-
-
[推荐]【每日资讯】 | 微软与 Meta 达成合作,将 Bing 搜索集成到 Meta AI 聊天机器人中 | 2023年9月28日 星期四
-
2023-9-4 11:53
-
2023年9月28日 星期四
今日资讯速览:
1、微软与 Meta 达成合作,将 Bing 搜索集成到 Meta AI 聊天机器人中
2、联合国、东盟和中国将联合打击网络诈骗者
3、苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中
1、微软与 Meta 达成合作,将 Bing 搜索集成到 Meta AI 聊天机器人中
IT之家 9 月 28 日消息,在今日凌晨的 Meta Connect 2023 上,Meta 宣布了一个新的聊天机器人,命名为 Meta AI。该公司还与微软合作,将 Bing 搜索集成到 Meta AI 聊天机器人中。
Meta 表示,Meta AI 现已在美国推出测试版。用户可以通过 Meta 的社交媒体和聊天服务访问它,包括 WhatsApp、Messenger 和 Instagram。
它由一个自定义模型提供支持,该模型利用了 Llama 2 的技术和我们最新的大语言模型(LLM)研究。在基于文本的聊天中,Meta AI 可以通过与 Bing 的搜索合作关系访问实时信息,并提供图像生成工具。
微软公司副总裁兼消费者首席营销官 Yusuf Mehdi 在其官方 Bing 博客上评论了与 Meta 的新合作伙伴关系:
除了微软产品组合之外,我们还是一家平台公司,为其他人提供实现其 AI 雄心所需的工具和服务。这就是为什么今天我们很高兴地宣布,我们已经开始与 Meta 合作,将 Bing 集成到 Meta AI 的聊天体验中,从而通过访问实时搜索信息来提供更及时、最新的答案。Bing 的集成扩展到 Meta AI 以及 Meta 的一些其他 AI,可用于在 WhatsApp、Messenger 和 Instagram 中发送消息。
此外,Bing 搜索也集成到了 OpenAI 的 ChatGPT 中。正如IT之家此前报道,OpenAI 今日在其 X 账号宣布,ChatGPT 现在可以浏览互联网了,由微软必应提供支持,并提供直接来源链接,ChatGPT 不再局限于 2021 年 9 月之前的数据了。
2、联合国、东盟和中国将联合打击网络诈骗者
外媒26日消息称东盟、联合国正在与中国联手打击东南亚普遍存在的网络诈骗活动。中国、东盟和联合国毒品和犯罪问题办公室制定了联合行动计划,以此打击犯罪集团的活动并没收其非法所得,并保护被绑架并被用于犯罪目的的人。
3、苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中
安全内参9月26日消息,研究人员日前表示,苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞,但是他们披露信息并不完整,造成了“巨大的盲点”,导致全球范围内其他开发者提供的大量应用程序未能得到修补。
两周前,苹果报告称,威胁行为者正在积极利用iOS中的一个关键漏洞,以便安装世界上已知的最先进的恶意软件之一“飞马”(Pegasus)间谍软件。这些攻击使用了零点击的漏洞利用方法,也就是说攻击者不需要与目标进行任何交互,只要接收到iPhone上的来电或短信,就足以被“飞马”感染。
“巨大的盲点”
苹果表示,这个漏洞(编号为CVE-2023-41064)源于ImageIO中的缓冲区溢出漏洞。ImageIO是一个苹果专有软件框架,允许应用程序读取、写入大多数图像文件格式,其中包括WebP格式。苹果将这个零日漏洞的发现,归功于加拿大研究机构公民实验室(Citizen Lab)。
四天后,谷歌报告称, Chrome浏览器中存在一个关键漏洞。该公司表示,这个漏洞源自WebP格式处理组件的堆缓冲区溢出。谷歌进一步警告说,该漏洞已经出现在野利用。谷歌表示,这个漏洞编号是CVE-2023-4863,由苹果安全工程与架构团队和公民实验室报告。
由于上述两个漏洞有诸多相似之处,很多研究人员迅速推测,二者源自同一个基础漏洞。上周四,安全公司Rezillion的研究人员发布一份证据,他们认为这份证据说明,二者源自相同漏洞的“概率极高”,漏洞源头很可能是在libwebp代码库。Libwebp常被应用程序、操作系统和其他代码库用于处理WebP图像。
研究人员称,苹果、谷歌和公民实验室并没有相互协调、准确报告漏洞的共同来源。相反,三方选择使用单独的CVE漏洞编号。研究人员得出结论,漏洞将在“数百万不同的应用程序”中继续存在,直到这些程序也打上了libwebp补丁。他们表示,这样一来,那些开发者用来追踪其产品中已知漏洞的自动化系统将很难检测到正在积极利用的关键漏洞。
Rezillion研究人员Ofri Ouzan和Yotam Perkal写道:“由于该漏洞的影响范围包括带漏洞依赖项的软件产品,只有这些软件产品的漏洞扫描器才能识别出漏洞。那些盲目依赖漏洞扫描结果的组织将面对一个巨大的盲点。”
此外,谷歌将CVE-2023-4863范围限制在Chrome而非libwebp中,因而受到批评。谷歌官方将漏洞描述为Google Chrome中WebP的堆缓冲区溢出。
谷歌代表在一封电子邮件中写道:“许多平台以不同的方式实现WebP。我们没有关于漏洞如何影响其他产品的任何详细信息。我们的重点是尽快向Chromium社区和受影响的Chromium用户提供补丁。对于软件产品来说,最好的做法是跟踪依赖的上游库,从而获取安全补丁和安全改进。”
谷歌代表指出,披露信息和官方CVE页面中提到了WebP图像格式,却没有解释为什么官方CVE和谷歌的披露信息既没有提到广泛使用的libwebp库,也没有表明其他软件也可能存在漏洞。
关于CVE-2023-4863和CVE-2023-41064是否源自同一个漏洞,谷歌代表没有回答。本文发布之前,公民实验室和苹果没有回复记者通过电子邮件提出的问题。
哪些对象会受到影响?
尚不清楚有多少使用了libwebp的应用程序、框架、代码库和其他软件包还没有打补丁。
微软在Edge浏览器中修复了CVE-2023-4863,但该公司在上周四的一封电子邮件中表示其他受影响的产品和软件包尚未打补丁。微软代表说,受影响产品的更新“已经准备发布”,但没有提供预计发布时间。
已知尚未打补丁的微软产品包括广泛使用的协作平台Teams,以及开发工具Visual Studio Code。这两个产品都使用了受CVE-2023-4863影响的Electron框架。还有很多其他应用程序也使用Electron。根据维基百科上编制的列表,它们包括:
1Password,balenaEtcher,Basecamp 3,Beaker(网络浏览器),Bitwarden,CrashPlan,Cryptocat(已停用),Discord,Eclipse Theia,FreeTube,GitHub Desktop,GitKraken,Joplin,Keybase,Lbry,Light Table,Logitech Options +,LosslessCut,Mattermost,Microsoft Teams,MongoDB Compass,Mullvad,Notion,Obsidian,QQ(macOS版)。Quasar Framework,Shift,Signal,Skype,Slack,Symphony Chat,Tabby,Termius,TIDAL,Twitch。Visual Studio Code。WebTorrent。Wire。Yammer…
主流浏览器、Linux操作系统以及大量开源软件均包含libwebp库。受影响的软件包数量太多,无法穷举。如果想了解未列出的产品情况,请与开发者联系。
Rezilion在许多流行容器镜像(最新版本)中发现了易受攻击的库
谨防漏报
Rezillion进一步表示,对苹果ImageIO二进制文件的扫描显示,文件不仅使用了libwebp,还引用了vp8l_dec.c、vp8li_dec.h、huffman_utils.c和huffman_utils.h。与引发CVE-2023-4863的libwebp中也存在同样的文件。
由于公民实验室和苹果都没有发表评论,无法确定CVE-2023-4863(由谷歌披露)与CVE-2023-41064(由苹果披露)之间的确切关系。
CVE系统的整个目的是识别漏洞来源,帮助任何源代码下游软件的开发者或使用者轻松判断软件是否存在漏洞。如果不同CVE涵盖了相同的基本漏洞,那么发现这些漏洞的团队应该相互协调,明确报告这一情况。
谷歌在CVE报告中省略了libwebp,加剧了信息不完整问题。Rezillion研究人员表示,这种沟通不畅将整个生态系统置于风险之中,因为许多开发人员使用自动扫描工具编译软件物料清单(SBOM),以跟踪他们维护的应用程序中任何有漏洞的组件。
研究人员表示,对于开发人员来说,这些不完整的披露让确定产品是否存在漏洞变成了一项“艰巨的任务”。他们说,缺乏明晰性也会让开发人员在寻找漏洞时面临漏报的风险。研究人员写道:
最初看来,漏洞似乎针对基于Chromium的应用程序。但是,现在我们有了更深入的了解。
我们发现,漏洞有可能影响更多软件和应用程序,它们依赖广泛使用的libwebp软件包实现WebP编解码功能。Libwebp效率十分出色,在大小和速度方面超越了JPEG和PNG。因此,很多软件、应用程序和软件包都引用Libwebp库,甚至直接采用以Libwebp为依赖项的软件包。这样一来,想要识别存在漏洞的系统就变得特别复杂而又挑战性。libwebp的普及度显着扩大了攻击面,引发了用户和组织的严重关切。
如果组织的环境中部署了SBOM解决方案,建议他们查询SBOM,查找使用存在漏洞版本的libwebp作为依赖项的软件包。最重要的是,应该确保系统的libwebp库已经打好补丁。这是因为,一些应用程序,比如Chromium,是针对系统的libwebp库构建的。
苹果和谷歌的披露以及官方CVE披露中使用的英语十分简明,导致读者有充分的理由认为这些零日漏洞来源不同,且仅限于少数产品。现在,当我们有了更全面认识之后,开发者和终端用户应仔细检查软件。如果软件以任何方式与WebP图像互动,很可能需要打好补丁才能安全使用。
参考资料:arstechnica.com
2023年9月27日 星期三
今日资讯速览:
1、天津某单位重要信息系统数据遭严重篡改,当地警方处以7万元罚款
2、中央网信办:云安全评估机构扩容
3、乌克兰黑客入侵俄罗斯航空巨头,窃取超41亿条乘客信息
1、天津某单位重要信息系统数据遭严重篡改,当地警方处以7万元罚款
信息系统被入侵,单位主体也担责,一起来了解吧。
前段时间,天津公安南开分局网络安全保卫支队接到线索:辖区内某单位的重要信息系统数据遭到恶意篡改,严重危害网络安全!
南开分局网络安全保卫支队立即启动“一案双查”,就该单位网络安全风险隐患问题进行调查,查处其网络运营者未履行网络安全保护义务一案。
案件详情
南开分局网络安全保卫支队通过现场查看该单位制度类文件,并经过比对、分析发现,该单位运营使用的信息系统存在多重问题:
一是防范网络侵入技术措施不完善,物理网络环境内部存在监测漏洞;
二是监测、记录网络运行状态的网络日志不足6个月;
三是对于安全缺陷、漏洞等风险,该单位未立即采取补救措施亦未向有关部门报告,信息系统持续“带病”运营,给了不法分子可乘之机。
依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定,南开分局对该单位及相关主管人员分别予以罚款伍万元和贰万元的行政处罚。
网警提示
在复杂多样的网络世界中,网络运营者不但要具备防范网络安全隐患的危机意识,不断提升自身防护水平,更要履行好网络安全保护义务,有效落实主体责任。
只有将网络安全管理制度落实到位,将技术防范措施部署完善,才能保障单位自身稳定运营和社会有序发展。
图片 | 网络截图
素材 | 天津网警
编辑 | 刘昊/李超楠
2、中央网信办:云安全评估机构扩容
9月25日,中央网信办官网公布了新一版《云计算服务安全评估专业技术机构》名单,将原有的4家评估机构扩展到了8家,新增国家计算机网络与信息安全管理中心、国家信息中心、中国电子科技集团公司第十五研究所、国家工业信息安全发展研究中心4家评估机构。本次评估专业技术机构扩容,将为进一步推动我国政府部门和企业组织开展云计算服务安全管理与评估工作提供支撑和帮助。
3、乌克兰黑客入侵俄罗斯航空巨头,窃取超41亿条乘客信息
乌克兰黑客声称已侵入俄罗斯公司Sirena-Travel的数据库。该数据库包含数亿次航空旅行的信息以及乘客保险以及其他个人数据。有关此次黑客攻击的消息发布在黑客社区KibOrg的电报频道上。他们声称Muppets是这次黑客攻击的幕后黑手。
黑客表示,这两个数据库包含了35亿条乘客的电话号码记录和6.646亿条个人信息记录(包括航班号码、路线、票价、机票价格等),共41.646亿条乘客数据被窃取,这些数据涵盖2007年至2023年期间。
网络上出现了黑客发布的两个数据库“探针”。例如,在其中发现了奥地利外交部前负责人、俄罗斯石油公司前董事会成员卡琳·克奈斯尔的航班数据,她于2023年夏天移居俄罗斯。有关其移动的数据与她9月10日从圣彼得堡飞往符拉迪沃斯托克经济论坛的公开报道一致。
阿列克谢·纳瓦尔尼团队的乔治·阿尔布罗夫写道,通过检查与弗拉基米尔·普京关系密切的阿琳娜·卡巴耶娃最近从明斯克飞往莫斯科的航班数据,验证了该数据库的真实性。
黑客组织的一位消息人士指出,KibOrg并不打算公开整个数据库。目前正在考虑两种选择:创建一个机器人来汇总数据库数据以获取金钱;或者将数据库转移给乌克兰武装部队。同时黑客也愿意与调查记者分享信息。
Serena Travel是俄罗斯最大的航空公司,提供机票预订和销售、文化娱乐场所、保险单登记等服务。公司运营国内首个经认可的航空分销系统(ADS)“Sirena Travel”,该系统是根据IATA(国际航空运输协会(IATA))的建议开发的,为代理机构提供预订和销售机票的接口,并为航空公司提供管理和控制座位资源的工具。
2023年9月26日 星期二
今日资讯速览:
1、依法惩治网络暴力!“两高一部”出台关于依法惩治网络暴力违法犯罪的指导意见
2、美国大选季前夕投票设备制造商向黑客开放其产品以测试安全
3、港府机构又又又遭黑客勒索,海量数据将被“撕票”,而这在本月已经不是第一次
1、依法惩治网络暴力!“两高一部”出台关于依法惩治网络暴力违法犯罪的指导意见
IT之家 9 月 25 日消息,随着全媒体时代的到来,网络暴力问题日益突出。互联网虽是虚拟空间,但绝非法外之地!
最高人民法院、最高人民检察院、公安部 25 日联合发布《关于依法惩治网络暴力违法犯罪的指导意见》(IT之家下文简称“意见”)。
官方指出,让网暴者受到应有法律制裁,依法维护公民权益,净化网络生态,是回应社会关切、践行以人民为中心的发展思想的必然要求。意见的公布施行,将进一步提升网络暴力治理成效,营造清朗网络空间。
《意见》共 20 条,包括明确网络暴力的罪名适用规则,明确网络暴力违法行为的处理规则,明确惩治网络暴力违法犯罪的政策原则等,对网络暴力违法犯罪案件的法律适用和政策把握问题作了全面、系统的规定。
《意见》要求,准确适用法律,针对网络暴力的不同行为方式,分别以诽谤罪、侮辱罪、侵犯公民个人信息罪等定罪处罚。
《意见》指出,基于蹭炒热度、推广引流等目的,利用互联网用户公众账号等推送、传播有关网络暴力违法犯罪的信息,符合刑法规定的,以非法利用信息网络罪定罪处罚。网络服务提供者对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播或者有其他严重情节,符合刑法规定的,以拒不履行信息网络安全管理义务罪定罪处罚。
《意见》要求,对网络暴力违法犯罪,应当体现从严惩治精神,让人民群众充分感受到公平正义。要重点打击恶意发起者、组织者、恶意推波助澜者以及屡教不改者。
值得一提的是,实施网络暴力违法犯罪,具有以下五种情形之一的,依法从重处罚:
针对未成年人、残疾人实施的;
组织“水军”、“打手”或者其他人员实施的;
编造“涉性”话题侵害他人人格尊严的;
利用“深度合成”等生成式人工智能技术发布违法信息的;
网络服务提供者发起、组织的。
《意见》强调,根据刑法第二百四十六条第二款的规定,实施侮辱、诽谤犯罪,严重危害社会秩序和国家利益的,应当依法提起公诉。对于网络侮辱、诽谤是否严重危害社会秩序,应当综合侵害对象、动机目的、行为方式、信息传播范围、危害后果等因素作出判定。
同时,《意见》还明确,网络服务提供者对于所发现的网络暴力信息不依法履行信息网络安全管理义务,致使违法信息大量传播或者有其他严重情节,损害社会公共利益的,人民检察院可以依法向人民法院提起公益诉讼。
2、美国大选季前夕投票设备制造商向黑客开放其产品以测试安全
外媒23日消息称,为在明年美国总统选举之前加强投票安全,选举机器制造商正在向黑客开放他们的产品。最近举行的首届选举安全研究论坛针对数字扫描仪、选票标记设备和电子民意调查簿进行了有组织的渗透测试和漏洞研究。据论坛称,这标志着此类制造商首次自愿将其系统提供给第三方审查,作为漏洞披露过程的一部分。
3、港府机构又又又遭黑客勒索,海量数据将被“撕票”,而这在本月已经不是第一次
据香港01消息,消费者委员会电脑系统遭黑客入侵,投诉人及《选择》月刊订户资料外泄。据了解,黑客已向消委会提出勒索。黑客勒索邮件要求9月23日晚上11时20分前缴50万美元赎金。
消委会今早(22日)召开记者会交代事件。消委会主席陈锦荣表示,9月20日被黑客入侵,时间长达7小时,八成系统被破坏,涉及员工、客户数据,以及其他内部记录。消委会强烈谴责黑客活动,称绝对不会交付赎金,并会全力配合警方调查。
消费者协会9月22日召开记者招待会现场 图:香港商报
01
—
宁被“撕票”,拒交罚金
消委会指,被盗取资料可能包括员工、前员工及其家属,以及空缺申请人的资料,如身份证号码、住址、出生日期和履历;另外包括《选择》月刊订户资料,当中包括约8000名曾向消委会提供信用卡资料的订户、消费投诉人士的资料;同时亦可能包括消委会合作伙伴,保存的资料包括公司地址、电话、电邮,部分或存有手机号码。
更夸张的是,消费者委员会总干事黄凤嫺指,现时很难追查具体有哪些外泄资料,可能要等到被“撕票”时才能知晓。
警方表示,21日接获相关机构职员报案,指怀疑电脑系统被入侵,案件列作“有犯罪或不诚实意图而取用电脑”,交由网络安全及科技罪案调查科跟进,暂未有人被捕。
02
—
黑客的挑衅:在“太岁爷头上动土”
其实,这已经是在一个月时间里第二宗被黑客入侵的政府附属机构。上一宗案件更显戏剧性,黑客入侵了被视为香港IT界殿堂级基地的数码港。
数码港资料图
8月中,数码港遭黑客组织“Trigona”入侵,9月在勒索235万港币不果后将400G资料公开于暗网,当中包括员工身份证、银行、薪金以及履历等内容。
香港资讯科技商会荣誉会长方保侨认为,数码港被黑客入侵,证明他们原有的网络专家未够级数。虽然数码港已聘请高手补救,但他强调加强保护并不代表可牢不可破,日后仍需不断更新,正如市民家中电脑的微软系统、防火墙等亦要定期更新。
方保侨又指,香港不少机构如银行等,内部亦规定不准插USB输入或下载资料,若档案放在共享服务器,却没有为每个档案加密,则可能出现被黑客入侵。
03
—
话犹在耳,悲剧重演
在数码港事件发生后,香港特区政府创新科技及工业局局长孙东13日就此会见媒体时表示,特区政府对这次网络攻击事件予以高度关注。他已要求数码港全面提升对相关网络系统和敏感数据文件的保护措施,堵塞各种漏洞。
短短不过半个月,消费者委员会的电脑系统又惨遭近乎一模一样的悲剧,不得不说,实在是很丢人。
今日,选委界立法会议员吴杰庄称,距数码港电脑系统被入侵事故仅一个月,消委会再“中招”,形容事态严重,促各政府部门或机构审视网络安全风险。希望这一次,能真的有些改变吧。
(编辑:张如瑾)
2023年9月25日 星期一
今日资讯速览:
1、All in网络安全!思科以280亿美元现金收购Splunk
2、关于征求国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见的通知
3、苹果发布紧急补丁:解决三个新零日漏洞
1、All in网络安全!思科以280亿美元现金收购Splunk
本周四晚间,据彭博社多家美国媒体报道,思科公司(CISCO)宣布以每股157美元、总价约280亿美元的现金交易收购网络安全软件公司Splunk,这是思科公司有史以来最大一笔收购,同时也是IT行业2023年规模最大的收购案。Splunk的股价在公告后上涨了21%,而思科的股价则下跌了4%。
Splunk是知名的应用性能管理(APM)和网络安全分析与响应平台提供商,在安全信息和事件管理(SIEM)解决方案市场的主要竞争对手是同处Gartner领导者象限的微软Azure Sentinel、IBM QRadar、Exabeam和Securonix等。但Splunk的独特之处在于其强大的数据处理和分析能力,以及其对大数据的原生支持。这使得Splunk在处理大规模、复杂的数据集时具有明显的优势,特别是在今天数据量呈指数级增长的网络环境中。在此基础上,Splunk近年来的SIEM产品策略是将威胁情报融入SecOps:即将威胁情报、基于风险的警报和行为分析融合在一起,大幅减少客户的警报量,缓解警报疲劳问题。
Splunk还通过收购和合作策略,进一步加强了其在网络安全领域的地位。例如,通过收购像Phantom这样的安全自动化和响应(SOAR)平台,Splunk进一步扩展了其在威胁检测和响应领域的能力。
提高云服务的营收占比是Splunk近年来推动营收增长的主要战略之一。Splunk2024财年二季度收入报告显示,云服务已经占其2023年一季度营收的半数(49%),同比增长29%。
与蒸蒸日上的Splunk相比,思科(全球最大的计算机网络设备制造商)的业务转型和股价双双陷入泥潭。
思科今年的股价表现远逊于纳斯达克指数,仅上涨了12%,后者涨幅高达27%。如果将时间跨度拉长到五年,思科的股价表现更加糟糕,五年内仅上涨10%,远逊于纳斯达克指数的66%。
随着公共云计算越来越多地侵蚀思科传统的后端业务,思科公司亟需寻找新的、丰厚的收入来源,网络安全一直是其最大的赌注。
思科的核心业务在截至7月29日的财年中收入增长了22%,达到291亿美元,而安全部门的销售额仅增长了4%,达到39亿美元。
为了进一步加快向软件和网络安全的业务转型,推动业务收入增长,思科公司近年来大力强化其网络安全业务并展开了一系列收购。在2022财年,Cisco将其核心交换和路由业务从“基础设施平台”更名为“安全、敏捷网络”,专注于将安全性内置到网络设备中。思科还成立了一个名为“端到端安全”的独立运作部门,专门负责安全产品。
重组业务架构的同时,思科马不停蹄地“采购”网络安全公司。仅在今年思科就收购了四家网络安全公司,分别是威胁检测平台Armorblox、身份管理公司Oort以及云安全公司Valtix和Lightspin。
对于此次思科斥巨资收购Splunk,Gartner副总裁分析师Gregg Siegfried认为,生成式AI最近的崛起可能是此次收购的催化剂:“生成式AI是本次收购的一个隐藏主题,我确信两家公司都有很多工作要做。思科可以通过利用Splunk的产品组合来快速启动人工智能产品。”
Siegfried还指出,由于思科和Splunk的业务重合度不高,因此监管部门对该交易的审批预计不会像VMware与Broadcom的交易出现严重顿挫。
思科首席执行官Chuck Robbins在评价对Splunk的收购时也强调了人工智能的重要性,并表示将使用Splunk的AI能力来保护网络。“我们的综合能力将推动基于下一代AI的安全技术和可观察性,”Robbins在一份声明中说。
该交易预计将在2024年第三季度完成,思科表示交易有望在第一年提高毛利率,在第二年提高非美国通用会计准则(non-GAAP)盈利。
这笔收购价格相当于思科市值的约13%,这对于思科这样在历史上避免大规模交易的公司来说是一个“高额赌注”。在Splunk之前,Cisco最大的一笔交易是2006年以69亿美元收购有线电视机顶盒制造商ScientificAtlanta。
在CNBC的一档电视节目中,Robbins透露他预计思科和Splunk之间的组织协同效应将在12到18个月内变得明显。在与分析师的电话会议中,Robbins宣称:“思科将成为全球最大的软件公司之一。”
2、关于征求国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》(征求意见稿)意见的通知
信安秘字〔2023〕135号
全国信息安全标准化技术委员会归口的国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》现已形成标准征求意见稿。
根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2023年11月20日24:00前反馈秘书处。
联系人:王丹丹 010-64102731/18811126578 wangdd@cesi.cn
全国信息安全标准化技术委员会
秘书处
2023年9月21日
3、苹果发布紧急补丁:解决三个新零日漏洞
9月21日,Apple发布了紧急安全更新,以解决用于攻击iPhone和Mac用户的三个新的零日漏洞。这些漏洞允许攻击者使用恶意应用程序绕过签名验证或通过特制网页执行任意代码。Apple已解决macOS 12.7 13.6、iOS 16.7 17.0.1、iPadOS 16.7 17.0.1和watchOS 9.6.3 10.0.1中的所有三个漏洞,解决了证书验证问题并引入了改进的检查。
2023年9月22日 星期五
今日资讯速览:
1、微软重申 AI 工具 Copilot 不会抢走你的工作
2、T-Mobile 程序故障 用户信息被公开
3、黑客组织USDoD再次登场:全球近6万人信息泄露,信用机构恐慌
1、微软重申 AI 工具 Copilot 不会抢走你的工作
IT之家 9 月 22 日消息,微软高管在宣布 Responsible AI 小组时,再次强调 Copilot 并不会抢走你的饭碗,而是帮助你、提高你的工作效率,优化生产力。
微软负责基础人工智能技术的主管 Sarah Bird 表示:“Copilot 的产品名称是我们精心挑选的,我们强调是和你一起工作的良好体验,绝对不会取代你的工作”。
Bird 在活动中演示了 Copilot,帮助用户起草一封电子邮件。Bird 表示:“我们希望建立一套方案,确保 AI 创建的内容是你们想说的。”。
IT之家翻译 Bird 观点如下:这些用户体验有助于减少对系统的过度依赖,确保用户将其作为一种工具,而不是依赖 AI 为其完成一切任务。
小组成员表示必应聊天已经包含了引用内容,用户可以回溯验证。微软搜索和人工智能营销总经理 Divya Kumar 进一步向观众保证:“就像你做任何研究一样,我们希望给予人们能够验证内容,人的因素从来都是最重要的”。
小组成员承认,Copilot(至少在现阶段)很容易受到错误信息和虚假信息的影响,包括其他生成式人工智能工具可能产生的错误信息,微软已经优先考虑整合引用和内容凭证等工具(在必应中为人工智能生成的图像添加数字水印),并着手进行相关优化。
2、T-Mobile 程序故障 用户信息被公开
据外媒9月20日消息,T-Mobile 用户表示他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。根据Reddit 和 Twitter上的用户反映,暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息。T-Mobile 表示,尽管大量用户报告称此次事件并非网络攻击造成,其系统也没有遭到破坏。
3、黑客组织USDoD再次登场:全球近6万人信息泄露,信用机构恐慌
研究人员声称,与之前的重大违规事件有关的臭名昭著的黑客组织已经泄露了从信用机构TransUnion窃取的数GB个人数据。一个专门收集恶意软件样本的网站 vx-underground 表示,一名绰号为“USDoD”的个人发布了一个3GB的数据库,其中包含58,505名个人的个人身份信息(PII)。
尽管没有关于这些人是客户还是员工的信息,但考虑到该公司的规模,至少部分所获取的PII似乎来自客户。
Vx-underground在X(以前称为Twitter)上的一篇帖子中表示:“该数据库似乎于2022年3月2日遭到泄露。这个泄露的数据库包含全球各地个人的信息,包括美洲(南北美洲)以及欧洲。”
所获取的PII包括名字和姓氏、TransUnion内部标识符、护照信息(包括出生地点和日期)、婚姻状况、年龄、雇主信息、信用评分和贷款信息。
对网络钓鱼攻击者来说,这是一个重要的宝库,可以用来对受害者进行后续欺诈攻击。
Emsisoft威胁分析师Brett Callow 在X上发表的另一篇文章显示,USDoD在BreachForums上发布了这些数据,上周他们曾在该网站上共享了从3200家空客供应商窃取的个人信息。
当时,USDoD声称与一个名为Ransomed的勒索软件组织合作。该组织已经暗示,航空航天行业的更多受害者可能很快就会被攻破,其中包括美国国防承包商洛克希德·马丁公司和雷神公司。Vx underground还声称,这一黑客组织已经向北约方面进攻。
Radiant Logic信息安全官Chad McDonald认为,如果TransUnion违规行为是合法的,那么它应该提醒组织采取积极措施防止违规行为。
他补充道:“企业很容易在身份数据方面遇到困难,无论是身份孤岛、重复还是异常——缺乏身份可见性和管理都可能导致对企业资源的访问不适当或过时。通过采取身份优先的安全方法,并将身份数据整合到一个单一的、经过强化的数据存储中,可以避免外部和内部的数据泄露。”
有趣的是,数据库泄露的日期似乎与去年TransUnion南非业务发生的勒索软件事件一致,当时黑客组织要求信用机构支付1500万美元赎金。
2023年9月21日 星期四
今日资讯速览:
1、微软 GitHub AI 代码助手 Copilot Chat 现已开放个人使用
2、国安局发布文章《起底美国情报机关网攻窃密的主要卑劣手段》
3、国际刑事法院(ICC)披露其遭到网络攻击
1、微软 GitHub AI 代码助手 Copilot Chat 现已开放个人使用
IT之家 9 月 21 日消息,微软 GitHub 于今年 7 月份为企业用户推出了 Copilot Chat 工具,这是一个 AI 代码助手。
今日,GitHub 宣布该工具已可在 Visual Studio 和 Visual Studio Code 中面向个人使用,为 GitHub Copilot 个人用户提供公开测试版本,IT之家附链接如下:
https://gh.io/github-copilot-chat-beta
据介绍,GitHub Copilot Chat 测试版已免费向所有 Copilot 个人用户启用。目前,Visual Studio 和 Visual Studio Code 编辑器均支持 GitHub Copilot Chat,个人用户还将收到一封电子邮件通知,以指导进行后续步骤。
以下是 GitHub Copilot Chat 的一些功能:
实时指导:GitHub Copilot Chat 可以建议针对特定编码挑战量身定制的最佳实践、技巧和解决方案。开发者可以使用 GitHub Copilot Chat 快速学习新语言或提高技能。
代码分析:通过 GitHub Copilot Chat,开发者可以分解复杂的概念并获得代码片段的解释。
解决安全问题:GitHub Copilot Chat 可以提出修复建议,并帮助减少安全扫描期间发现的漏洞数量。
简单的故障排除:在调试代码中,GitHub Copilot Chat 不仅可以识别问题,还可以提供建议、解释和替代方法。
2、国安局发布文章《起底美国情报机关网攻窃密的主要卑劣手段》
9.20日,国家安全部发布文章指出:近日,中国国家计算机病毒应急处理中心通报,在处理西北工业大学网络攻击事件时,成功提取了间谍软件样本。2009年,特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。美国国家安全局通过其下属的特定入侵行动办公室(TAO)以及先进的武器库,多次对我国进行体系化、平台化攻击,试图窃取我国重要数据资源。
3、国际刑事法院(ICC)披露其遭到网络攻击
际刑事法院(ICC)于9月19日披露了一起网络攻击事件。国际刑事法院表示:“上周末,国际刑事法院的服务部门检测到影响其信息系统的异常活动,我们立即采取措施应对这一网络安全事件并减轻其影响”。目前,还没有关于网络攻击的性质和对国际刑事法院系统的影响程度的信息,也没有任何被窃取数据或文件的信息。
2023年9月20日 星期三
今日资讯速览:
1、因非法追踪用户位置数据 谷歌向加州支付近一亿美元和解金
2、一家美国公司被黑,一个拉美国家政务服务瘫痪
3、法国推出奥运反诈APP便于消费者维权
1、因非法追踪用户位置数据 谷歌向加州支付近一亿美元和解金
据官网消息,近日,谷歌与美国加利福利亚州就一起隐私相关诉讼达成和解,诉因系其欺骗用户,在未获得知情同意的情况下收集、存储和使用用户位置数据并用于投放定向广告等。为解决这项指控,谷歌同意向该州支付9300万美元的和解金,还承诺将提高收集、使用用户位置数据的透明度等。
2、一家美国公司被黑,一个拉美国家政务服务瘫痪
安全内参9月19日消息,哥伦比亚的多个重要政府部门正在应对一次勒索软件攻击,官员们被迫大幅变更部门运作方式。
哥伦比亚卫生和社会保护部、司法部门、工商监管部门上周宣布,由于美国技术提供商IFX网络公司遭遇网络攻击,引发一系列问题,限制了这些部门的运作能力。IFX网络公司号称拉丁美洲最大的云业务服务商,为当地十余个国家提供网络托管服务。
据法新社报道,哥伦比亚总统府发表声明,称此次袭击影响了762家位于拉丁美洲的公司,当地媒体称有34个哥伦比亚实体以及阿根廷、巴拿马、智利等国家的其他实体受到影响。
哥伦比亚多个重要政务服务瘫痪
上周三(9月13日),卫生和社会保护部表示,前一天接到IFX网络公司关于数据中心出现问题的通知,随后开始发现一系列故障。
该部门称,“由于网络安全事件,我们无法访问执行任务、提供全国性服务的应用程序。托管这些应用程序的基础设施是IFX网络公司的签约项目。该公司正在调查情况,确定何时恢复我们的服务。”该部门表示,他们正在实施替代机制,以继续提供卫生服务,尽量减轻攻击影响。
卫生和社会保护部为哥伦比亚卫生系统设定政策,推动各种卫生倡议,并在各行业利益相关者之间协调国民保健工作。
上周四夜晚,司法机关在官网更新了一条通知,表示因IFX网络公司受到攻击,该网站已经关闭,无法提供服务。
由于这次攻击,哥伦比亚最高法院将从9月14日至20日暂停所有听证会。最高法院在社交媒体上发布了一封更长的通知。官员们表示,他们的信息技术团队于9月12日发现这次攻击,指出攻击影响了整个部门的云基础设施。他们确认,IFX网络公司报告了一次影响多台机器的勒索软件攻击。
官员们表示,“根据技术提供商提供的信息,无法立即恢复服务”。上周三,IFX网络公司代表被传唤到最高法院办公室。“鉴于这一情况,司法机关认为有必要暂停履行法院的所有义务。”
上周四,最高法院签署一份正式文件,列出了将暂停的服务,包括大多数法庭听证会、认证、鉴定、临时许可证、制裁等。
一些面对面服务和听证会仍将举行。如果IFX网络公司能在9月20日之前恢复服务,上述停工指令将被解除。
上周五,最高法院发布了一条后续消息,表示各级法院仍在运作,一些之前安排的听证会也在落实。
负责管理哥伦比亚消费者权益机构和市场竞争组织的工商业监管局也发布通知,确认受到了这次攻击影响,并暂停上周五之前的运营工作。
其他政府机构告诉当地新闻媒体,他们在这一周内遇到了与技术相关的问题,一些哥伦比亚公民也在社交媒体抱怨政府部门办事不利。据《国家报》报道,政府并不知道究竟有多少机构受到IFX网络公司遭攻击事件的影响。
熟悉的勒索信息
迄今为止,并没有勒索软件团伙公开对此次事件负责。但是,elHacker.net的网络安全研究人员分享了RansomHouse黑客组织的图片,表示他们可能是对IFX 网络公司发动的攻击的幕后黑手。
据外媒Bleeping Computer报道,过去两年中,该组织部署了多种勒索软件,最近攻击了哥伦比亚医疗保健提供商Keralty。那次攻击的勒索信息与elHacker分享的IFX网路公司事件勒索信息几乎完全一致。
BetterCyber的研究人员表示,他们在监控RansomHouse的Telegram频道时,发现多人询问针对哥伦比亚政府机构的攻击情况。
哥伦比亚总统顾问Saúl Kattan称,这次攻击是“近年来对哥伦比亚基础设施的最大规模攻击”,并批评国会差一票未能批准设立专注于网络安全的新部门。
Saúl Kattan表示,“这次事件体现了成立国家网络安全与空间事务机构的迫切性。”
过去两年来,多个国家政府遭受了勒索软件攻击,受害者包括哥斯达黎加(2022年4月拒绝向俄罗斯黑客集团支付2000万美元赎金后陷入瘫痪)、多米尼加共和国和斯里兰卡(最近遭遇勒索软件攻击)。
这次攻击发生当周,美国国家安全委员会敦促多个国家政府承诺永远不向勒索软件攻击者支付赎金。
参考资料:https://therecord.media/colombia-government-ministries-cyberattack
3、法国推出奥运反诈APP便于消费者维权
据中国信息安全18日消息,法国政府为了给明年巴黎奥运会期间赴法旅游的外国人留下一个好印象,近日专门推出一款反诈App,以防止当地出租车司机、酒店、餐厅等过度向游客收费或诈骗。 此APP不仅成为消费者维权平台,还成为政府便民实用工具。截至目前,法国政府通过这款App已经收到60万起与诈骗相关的投诉或索赔,其中15%来自旅游业,涉及咖啡厅、餐厅等休闲娱乐场所。
2023年9月19日 星期二
今日资讯速览:
1、黑客入侵!近两万条学员信息泄露!厦门一培训机构被罚
2、报告预测:2025年网安市场规模将超800亿元
3、黑客深度伪造员工声音发起攻击,成功入侵IT巨头Retool
1、黑客入侵!近两万条学员信息泄露!厦门一培训机构被罚
黑客非法侵入
厦门一教育培训机构
近两万条学员个人信息被盗取售卖
不仅黑客获刑
培训机构也被处罚
2023年2月底
多名在厦门某教育培训机构学习的学员表示
接到自称是该机构工作人员的电话
对方能准确说出学员的
学科信息、缴费情况、课程进度等信息
起初学员们认为是机构的续费营销电话
并没有当一回事
但该机构的员工(老师)
也陆续接到类似的诈骗电话
最后发现系该教育培训机构
办公管理系统被黑客入侵
系统数据被窃取泄露
厦门网警通过数据分析、日志研判、循线追踪,很快锁定犯罪嫌疑人,并于3月29日组织警力赶赴吉林通化,将犯罪嫌疑人朱某某(男,33岁,吉林通化人)一举抓获,现场查获银行卡、笔记本电脑、手机等作案工具。
经查,犯罪嫌疑人朱某某利用系统漏洞,非法入侵该教育机构的办公管理系统,窃取近两万条包含学号、姓名、手机号、身份证号等内容的学员信息数据并售出,从中获利1380元。
8月11日
朱某某犯侵犯公民个人信息罪
被思明区人民法院判处
有期徒刑九个月,缓刑一年
并处罚金人民币四千元,没收全部非法所得
目前
购买信息的违法人员
正在进一步追查中
根据“一案双查”工作制度
厦门市公安局网安支队指导思明公安分局网安队
对该案件采取“一案双查”
在对该教育培训机构系统被入侵
开展侦查调查的同时
启动对该教育培训机构
网络安全义务履行情况的监督检查
监督检查发现
该教育培训机构未落实数据安全保护主体责任;未建立人员安全意识教育培训及责任追究制度;未采取信息系统防病毒、防网络攻击等技术措施,存在未履行网络安全保护义务的违法行为。
根据《中华人民共和国网络安全法》第二十一条、第五十九条第一款之规定,警方依法对该教育培训机构处以罚款1万元;对直接负责的主管人员侯某某处以罚款5000元的治安处罚。
对此
警方提示
01
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,否则将依法予以行政处罚;构成犯罪的,将依法追究刑事责任。
02
任何组织和个人都要切实履行好网络安全保护义务和数据安全保护义务,采取有效的安全防护措施确保网络和数据安全,对不履行网络和数据安全保护义务等行为的组织或个人,有关主管部门将依法予以相应的行政处罚;构成犯罪的,将依法追究刑事责任。
03
广大网民朋友要增强个人信息的安全保护意识,不点击来源不明的链接、不安装来路不明的软件、不扫描没有安全保障的二维码、不在陌生链接中填写个人信息,切实保护个人信息,防止泄露。
厦门日报社新媒体中心出品
记者:柯恺筠 视频剪辑:蓝齐
2、报告预测:2025年网安市场规模将超800亿元
9月16日,《中国网络安全产业分析报告(2023年)》于安全周期间发布,报告由中国网络安全产业联盟(CCIA)联合国内知名网络安全研究机构编制。报告显示,2022年,我国网络安全市场规模约为633亿元,同比增长3.1%。报告强调,随着网络安全相关政策法规和标准规范相继落地、网络安全技术加快迭代升级等正向激励效能显现,网络安全企业数量有所增长,网络安全市场需求持续扩大。预计未来三年产业增速将保持在10%以上,到2025年市场规模预计将超过800亿元。
3、黑客深度伪造员工声音发起攻击,成功入侵IT巨头Retool
Pcmag 网站披露,一名黑客利用人工智能深度伪造了一名员工声音,成功入侵 IT 公司 Retool,致使 27 名云客户被卷入网络安全事件当中。
黑客一开始向 Retool 多名员工发送钓鱼短信,声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后,大多数 Retool 员工没有进行回应,但有一名员工是个例外,从而引发了此次网络攻击事件。
根据 Retool 分享的消息来看,这名毫无戒心的员工点击了短信中一个 URL,该 URL 将其转到一个虚假的互联网门户网站,在登录包括多因素身份验证表格的门户后,网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话,(这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。
值得一提的是,整个对话过程中,虽然受害员工多次对电话表示了怀疑,但不幸的是,最后还是向攻击者提供了一个额外的多因素身份验证(MFA)代码。
可以看出,网络攻击者在打电话给受害员工之前,可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码,网络攻击者就会将自己的设备添加到该员工的账户中,并转向访问其 GSuite 账户。
Retool 表示,由于谷歌 Authenticator 应用程序最近引入了云同步功能,该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码,但 Retool 指出如果用户谷歌账户被泄露,那么其 MFA 代码也会被泄露"。
Retool进一步指出,进入谷歌账户就能立即访问该账户中的所有 MFA 令牌,这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介,任何组织和个人都会成为其攻击目标,如果实体组织规模足够大,就会有员工在不知情的情况下点击链接并被钓鱼。
最后,虽然目前 Retool 已经禁止了网络攻击者的访问权限,但为了警告其它公司免受类似攻击,还是决定公布这起安全事件。
文章来源:
https://www.pcmag.com/news/hacker-deepfakes-employees-voice-in-phone-call-to-breach-it-company
2023年9月18日 星期一
今日资讯速览:
1、Unity 争议事件引众怒,消息称公司“互相矛盾的服务条款”将招致集体诉讼
2、微软发现影响 Linux 和 macOS系统的 ncurses 库漏洞
3、安全周期间乐山网安公布十大典型案例
1、Unity 争议事件引众怒,消息称公司“互相矛盾的服务条款”将招致集体诉讼
IT之家 9 月 18 日消息,受此前的收费争议事件影响,Unity 引擎目前正被业界广泛指责,据外媒 arstechnica 报道,目前有多家游戏工作室准备就 “互相矛盾的服务条款”起诉 Untiy 公司。
据悉,Unity 明确表示,“新的收费结构不适用于在 1 月 1 日新公布的收费结构生效之前安装的任何游戏”。但在常见问题解答中,该公司表示,2024 年之前发布的游戏在新规则生效后的后续安装都需要付费。
假设游戏符合条件并发布了 Unity 运行时,那么 Unity 公司将收取运行费用。
我们会查看游戏的终生安装次数,以确定是否符合收取运行时费用的条件。然后,我们会根据 2024 年 1 月 1 日之后的所有新安装情况收取运行时费用。
▲ 图源 Unity 常见问题解答
除了上述服务条款显著矛盾外,2015 年 Unity 的 CEO John Riccitiello 此前公开吹捧 Unity 的 “无版税、不乱搞”订阅计划,用户只需要支付永久授权订阅,就不需要缴纳更多费用。
不过现在,即使是当年为 Unity 的 "永久授权" 支付了 1500 美元的开发者,理论上也可能从明年开始需要支付额外的按安装次数收费的费用。
▲ 图源 Unity 的 CEO John Riccitiello 此前的论调
不过 Untiy 则列举了自己的“法律论据”(Unity EULA)来反驳外界的服务条款质疑:
我们的服务条款规定,Unity 可随时增加或更改费用。在 Unity Runtime 费用生效前,我们会提前三个多月通知您。额外费用的生效无需征得同意,而且我们条款的唯一版本是最新版本;您不能选择遵守之前的版本。此外,我们的条款受加利福尼亚州法律管辖,与客户所在国无关。
▲ 图源 Untiy 列举的法律论据
外媒认为,从广义上讲,所有 Unity 开发者签署的一般法律协议理论上都支持这一立场。至少早在 2013 年,Unity EULA 就包含了一个宽泛的条款,规定公司“可以随时修改或终止订阅期限或其他软件许可产品”。
但是,这种 "我们想怎么改就怎么改" 的直白语言在 2019 年初变得有些复杂。当时,Unity 陷入了另一场服务条款(ToS)变更的争议中,这次涉及的新条款似乎禁止了基于云的多人游戏开发工具包 SpatialOS。
虽然 Unity 最终与 SpatialOS 制造商 Improbable 解决了问题,但开发社区担心未来的 ToS 变更会影响他们的项目。为了平息事态,Unity 公司在博客中宣布了一项新的 “开放平台承诺”,“当你获得了一个版本的 Unity,但没有升级你的项目时,我们认为你应该能够坚持使用那个版本的 ToS”即“开发者使用哪个版本的 Unity 引擎,就遵守哪个版本的 Unity 引擎的 EULA”。
▲ 图源 Unity 公司博客
在 Unity 为跟踪此类 ToS 变动而设立的 GitHub 页面上,该承诺被翻译成了法律术语:
Unity 可以随时以任何理由更新这些 Unity 软件附加条款,恕不另行通知(以下简称 “更新条款”),更新条款将适用于 Unity 软件的最新当年版本,但如果更新条款对您的权利产生不利影响,您可以选择按照更新条款之前适用的条款(以下简称 "之前条款")继续使用 Unity 软件的任何当年版本(例如 2018.x 和 2018.y 以及该当年版本的任何长期支持 (LTS) 版本)。
▲ 图源 Unity 公司发布的历史 GitHub 页面(Web Archive 归档)
从表面上看,该条款表明,在 Unity 新条款生效之前发布的游戏,可以坚持使用游戏发布时存在的旧版免安装费服务政策,如果开发者想将项目更新到 Unity 的后续版本,就需要遵守新的收费政策。
更重要的是,2019 版的软件使用条款明确规定了 "非独占、不可转让、免版税" 的权利,即在某些宽泛的条件下,“将 Unity Runtime 作为项目的集成部分进行发布”,基于这项服务条款,Unity 公司实际上无权为采用旧版引擎的开发者收费。
不过 Unity 在 2023 年 4 月的服务条款更新中,完全删除了上述服务条款内容。
4 月版本顶部的注释提到,新版本包括对 “条款修改” 部分的更新。实际上,该 “更新” 就只是删掉了“在 Unity 新条款生效之前发布的游戏,可以坚持使用游戏发布时存在的旧版免安装费服务政策”,此外,Untiy 还更新了 “免版税运行时分发” 条款,表明此类分发 “需要支付适用的费用”,为当下 Untiy 的安装费公告悄悄奠定了法律基础。
外媒同时认为,Unity 似乎也在不遗余力地消除至少一些现存的迹象,表明其以前的 “软件服务条款” 与现在“没有任何不同”,但 Web Archive 已经记录了一切原始内容。
游戏行业律师 Richard Hoeg 在 YouTube 直播中分析了 Unity 及第三方开发者的法律问题,认为“在今天的合同中,Unity 先前的合约似乎被覆盖了,但是存在‘时间’和‘旧版本’的问题,特别是对于不久前已经制作并最终确定的游戏,远在 Untiy 做出收费更改之前。”
Unity 可能会遇到一些法律风险的地方是整体服务条款(Unity 表示只要您使用其服务,您就会受到其约束)和软件服务条款(直到最近还表示,如果您不更新游戏,您可以继续使用旧版本)之间的明显冲突。
Richard Hoeg 认为,在实际法庭上,开发商如果要告 Unity,相关论点“可能是一个艰难的技术主张”。在这种论点中,开发商只能 “把自己投入到正义的概念上,并希望事情对自己一切都好”。
IT之家发现,目前独立开发者 Xalavier Nelson、游戏《Cult of the Lamb》开发商等“该领域一些使用该引擎的最重要的开发者” 正考虑对 Unity 公司提起集体诉讼。
▲ 图源 Xalavier Nelson 在 X 平台发布的贴文
“我看不出这是合法的,”Cult of the Lamb 开发商 Massive Monster 声称,“我们绝对有诉讼要打”。
2、微软发现影响 Linux 和 macOS系统的 ncurses 库漏洞
微软在 ncurses(new curses 的缩写)编程库中发现了一组内存损坏漏洞,威胁者可利用这些漏洞在易受攻击的 Linux 和 macOS 系统上运行恶意代码。
微软威胁情报研究人员 Jonathan Bar Or、Emanuele Cozzi 和 Michael Pearse 在今天发布的一份技术报告中说:利用环境变量中毒,攻击者可以利用这些漏洞提升权限,在目标程序的上下文中运行代码或执行其他恶意操作。
这些漏洞被统一标记为 CVE-2023-29491(CVSS 得分为 7.8),截至 2023 年 4 月已得到修复。微软表示,它还与苹果公司合作修复了与这些漏洞相关的macOS特定问题。
环境变量是用户定义的值,可被系统中的多个程序使用,并可影响它们在系统中的行为方式。操纵这些变量会导致应用程序执行未经授权的操作。
微软的代码审计和模糊测试发现,ncurses 库会搜索包括 TERMINFO 在内的多个环境变量,这些变量可能会被病毒化,并与已发现的漏洞相结合,从而实现权限升级。Terminfo 是一个数据库,可使程序以独立于设备的方式使用显示终端。
这些漏洞包括堆栈信息泄漏、参数化字符串类型混淆、逐一错误、在 Terminfo 数据库文件解析过程中出现堆越界,以及使用取消的字符串拒绝服务。
研究人员表示,攻击者可以利用发现的漏洞提升权限,并在目标程序的上下文中运行代码。即使如此,攻击者通过利用内存损坏漏洞获得程序的控制权也需要多阶段攻击。
攻击者可能需要将这些漏洞串联起来才能提升权限,例如利用堆栈信息泄漏获得任意读取原语,同时利用堆溢出获得写入原语。
3、安全周期间乐山网安公布十大典型案例
安全周期间,全国各地网安部门多次披露相关网络安全执法案例,其中乐山公安机关就摘编了近期的网安执法案例,其中含袁某某涉嫌破坏计算机信息系统案、乐山市“腾*”知识产权服务有限公司不履行个人信息保护义务案、某通讯运营商犍为县分公司不履行个人信息保护义务案、乐山市某县文物保护所网络运营者不履行网络安全保护义务案、郑某、邱某某侵犯公民个人信息案、“2023.4.24”侵犯公民个人信息案、许某某等人侵犯公民个人信息案。
2023年9月15日 星期五
今日资讯速览:
1、北京网信办指导属地网站平台在热搜榜设置固定辟谣位
2、全球首个国家规定:上报安全事件,减免监管处罚
3、微软紧急安全更新:修复59个漏洞,揭秘2个积极利用的零日漏洞
1、北京网信办指导属地网站平台在热搜榜设置固定辟谣位
网信北京消息,近日,北京市委网信办指导属地重点网站平台在热搜榜设置固定辟谣位,以扩大辟谣信息传播声量,进一步压缩谣言生存空间。据称,微博、抖音、快手等10家网站平台作为首批试点平台,已开上辟谣位或辟谣专区,自9月8日固定辟谣位上线以来相关辟谣信息受到网民高度关注,全网阅读量已达2.9亿次。
2、全球首个国家规定:上报安全事件,减免监管处罚
安全内参9月14日消息,英国国家网络安全中心(NCSC)与英国信息专员办公室(ICO)在9月12日达成一项新协议。
协议规定,发生数据泄露事件的英国企业,只要不隐瞒事件,而是主动向NCSC报告,与NCSC合作处理事件,就有可能享受罚款减免政策。
国家网络安全中心是英国的网络安全监管机构,承担编制安全指南、事件响应、能力培养、保护公私部门等职能,隶属于情报机构政府通信总部。信息专员办公室则是英国的数据保护监管机构。
双方签署的谅解备忘录中显示,信息专员办公室承诺,将研究“如何透明地落实‘只要与NCSC进行有意义的合作,就有可能减少监管处罚’这一决定。”
谅解备忘录规定了两家机构将如何合作,以提高全国网络安全标准、防止数据泄露,并要求二者必须对收到的报告内容保密。
谅解备忘录强调,两家机构收取报告,不代表它们可以分享有关事件信息。国家网络安全中心指出,这样做会违反1994年出台的《情报机构法》。
推动英国网络安全态势透明化
谅解备忘录还明确了两家机构将分享信息的领域,例如对影响关键数字服务提供商的网络威胁进行的评估。安全内参昨天报道过,英国今年经历了大量破坏性网络攻击。
尽管两家机构都不会向对方披露网络事件受害者,但谅解备忘录规定了信息专员办公室应如何与国家网络安全中心分享信息,“以匿名和汇总的方式,在事件对国家具有重要影响的情况下,提供特定事件的详细信息。”
两家机构都希望避免,让向他们报告的组织产生不信任感。如果事件上报受到阻碍,两家机构就不能很好地了解英国遭受的网络攻击的真实规模。
今年早些时候,两家机构共同发布了一篇博客文章,称他们“越来越担心”勒索软件受害者会对执法部门和监管机构隐瞒事件。
除了相互分享信息的工作之外,信息专员办公室已同意宣传国家网络安全中心的网络安全指南,帮助组织避免由网络威胁活动引发的数据泄露。
国家网络安全中心首席执行官Lindy Cameron表示,谅解备忘录将为两家机构提供“一个平台和机制,在尊重彼此职责范围的前提下,全面提高网络安全标准。”
信息专员John Edwards表示:“我们已经与国家网络安全中心密切合作,向企业和组织提供正确的工具、建议和支持,帮助他们改善并保持网络安全。谅解备忘录再次明确,我们承诺改善英国网络弹性,确保人们的在线信息免受网络攻击的威胁。”
参考资料:https://therecord.media/uk-memorandum-ncsc-ico-data-breach-fines
3、微软紧急安全更新:修复59个漏洞,揭秘2个积极利用的零日漏洞
微软周二对59个漏洞进行了安全更新,其中包括两个被积极利用的零日漏洞。虽然修复了24个RCE漏洞,但微软只将其中5个评为“关键”——4个远程代码执行缺陷和Azure Kubernetes服务权限提升漏洞。
每个漏洞类别中的错误数量如下所示:
● 3个安全功能绕过漏洞
● 24个远程代码执行漏洞
● 9个信息披露漏洞
● 3个拒绝服务漏洞
● 5个欺骗漏洞
● 5个边缘-铬漏洞
59个缺陷的总数不包括五个Microsoft Edge(Chromium)漏洞——Electron和Autodesk中的两个非Microsoft缺陷。
两个被积极利用的零日漏洞
本次修复了两个零日漏洞,这两个漏洞都在攻击中被利用,其中一个被公开披露。如果漏洞被公开披露或在没有官方修复程序的情况下被积极利用,微软将其归类为零日漏洞。两个被积极利用的零日漏洞是:
1.CVE-2023-36802-Microsoft流媒体服务代理权限提升漏洞
该漏洞使攻击者能够获得SYSTEM权限,是由DBAPPSecurity WeBin实验室、Microsoft Threat Intelligence和Microsoft安全响应中心发现的。
2.CVE-2023-36761-Microsoft Word信息泄露漏洞
该漏洞可用于在打开文档时(包括在预览窗格中)窃取NTLM哈希。这些NTLM哈希可以被破解,也可以在NTLM中继攻击中使用,以获得对帐户的访问权限此缺陷是由Microsoft威胁情报组在内部发现的。
其他公司的安全更新
苹果修复了一个名为BLASTPASS的新的零日漏洞链,该链用于安装飞马间谍软件的攻击。
Atlas VPN修复了Linux客户端中的零日漏洞,该漏洞可以暴露用户的实际IP地址。
华硕修复了SUS RT-AX55、RT-AX56U_V2和RT-AC86U路由器中的三个关键远程代码执行错误。
思科发布了各种产品的安全更新,并警告称思科ASA设备将迎来零日。
谷歌发布了Android和Chrome更新,以修复积极利用的漏洞。
2023年9月14日 星期四
今日资讯速览:
1、贵州网安于安全周期间披露多个数据安全执法案例
2、美国金融机构遭遇史上最大规模DDoS攻击
3、今年以来,英国关基设施遭受严重网络攻击事件暴增
1、贵州网安于安全周期间披露多个数据安全执法案例
国家网络安全宣传周期间,贵州省公安机关网安部门披露了多个适用数据安全相关法律法规对多个单位作出行政处罚的案例,其中一家酒店管理公司被“一案双查”,存在违规收集个人信息,未履行数据安全保护义务,其系统运维公司被处行政警告及行政罚款十万元;某医院未履行数据安全保护义务给予警告处罚,并责令限期整改;某大学不履行网络安全保护义务被处以警告的行政处置,并责令限期整改。
2、美国金融机构遭遇史上最大规模DDoS攻击
Akamai近日透露,已经挫败了针对一家美国银行的大规模DDoS(分布式拒绝服务)攻击,攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。
根据Akamai的公告,该攻击发生在9月5日,洪水般的流量攻击了“美国最大、最有影响力的金融机构之一,虽然攻击只持续了不到两分钟,但由于犯罪分子使用ACK、PUSH、RESET和SYN洪水攻击向量,攻击流量达到了每秒633.7GB。”
攻击者的主要目标是该银行的网页登陆页面,试图扰乱其网上银行业务,但“没有造成附带损害或服务质量下降”。
Akamai声称,这次攻击是迄今为止针对美国金融公司的最大规模攻击。(2023年2月,Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件,峰值每秒超过7100万个请求。)
Akamai的研究人员指出,近年来试图破坏银行网站和业务的DDoS攻击流量正在增加。
从历史上看,科技公司、游戏公司、媒体/娱乐和互联网/电信提供商是DDoS攻击的主要目标,只有10%到15%的DDoS攻击针对银行客户。然而,自2021年以来,针对金融机构的DDoS攻击数量明显激增。“事实上,在过去的四个季度中,超过30%的DDoS攻击都是针对金融服务公司的。”Akamai研究人员透露。
参考链接:
https://www.akamai.com/blog/security/akamai-prevents-the-largest-ddos-attack-on-a-us-financial-company
3、今年以来,英国关基设施遭受严重网络攻击事件暴增
安全内参9月13日消息,英国《信息自由法》披露的数据显示,2023年上半年,英国运营关键信息技术基础设施服务的组织,向政府报告网络攻击严重干扰其运营的事件数量,已经超过了以往任何一年的报告总数。
尽管攻击总数似乎较低,只有13起影响到运营关键技术服务的组织(如国家互联网节点或回程运营商)的攻击,但这个数字较2022年和2021年分别记录的4次有显著增加。
NIS指令规定了事件报告要求
从发电厂到运输和医疗领域以及信息技术基础设施公司,英国各地的重要服务提供商都根据英国《网络和信息系统指令》(NIS指令)要求,向各行业主管机构报告干扰性网络事件。相关规定还为这些重要服务提供商的计算机网络设立了最低安全标准。
只有网络攻击造成的干扰满足某些门槛才会被报告。以配电网络的网络和信息系统事件为例,报告门槛是导致至少50000个客户发生计划外供电中断,且持续时间超过三分钟。以影响国家重要DNS解析器的事件为例,报告门槛是导致服务带宽在15分钟或更长时间内缩减超过25%。
事件报告数量增多不代表威胁形势更严峻
据了解,两个特定行业管理机构在今年上半年收到的报告比以往任何一年都要多。它们分别是从数字基础设施提供商那里接收报告的英国通信管理局(Ofcom),和监管云计算服务等数字服务提供商的英国信息专员办公室(ICO)。
经联系,其他管理机构没有提供自从2018年《网络和信息系统指令》生效以来的年度报告细分数据。因此,尚不清楚2023年上半年创记录数量的网络攻击事件是否涉及通信、数字服务领域之外的行业。
有私营部门专家表示,报告数量增加的原因更可能是服务提供商更清晰地意识到了他们的报告职责,加大了对检测能力的投资,而不是复杂威胁行为者发起了更多敌对活动。
一位政府发言人表示:“随着监管机构和受监管机构对报告要求有更清晰的理解,我们预计报告事件将继续增加。没有证据表明目前的增加与敌对活动增多有任何关联,任何这样的看法都毫无依据。”
NIS事件报告暂无法准确量化行业威胁分析
但数据还显示,大量受监管组织提交的报告最终没有记录为NIS事件报告,这是因为指令对于网络攻击是否需要报告设置的门槛尚待优化。
这些门槛主要基于网络安全事件对基本服务提供的影响程度。比如,网络攻击是否干扰了发电厂的能源生产,是否阻止了铁路公司开行一定数量的列车。
然而,这些门槛没有衡量攻击者对计算机网络的访问深度,也没有衡量威胁行为者是否有能力干扰任何基本服务。所以,政府管理机构无法清晰地看出他们负责的行业面临的网络攻击风险有多大。
交通、数字服务、通信等行业事件报告数量居前
2020年,NIS指令修订后,ICO开始接收数字服务提供商的报告。该部门表示,截至目前已收到了10份有关服务干扰的报告(2020年1份,2021年2份,2022年2份,2023年5份),以及9份未达到门槛的报告(2020年1份,2021年1份,2022年1份,2023年1份)。
Ofcom在2022年记录了一起NIS事件,但该机构累积接收了7份未达到门槛的报告(2020年3份,2021年1份,2023年3份)。
卫生与社会保健部表示,自2018年以来,已收到2份网络和信息系统事件的报告,而交通部则透露,自法规生效以来,已收到关于25起事件的报告。但这两个部门没有说明这些报告的具体提交年份。
交通部表示,没有收到任何未达到门槛的报告。这与2021年天空新闻所报道的内容相矛盾,当时该部门表示已收到9份未达到门槛的报告。外媒The Record询问为何二者不一致,该部门未能提供解释。
能源安全与零排放部表示,自2018年法规生效以来,未收到网络和信息系统事件的报告,但已收到3份未达到报告门槛的报告。
政府发言人表示:“我们致力于保护英国关键服务免受网络威胁,强化事件报告是《网络和信息系统法规》的关键要素。去年,作为对公众咨询的回应,我们规划了扩大报告事件范围的详细计划,不再局限于影响基本或数字服务交付的事件。”
去年11月,英国政府发表题为“更新网络法律以增强英国对在线攻击的抵御力”的新闻稿,承诺将在“议会时间允许的情况下”更新法规。然而,政府尚未宣布任何新的法律。政府预计,2024年11月7日大选之前,标志议会开幕的国王演讲中将概述最终的立法议程。
参考资料:https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis
2023年9月13日 星期三
今日资讯速览:
1、因发生重要信息系统突发事件未报告 北京中关村银行被罚
2、国家政务云被黑,近4个月数据丢失
3、2023年API状态报告:74%的企业遭遇多次攻击
1、因发生重要信息系统突发事件未报告 北京中关村银行被罚
国家金融监督管理总局9月8日发布的行政处罚信息显示,北京中关村银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,依据《中华人民共和国银行业监督管理法》第四十六条,被北京监管局罚款20万元。据悉,根据相关《规范》要求,银行业金融机构应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。
2、国家政务云被黑,近4个月数据丢失
安全内参9月12日消息,斯里兰卡政府云系统“兰卡政府云”(LGC)遭受一次大规模勒索软件攻击。该国已经启动调查程序。
这次调查由斯里兰卡计算机网络应急技术处理协调中心(CERT|CC)负责。斯里兰卡信息与通信技术局(ICTA)于9月11日向多家本地新闻媒体确认了这次攻击。
这次攻击很可能从8月26日开始,当时,一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接,有人可能点击了其中一条链接。
“兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh Perera估计,所有使用“gov.lk”电子邮件域名的电子邮件地址(5000个),包括内阁办公室使用的地址,都受到了影响。
系统和备份在遭受攻击后12小时内得以恢复。然而,由于系统在5月17日至8月26日之间的数据没有可用备份,所有受影响的账户在这段时间内的数据都已永久丢失。
使用过时软件因缺乏预算未能升级
Mahesh Perera告诉媒体,“兰卡政府云”于2007年引入,最初使用Microsoft Exchange 2003版,在2014年升级为Microsoft Exchange 2013版。
“兰卡政府云”使用OpenStack/KVM底层架构
他说:“这个版本一直在使用,但现在已经过时,不再维护,容易受到各种类型的攻击。”
尽管斯里兰卡信息与通信技术局计划从2021年开始升级“兰卡政府云”到最新版本(目前是Exchange Server 2019 CU11 Oct21SU),但由于“资金限制和某些以前的董事会决定”,决策一直受到拖延。
在遭受攻击后,斯里兰卡信息与通信技术局已经开始采取措施增强“兰卡政府云”安全性。具体措施包括启动每日离线备份例程,升级相关电子邮件应用程序到最新版本。
斯里兰卡计算机网络应急技术处理协调中心在帮助信息与通信技术局检索丢失的数据。
此前,斯里兰卡政府曾因未能有效促进公共行政部门和私营部门落实严格的网络安全措施而受到批评。
根据基于爱沙尼亚电子政务学院基金的“国家网络安全指数”,斯里兰卡在175个国家中排名第83位。
2023年6月,斯里兰卡政府公布了拖延已久的网络安全法案。根据法案规定,该国将首次设立国家网络安全管理机构。
3、2023年API状态报告:74%的企业遭遇多次攻击
根据Traceable近日发布的《2023年API安全状况报告》,过去两年74%的企业都遭遇了至少三次API攻击相关的数据泄露事件。
该报告与PonemonInstitute合作,调查了美国、英国和欧盟1629名网络安全专家,对全球API安全状况提供了全面视角。
调查结果显示,近年来与API相关的数据泄露事件剧增。在过去两年中,60%的受访组织报告了至少一次数据泄露事件,其中74%的组织经历了三起或更多事件。DDoS是主要API攻击方式,占所有攻击的38%。58%的受访者表示,攻击者将DDoS与其他攻击媒介相结合,显著扩大了企业的潜在攻击面。
该研究还凸显了人们对API安全性缺乏理解和信心。只有38%的专家认为有能力辨别API活动、用户行为和数据流的细微差别。包括Web应用程序防火墙(WAF)在内的传统安全解决方案受到质疑,57%的受访者怀疑此类产品区分真实API活动和欺诈性API活动的有效性。
展望未来,61%的受访者预计未来两年API相关风险将不断升级。组织正面临API蔓延(48%)和API准确库存管理(39%)等严峻挑战。平均而言,每家受访组织维护着127个第三方API连接,但只有33%的组织表示有信心保护这些外部威胁。
参考链接:
https://www.traceable.ai/2023-state-of-api-security
2023年9月12日 星期二
今日资讯速览:
1、广州2名医院护工出售“死者”信息获利10余万元被判刑
2、政府泄露公民个人信息,法院批准启动集体诉讼
3、澳大利亚、英国等11家数据保护机构发布数据抓取联合声明
1、广州2名医院护工出售“死者”信息获利10余万元被判刑
据广州当地媒体报道,近日,广州市荔湾区人民法院公布了一起侵犯公民个人信息罪案件,广州某医院两名医院护工利用工作便利,在跟随医院救护车急救过程中,未经同意擅自将包括急救病人及丧者家属的居住住址、联系方式等公民个人信息,分别按照每条1000元、2000元的价格非法出售给某殡葬服务公司,出售死亡患者个人信息累计获利10万余元,因构成侵犯公民个人信息罪,最终二人被依法判刑。
2、政府泄露公民个人信息,法院批准启动集体诉讼
安全内参9月11日消息,加拿大联邦法院已经核准一项针对该国联邦政府的集体诉讼,指控政府在“保护加拿大人机密信息方面存在疏忽,导致广泛的隐私侵犯”。
这项诉讼之所以被提起,是因为2020年加拿大税务局账户和其他政府服务遭受了网络攻击。
原告认为加拿大政府网站未采取足够保护措施
原告Todd Sweet是一名来自不列颠哥伦比亚省的退休警官。他认为几家在线政府门户网站“未采取足够的保护措施”,将敏感信息置于危险之中,使“不良行为者”能未经同意即访问加拿大人的在线账户。
除了声称私人账户遭到侵犯,Sweet还指控黑客能够冒领加拿大紧急响应补助金(CERB),导致真正有需要的人无法获得必要的资金支持。
Sweet要求法院命令加拿大政府,给予账户遭侵犯者财务赔偿,并提供修复伤害可能需要的信用监控服务。
诉讼中提出的指控尚未在法庭上接受检验。根据核准通知,联邦政府否认在此事中有任何不当行为。
税务局称有1.12万个用户账户受影响
在2020年8月,加拿大税务局暂停提供在线服务,因为两次网络攻击导致数千个用户名和密码被盗。
根据联邦政府的说法,有总共11200个联邦政府服务账户遭到“撞库”攻击,黑客使用其他在线门户的密码和用户名来访问加拿大人在税务局的账户。
官方表示,他们在2020年8月7日首次发现了这些安全漏洞,但直到2020年8月11日才联系加拿大皇家骑警。
任何人,只要个人或财务信息在2020年3月1日至12月31日期间被未经授权的第三方访问,都会自动纳入这场集体诉讼。加拿大政府在线账户包括加拿大税务局账户、“我的加拿大服务”账户以及使用GCKey登录的任何其他联邦政府服务。
核准通知说,任何人,只要受到这些安全漏洞影响,无需采取任何行动即可参与这一集体诉讼程序,也可以选择退出诉讼。
如果选择退出,他们必须在11月27日之前填写本案代理律所发布的在线表格。核准通知底部也提供了一份退出表和收取该表格的电子邮箱地址。
通知进一步解释说,诉讼将要求对损害提供一揽子赔偿。这意味着,如获任何赔偿,法官将确定如何将赔偿分配给受影响者。
参考资料:https://www.ctvnews.ca/canada/class-action-lawsuit-launched-against-federal-government-over-cra-cyberattack-1.6552315
3、澳大利亚、英国等11家数据保护机构发布数据抓取联合声明
文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员
8月24日,澳大利亚信息专员办公室(OAIC)联合英国信息专员办公室(ICO)等11家国际数据保护机构发布了一份数据抓取联合声明。随着数据抓取技术实践越来越普遍,其引发的个人信息及隐私泄露风险也愈加凸显,通过数据抓取获取的数据可能会流向恶意第三方和情报机构,以此实现非法牟利或情报收集。
OAIC及ICO于今年7月展开了对 Clearview AI公司的联合调查,并最终认定其数据抓取行为违反了澳大利亚《1988年隐私法》。根据该法规定,就数据抓取行为而言,相关实体应(1)采取合理措施,防止其持有的个人信息因数据抓取被滥用、干扰或丢失,防止未经授权的访问、修改和披露,(2)根据“数据泄露通知框架(Notifiable Data Breaches scheme)”,当数据抓取行为所导致的数据泄露可能对数据主体产生严重影响时,相关实体应当通知数据主体和OAIC。
在此背景下,此联合声明就网络平台如何实现数据抓取合规提出了相应建议,其中包含了相关法律的强制性规定。以下是声明的主要内容。
一、概述
数据抓取是指从网络上自动提取数据,这一技术能够从网络上公开的数据中提取大量的个人信息。在大多数司法辖区,“可公开获取”“可公开访问”或“具有公开性质(public nature)的个人信息”仍属于数据及隐私保护法管辖范围。换言之,此类信息的收集行为仍受到辖区内数据及隐私保护法的限制,持有大量可公开访问数据的社交媒体公司(SMC)或其他运营商仍负有相应的保护义务。因此,大规模数据抓取在大多数的司法辖区都可构成法律定义的“数据泄露”行为。联合声明概述(1)有关数据抓取行为的隐私风险,(2)社交媒体平台和其他网站应如何防止非法的数据抓取,以满足现有监管要求,(3)个人可以采取的措施,将数据抓取所带来隐私风险降到最小。
二、隐私风险
数据抓取可能会被用于如下非法用途:(1)有针对性的网络攻击。例如,发布在“黑客论坛”上的个人身份信息及联系方式可能被用于有针对性的网络社会工程(social engineering)或钓鱼攻击;(2)身份欺诈。被抓取的数据可能被用于贷款、信用卡申请,或伪造社交媒体账号;(3)监控个人行为。被抓取的数据可进一步补充SMC的个人数据库,并向有关机构提供未经授权的访问,以实现监控目的;(4)政治目的。被抓取的数据可能被外国政府和情报机构获取,损害国家安全;(5)垃圾邮件。被抓取的数据可能包含联系方式,用于向其发送大量的垃圾邮件。
报告还指出,数据抓取者可能会将一个网站抓取的数据与其他网站抓取的数据进行汇总比对,得出更加精准的数据画像,将其用于违法目的。数据抓取行为所引发的个人信息及隐私保护风险将削弱人们对于社交媒体网站的信任,限制其对个人信息的控制权,从而对数字经济产生不利影响。
三、社交媒体网站应采取的保护措施
社交媒体及其他类型网站有义务采取措施防止非法的数据抓取。报告指出,由于数据抓取技术的不断发展和数据价值的提升,数据抓取相关的安全保护责任也应是动态的(dynamic responsibility),必须随时保持警惕。由于单一的安全措施不足以应对数据抓取所带来的风险,SMC应采取多层次的技术和程序控制措施,包括:(1)创建一个专门的团队和/或职位,负责识别和实施控制措施,以防范、监控和应对抓取行为;(2)“限制(rate limiting)”一个账户每小时或每天访问其他账户资料的次数,并在发现异常活动时限制其继续访问;(3)对新账户开始寻找其他用户的速度和积极性进行监测;(4)通过监测“僵尸活动(bot activity)”识别数据抓取者,例如,同一账户从不同的IP地址访问平台,且发生在较短时间内;(5)使用验证码等技术以检测僵尸账号,并阻止该账号继续访问;(6)在确认存在数据搜刮的情况下,采取适当的法律行动,向数据抓取者发送停止抓取行为的通知,要求并确认其删除相关信息;(7)在数据抓取可能构成数据泄露的地区,按要求通知受到影响的个人和隐私机构。
此外,SMC应提升用户对自身信息的保护意识,告知用户将在什么环节分享自身信息,提升其对平台隐私设置的认识和了解。SMC应定期对保护措施进行测试和更新,以确保这些措施始终有效。
四、用户应采取的保护措施
防止非法数据抓取的重要一环是提升用户对于自身信息及隐私的保护意识,用户可以采取下列措施,以应对数据抓取引发的相关风险。(1)阅读SMC及其他网站的隐私政策——尤其关注SMC及其他网站的信息披露政策,将有助于用户选择共享哪些信息,并认识由此产生的相关风险;(2)认真考虑信息分享的数量和种类——特别是敏感信息,用户个人应限制分享某些私人信息,如身份证号码、地址信息等,并考虑分享这些信息是否会产生名誉受损、歧视、骚扰、欺诈等风险;(3)理解及管理网站隐私设置,用户个人应了解并掌握网站所提供的隐私保护手段,并通过操作这些机制来提升对自身信息的控制水平。
报告指出,用户应从长远考虑他们所分享的信息所可能造成的影响,即便SMC和其他网站会提供删除或者隐藏信息的设置,但数据抓取技术可能使信息会永远留存在网络上。最后,如果用户担心自己的隐私信息被非法抓取或用于非法目的,可以联系SMC和网站,如果对于答复不满意,可以继续向当地数据保护机构投诉。
五、结论
声明本身不具备强制效力,但可能包含了各地数据及隐私保护法的相关规定。除了SMC和其他网站应当采取的措施以外,声明还强调了用户自身需要采取的限制行动。在当今“分享生活”的潮流下,提升用户自身信息及隐私保护意识显得尤为重要,用户应积极地了解SMC及其他网站的隐私政策,知晓自己共享了哪些信息以及在什么时候共享,如何修改、隐藏及删除相应信息,以及在事件发生如何采取补救措施。SMC可在声明发出后1个月内提出反馈意见,以展示它们是如何满足相关要求的。
原文链接:
https://www.oaic.gov.au/newsroom/global-expectations-of-social-media-platforms-and-other-sites-to-safeguard-against-unlawful-data-scraping
2023年9月11日 星期一
今日资讯速览:
1、Atlas VPN现0day漏洞 用户真实IP地址遭曝光
2、香港数码港遭勒索攻击:400GB数据泄露,科技中心受打击
3、抖音:发布 AI 生成、虚构情节等特定内容需主动添加标识,否则最高封号
1、Atlas VPN现0day漏洞 用户真实IP地址遭曝光
据外媒报道,Atlas VPN 已确认存在一个0day漏洞,该漏洞允许网站所有者查看Linux用户的真实IP地址。Atlas VPN提供的VPN解决方案可以改变用户的IP地址,以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。该公司正在努力尽快修复这个容易被利用的漏洞,一旦问题得到解决,就会提示用户将其Linux应用程序更新到最新版本。
2、香港数码港遭勒索攻击:400GB数据泄露,科技中心受打击
安全内参9月8日消息,香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称,已从数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。
周四,一位IT专家查阅了暗网相关材料,发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖,起价定为30万美元。
香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称,“假设一个人的信息是1GB,那就至少有400名受害者。”
数码港商业园区有140名员工,是1900家初创企业和科技公司的运营基地。警方表示,已将此案移交网络安全及科技罪案调查科进行调查,目前尚未有人被捕。
数码港在周三发布声明,谴责未经授权的第三方攻击者入侵其部分计算机系统,并表示他们在发现入侵后迅速采取了行动。但是,声明并未点出谁是可能的肇事者。
数码港半月前发现数据锁定,攻击者索要30万美元赎金
周四,个人资料私隐专员公署表示,已于8月18日收到了数码港发送的数据泄露通知,并已开始对此事件进行合规检查。公署一位女发言人说,“建议相关机构尽快通知受影响的数据主体”。
数码港表示,他们在8月中旬发现一些计算机文件已被锁定,怀疑一名未经授权的第三方已入侵了他们的计算机系统。他们补充说,当时没有证据表明个人数据被不当使用,但拒绝解释为什么在上个月发现入侵后没有立即披露此事。
该事件最早于周二由威胁情报平台FalconFeeds.io披露。照片:内部资料
这一事件最早于周二由威胁情报平台FalconFeed披露。该平台在社交媒体上宣布,数码港已经成为勒索软件组织Trigona的最新受害者。
美国网络安全厂商Palo Alto旗下团队Unit 42表示,Trigona勒索软件相对较新,最早于2022年10月底被安全研究人员发现,受影响组织涉及制造、金融、建筑、农业、营销和高科技行业。
根据社交媒体帖子,Trigona勒索软件组织声称已获得了超过400GB的数码港组织数据。黑客提出以30万美元的价格出售这些信息。
数码港表示已关闭受影响的计算机设备,并与独立和外部网络安全专家进行了彻底调查。他们表示已向警方、个人资料私隐专员公署和相关部门报案,并将充分配合调查。但是,该商业园区没有确认数据泄露的规模。
数码港内部敏感数据泄露,安全专家指责其防范措施松散
Anthony Lai Cheuk-tu ng说,被窃数据包括数码港高管的个人信息,比如身份证复印件、简历、银行账户详细信息和结婚证。Trigona勒索软件组织在暗网上设置了截止日期,将在他们期望赎金付款时间到期后的周一公开这些信息。
Anthony Lai Cheuk-tung表示,数码港此次遭受攻击有三种可能的形式——钓鱼邮件、数据库漏洞和远程桌面访问。他说,攻击者可能使用了一种病毒,一旦下载就会窃取系统密码、探索共享文件,并对文件加密。
Anthony Lai Cheuk-tung认为,“这样的攻击只有在网络安全控制非常松散、脆弱的情况下才能实现。我认为数码港在信息技术和网络安全审计方面做得不够。如果数码港决定不支付赎金,他们应在数据曝光后下载所有泄露数据,并向受害者和受影响各方进行赔偿。”
数码港表示将加强其系统,通知受影响各方并提供所有必要的帮助。他们还将设立专用电子邮件处理和攻击事件相关的问询。
作为香港政府资助的科创中心,数码港主要提供资本、办公空间和技术,帮助本地初创企业初步发展壮大。
参考资料:https://www.scmp.com/news/hong-kong/law-and-crime/article/3233668/hong-kong-tech-hub-cyberport-alerts-police-privacy-watchdog-after-reports-ransomware-attack-exposing
3、抖音:发布 AI 生成、虚构情节等特定内容需主动添加标识,否则最高封号
IT之家 9 月 8 日消息,抖音今日公布了关于“发布特定内容需主动添加标识”的公告,鼓励创作者尊重事实、发布客观真实信息,同时对于特定信息,应以“内容标识”的形式提供充分的说明。
公告称,“内容标识”指抖音创作者在发布内容时,使用抖音平台提供的能力,主动对内容进行的补充说明。该说明将以标识的形式展现在相应内容下方。添加内容标识旨在为内容提供额外信息,降低用户的理解成本。
抖音表示,为规范内容标识的使用方式,为用户提供全面且有效的信息补充,创建良好的社区环境,抖音根据《互联网用户账号信息管理规定》《抖音社区自律公约》等相关法律法规和平台规则,制定《内容标识使用规范》。按照规范要求,用户在发布涉及虚构情节或专业行为等内容时,需添加相应标识,帮助用户更好识别。IT之家汇总具体情形如下:
1、发布涉及国内外时事、公共政策、社会事件的相关内容时,如是自行制作、传播的,需添加拍摄时间、地点,如是引用其他用户所发布内容的,需添加引用来源,以帮助用户判断事件真实性和时效性。
2、发布由人工智能生成的内容(AIGC)时,需添加声明“内容由 AI 生成”,帮助用户区分虚拟与真实。
3、发布涉及虚构情节的内容时,需添加标识“情景演绎,仅供娱乐”,帮助用户区分虚构内容与真实事件。
4、发布涉及专业行为的内容时,需添加标识“专业行为,请在专业人员指导下进行”,避免其他用户效仿而带来身体伤害。
5、发布涉及轻微引人不适的内容时,需添加标识“可能引人不适,请谨慎观看”,同时平台将避免此类内容向特定承受能力较弱的群体分发。
公告称,如创作者未按照《规范》添加标识,或是错误添加标识,平台将提示创作者进行添加,并可能限制相关内容的传播,直至正确添加标识。对于屡次未添加或错误添加的,平台将视违规情节和造成的影响,对账号进行处罚,包括但不限于取消投稿权限、取消营利权限、抹除账号粉丝、封禁账号等。
上述规范已于 2023 年 9 月 8 日起实施,抖音呼吁广大创作者发布相关内容时,主动添加内容标识,与平台一起共同维护健康有序的平台环境。
以下为抖音官方问答:
1、为什么要为作品添加内容标识?
信任:提供更多的背景信息可以增加内容的透明度,用户能更好地理解作品,创作者和作品也更容易收获信任。
安全:对于可能对用户产生潜在风险或误导的内容,适当的警示和提示可以增加用户的安全感。
责任:这有助于创作者与平台共同建立一个负责任的社区氛围,避免误导和误解。
2、发布国内外时事、公共政策、社会事件的相关内容,具体如何添加内容标识?
属于自行拍摄的,需添加拍摄时间、地点。如为旧闻旧事的,需以事件发生的时间、地点为准。
属于引用他人所发布内容的,需添加引用来源。其中,如创作者引用抖音平台其他用户所发布内容,需要从其自己的浏览记录中选择相应内容;如引用非抖音平台内容,需选择“站外”的标识。
3、其他需要添加标识的内容,具体有哪些?
人工智能生成内容,指利用生成式人工智能技术,自动生成的视频、图像、文本等内容,包括但不限于:AI 合成的真人视频、AI 公众人物、AI 卡通动漫、AI 风景等。
虚构情节内容,指创作者通过剧情演绎方式创作,并非真实事件,可能致使用户、公众产生误解的内容。
专业行为内容,指展现需要特定知识、技能、训练或资质才能安全开展的行为内容。当普通用户效仿此类行为时,可能会带来身体伤害等安全风险,包括但不限于:潜水、攀岩等高风险体育活动,建筑设计、电路制作等工程和建筑相关的行为,化学实验、生物实验等科学实验。
轻微引人不适内容,指不违反相关法律法规和平台规则,但可能引起部分用户不适或疑虑的内容,包括但不限于:轻度的血腥或暴力场景、医疗影像、昆虫或爬行动物、脏乱的环境、过度扭曲的图像、强烈的闪烁光、嘈杂的噪音。
4、创作者添加的标识,是否会影响作品的流量?
平台不会因为创作者按照规范正确添加标识而限制作品流量。但如果内容违反了其他法律法规和平台规定,平台仍会按照相应规则进行处置,也不会因为添加标识而进行豁免。
5、如果内容同时符合多个标识的要求,是否需要选择多条标识,优先选择哪个?
目前同一个视频只支持添加一条标识,当内容同时符合多个标识的要求时,按照以下优先级添加:
优先判断是否为发布国内外时事、公共政策、社会事件的相关内容,如是,优先“添加拍摄时间、地点”,其次“添加引用来源”。
对于其他内容,添加标识的优先级为:人工智能生成内容 > 虚构情节内容 > 专业行为内容 > 轻微引人不适内容。
6、创作者可以在哪些渠道进行标识添加?
目前平台提供两种添加途径:
作品发布时,选择【发文助手自主标识】-> 去标识-> 选择需要标识的类型,目前此功能在测试中,部分用户可使用。
当平台发现“未添加标识”或“错误添加标识”,会通过【系统通知】提醒,创作者可通过系统通知的渠道进行添加。
2023年9月8日 星期五
今日资讯速览:
1、必胜客遭黑客组织入侵,数百万客户数据被盗
2、MITRE发布开源OT攻击模拟平台
3、离了个大谱!丰田工厂因数据存储空间不足而停工
1、必胜客遭黑客组织入侵,数百万客户数据被盗
黑客组织ShinyHunters最近表示,它已经访问了澳大利亚比萨饼店连锁店Pizza Hut100多万客户的数据。攻击者表示,他们在1-2个月前利用AWS中的漏洞入侵系统,窃取了超过3000万行机密信息。
黑客发布的样本包含订单信息,包括姓名、地址、电话号码和客户的加密银行卡数据。专家核实了被盗数据的真实性。
ShinyHunters黑客要求30万美元删除被盗信息。该组织已经在公共领域发布了拒绝支付赎金的公司的数据。到目前为止,澳大利亚的Pizza Hut还没有公开评论这一事件,也没有回应攻击者的要求。该公司的官方网站和社交媒体上也没有任何关于黑客攻击的信息或通知客户。当地媒体向Pizza Hut管理层提出的数据盗窃问题也没有得到答复。
被盗的数据可能被用于从银行卡上窃取资金、钓鱼攻击和其他犯罪目的。这一事件威胁到澳大利亚数百万披萨连锁店客户的安全。
尽管这一事件规模巨大,但并未超越今年澳大利亚发生的另一个重大事件。黑客3月对澳大利亚Latitude集团的袭击实际上使该公司破产,但奇迹般地没有完全摧毁其业务,这在很大程度上归功于良好的管理和许多缓解措施。
这些事件暴露了大公司易受黑客攻击的脆弱性,并强调了确保公司内部数据以及客户、合作伙伴和员工的机密信息得到可靠保护的重要性。窃取数百万人的个人数据是一种严重的犯罪行为,会给企业带来重大的声誉和财务风险。
2、MITRE发布开源OT攻击模拟平台
MITRE公司和美国网络安全和基础设施安全局(CISA)近日发布了基于开源平台Caldera的OT网络攻击模拟平台——Caldera for OT,该平台可模拟针对运营技术(OT)的对抗性攻击。
Caldera for OT是美国国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果,旨在帮助提高关键基础设施的弹性。
Caldera网络安全平台基于MITRE ATT&CK框架,向工控系统安全团队提供自动化对手模拟、安全评估以及红、蓝、紫组队演习。
Caldera for OT还支持工厂和安全验收测试(FAT/SAT),工业控制系统(ICS)维护者可从该开源平台中受益。
在开发Caldera for OT的过程中,CISA和HSSEDI合作在CISA的控制环境实验室资源(CELR)中模拟对手的攻击,并将发现的攻击技术整合到了新的扩展中。
MITRE表示,新的扩展旨在帮助识别和消除OT的薄弱环节,OT是关键基础设施(包括电力、交通和供水设施)的重要组成部分。
Caldera for OT现已可在GitHub上下载(https://github.com/mitre/caldera-ot)。MITRE和CISA正在为该工具开发新的开源模块和功能,以涵盖新的攻击、环境和协议。
3、离了个大谱!丰田工厂因数据存储空间不足而停工
丰田公司称,最近日本生产工厂的运营中断是由于其数据库服务器的存储空间不足所致。
据报道,8 月 29 日,丰田公司在日本的 14 家汽车组装厂中,有 12 家因未定义的系统故障而不得不停止运行。作为世界上最大的汽车制造商之一,这种情况造成每天大约 13000 辆汽车的产量损失,有可能影响到对全球市场的出口。
今天,丰田公司在其日本新闻门户网站上发布了一份声明,解释说故障发生在 2023 年 8 月 27 日的一次日常 IT 系统维护期间。
日常的维护工作是整理数据库中的数据并删除零散数据。然而,由于在完成任务之前存储空间已不足,因此发生了错误,导致系统崩溃。这次事件直接影响了公司的生产订购系统,导致无法计划和执行生产任务。
丰田公司解释说,其主服务器和备份机器在同一系统上运行。因此,两个系统都面临同样的故障,无法进行切换,因此才导致工厂停止运营。2023 年 8 月 29 日,丰田的 IT 团队准备了一台容量更大的服务器,以接收前两天传输的部分数据。随后,生产订单系统得以恢复,工厂也恢复正常运行。
丰田公司在9月6日重申:"对所有相关方而言,我们对引发的担忧深表歉意。我们在此重申,此次系统故障并非由于网络攻击所致"。这起事件凸显了信息技术挑战的复杂性,以及日常维护计划不当可能造成的后果。
一个看似微小的疏忽,比如计算错误数据迁移所需的磁盘空间,或者仅仅是存储空间不足,都可能给大型企业带来数百万美元的损失。在 IT 系统安全和数据管理方面,丰田公司经历艰难的一年。
今年 5 月,丰田汽车制造商两次报告称,系统配置错误导致潜在的数据泄露,影响了数百万客户。今年早些时候,研究人员在丰田的应用程序中发现了 API 漏洞,并在该公司的供应商门户网站中发现了安全漏洞,导致未经授权访问机密数据。
2023年9月7日 星期四
今日资讯速览:
1、国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚
2、九月安卓安全更新 包含高威有限利用的零日漏洞
3、点餐必须扫码、强制索取信息…扫码消费“边界”在哪儿?
1、国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚
根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
国家互联网信息办公室将继续坚持统筹发展和安全,坚持依法管网,强化网络安全、数据安全和个人信息保护等领域执法,为企业营造健康规范有序的发展环境,切实维护国家网络安全、数据安全和公民合法权益。
转载请注明来源:“网信中国”微信公众号
审核:李佳民
编辑:赵雅琪
校对:陈金丹
2、九月安卓安全更新 包含高威有限利用的零日漏洞
谷歌于2023年9月发布了安卓安全更新,解决了数十个漏洞,其中包括一个被追踪为CVE-2023-35674的零日漏洞。此高严重性漏洞存在于框架组件中,攻击者可以利用此漏洞升级权限,而无需用户交互或额外的执行权限。谷歌发布的公告中写道:“有迹象表明,CVE-2023-35674可能受到有限的、有针对性的利用。”。
3、点餐必须扫码、强制索取信息…扫码消费“边界”在哪儿?
一杯奶茶也许不贵,但订单里却包含着消费者的个人信息和消费轨迹。对商家来说,成千上万笔订单背后的用户数据堪称一笔重要的“财富”。
扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集?采集的数据商家有没有进行妥善保管呢?
大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用”
相比直接窃取个人信息的案件,人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下,被商家索取姓名、位置、手机号码等个人信息,然后由于各种原因导致信息泄露。
互联网安全专家表示,个人信息泄露主要的危害有两类:一类是黑灰产对个人信息的利用;另一类是企业滥用用户信息,获取更多非正常的商业报酬、商业利益。除此以外,还会通过个人信息建立情报体系、树立行业壁垒。
尽管消费者抱怨声不断,为什么企业仍热衷于收集消费者个人信息呢?
专家表示,在数字经济时代,数据就像石油。尤其是大量数据,具有非常大的价值。把这些数据全部整合在一起,形成每个人的画像,就是最具有商业价值的事。
一句话概括:数据就是打开财富大门的钥匙。因此,不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。
针对这些乱象,从6月中旬起,上海市网信办会同市场监管局开展了为期半年的专项执法行动,重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。
强制索取信息、信息保管、隐私权政策为执法焦点
通过对上海29家知名度较高的奶茶店、快餐店明察暗访中,执法小组发现了几个比较突出的问题。
首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所,仍被告知要通过App或者小程序扫码点餐,而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求,否则就无法完成点餐。
专家表示,这种做法既违反了最小必要原则,也剥夺了消费者的自主选择权,违反了消费者权益保护法。
门店越多,产生的数据也越多,有时甚至达到惊人的地步。比如,某知名连锁奶茶品牌每收到一笔订单,就会产生87条数据,目前已累计产生超过100亿条。其中,涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。
专家表示,在数字经济时代,数据通常被用于经营管理,这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用,但在采集信息的过程中,必须遵循“合法、正当、必要”三原则。
据了解,要搭建一个收集消费者个人信息的技术平台,门槛很低,费用也不高。网络安全专家表示,扫码点餐存在一定的风险性,尤其是在小商家扫描那些来路不明的二维码。
那么,这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢?
调查发现,不少企业在保管用户信息时,存在一定的隐患。比如,采集数据量巨大的某知名奶茶店,根据网络安全法和数据保护法,应该按照三级标准进行等级保护,但是这家企业却没有做这些工作。
此外,隐私权政策也是本次检查的重点内容之一。所谓隐私权政策,就是信息收集方就如何收集个人信息所发布的声明。简单讲,就是告诉用户采集个人信息的目的、用途以及如何保管等。
执法人员发现,不少企业要么没有隐私权政策,要么不完善。还有些企业虽然制定了隐私权政策,但过于冗长,用户体验非常不友好。有的隐私权政策洋洋洒洒近万字,与其说是为了告知用户,倒不如说是为了保护企业自己。
多地出台合规指引加强个人信息保护
为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。
近日,北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。
国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。
数据被称为信息时代的“石油”,而包含个人信息的数据更是优质“石油”,是商家争夺的焦点。商家采集用户个人信息不是不可以,但应该采之有界,用之有度,护之有责。如何规范各种消费场景下商家的信息采集、使用行为,如何监督引导商家做好对消费者个人信息的保护,应该引起我们足够的重视。
▌本文来源:央视新闻微信公众号(ID:cctvnewscenter)综合《焦点访谈》
栏目编辑/宁柯 俞翔
摄像/张敏 刘永波 朱志远
剪辑/郑昱 微信编辑/张琪
2023年9月6日 星期三
今日资讯速览:
1、Notepad++ 漏洞允许执行任意代码
2、某知名艺人发文称个人信息被泄露 收到多个骚扰电话
3、美国国家安全委员会发生数据泄露 近万个登录凭据曝光
1、Notepad++ 漏洞允许执行任意代码
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
2、某知名艺人发文称个人信息被泄露 收到多个骚扰电话
9月4日,话题“杨迪信息被泄露”冲上微博热搜。知名艺人杨迪在社交平台发文称,自己的个人信息被泄露,由于被频繁打骚扰电话,迫不得已换了手机号码。根据其本人晒出的手机来电显示和信息泄露截图显示,其手机号码和详细身份信息被公开到了一个Telegram群组中。在其晒出的截图中,1小时内有6个不同的省份,给他打了11次以上的骚扰电话。有业内人士称,从聊天截图能够看出,该名艺人泄露数据的源头疑似是“社工库”。此前国内多次数据泄露事件也均与Telegram社工库频道有关。
3、美国国家安全委员会发生数据泄露 近万个登录凭据曝光
据外媒报道,日前美国国家安全委员会泄露了其成员的近1万份电子邮件和密码,包括联邦调查局、五角大楼、美国国家航空航天局、西门子、英特尔、IBM以及福特、特斯拉等汽车制造商在内的2000余家组织和公司的隐私数据受到波及。据悉,国家安全委员会(NSC)是美国的一个非营利组织,旨在为组织和企业提供工作场所和安全培训。该组织的网站在五个月的时间里受到网络攻击,使数千个凭据的网络目录暴露在了公网上,这些凭据可能被用于访问公司网络,部署勒索软件,或访问数据。
2023年9月5日 星期二
今日资讯速览:
1、北京警方:低龄化特征明显,不懂技术却能发起攻击
2、这么高调的黑客,网警还是头一次见
3、DARPA举办人工智能网络挑战赛,旨在确保国家最关键软件的安全
1、北京警方:低龄化特征明显,不懂技术却能发起攻击
作为涉网违法犯罪活动的典型代表之一,黑客类犯罪主要包括非法获取计算机信息系统数据、非法控制计算机信息系统、非法侵入计算机信息系统等。
去年以来,北京警方共计侦破黑客类案件113起,部分案件反映出黑客犯罪手段升级趋势,低门槛、低龄化特征越发明显。
有人网上购买“黑客攻击”
一些不法分子利用黑客手段获取个人信息、进行网络攻击,其目的是从中非法获利。
利用非法获取的信息,提供查询服务。黑客非法获取公民个人信息,搭建隐私信息库,在境外社交平台提供付费查询,已成为黑色产业链。
去年8月,北京警方侦破一起侵犯公民个人信息案。嫌疑人天某某利用黑客手段获取大量公民个人信息,自行搭建数据库,与同伙在境外社交软件提供付费查询服务,非法获利70余万元。
这些信息包括个人身份信息、手机号、家庭地址、网购记录等,除部分数据是嫌疑人从其他不法人员处购买、“交换”所得,大部分是其利用黑客技术,攻破系统漏洞,从一些公司和网站“爬”来的。
网上找黑客,任性攻击游戏公司服务器。北京警方今年3月破获的一起案件中,嫌疑人董某在玩一款手游时,觉得与他多年前曾沉迷的游戏非常相似,便投入大量精力“练级”,但因为游戏更新与预期不符,董某为了发泄对游戏公司不满,竟在网上花钱找人对公司服务器多次执行DDos(分布式拒绝服务攻击)攻击,导致服务器“宕机”4个多小时,11万余名玩家受到影响。
根据《2022游戏安全白皮书》显示,游戏行业被黑客攻击次数所占全行业总攻击比例,由2021年的26%上升至42%。
入侵服务器执行恶意指令。今年,北京、重庆等地警方均打掉公司服务器被黑客入侵、发起异常充值案件。北京通州公安分局破获的一起案件中,不法分子非法入侵服务平台,短时间内先后给全国各地5000余个手机账号充值,每笔金额从100元至500元不等,造成公司直接经济损失130余万元。
办案民警结合多起案情表示,在落实“一案双查”过程中,发现有一些公司不安装防护软件、不开启网站日志、不进行网络安全等级保护备案,给了黑客可乘之机。
黑客犯罪低门槛、低龄化明显
随着大量网络技术普及,黑客技术已经具有较高的“可获得性”,犯罪门槛逐渐降低。
以董某案为例,董某本身并不懂技术,却能轻易发起攻击,原因就在于大量黑客工具和自动化攻击平台的存在。
据介绍,该案中,董某购买黑客攻击的花费只有300元,却给相关游戏公司和众多玩家带来损失。
黑客技术的低门槛化,也使得一些低龄的不法分子涉足其中。据了解,上述搭建个人信息数据库的嫌疑人天某某等4人均为“90后”,此外,警方在侦办案件中还发现,有未成年人从事黑客攻击。
“他们在一些群组、论坛中掌握黑客攻击的方法,花几十元购买木马程序,控制服务器。”办案民警说,一起案件中,一未成年嫌疑人通过这种方式控制600余台服务器当做“肉鸡”,向他人发起DDos攻击,以牟取利益。
近年来,新型黑客窃取技术、中间人欺骗、反射型DDos攻击、自动接单机器人等新型攻击方式不断涌现,办案人员不仅要了解网络黑客技术的最新动态,更要具备电子证据固定、程序源代码分析、DDos攻击流量溯源等专业知识和技术能力,大大提高了网络黑客案件的办案门槛。
此外,市场中对非法获取的个人信息、网络攻击等长期存在需求。天某某案件中,其搭建的数据库就曾为一些“用户”提供隐私查询。办案民警介绍,一些营销人员、催债公司倾向使用这种查询服务。
保持高压打击势头,提升防范意识
近年来,全国公安机关网安部门连续开展“净网”专项行动,针对侵犯公民个人信息、黑客攻击破坏等违法犯罪开展打击整治,取得积极效果。
法律专家指出,要推动建设清朗有序的网络空间环境,须提高违法犯罪成本,强化法律适用,对黑客类违法犯罪行为分而治之。
针对当前网络安全形势,网站经营者要及时填补服务器系统的安全漏洞,通过官方渠道和正规途径获取软件;提升服务器的安全防护能力,安装杀毒软件和监测设备,对网站进行备案和等保测评;建立风险预警机制,制定应急预案,发现被黑客攻击时,要立即断网,保存好现场的犯罪证据,并报警处理。
此外,网民要定期更换网络账号的密码,避免使用弱口令或所有网络账号使用同一密码;不要随意点击来源不明的链接或者下载文件,注意保护个人信息和账号密码。
2、这么高调的黑客,网警还是头一次见
你有装*的权利
我就有让你倒下的实力!
打造网络安全,传扬黑客文化!
实力、信誉、效率,三结合!
我们来自……!!!
嚯,真长见识啊。
这是把违法犯罪当“光辉战绩”?
把危害他人权益当事业来干了?
(上图为黑客网上发布的小广告)
2023年8月,四川遂宁船山公安成功打掉一本地网络“黑客”犯罪团伙,侦破非法侵犯公民个人信息、非法控制计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统等系列案件。
工作室网发“服务广告”警方发现端倪
2023年7月中旬,遂宁船山公安在某短视频平台上发现,有用户发布了上述狂妄、骄傲的“服务广告”。
网安民警敏锐地意识到,信息背后很可能隐藏着“见不得光“的勾当。
经过调查民警发现,该“工作室”涉及的“服务”有:DDOS网站攻击、APP系统渗透、指定IP电脑和手机远控,出售攻击软件和教程等。
随着网安民警接下来几日的深入侦查,发现这个“工作室”团伙近期正在入侵某房产网和某购物网APP。
遂宁船山公安立即成立专案组,对该案件展开集中攻坚。
嫌疑人吹嘘“骄人战绩”
犯罪团伙浮出水面
侦查发现,该“工作室”中的一名成员不仅在短视频平台发布“服务”信息,还在其他网络平台聊天,大肆吹嘘自己的高超技术,宣扬自己的“团队”利用黑客技术攻击境内外网站非法牟利的“骄人战绩”。
就怎么说呢……还真是挺嚣张的。
侦查民警通过对数据的进一步分析研判,发现该名成员并没有像他吹嘘的那样神通广大。实际上他在该团伙中只负责数据销售、资金结算和技术寻租等前端犯罪活动,而在他的背后还隐藏着一个专业的犯罪团伙。
以他为突破口,警方连日奋战,截至7月底,全面掌握了这一黑客团伙的组织架构和团伙成员信息,团伙头目奉某、唐某浮出水面。
倒卖大量公民私密信息
警方集中抓捕收网
8月3日晚,专案组兵分三路集中收网抓捕,同时在遂宁市城区某网络技术工作室、河东新区某电竞酒店、内江市资中县一民宿内挡获正在实施攻击网站盗窃用户数据的犯罪行为的嫌疑人4名,现场查扣大量用于作案的网络技术设备。
经查,犯罪嫌疑人奉某、唐某等人成立黑客工作室,招募社会闲散人员加入,利用黑客工具实施DDOS攻击,并通过扫描房产、购物等平台漏洞,用专业手段取得服务器控制权,非法获取公民住址、房产、购物、信用卡等高私密度数据40余万条,为网络赌博、网络诈骗、网络水军“输血供料”。
目前,该团伙被查实的非法牟利金额已超过30万元,犯罪嫌疑人奉某、唐某等人被遂宁船山公安依法采取刑事强制措施,案件正在办理中。
网警提醒:
1.及时更新服务器系统安全漏洞补丁;
2.加强服务器安全防护能力;
3.制定有效的风险预警机制,重要数据一定要备份;
4.发现被“黑客”入侵时,要立即断网,保存好现场的犯罪证据,并马上报警处理。
3、DARPA举办人工智能网络挑战赛,旨在确保国家最关键软件的安全
8月9日,在2023年美国黑帽大会(Black Hat USA 2023)活动上,美国国防部高级研究计划局(DARPA)向顶尖计算机科学家、人工智能专家、软件开发人员等群体发出了参加人工智能网络挑战赛(AIxCC)的号召。这项为期两年的竞赛旨在推动人工智能和网络安全领域的创新,从而创造出新一代网络安全工具。
在一个日益互联的世界里,软件支撑着从金融系统到公共事业的一切。软件在推动现代生活、提高生产力的同时,也为恶意行为者创造了不断扩大的攻击面。
这个攻击面包括关键基础设施,据DARPA专家介绍,由于缺乏能够大规模保护系统安全的工具,关键基础设施特别容易受到网络攻击。近年来,恶意网络行为者利用这种状况对社会造成的威胁已经暴露无遗,网络防御者要保护的攻击面之大也昭然若揭。尽管存在这些漏洞,但现代技术的进步可能为解决这些问题提供了途径。
据DARPA信息创新办公室(I2O)负责AIxCC的项目经理佩里·亚当斯(Perri Adams)介绍:“AIxCC代表了顶尖人工智能公司在DARPA领导下的首次合作,旨在创建人工智能驱动的系统,帮助解决社会面临的最大挑战之一——网络安全。在过去的十年中,我们看到了人工智能所带来的充满希望的新能力的发展。如果以负责任的方式使用,我们认为这项技术在解决关键网络安全问题方面具有巨大潜力。通过大规模自动防御关键软件,我们可以对全美国乃至全世界的网络安全产生最大的影响。”
人工智能网络挑战赛时间表(图片信息来源:DARPA)
AIxCC将允许两个赛道参赛:资助赛道和开放赛道。资助赛道的参赛者将从提交给小企业创新研究(Small Business Innovation Research)招标的提案中选出。最多将有七家小型企业获得参赛资助。开放赛道的参赛者将通过竞赛网站向DARPA 注册,并在没有DARPA资助的情况下参赛。
所有赛道的参赛队都将参加半决赛阶段的资格赛,得分最高的参赛队(最多20 支)将被邀请参加半决赛。其中,得分最高的团队(最多5个)将获得奖金,并继续参加决赛阶段的比赛。决赛中得分前三名的选手将获得额外奖金。
AIxCC汇集了领先的人工智能公司,这些公司将与DARPA合作,为挑战者提供尖端技术和专业知识。Anthropic、谷歌、微软和OpenAI四大人工智能公司将与DARPA合作,帮助参赛者开发最先进的网络安全系统。
Linux基金会的一个项目_开源安全基金会(OpenSSF)将担任挑战赛顾问,指导参赛团队创建能够解决重要网络安全问题(如关键基础设施和软件供应链的安全)的人工智能系统。大多数软件,也就是大多数需要保护的代码,都是开源软件,通常由社区志愿者开发。根据Linux基金会的统计,大约80%的现代软件堆栈都使用了开源软件,这些软件包括手机、汽车、电网、制造工厂等。
最后,AIxCC 竞赛将在DEF CON(全球最大的计算机安全会议之一,自1993年6月起,每年在美国内华达州的拉斯维加斯举办)会议期间举行,并在Black Hat USA会议期间举行其他活动,这两个会议都是国际公认的网络安全会议,每年八月都会吸引数万名专家、从业人员和观众从世界各地来到拉斯维加斯。AIxCC将包括两个阶段:半决赛和决赛。半决赛和决赛将于2024年和2025年在拉斯维加斯的DEF CON上举行。
据佩里·亚当斯介绍:“如果成功,AIxCC不仅将产生下一代网络安全工具,还将展示如何利用人工智能通过保护其关键基础来改善社会。
有关比赛的完整详细信息,包括注册时间、资格信息、规则等,可访问 AICyberChallenge.com。
参考信息来源:
https://www.darpa.mil/news-events/2023-08-09
2023年9月4日 星期一
今日资讯速览:
1、谷歌发布人工智能生成图片检测工具
2、工信部赵志国:截至 7 月底我国 5G 基站累计达到 305.5 万个,基础设施实力显著增强
3、黑客关闭了世界上最先进的两台望远镜
1、谷歌发布人工智能生成图片检测工具
随着生成式人工智能技术的快速普及,对人工智能生成内容的检测需求不断增长。谷歌近日推出了SynthID的测试版,这是一种识别人工智能生成的图像并为其添加水印的工具。
SynthID最初将提供给数量有限的Imagen用户,Imagen是谷歌基于云的人工智能模型,用于从文本生成图像。
SynthID可将数字水印直接嵌入到Imagen生成的图像的像素中,对人眼不可见,但可以通过特定软件检测到。
谷歌的研究人员表示:“SynthID添加的水印不会影响图像质量,并且即使在添加滤镜、更改颜色以及使用各种有损压缩方案(最常用于JPEG)保存等修改之后,水印仍可被检测到。”
SynthID使用两个经过各种图像训练的深度学习模型。一个添加难以察觉的水印,另一个通过提供三个图像识别置信度来确定图片是否由Imagen生成。
虽然元数据(存储有关谁创建图像文件以及何时创建的详细信息的数据)也通常用于识别人工智能图片,但元数据可能在图片编辑过程中被更改或丢失,而SynthID的水印集成到图像像素中,即使在元数据丢失时也仍然可以检测到。
谷歌表示,在不久的将来,SynthID可以扩展到其他人工智能模型(生成的图片),集成到更多谷歌产品中,并提供给第三方。
参考链接:
https://www.deepmind.com/blog/identifying-ai-generated-images-with-synthid
2、工信部赵志国:截至 7 月底我国 5G 基站累计达到 305.5 万个,基础设施实力显著增强
IT之家 9 月 3 日消息,据工信微报官方账号报道,2023 年中国国际服务贸易交易会数字贸易发展趋势和前沿高峰论坛在北京举办,工信部总工程师赵志国出席活动并致辞,宣称“截至 7 月底我国 5G 基站累计达到 305.5 万个,新型数字基础设施实力显著增强”。
▲ 图源 工信微报官方账号
赵志国表示,近年来我国扎实推动数字产业化和产业数字化发展,取得积极成效。截至 7 月底,5G 基站累计达到 305.5 万个,蜂窝物联网终端用户达 21.48 亿户,IPv6 地址资源总量位居全球第一,重点数字产业不断发展壮大。
IT之家从数据中注意到,1—7 月,我国软件业务收入 64570 亿元,信息技术服务收入 43022 亿元,云计算、大数据服务收入同比增长 16.2%。信息通信技术赋能实体经济转型升级。具有一定影响力的工业互联网平台超过 240 家,5G 应用已融入 60 个国民经济大类,建设数字化车间和智能工厂近 8000 个。
赵志国表示,工业和信息化部将会同各方协同推进数字产业化和产业数字化,推动数字经济发展取得新突破,更好赋能高质量发展,其中具体包含:
加快数字基础设施建设
相关部门将推进千兆光网“追光行动”、中小城市云网强基建设、“宽带边疆”、移动物联网高质量发展行动,部署绿色智能的数据与计算设施。
推动数字产业化发展
相关部门将培育壮大云计算、大数据、人工智能、区块链、虚拟现实、工业软件等数字产业,加快制定数据资产、数据交易、数据标注等数据要素市场基础制度配套政策。
深化产业数字化转型
相关部门将开展制造业数字化转型行动,打造“5G + 工业互联网”升级版,壮大智能制造装备、工业软件和系统解决方案产业。
完善数字经济治理规则
相关部门将充分发挥双多边机制效能,加强国际交流合作,积极参与全球数字经济治理规则制定。
3、黑客关闭了世界上最先进的两台望远镜
一些世界领先的天文台报告称,它们受到了网络攻击,导致观测工作暂时停止。美国国家科学基金会的国家光学-红外天文研究实验室(NOIRLab)报告说,8月1日发生的网络安全事件促使该实验室暂时停止了夏威夷双子座北望远镜和智利双子座南望远镜的运行。位于智利Cerro Tololo的其他小型望远镜也受到了影响。
双子座北站位于夏威夷的茂纳凯亚岛上。双子座北站是国际双子座天文台的一部分,是美国国家科学基金会 NOIRLab 计划的一部分。(图片来源:国际双子座天文台/NOIRLab/NSF/AURA/P. Horálek (奥帕瓦物理研究所))
8月24日,NOIRLab在其网站上发表的一份声明中写道:"我们的员工正在与网络安全专家合作,以尽快恢复所有受影响的望远镜和我们的网站。"
目前尚不清楚这些网络攻击的确切性质或来源。NOIRLab指出,由于调查仍在进行中,该组织将谨慎对待有关入侵的信息共享。
更新补充说:"我们计划在我们能够提供更多信息时,向社会提供更多信息,这与我们对透明度的承诺以及我们对基础设施安全的承诺是一致的。"
就在NOIRLab设施遭受网络攻击的前几天,美国国家反间谍与安全中心(NCSC)发布了一份公告,提醒美国太空公司和研究机构注意网络攻击和间谍活动的威胁。
公告称,外国间谍和黑客"认识到商业航天产业对美国经济和国家安全的重要性,包括关键基础设施对天基资产日益增长的依赖性"。"他们将美国与太空相关的创新和资产视为潜在威胁,同时也是获取重要技术和专业知识的宝贵机会。"
这已经不是天文观测台第一次成为网络攻击的目标了。2022年10月,黑客破坏了智利阿塔卡马大毫米波/亚毫米波阵列(ALMA)的运行,而美国国家航空航天局多年来一直是网络攻击的受害者。2021 年,该机构受到了全球 SolarWinds 入侵事件的影响,NASA 领导层称这次事件为网络安全敲响了"警钟"。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
