瑞士政府计划实施一项新法案,要求拥有超过5000用户的服务提供商收集用户身份信息,保留用户数据6个月,并在许多情况下禁用加密。此举引发了全球隐私和数字自由倡导者的强烈抗议,Proton等公司已宣布将基础设施迁出瑞士,以应对所谓的“大规模监控”。该法案将严重破坏网络匿名性,甚至影响到瑞士境外的用户。批评人士指出,这项法案与俄罗斯等国的相关法律类似,瑞士此举令人担忧。
阅读更多
Google威胁情报小组(GTIG)和Mandiant发现一个持续的网络攻击活动,攻击者利用已过期SonicWall Secure Mobile Access (SMA) 100系列设备的漏洞窃取敏感数据。攻击者利用之前入侵中窃取的凭据和一次性密码(OTP)种子,即使在安装安全更新后也能重新访问组织内部系统。攻击者使用名为OVERSTEP的后门程序,修改SonicWall设备的启动过程以维持持久访问,窃取敏感凭据并隐藏恶意软件组件。该活动可能与Abyss勒索软件团伙有关,但研究人员尚未确定攻击者的动机和受害者数量。SonicWall已发布更新,建议用户重置OTP绑定。
阅读更多
德国莱比锡地区法院判决Meta因在第三方网站嵌入追踪像素,未经用户同意收集数据,违反GDPR,需赔偿一名用户5000欧元。此判决具有先例意义,可能引发针对Meta的大规模诉讼潮,因为法院认为无需证明个人损失即可起诉。Meta利用追踪技术收集用户数据进行用户画像,获取巨额利润,该行为被法院认定为严重违反欧洲数据保护法。专家指出,此判决将对所有使用追踪技术的网站和应用造成重大影响,潜在的集体诉讼可能导致Meta面临巨额罚款,甚至危及业务。
阅读更多
近日,哥伦比亚大学遭遇黑客攻击,大量学生数据被盗。黑客声称出于政治目的,窃取了包含250万份申请信息在内的460GB数据,其中包括学生姓名、公民身份、学号、申请专业等敏感信息,以及180万个社会安全号码。虽然学校已采取措施并聘请了专业公司进行调查,但数据泄露的全部影响仍需数月才能评估。此事件凸显了高校网络安全面临的严峻挑战。
阅读更多
去中心化金融平台Abracadabra Finance遭遇黑客攻击,损失约1300万美元的加密货币。攻击目标是该平台名为“cauldrons”的孤立借贷市场。黑客利用平台漏洞进行多次交易后才被发现。目前,Abracadabra Finance正与安全公司合作调查事件,并已向黑客提供20%的被盗资金作为赏金。部分安全公司将攻击与去中心化交易所GMX联系起来,但GMX否认受影响。调查显示,攻击者使用的资金可能来自Tornado Cash,该平台近期刚被美国财政部解除制裁。
阅读更多
欧盟委员会发布了名为“ProtectEU”的内部安全新战略,旨在应对不断变化的安全环境和地缘政治格局。该战略提出将加强欧洲刑警组织的能力,使其成为一个真正意义上的行动警察机构;并计划制定路线图,解决执法部门合法访问数据和加密问题,这引发了不小的争议。此外,该战略还强调加强情报共享,提升欧盟的态势感知和威胁分析能力,但同时也承认成员国在实施现有网络安全法律方面存在不足。总而言之,ProtectEU旨在提升欧盟的整体安全水平,但这需要成员国之间的政治意愿和共同努力。
阅读更多
美国联邦贸易委员会(FTC)主席安德鲁·弗格森致函司法部,警告任何23andMe的收购方必须遵守该公司现有的隐私政策,保护消费者的基因和其他数据。FTC强调,23andMe承诺用户控制自己的数据,并可决定其用途。该公司还允许用户随时删除数据。弗格森指出,23andMe的声明中明确表示,除非有法院命令、搜查令或传票,否则不会与保险公司、雇主、公共数据库或执法部门共享数据。FTC认为,这些对消费者的承诺必须在破产情况下得到遵守,因为基因数据是敏感且不可更改的。
阅读更多
Chainalysis的一份新报告显示,由于执法部门的打击和受害者防御能力的提高,2023年勒索软件支付额下降了35%,从12.5亿美元降至8.1255亿美元。这主要归功于对LockBit等主要勒索软件团伙的打击,以及AlphV/BlackCat团伙的退出骗局,导致受害者对支付赎金失去信心。尽管如此,勒索软件攻击仍然猖獗,关键基础设施仍然面临严重威胁。
阅读更多
一个名为“Yellow Drift”的亲乌克兰黑客组织对俄罗斯最大的政府和企业采购电子交易平台Roseltorg发动了网络攻击,声称删除了550TB的数据。Roseltorg最初声称中断是由于“维护工作”,后证实遭受攻击,但表示所有数据和基础设施已恢复。此次攻击影响了众多俄罗斯大型企业和政府机构,包括国防部和Roskomnadzor。攻击事件凸显了持续的俄乌网络战,以及网络攻击对关键基础设施的潜在破坏性影响。
阅读更多
社交媒体巨头Meta因将数亿用户的密码以明文形式存储在其内部系统中,而非采用加密格式,被爱尔兰数据保护委员会(DPC)罚款9100万欧元(1.01亿美元)。该事件违反了欧盟的通用数据保护条例 (GDPR),Meta公司未能在发现数据泄露后及时通知DPC,也未采取适当的技术措施保护用户密码。
阅读更多
加州立法者周三通过一项法案,要求互联网浏览器和移动操作系统允许消费者轻松选择退出与网站共享和出售其私人数据,以用于定向广告。该法案将创建一个“退出偏好信号”工具,允许公民只需按下按钮即可选择退出共享他们的信息,从而激活浏览器上的信号,该信号默认会向消费者访问的每个网站发送退出请求。长期以来,加州一直是隐私监管的风向标,现在为其他州树立了榜样,这些州可以提供同样的保护,并在这样做时极大地颠覆在线广告生态系统。
阅读更多
NFL将在本赛季所有32个体育场馆开始使用面部识别技术,以加强赛事安全。该技术将用于验证进入场馆的人员身份,简化媒体、官员、工作人员和嘉宾的进入流程,并提高安全性。虽然NFL声称该技术是为了防止欺诈性证件的使用并提高安全性,但隐私倡导者担心面部识别技术会被用于追踪人们的位置,并加剧种族和性别歧视。
阅读更多
一款名为Forewarn的应用正在房地产行业迅速普及。该应用由数据代理公司red violet所有,它可以让房地产经纪人只需输入潜在客户的电话号码,就能立即获取他们的详细数据,包括犯罪记录、地址历史、财务状况等。Forewarn的支持者认为它是一个有价值的安全工具,而批评者则担心它会助长歧视,并在用户不知情的情况下对其进行大规模画像。
阅读更多
美国参议员就AT&T大规模数据泄露事件向AT&T和数据存储公司Snowflake施压,要求其提供更多信息。此次事件导致网络犯罪分子窃取了“几乎所有”AT&T客户的记录。参议员Richard Blumenthal和Josh Hawley在致AT&T首席执行官John Stankey和Snowflake首席执行官Sridhar Ramaswamy的信中,表达了对数据泄露可能被拍卖并落入犯罪分子和外国情报机构手中的担忧。他们还质疑了Snowflake在防止数据泄露方面的安全措施,并要求两家公司在7月29日之前回答一系列问题,包括黑客是如何获得Snowflake服务访问权限的,以及两家公司向账户被黑的客户发送了哪些通知。
阅读更多
国际刑警组织近日宣布,全球61个国家警方联手开展代号为“第一道曙光”的大规模行动,成功打击多个网络诈骗团伙,逮捕嫌疑人近4000名,查获非法所得资产2.57亿美元。此次行动重点打击网络钓鱼、投资诈骗、虚假购物网站、婚恋诈骗和身份盗用等犯罪活动。
阅读更多
数据代理商Verisk停止向保险公司出售从汽车制造商处获得的驾驶行为数据,而LexisNexis Risk Solutions仍在推广其驾驶行为数据产品,尽管遭到州政府、联邦官员和消费者团体的强烈反对。LexisNexis Risk Solutions表示,他们与汽车制造商合作,将联网汽车数据转化为可衡量的驾驶行为洞察,并强调数据采集的合理性和透明度,以及对消费者选择退出的权利的尊重。
阅读更多
美国环境保护署敦促水务公司采取行动改善其数字防御,此前发生了一系列网络攻击。 该机构的“执法警报”称,最近对水务系统的检查发现,超过 70% 的水务系统未能达到基本网络安全标准,包括一些具有“关键”漏洞的系统,例如依赖尚未更新的默认密码和“容易受到攻击”的单点登录。此前,一个俄罗斯黑客组织声称对德克萨斯州和印第安纳州的水务站点进行了数字攻击。 去年年底,与伊朗有关联的 Cyber Av3ngers 集团声称对宾夕法尼亚州的一个水务局发动了攻击。
阅读更多
西班牙警察逮捕了六名涉嫌利用WhatsApp冒充他人进行诈骗的人。这些犯罪分子利用WhatsApp冒充受害者认识的人,并要求汇款。警方表示,此类骗局已导致数百名受害者损失数千欧元。
阅读更多
英国政府禁止在销售的物联网设备中使用默认密码。此举旨在提高物联网设备的安全性,减少网络犯罪的风险。新规定要求物联网设备制造商使用唯一的、随机生成的密码,这些密码在设备首次使用时由用户更改。
阅读更多
英国军情五处 (MI5) 警告称,英国大学容易受到外国间谍活动的影响,尤其是来自俄罗斯和中国的间谍活动。MI5 已向大学提供建议,帮助他们保护研究和知识产权免受间谍活动的影响。
阅读更多