报告称澳大利亚关键基础设施面临网络威胁
澳大利亚表示,去年十分之一的网络安全事件涉及关键基础设施,国家支持的黑客利用不断演变的技术针对该国政府、基础设施和企业发起攻击,这令其感到担忧。澳大利亚信号局周三在一份报告中称,去年超过11%的网络安全事件与关键基础设施有关,包括电力、天然气、水、教育和交通服务。其中四分之一是网络钓鱼事件,21%是利用面向公众的界面,15%是暴力破解活动。国防部长理查德·马尔斯在接受采访时表示:“令人担忧的是,我们看到网络犯罪分子和国家黑客越来越关注我们的关键基础设施。”他补充说,澳大利亚与国际伙伴一起将去年的网络事件归咎于中国、俄罗斯和伊朗。
—— 路透社
香港政府电脑禁用桌面版 WhatsApp 应用
香港特区政府早前向内部推出信息科技安全指引,规定政府雇员须获批准才能在办公室使用电脑桌面版 WhatsApp、Gmail 和云端软件,各部门最迟需本月内采取措施或制定实施计划。香港创新科技及工业部部长孙东今天表示,明白此举一定会给政府人员带来不便,但由于涉及重大安全隐患,因此有必要实施。他还指出,手机并不受限制,相信各部门能够找到替代方法。孙东表示,过去一年政府内部的电脑遭到入侵的情况比较严重,形容形势严峻。因此,参考国际上各国政府的通用做法,包括内地和美国,政府内部对电脑系统都有较严格的规范。
—— 香港01
微信开发人员在修改 TLS 时引入了安全漏洞
研究人员称,消息应用巨头微信使用了自定义修改版的 TLS 网络协议,因此引入了安全漏洞。微信使用 MMTLS,这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整,但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致,例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示,它提供了两层加密,明文内容被包裹在“业务层加密”中,而得到的密文则被包裹在 MMTLS 加密中,密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击,但这些缺陷在标准版 TLS 中并不存在。
研究人员表示,只有在中国,开发人员才会逆潮流而行,自行开发加密系统,而且一般来说,这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。
—— The Register
互联网档案馆被入侵 3100万账户信息被泄露
在遭遇严重的 DDoS 攻击之后,互联网档案馆的网站时光机服务遭遇数据泄露,黑客入侵了该网站并窃取了包含3100万条不同记录的用户身份验证数据库。周三下午,访问者开始看到黑客创建的警报,称互联网档案馆遭到入侵。并指出,3100万用户数据已上传至 HIBP 网站。“HIBP”指的是数据泄露自查网站 Have I Been Pwned。该网站表示,黑客九天前共享了互联网档案馆的身份验证数据库,这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册成员的身份验证信息,包括电邮地址、显示名称、密码更改时间戳、Bcrypt 哈希密码和其他内部数据。
—— BeepingComputer
谷歌调整搜索以减少明显的深度伪造内容
谷歌正在推出新的在线安全功能,可以更轻松地从搜索中大规模删除明显的深度伪造内容,并防止这些内容首先出现在搜索结果的靠前位置。当用户成功请求从搜索中删除描述他们的明显未经同意露骨虚假内容时,谷歌的系统现在还将致力于过滤掉有关他们的类似搜索中的所有明显结果,并删除任何重复的图像。谷歌还更新了其排名系统,如果用户专门搜索带有某人姓名的露骨深度伪造内容,搜索结果将显示“高质量、非露骨内容”,如相关新闻报道。因包含虚假露骨图片而被大量删除的网站在谷歌搜索排名中将会被降低。谷歌表示,此前的更新已将专门搜索此类深度伪造内容的查询中露骨图片结果的曝光率降低了70%以上。
—— TheVerge、Engadget
针对美国邮政的网络钓鱼活动所获得的网络流量与官方网站本身一样多
作为美国主要的包裹递送机构之一,美国邮政(USPS)一直是网络钓鱼和短信钓鱼活动的常见目标。对于美国居民来说,在节假日期间几乎肯定会收到至少一次诈骗尝试。
网络服务商 Akamai 团队分析了在与 USPS 网站相关的 DNS 级别上所看到的情况,其通过访问来自 Akamai CacheServe DNS 服务器的匿名全局 DNS 查询日志来实现。
在平日,非法域名的流量几乎等于合法域名的流量,并且在节假日期间大大超过合法流量。Akamai 发现恶意行为者采取了两种不同的方法:将流量分散到许多不同的域名,或是只使用几个流量很大的域名。
—— Akamai Blog
美国众议院全票通过防止向外国对手出售个人数据的法案
当地时间3月20日,在美国众议院通过一项旨在迫使 TikTok 与其中国母公司分离的法案一周后,又通过了第二项法案,旨在保护美国人的数据免受外国对手的侵害。《保护美国人数据免受外国对手侵害法案》(HR 7520) 将禁止数据经纪人向外国对手出售美国人的个人身份信息。如果数据经纪人被发现向这些国家出售位置或健康数据等敏感信息,他们可能会面临联邦贸易委员会的处罚。该法案在众议院顺利通过,所有参与投票的414名议员均选择通过该法案。该法案由美国众议院能源和商业委员会主席共和党成员凯西·麦克莫里斯·罗杰斯和和该委员会首席民主党成员弗兰克·帕隆领导。
—— TheVerge
加拿大外交部遭遇数据泄露
加拿大政府当地时间周二表示,加拿大全球事务部遭遇数据泄露,包括外交员工在内的用户个人信息遭到未经授权的访问。加拿大全球事务部 (GAC) 在一份声明中表示,它于1月24日启动了一次计划外 IT 中断,以“解决发现的恶意网络活动”。该部门没有透露数据泄露发生的时间。加拿大媒体早些时候援引未透露姓名的消息来源报道称,内部系统在12月20日至1月24日期间均受到了攻击。
—— 路透社
美国通讯巨头康卡斯特称黑客窃取了近 3600 万 Xfinity 客户的数据
美国通讯巨头康卡斯特证实,黑客利用严重安全漏洞窃取了近 3600 万 Xfinity 客户的敏感信息。该公司称,黑客可能还获取了数量不详客户的姓名、联系信息、出生日期、社会安全号码最后四位数字以及他们的秘密问题和答案。
这个漏洞被称为“CitrixBleed”,存在于大公司经常使用的 Citrix 网络设备中,自 8 月底以来一直被黑客大规模利用。Citrix 在 10 月初发布了补丁,但许多组织没有及时打补丁。黑客利用该漏洞入侵了包括波音公司,中国工商银行和安理国际律师事务所等。
—— Techcrunch
英国备受争议的在线安全法案最终成为法律
英国的《在线安全法案》是一项内容广泛的立法,旨在使英国成为“世界上最安全的上网场所”,今天获得批准并正式成为法律。
该法案旨在解决的具体危害包括未成年人访问网络色情内容、“匿名恶意评论者”、诈骗广告、以及儿童性虐待材料和恐怖主义相关内容的传播。
不遵守该法案规定的公司可能会被处以最高 1800 万英镑的罚款,或其全球年营业额的 10% (以较高者为准),其老板甚至可能面临牢狱之灾。
《在线安全法案》一直是一项有争议的立法,反对者包括加密消息应用和维基媒体基金会。WhatsApp 和 Signal 等通讯应用反对该法案中的一项条款,该条款允许 Ofcom 要求科技公司识别儿童性虐待内容,“无论是公开还是私下交流”,这些公司表示,这严重削弱了他们提供端到端服务的能力加密。这些服务的提供商表示,他们宁愿离开英国也不愿遵守这些规则。
与此同时,维基媒体基金会表示,该法案保护儿童免受不当内容侵害的严格义务可能会给维基百科这样的服务带来问题,因为维基百科选择收集最少的用户数据,包括他们的年龄。
—— Theverge