日产等品牌汽车。 此次漏洞披露凸显出现代汽车联网系统的又一缺陷，特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上，这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度，希望借此从上万种不同车型中提取大量数据，比如密码、地理位置等。 汽车数据取证成执法人员办案利器 美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候，从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示，负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录，也确实从车载计算机中获得了大量有价值证据。与此同时，隐私倡导者则发出警告，称现代汽车堪称“车轮上的监控探头”。 “虽然我们还不知道海关及边境保护局（CBP）和移民海关执法局（ICE）具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击……” Eleni Manis, S.T.O.P.研究主任 在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中，一名巡逻警员写道，负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息，“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪，包括对所调查犯罪行为的了解、动机和自愿性”。 巡逻警员还提到，信息娱乐系统还会暴露用户密码，但没有提供具体细节。今年10月，密苏里州酒精、烟草、火器和爆炸物管理局（ATF）提交的一份搜查令中也做出类似的表述，但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据，但可以认定这种风险真实存在：之前曾有报道称，特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。 另外，ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”，并且“有望在无需访问手机本身的情况下，通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到，使用这种数字技术能够入侵多种主流车型，包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。” 黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实，只要在车身看一眼VIN码，就能查询到大量相关信息，这也凸显出VIN码公开的“可怕后果”。他补充道，“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目，全都可以用VIN码进行查询。” 美国执法机构采购汽车取证预算创历史纪录 为了从被扣押的汽车身上获取有用数据，美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算，供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据，供当地/联邦执法部门以及军事机构使用。 根据政府合同记录，今年8月，海关及边境保护局在iVe上的花费超过38万美元，几乎是过去两年来最大单笔采购金额（5万美元）的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务，今年9月更是在iVe身上花掉了50万美元，超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中，海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。 在警方深入调查现代汽车中的大量个人信息时，隐私保护组织们对此深感忧心。今年10月，监控技术监督项目（S.T.O.P.）发布一份报告，警告称“从汽车上收集到的数据比手机数据更详细，并且获取车载数据的法律和技术门槛反而更低。” S.T.O.P.研究主管Eleni Manis认为，海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。 她总结道，“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查，包括轻松访问汽车的历史位置记录、常去的地方，乘客的家人和社交联系人、彼此间的通话记录，甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击。” 截至本文发布时，海关及边境保护局与移民海关执法局均未回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/49723 封面来源于网络，如有侵权请联系删除

近日，美国联邦贸易委员会（Federal Trade Commission，FTC）公布了一项特殊的处罚决定：勒令一家名为「Everalbum」的公司删除其从客户手中收集的照片，以及利用这些数据训练出的所有算法。 “通过面部识别，公司可以将亲友的照片转换为敏感的生物识别数据，”FTC消费者保护局局长安德鲁史密斯说，“确保公司信守对客户关于如何使用和处理生物识别数据的承诺将继续是FTC的高度优先事项。” Everalbum提供了一个名为“Ever”的应用程序，允许用户从他们的移动设备、计算机或社交媒体帐户上传照片和视频，以使用该公司基于云的存储服务进行存储和整理。FTC在诉状中称，2017年2月，Everalbum在Ever应用程序中推出了一项名为“朋友”的新功能，该功能使用面部识别技术将出现在照片中的人的面孔分组，并允许用户按姓名“标记”人。据称，Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。 Everalbum表示，在2018年7月至2019年4月期间，除非用户确定选择激活该功能，否则它不会将面部识别技术应用于用户的内容。尽管从2018年5月开始，该公司允许一些位于伊利诺伊州、德克萨斯州、华盛顿州和欧盟的Ever应用程序用户选择是否打开人脸识别功能，但它在2019年4月之后对所有其他用户自动激活，并且无法关闭。 FTC诉称，Everalbum将面部识别应用于Ever应用程序用户的照片不仅限于提供“朋友”功能。在2017年9月至2019年8月期间，Everalbum将从Ever用户照片中提取的数百万张面部图像与Everalbum从公开数据集中获得的面部图像相结合，创建了四个数据集，用于开发其面部识别技术。起诉书称，Everalbum使用其中一个数据集产生的面部识别技术来提供Ever应用程序的“朋友”功能，并开发面部识别服务出售给其企业客户；但该公司没有与这些客户共享Ever用户照片、视频或含有个人信息的图像。 根据起诉书，Everalbum还向用户承诺，将删除停用其帐户的Ever用户的照片和视频。然而，FTC声称，至少在2019年10月之前，Everalbum还未删除任何已停用帐户的照片或视频，而是无限期保留它们。 拟议的和解要求Everalbum删除： Ever应用程序停用帐户的照片和视频； 所有人脸嵌入——可以用于面部识别目的的、反映面部特征的数据，都是来自未明确同意使用的Ever用户的照片； 使用Ever用户的照片或视频开发的任何面部识别模型或算法。 此外，拟议的和解协议禁止Everalbum歪曲其收集、使用、披露、维护或删除个人信息的方式，包括使用面部识别技术创建的人脸嵌入，以及在多大程度上保护其收集的个人信息的隐私和安全。根据拟议的和解协议，如果该公司向消费者销售供个人使用的软件，在使用通过该软件收集的用户生物特征信息创建面部嵌入或开发面部识别技术之前，必须获得用户的明确同意。 委员会以5比0的投票结果发布了拟议的行政投诉，并接受了与公司达成的同意协议。 转自 安全内参，原文链接：https://www.secrss.com/articles/49617 封面来源于网络，如有侵权请联系删除