| aliases | tags |
|---|
政策研究
- source: 二十大报告(实录全文)
- date: 2022-10-16
- 总章强调网络强国和数字中国,网络生态要持续向好,推动形成良好的网络生态。
- 提高公共安全治理水平,提到 加强个人信息保护
- 强化国家安全工作协调机制,完善国家安全法治体系
- 国家安全观里面再次提到:国家安全是民族复兴的根基,社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观
- 最后提到了参与 全球安全治理
数据泄露
- source: 微软被曝泄露2.4TB客户敏感数据,6.5万家公司受影响
- date: 2022-10-21
10 月 21 日消息,据报道,网络安全供应商 SOCRadar 最近向微软通报了一次重大数据泄露事件,声称超过 2.4TB 客户敏感数据被泄露,6.5 万家公司受到影响。微软已经承认此事,但辩称 SOCRadar“夸大了这次泄露事件的范围和严重程度”。
SOCRadar 表示,2022 年 9 月 24 日,该公司的内置云安全模块检测到微软维护的 Azure Blob 存储配置错误,其中包含来自一家知名云提供商的敏感数据。分析显示,泄露的数据包括执行证明 (PoE) 和工作说明书 (SOW) 文档、用户信息、产品订单 / 报价、项目细节、个人身份信息 (PII) 数据,以及可能泄露知识产权的文档。
SOCRadar 披露称,上述问题导致 6.5 万家受影响公司的大量数据被泄露,包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码,以及与受影响客户和微软或微软授权合作伙伴之间的业务文件。其中有些文件的日期在 2017 年至 2022 年 8 月之间,时间跨度达五年之久。这些公司的总部位于 111 个国家和地区。
SOCRadar 使用了专用数据泄露搜索门户网站 BlueBleed 进行搜索,它允许公司确认自己的敏感信息是否暴露在被泄露的数据中。SOCRadar 声称,仅在微软的服务器上,就发现了 2.4TB 包含敏感信息的数据,在分析这些泄露的文件时,发现了超过 33.5 万封电子邮件、13.3 万个项目和 54.8 万名用户名。
批评人士也批评了微软直接通知受影响客户的方式。该公司通过消息中心联系了受影响的实体,消息中心是微软用来与管理员沟通的内部消息系统,并非所有管理员都有权访问此工具,这使得某些通知很可能无法看到。
独立研究员凯文・博蒙特(Kevin Beaumont)在推特上写道:“微软不能拒绝告诉客户数据被窃取了,而且显然没有通知监管机构,这种应对方案显然存在重大缺陷。”
除了对微软披露泄密方式的批评外,这起事件还引发了对微软数据保留政策的质疑。通常,与持有这些数据的公司相比,多年前的数据对潜在犯罪分子的用处更大。在这种情况下,最好的方法通常是定期销毁数据。
数据泄露
- source: 澳大利亚计划加大对重大网络攻击后数据泄露的处罚力度,最高罚款 2.3 亿元
- date: 2022-10-23
IT 之家 10 月 23 日消息,据路透社报道,澳大利亚总检察长马克 - 德雷福斯说,在最近几周高调的网络攻击袭击了数百万澳大利亚用户之后,澳大利亚将向议会提交法律,加大对遭受重大数据泄露公司的处罚。
自从澳大利亚第二大电信公司 Singtel 旗下的 Optus 于 9 月 22 日披露黑客攻击事件后,澳大利亚的电信、金融和政府部门一直处于高度戒备状态,该公司有多达 1000 万个账户的个人数据被盗。
德雷福斯在周六发表的一份官方声明中说,政府将在下周采取行动,通过修订隐私法“大幅提高对重复或严重侵犯隐私行为的处罚力度”。
他说,拟议的修改将把对严重或重复侵犯隐私的最高处罚从目前的 222 万澳元(约合人民币 1026 万元)提高到 5000 万澳元(约合人民币 2.3112 亿元),即通过滥用信息获得的利益价值的三倍,或相关时期营业额的 30%,以高者为准。
数据泄露
- source: See Tickets discloses 2.5 years-long credit card theft breach
- date: 2022-10-25
据 BleepingComputer 10 月 25 日消息,国际票务服务公司 See Tickets 披露了一起数据泄露事件,时间长达两年半。
据称,See Tickets 于 2021 年 4 月在一家调查公司的协同下确认了这一泄露事件,但直到 2022 年 1 月,恶意代码才从网站上彻底清除。内部调查显示,攻击始于 2019 年 6 月 ,因此数据泄露很可能已经持续了长达两年半的时间。而受影响的客户数量未知,See Tickets 尚未澄清是否仅了全球的站点都受到了影响。
调查揭示,攻击者可能通过盗刷器访问了用户的支付卡详细信息,具体是在订单结帐页面上注入恶意 JavaScript 代码片段,用于窃取用户输入的支付卡详细信息,包括:
- 用户姓名
- 住址
- 邮政编码
- 支付卡号
- 卡有效期
- CVV 编号
See Tickets 表示,用户社会安全号码、身份证号码或银行账户信息没有被泄露,因为它们没有存储在其系统中。但介于攻击者已经窃取的数据类型,See Tickets 警告用户应警惕未经授权的信用卡交易和身份盗用。
See Tickets 已经将相关信息告知了受影响的用户,但没有为他们提供免费的身份保护服务,因此被泄露信息的客户只能自己处理安全漏洞带来的后果。
稳定性
- source: 韩国网络服务大中断,科技巨头 Kakao CEO 宣布辞职
- date: 2022-10-19
凤凰网科技讯 北京时间 10 月 19 日消息,由于互联网巨头 Kakao 的大范围服务中断给严重依赖该公司服务的韩国造成了混乱,Kakao 联席 CEO Whon Namkoong 今天宣布辞职。
在周三举行的新闻发布会上,Whon Namkoong 就公司的服务中断道歉,并表示他将辞职。“我对这起事件负有重大责任,我将辞去 CEO 的职务,并领导紧急灾难特别工作组,监督事件的善后工作,”Whon Namkoong 表示,“我们将尽最大努力恢复用户对 Kakao 的信心,确保此类事件不再发生。”
公司文件显示,Kakao 另一名联席 CEO Hong Eun-taek 将留任。“我们真诚地向所有在服务中断期间受到影响的人道歉。”Hong Eun-taek 鞠躬致歉时称。
上周六,首尔南部的 SK C&C 数据中心发生火灾,导致 Kakao 的服务大范围中断,引发公众对于 Kakao 及其附属公司的批评。这家互联网巨头花了数小时来努力恢复其广受欢迎的即时通讯服务 KakaoTalk 的运营,该服务在全国范围内被政府官员和企业使用。在此期间,包括支付、银行和游戏在内的 Kakao 服务暂停。截至周三,包括 KakaoTalk 在内的大部分服务都已恢复。
数据安全
- source: 扎克伯格嘲讽苹果聊天工具不安全
- date: 2022-10-18
近日,Meta 发布了一则广告,直接针对苹果旗下的移动聊天工具 iMessage,这给两家公司的竞争关系再带来一丝“火药味”。当地时间周一,Meta 公司在美国纽约市地铁的宾夕法尼亚车站发布了一则图片广告。在广告中,Meta 首席执行官扎克伯格暗示,和苹果的移动聊天工具和传统的手机短信服务相比,Meta 旗下的移动聊天工具 WhatsApp 更安全,更有私密性。
目前,苹果方面并未对此发表评论。
扎克伯格表示,和苹果的 iMessage 工具相比,WhatsApp 更加安全,更加能保护隐私,它具备了端到端的加密功能,覆盖 Android 设备和苹果手机,另外加密功能也覆盖了群聊。
所谓的端到端加密功能,指的是聊天工具对聊天信息进行了加密,这样,聊天工具运营商并不能够看到用户实际聊天的文字,即使是其他机构根据法律要求索取文字,也根本无法提供。
据报道,Meta 的 WhatApp 和苹果的 iMessage 都提供了聊天内容加密服务,另外两家公司也对聊天内容进行备份,后续可以获取备份的内容。而在传统的手机短信服务中,短信内容备份在移动运营商的设备中。
扎克伯格介绍道,去年,WhatsApp 提供了备份聊天信息的加密功能,他还介绍另外一个重要的创新功能,即用户发送信息时,可以设置在一段时间之后自我删除。
数据安全
- source: 进军无密码未来,谷歌安卓系统和 Chrome 浏览器开始测试“通行密钥”
- date: 2022-10-13
IT 之家 10 月 13 日消息,谷歌今天宣布安卓和 Chrome 浏览器带来初步的 Passkey 通行密钥支持。第一阶段让开发者通过使用 Google Play 服务 Beta 测试版和 Chrome Canary 来获得该技术,并让他们在其网站和应用程序中增加对该功能的支持。
谷歌希望在今年晚些时候向稳定频道推出对该功能的支持,届时一些开发者将把该技术纳入其产品。
IT 之家获悉,通行密钥是密码的一种替代形式,旨在为各种网站和 App 提供一种更安全快捷的免密登录体验。与密码不同,通行密钥是一种基于标准的技术。它可以抵御网络钓鱼,始终具有出色的安全性,并且从设计上避免了机密的共享。
Passkey 界面类似于 Chrome 手机用户已经熟悉的自动填充界面。使用 Passkey 就像选择要登录的账户一样简单,然后使用用户指纹、人脸或屏幕锁来获得访问权。如果用户愿意,还可以使用手机上的密码在附近的设备上登录。如果想在电脑上登录网站,可以提供二维码,并使用手机扫描来批准访问。
谷歌的下一个里程碑是将 API 支持引入原生安卓应用。在他们的应用程序中建立支持的开发者将允许用户选择使用 Passkey 或密码来登录。随着 Passkey 的普及,创建和记住密码的需求将减少,这可能导致黑客入侵账户的情况减少。
Passkey 是一个行业标准,作为 FIDO 联盟和 W3C 的一部分,苹果、微软和谷歌都对其进行了投入,致力于构建无密码未来。
数据泄露
- source: 优步前高管或因隐瞒数据泄露入狱,企业该如何应对黑客勒索?
- date: 2022-10-11
10 月 5 日,对 Uber 前首席安全官 Joseph Sullivan 一案作出裁定——Sullivan 曾试图向美国联邦贸易委员会(FTC)隐瞒 Uber 在 2016 年的数据泄露事件。据悉,Sullivan 被裁定为妨碍司法公正罪和隐瞒罪行罪,可能面临最高 5 年和最高 3 年的监禁。
这是美国首例企业高管因黑客攻击而面临刑事起诉的案件。但多位安全专家认为,Uber 可能并不是唯一一家隐瞒数据泄露事件的企业,事实上向黑客支付赎金的行为并不鲜见。不过,这起判决可能会改变企业安全专业人士处理数据泄露的方式。
作为首席安全官,Sullivan 在任上的工作涉及了 Uber 在 2014 和 2016 年遇到的两次数据泄露事件。
Sullivan 于 2015 年 4 月被聘为 Uber 首席安全官。在他上任一个月后,FTC 就 2014 年数据泄露事件向 Uber 提出了民事调查要求。此次事件涉及约 5 万名消费者的个人信息未经授权访问,包括姓名和驾照号码。Sullivan 负责陈述 Uber 为保护客户数据安全所采取的措施,并在 2016 年 11 月 4 日向 FTC 进行了宣誓作证。
在作证后十天,2016 年 11 月 14 日,Sullivan 得知 Uber 再次遭到了黑客攻击。黑客们通过电子邮件直接联系 Sullivan,称发现了 Uber 的安全漏洞并获取了数字密钥,从亚马逊云服务器盗取了大规模用户数据,包括约 5700 万 Uber 用户的记录和 60 万驾照号码,以此勒索大笔赎金。
尽管明知应立即向 FTC 报告,Sullivan 仍然隐瞒下了此事,也没有将其透露给 Uber 用户或任何其他机构。在谈判后,2016 年 12 月,Sullivan 通过比特币向黑客支付了 10 万美元,并将这笔款项掩饰为漏洞赏金计划的一部分。
作为交换,双方签署了保密协议。据调查,黑客在协议中承诺不会向任何人透露此次数据泄露事件,还做出了“没有获取或存储任何数据”的虚假陈述。2017 年 1 月,Uber 安全小组查出了这两名黑客的真实身份,要求他们以真实姓名签署新的保密协议副本。
证据表明,Sullivan 知道黑客在攻击和勒索 Uber 的同时也攻击了其他企业,并至少从其中一些企业获得了数据。后来黑客提交的认罪书表明,在 Sullivan 协助掩盖了对 Uber 的攻击之后,黑客还对另一家企业 lynda.com 进行了攻击和勒索。
数据销毁
- source: 泰国政府宣布该国“健康码”停止运行,销毁所有数据
- date: 2022-10-01
泰国公共卫生部疾控厅关闭疫情追踪软件“医生胜利”,于此同时销毁系统中的所有数据。
泰国头条新闻社讯 10 月 1 日,泰国总理府副发言人拉差妲透露,为顺应自今日起将新冠视为监测性传染病的政策,泰国公共卫生部疾控厅关闭疫情追踪软件“医生胜利”,于此同时销毁系统中的所有数据。此外,外交部领事事务局也取消了针对外籍游客入境的新冠相关文件审查,如疫苗接种证明、登机前 72 小时核酸检测结果。
拉差妲表示,虽然政府降低了新冠疫情的严重性,但仍继续密切监控疫情,包括加强疫苗接种工作,尤其是老年人。此外,仍支持民众保持距离、在拥挤的地方戴口罩,轻症患者积极使用 ATK 检测。目前,政府已经为 6 个月至 4 岁的儿童提供了 300 万剂辉瑞疫苗,预计将于 10 月下旬抵达,并为全国儿童接种。
数据本地化
- source: 谷歌日本首个数据中心将于明年投入使用
- date: 2022-10-07
近日,赴日本访问的美国谷歌首席执行官(CEO)桑达尔·皮查伊(Sundar Pichai)在接受采访时透露了该公司在日本和亚洲的业务方针。他表示,从去年到 2024 年的 4 年里,谷歌在日本将投资 1000 亿日元(约 7 亿美元),其中一部分用于在千叶县建设数据中心。这是谷歌在日本建设的首个数据中心,预计 2023 年投入使用。
受疫情及通货膨胀等宏观经济因素影响,谷歌业绩发展中的不确定性增加,利润减少,对此,谷歌采取了一系列的举措。
其中,在投资领域的推进方面,谷歌将继续对所有定位于业务基础的人工智能(AI)进行投资,将继续致力于主力业务——互联网检索服务及视频共享服务“YouTube”的发展,还将优先投资将这些服务提供给用户所需要的基础软件(OS)“Android”及云服务等。
以地区而论,亚洲是投资重点,皮查伊明确表示“未来 10 年的增长大多来自亚洲市场”,“我们长期看好亚洲,对该地区投资的优先度很高”。
8 月,谷歌宣布将在马来西亚、泰国和新西兰设立新的云区域。就日本来看,谷歌此前已经在东京和大阪设有云区域,为当地企业提供存储和基础设施服务。此次数据中心的建设,除提高消费者使用的互联网服务的方便性之外,皮查伊还表示“希望通过我们公司的云计算业务,为日本企业的数字化变革提供支援”。
数据安全
- source: 2000 万欧元罚单!美国面部识别公司 Clearview AI 因违规收集人脸信息在欧盟又被指控
- date: 2022-10-23
法国数据监管机构国家信息与自由委员会(CNIL)以违反《欧盟通用数据保护条例》(GDPR)为由,向美国人脸识别公司 Clearview AI 开出了 2000 万欧元的罚单。南方财经全媒体记者梳理发现,这并非 Clearview AI 第一次面临控诉。此前,英国、美国、澳大利亚、意大利等国的监管机构都曾对其违反收集人脸信息的违规行为提出指控。
具体违反行为:CNIL 揭示了 Clearview AI 违反 GDPR 的具体行为,例如非法处理生物识别信息数据,且在收集这些数据时未征求同意等。
CNIL 向 Clearview AI 发出正式通知,要求其停止违规收集和使用法国境内人员的数据;保护个人的数据权利,并遵守其删除请求,但未回应。
2022 年 5 月,英国 ICO 在此前联合调查的基础上发布通知,对其处以 755 万英镑的罚款,并命令其停止获取并删除在互联网上公开的英国居民的个人数据。同月,由美国伊利诺伊州法院发起、整整历时两年的纠纷案件在 5 月 10 日落下帷幕,Clearview AI 接受伊利诺伊州法院提供的解决方案,同意不再对大多数私企或者个人提供免费或者付费的数据库服务,并在五年内停止对伊利诺伊州的政府机构提供数据库,仅对美国联邦政府以及除伊利诺伊州以外的政府提供服务
隐私报告
- source:《consumer privacy survey 2022》
- date: 2022-10-20
简述一些关键信息
page 5:关于用户隐私最关心的问题
- 39% 认为”数据透明度“是个人和企业建立信任的首要任务。
- 21% 认为 " 不出售个人数据 "
- 20% 认为”遵守隐私法规“
- 10% 选择”可以配置我的隐私设置“
- 9% 选择”保证数据安全“
简而言之,用户依然最关心,自己的数据是如何被处理的。
page 6:超过一半的用户不相信公司能够充分保护他们的数据,79% 原因是搞不清楚公司用他们的数据在干嘛
page 11:对与 AI 的态度,45% 觉的可以改善生活,54% 甚至愿意匿名分享自己的个人数据,但是,65% 对于企业人工智能的做法失去了信任。
page 15-18:用户对于数据本地化的态度,78% 的用户是 infavor,10% against
page 19 :最后给组织的建议
- 尽可能投资于透明度和感知能力(Invest in transparency.)
- 确保客户和用户尽可能的了解法规和权利(Increase awareness of privacy laws and rights among individuals. )
- 采取措施保护数据( Adopt measures to ensure responsible use of data.)
- 成本可控情况下,尽可能数据本地化(Consider the costs and legal alternatives, if any, to data localization requirements)