Security

 

  • DNA 检测初创公司 Veritas Genetics 确认发生数据泄露

    DNA 检测初创公司 Veritas Genetics 确认发生数据泄露

    DNA 检测初创公司 Veritas Genetics 表示,他们发生了一次数据泄露,导致一些客户信息在未经授权的情况下被人访问。 这家总部位于马萨诸塞州丹弗斯的公司表示,其面向客户的门户网站 “最近” 遭到了入侵,但没有说明在何时被攻击。尽管门户网站并不包含检测结果或医疗信息,但该公司拒绝透露哪些信息遭到了泄漏,只是说仅有少部分客户受到了影响。 该公司尚未发表任何公开声明,也没有在其网站上提到数据泄漏事件。 Veritas Genetics 的发言人罗… → 阅读更多

  • 沙特联络 Twitter 员工窃取社会活动家个人信息

    沙特联络 Twitter 员工窃取社会活动家个人信息

    根据最近公开的法庭文件,沙特官员向 Twitter 的至少两名员工支付费用,以获得政府感兴趣的用户个人信息。这些用户早在 2015 年就被告知过存在这样的企图,但整个情况直到最近才浮出水面。 美联社援引美国联邦起诉书报道称,沙特政府与这两名员工艾哈迈德·阿布阿姆莫(Ahmad Abouammo)和阿里·阿尔扎巴拉(Ali Alzabarah)进行了接触,承诺如果他们能检索到某些用户的个人信息,就会获得 “一块名牌手表和数万美元” 的报酬。 阿布阿姆莫负… → 阅读更多

  • 谷歌与移动安全公司合作从 Play 商店过滤恶意应用

    谷歌与移动安全公司合作从 Play 商店过滤恶意应用

    谷歌已经与移动安全公司 ESET、Lookout 和 Zimperium 合作,打击潜入谷歌 Play 应用商店的恶意 Android 应用。 谷歌于本周三宣布了这项合作,每家公司都确认,自身参与了新成立的 “应用防御联盟”。谷歌表示,通过这些合作,“在糟糕的应用进入用户设备前就可以做出拦截”。 最近几年,谷歌一直在努力打击恶意应用。尽管应用在谷歌 Play 上架前需要接受反恶意软件的检查,但谷歌仍然被指责,在恶意应用达到用户设备之前… → 阅读更多

  • “世界最大” 儿童性剥削网站覆灭背后的故事

    “世界最大” 儿童性剥削网站覆灭背后的故事

    周三上午,美国司法部宣布,他们对 “世界最大” 暗网儿童性剥削市场的管理员和数百名用户提起诉讼。 对我来说,这标志着两年来一个我想报道的新闻事件的终结。 在 2017 年 11 月时,我任职于哥伦比亚广播公司(CBS),担任该公司旗下科技新闻网站 ZDNet 的安全编辑。有一天,一个黑客组织通过加密聊天联系到了我,他们声称自己侵入了一个暗网网站,而该网站运营着大规模的儿童性剥削市场。我被惊呆了,我之前曾跟这个黑客组织有过交流,但从没涉及到这种事情。 这个… → 阅读更多

  • Twitter 承认:利用安全功能获得的电话号码和邮箱地址投放精准广告

    Twitter 承认:利用安全功能获得的电话号码和邮箱地址投放精准广告

    Twitter 本周承认,用户提供电话号码和电子邮件地址对他们的帐号进行双因子验证,而 Twitter 利用了这些信息去投放精准广告。 Twitter 周二披露了此事,但表示不清楚有多少用户受到影响。 这个问题源于 Twitter 的 “订制受众” 计划。参与该计划的公司可以向他们选择的营销列表,例如电话号码和电子邮件地址,投放精准广告。然而 Twitter 发现,当广告主上传他们的营销列表时,Twitter 会将用户与双因子验证使用的电话号码和电子邮件地址… → 阅读更多

  • 苹果:iOS 13 和 iPadOS 存在第三方输入法漏洞

    苹果:iOS 13 和 iPadOS 存在第三方输入法漏洞

    苹果向用户发出警告,iOS 13 和 iPadOS 中存在一个牵涉第三方输入法的漏洞。 在周二发布的一份支持文档中,这家科技巨头表示,该漏洞会影响到那些有能力请求 “完整权限” 许可的第三方输入法。 上周,苹果发布了 iOS 13。周二,苹果又推送了 iOS 13.1 和 iPadOS 13.1,后者是适用于 iPad 的移动操作系统。 第三方输入法既可以作为独立应用运行,也可以在获得 “完整权限” 后跟其他应用进行通信,或者是在联网后实现额外功能… → 阅读更多

  • 新版火狐浏览器默认拦截 cookie 防止用户被网站跟踪

    新版火狐浏览器默认拦截 cookie 防止用户被网站跟踪

    从今天开始,更新到最新版火狐的用户将会发现,桌面端和 Android 端火狐浏览器将提供更多的隐私保护设置,而前提是他们尚未启用防 cookie 跟踪功能。 Mozilla 曾于 6 月份发布 “增强追踪保护”(ETP)功能,作为提供给新用户的默认设置。但当时,火狐浏览器老用户的设置仍保持不变。 现在,通过在火狐 v69.0 中全面调整默认设置,这方面问题正在得到解决。 该功能明确瞄准了跟踪互联网用户的第三方 cookie。这些 cookie 通常都有着令人毛骨悚… → 阅读更多

  • 美国边境官员开始因手机内可疑社交媒体内容拒绝旅客入境

    美国边境官员开始因手机内可疑社交媒体内容拒绝旅客入境

    由于美国边境官员要求旅行者对他们在设备上接收的信息、图像和视频负责,越来越多旅客被拒绝入境美国。 许多外国人因为朋友、家人甚至陌生人通过 Facebook 和 Twitter 等社交媒体网站,以及 WhatsApp 等加密消息应用发来的信息、图片和视频,被美国拒之门外。这种情况非常离奇。 在最新案例中,一名居住在黎巴嫩即将前往哈佛大学读书的巴勒斯坦新生被拒绝入境。 有报道称,波士顿洛根国际机场的移民官对 17 岁的伊斯梅尔·阿加维(Ismail Ajjawi)的宗教信仰和习俗进行… → 阅读更多

  • Facebook 被曝未经许可转录用户的音频消息

    Facebook 被曝未经许可转录用户的音频消息

    “隐私才是未来。” 显然,Facebook 还有很长的路要走。 Facebook 成为又一家因处理用户数据做法而遭到严格审视的科技巨头,此前有报道称,这家社交媒体巨头会收集来自用户的音频和语音数据,并雇佣第三方承包商进行转录。 这篇来自彭博社的报道援引了承包商工作人员的话,而这些人因担心失去工作而要求匿名。 据该报道称,音频数据来自 Facebook 的 Messenger 应用。Facebook 会对音频对话和转录文本进行比对,以检查他们的人工智能是否… → 阅读更多

  • 苹果推送静默更新,移除 Zoom 网络服务器漏洞

    苹果推送静默更新,移除 Zoom 网络服务器漏洞

    苹果本周为 Mac 用户推送了一项静默更新,删除了热门视频会议应用 Zoom 中一个易受攻击的组件,该组件允许网站在没有获得用户许可的情况下自动将用户添加到视频通话中。 苹果对 TechCrunch 表示,目前已发布的这项更新移除了隐藏的网络服务器。此前,当用户安装 Zoom 应用时,Zoom 会将这个网络服务器悄悄安装在用户的 Mac 电脑上。 苹果表示,这项更新不需要任何用户操作,会自动完成。 乔纳森·莱特舒赫(Jonathan Leitschuh)周一公布了这个漏洞,随后 Zoom… → 阅读更多

  • 美国移民及海关执法局被曝利用驾照照片进行面部识别

    美国移民及海关执法局被曝利用驾照照片进行面部识别

    美国移民及海关执法局(ICE)正在利用面部识别软件,对 21 个州数百万张驾照照片进行筛查,以搜索和查找犯罪嫌疑人。 周末传出消息称,美国联邦调查局(FBI)和移民局官员经常在未获搜查令或法院命令的情况下,筛查这些照片以识别犯罪嫌疑人、证人、受害者以及旁观者。在某些情况下,他们仅仅是向州车管部门发去了一封请求协助调查的电子邮件。 不过,国会和州议会都没有授权他们进行这些访问和搜索。一个由两党国会议员组成的团体批评称,这样使用面部识别对公民隐私权来说是危险的。 有些州… → 阅读更多

  • 阿桑奇因《反间谍法》被指控,美国新闻自由遭受挑战

    阿桑奇因《反间谍法》被指控,美国新闻自由遭受挑战

    维基解密创始人朱利安·阿桑奇(Julian Assange)被美国联邦检察官指控十余项额外罪名,包括根据备受争议的《反间谍法》提出的罪名。这起案件很可能会是对美国宪法第一修正案规定的言论自由权利的考验。 现年 47 岁的阿桑奇于 4 月份在厄瓜多尔驻伦敦大使馆被捕。此前,美国政府指控他阴谋侵入时任陆军军官切尔西·曼宁(Chelsea Manning)使用的一台政府电脑,泄露关于伊拉克战争的机密信息。2012 年,他首次进入厄瓜多尔大使馆,以避免被引渡至瑞典,面对与此无关的… → 阅读更多

  • 谷歌自曝安全漏洞,部分 G Suite 用户密码以明文形式存储达 14 年

    谷歌自曝安全漏洞,部分 G Suite 用户密码以明文形式存储达 14 年

    谷歌表示,有一小部分企业用户的密码被错误地以明文形式存储在其系统当中。 这家搜索巨头在周二披露了这一漏洞,但拒绝透露究竟有多少企业用户受到了影响。“我们最近通知了一部分 G Suite 企业用户,有些密码未经哈希加密就存储在我们的加密内部系统当中。” 谷歌工程副总裁苏珊娜·弗雷(Suzanne Frey)说道。 密码一般会经由哈希算法进行加密,以防止它们被人读取。在企业当中,G Suite 管理员可以为企业员工手动上传、设置和恢复新的用户密码,这在新… → 阅读更多

  • 美国运营商终于停止出售用户位置数据

    美国运营商终于停止出售用户位置数据

    一年前有新闻报道称,美国所有主要的移动运营商都在向第三方公司出售用户的位置数据,而那些第三方公司又转手把数据卖给了任何愿意掏钱的人。现在,美国联邦通信委员会(FCC)新公布的信件显示,尽管经历一年的审查和愤怒讨伐,各家运营商直到最近才停止了出售用户位置数据的做法。 我们早已知道,跟很多大公司一样,运营商根本无法被信任。在今年 1 月的时候,我们曾报道称,尽管运营商承诺立即 “关闭”、“终止” 或 “采取措施停… → 阅读更多

  • Stack Overflow 证实遭黑客入侵:客户数据未遭泄露

    Stack Overflow 证实遭黑客入侵:客户数据未遭泄露

    开发者知识共享网站 Stack Overflow 证实黑客入侵了其电脑系统,但表示客户数据并未受到影响。 Stack Overflow 工程副总裁玛丽·弗格森(Mary Ferguson)写道,“上周末,Stack Overflow 电脑系统受到攻击。我们已经确认,5 月 11 日获得了一定程度的制作访问权限(production access)。” “我们发现并调查了被访问的范围,目前正在解决所有已知漏洞,” 弗格森说,“我… → 阅读更多

  • WhatsApp 的安全漏洞可能不会影响到普通人

    WhatsApp 的安全漏洞可能不会影响到普通人

    每隔一段时间,重大的安全漏洞或黑客入侵事件都会引发恐慌。在大多数情况下,那些恐慌是没有必要的。 就拿我们在周一报道的安全漏洞来说,以色列网络情报公司 NSO Group 开发的恶意软件(这些软件的用户通常是政府机构)被发现用来对 WhatsApp 的一个漏洞加以利用,使得攻击者可以远程监控受害者的手机。据最先曝光此事的《金融时报》报道,这个漏洞几乎无法被人察觉。受害者手机遭到黑客入侵的唯一迹象是一通未接来电,而留下的记录之后往往会被自动删除。 WhatsApp 的母公司 F… → 阅读更多

  • 科技巨头纷纷发布针对 ZombieLoad 的安全更新

    科技巨头纷纷发布针对 ZombieLoad 的安全更新

    一个最新发现的安全漏洞对 2011 年以来上市的几乎每一块英特尔芯片都带来了影响,科技巨头们纷纷发布补丁以修复这一漏洞。 研究人员于本周二公布了这个安全漏洞的详细信息:该漏洞名为 “ZombieLoad”,技术名称为 “微架构数据采样”(microarchitecture data sampling,MDS),可能会泄露存储在处理器上的敏感数据,比如密码、密钥、账户令牌和私人消息等。 你可以点击这里阅读我们的详细报道。简而言… → 阅读更多

  • 安全人员披露英特尔处理器新漏洞 ZombieLoad,影响从 2011 年开始几乎所有英特尔芯片

    安全人员披露英特尔处理器新漏洞 ZombieLoad,影响从 2011 年开始几乎所有英特尔芯片

    信息安全研究人员在英特尔芯片中发现了一种新漏洞。利用该漏洞,黑客可以直接从处理器中窃取到敏感信息。 这些漏洞让人想起 Meltdown 和 Spectre。此前的漏洞利用了预测执行机制中的问题。预测执行机制是现代处理器工作方式的重要组成部分,可以帮助处理器在一定程度上预测应用或操作系统在不久的未来可能需要什么,从而让应用运行速度更快、效率更高。如果需要,处理器可以执行预测,如果不需要则直接丢弃。 Meltdown 和 Spectre 都会泄露储存在处理器中的敏感数据,包括… → 阅读更多

  • WannaCry 病毒爆发两周年:百万台电脑依然处于危险之中

    WannaCry 病毒爆发两周年:百万台电脑依然处于危险之中

    两年前的今天,一种强大的勒索病毒软件开始在全球传播。 WannaCry 病毒像野火一样迅速蔓延,在短短几小时内就在 150 多个国家加密了数十万台电脑。勒索软件是一种恶意软件,它对用户的文件进行加密,并要求用户支付赎金才能解锁这些文件,两年前是勒索软件第一次以类似于网络协同攻击的方式席卷全球。 英国各地的医院称之为 “重大事件”,因为恶意软件使它们的系统都无法上线。政府系统、铁路网络和私营企业也受到了冲击。 安全研究人员很快意识到,恶意软件就像电… → 阅读更多

  • WhatsApp 曝出安全漏洞,一通呼叫就能导致手机被黑

    WhatsApp 曝出安全漏洞,一通呼叫就能导致手机被黑

    WhatsApp 刚刚修复了一个漏洞,该漏洞允许恶意攻击者在受影响的手机上远程安装间谍软件。据报道,数量未知的攻击者已经利用该漏洞在受害人的手机上安装了一款商业级的间谍软件,而这款软件通常被销售给政府机构。 这家隶属于 Facebook 的公司向 TechCrunch 证实,他们在 5 月初发现了这个漏洞(具体信息在这里)。显而易见,该漏洞存在于 WhatsApp 的音频呼叫功能当中,呼叫者可以利用它在被呼叫设备上安装间谍软件,不管对方应答与否。 这里所说的间谍软件是以色列网络… → 阅读更多