为了减少对中国的过度依赖,欧盟于近期公布了一系列关键原材料项目,并采取多项措施以增强欧洲内部的原材料供应能力。这一决策源于新冠疫情和俄罗斯入侵乌克兰所暴露的供应链风险,促使欧盟意识到在欧洲本地扩大生产的重要性。
欧盟委员会已确定47个”战略项目”,涵盖锂、钨等关键矿产资源的开采工作,这些项目分布在13个成员国境内。为支持这些项目,欧盟提供了更便捷的融资渠道和简化的许可流程。这一系列举措均基于《关键原材料法案》的要求,该法案明确规定:到2030年,欧盟需实现每种关键材料10%的开采需求、40%的加工需求以及25%的回收需求由本土满足的目标。
此外,《关键原材料法案》还规定,欧盟不应依赖任何单一非欧盟国家来满足其65%以上的战略原材料需求。各成员国需根据自身地质条件制定适合国情的关键原材料勘查计划。同时,在国际合作方面,欧盟将协助伙伴国家提升其在原材料开采和加工领域的能力,包括支持相关制造工具的研发工作。
通过这些措施,欧盟旨在构建更加安全可靠的供应链体系,减少对关键原材料进口的依赖,确保战略产业的稳定发展。
宾夕法尼亚州教育协会50万成员信息泄露事件引发广泛关注
宾夕法尼亚州教育协会(PSEA)是一个拥有50多万名成员的大型教育工作者工会。该组织表示,其数据库 recently遭遇网络攻击事件,导致超过51.7万名会员的敏感个人信息被未经授权地窃取。
PSEA在提交给缅因州总检察长的文件中详细说明了事件经过:2024年7月,一名未经授权的行为者侵入PSEA的网络系统,成功获取包括身份证件号、社会安全号码、护照号码、医疗信息以及关联的银行卡号和密码等高度敏感数据。
此次事件涉及的数据范围极为广泛,具体包括:
– **身份验证数据**:如政府颁发的身份证件号、社会安全号码、护照号码。
– **医疗信息**:可能包含患者的诊疗记录或其他健康相关信息。
– **财务信息**:关联的银行卡号和密码等。
这一事件对PSEA及其50万会员构成了严重威胁,也对相关领域的个人隐私造成了潜在影响。
超过十亿台设备使用的蓝牙芯片中发现未记录的后门指令
一款由中国制造商乐鑫(Espressif)制造的 ESP32 微芯片,截至 2023 年已有超过 10 亿台设备在使用,该芯片包含一个未记录的后门,可用于发起攻击。未记录的命令允许欺骗受信任的设备、未经授权的数据访问、转向网络上的其他设备,并可能建立长期持久性。研究结果在 7 日马德里的 RootedCON 上被展示。
Tarlogic Security 公司开发了一种新的基于 C 的 USB 蓝牙驱动程序,允许直接访问硬件,而无需依赖特定于操作系统的 API,可实现对蓝牙流量的原始访问。借助这款新工具,Targolic 在蓝牙固件中发现了隐藏的供应商特定命令,这些命令允许对蓝牙功能进行低级控制。他们一共发现了 29 条未被记录的“后门”命令,可用于内存操作(读/写 RAM 和闪存)、MAC 地址欺骗(设备模仿)和 LMP/LLCP 数据包注入。乐鑫尚未公开记录这些命令,因此要么这些命令被有意隐藏,要么是被错误地保留了下来。
—— Bleeping Computer
1Password 根据位置显示代码和登录信息
密码管理应用 1Password 今天宣布推出一项新功能,允许用户根据地理位置查看登录信息、密码、警报代码、PIN 码等。用户现在可以为存储在保险库中的项目分配位置,当用户靠近这些物理位置时,相关项目将显示在 1Password 应用中。例如,工作相关的密码可以在工作时优先显示,用户到达星巴克时显示 Starbucks Rewards 码,在医生办公室附近显示医疗记录号码。用户可以通过编辑项目并选择新的 “添加位置” 选项将位置分配给 1Password 中的项目。位置信息不会被共享、存储或跟踪。位置信息在本地进行检查,因此当前位置坐标始终保存在设备上。
—— MacRumors
大模型工具 Ollama 存在安全风险
3月3日,据清华大学网络空间测绘联合研究中心分析,开源跨平台大模型工具Ollama默认配置存在未授权访问与模型窃取等安全隐患。多数用户使用Ollama私有化部署且未修改默认配置,存在数据泄露、算力盗取、服务中断等安全风险。使用Ollma在本地部署大模型时,会在本地启动一个Web服务,并默认开放11434端口且无任何鉴权机制。该服务直接暴露在公网环境,而攻击者可利用Ollama框架历史漏洞,直接调用模型接口实施数据投毒、参数窃取、恶意文件上传及关键组件删除等操作。建议更新至最新安全版本、配置防火墙规则、仅允许11434端口本地访问,并验证端口状态等。
—— 国家网络安全通报中心
Google 确认 Gmail 将放弃短信验证码身份验证
Google 首次透露在身份验证方面短信代码将被抛弃,取而代之的是二维码,以“减少猖獗的全球短信滥用的影响”。Gmail 发言人表示:“就像我们希望通过使用密钥之类的东西来取代密码一样,我们也希望不再使用发送短信进行身份验证。”Google 目前主要将短信验证用于两个不同的目的:安全和滥用控制。在接下来的几个月里,用户将不必输入电话号码并接收 6 位数的代码,而是会看到一个动态二维码,你需要用手机上的相机应用程序进行扫描并进行授权。
Google 表示,短信验证码存在诸多安全隐患,可能被网络钓鱼,人们也不总是能够访问接收验证码的设备,而且短信验证码依赖于用户运营商的安全措施。“如果诈骗者可以轻易欺骗运营商获取某人的电话号码,那么短信的安全性就不复存在了。”
—— 福布斯
TikTok在全球范围裁减信任和安全部门员工
当地时间周四,三位知情人士表示,作为重组的一部分,TikTok 正在裁减其负责内容审核的信任与安全部门的全球员工。两位消息人士称,该应用的运营主管兼信任和安全部门负责人亚当·普雷瑟于周四向员工发送了一份备忘录,通知他们这一举动。两位消息人士称,裁员行动针对亚洲、欧洲、非洲和中东地区的团队。TikTok 尚未立即回应置评请求。此举正值 TikTok 命运未卜之际。TikTok 表示,其在全球拥有4万名信任和安全专业人员。路透社无法立即确定裁员的程度。
—— 路透社
抗议马斯克政府效率部的人瞄准特斯拉展厅
周六,抗议者聚集在美国各地的特斯拉展厅外,抗议马斯克及其政府效率部对联邦政府实施的大幅削减。组织者列举了全国各地的37起抗议活动。由于这位亿万富翁在白宫的巨大影响力,马斯克的汽车公司正在成为美国和欧洲政治愤怒的目标。当地新闻媒体报道了俄勒冈州和科罗拉多州特斯拉展厅发生的纵火和企图纵火事件。周六,大约五十到一百名抗议者在俄勒冈州波特兰市出现,举着写有“推翻马斯克”和“如果特斯拉存活,你的国家就会灭亡”的标语。在芝加哥,抗议者举着写有“停止购买纳粹汽车”的横幅。
—— 英国金融时报
Meta 在情人节夕前警告用户小心网恋骗局
情人节来临之前,Meta 公司再次警告用户不要陷入网恋骗局。据 Meta 称,这些诈骗账户通常来自西非国家,诈骗者冒充美国军人或名人。在这两种情况下,他们都会声称自己在“寻找爱情”,并在 Facebook、Instagram 和 WhatsApp 以及其他聊天软件平台上与人搭讪。最终,诈骗者会索要礼品卡、加密货币或其他类型的付款。Meta 已采取措施打击此类诈骗。该公司去年表示,将重新引入面部识别技术来解决冒充名人问题。该公司还与其他公司合作,打击有组织的诈骗团伙。
—— Engadget