微闻

标签: 安全

  • tiktok泄露用户隐私

    纽约时报:调查揭示TikTok如何泄露用户隐私,驾照、地址和照片在数千人的群组中公开发布

    根据时报获得的文件,该平台(Lark,即飞书,字节跳动的员工用来做内部沟通)还可以看到美国用户的驾照,以及一些用户发布的可能非法的内容。在许多情况下,这些信息可以在Lark“群组”中获得,这些拥有数千名成员的群组基本上是员工的聊天室。

    据内部报告以及四名现任和前任员工称,Lark上大量的用户数据令一些TikTok员工警觉,尤其是字节跳动在中国和其他地方的员工可以轻而易举地看到这些资料。根据该文件以及现任和前任员工的说法,至少从2021年7月开始,多名安全员工已经向字节跳动和TikTok高管警告与该平台相关的风险。

    一位TikTok员工去年7月在一份内部报告中问道,“北京员工是否应该成为包含用户秘密数据的群组的群主”。

    时报看到的文件包括2019年至2022年的数十张截图,显示了报告、聊天消息和员工在Lark上的评论,以及内部通讯的视频和音频。

    该公司没有回应有关Lark数据是否存储在中国的问题。它拒绝回答有关中国员工参与在Lark群组中创建和发布TikTok用户数据的问题,但表示许多聊天室“在审查内部问题后已于去年关闭”。

    —— 纽约时报

  • ChatGPT网页版存在安全风险

    ChatGPT今天出现了大规模风控,大量账号被封禁。

    经试验,chatgpt网页版在使用过程中,js会向sentry.io发送跨域请求,其中包含一个key,sentry.io是一个提供日志收集的第三方平台,如果用户使用域名分流的方式,或者机场后端解锁只过滤了openai.com,就会导致原本梯子的ip泄露。

    因此建议将sentry.io添加进相关规则列表。

  • 洛杉矒机房大火

    krypt 和旗下子品牌 iON Cloud洛杉矶机房发生火灾,机柜着火,导致服务中断,造成商业影响。该数据中心领导已在现场处理事故,但服务恢复时间未知。

  • 支付宝安全漏洞

    支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码

    目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
    虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
    目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
    这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。(Soha 的日常频道)

    淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。

    PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。

    在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:

    · 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
    · 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
    · 关闭小额免密支付

    —— V2EX

  • Google 将推出 Passkeys 代替密码,实现更安全、更方便的登录 Experience

    Google 帐户现在支持使用密钥代替密码和 2FA

    谷歌迈向无密码未来​的下一步是Passkeys,一种需要预先验证设备的新加密Passkeys解决方案——将用于所有主要平台上的谷歌账户。从今天开始,谷歌用户可以在登录时切换到Passkeys,完全放弃密码和两步验证码。

    Passkeys是一种更安全、更方便的密码替代方案,由谷歌、苹果、微软和其他与FIDO 联盟结盟的科技公司推出。他们可以用本地 PIN 或设备自身的生物识别身份验证(如指纹或面部 ID)取代传统密码和其他登录系统,如 2FA 或 SMS 验证。此生物识别数据不会与 Google(或任何其他第三方)共享,并且 Passkeys 仅存在于您的设备上,这提供了更高的安全性和保护,因为没有可能在网络钓鱼攻击中被盗的密码。

    当您向 Google 帐户添加密钥时,该平台将在您登录时或检测到需要额外验证的潜在可疑活动时开始提示您输入密钥。谷歌账户的密码存储在任何兼容的硬件上——例如运行 iOS 16 的 iPhone 和运行 Android 9 的安卓设备——并且可以使用 iCloud 等服务或Dashlane和1Password等密码管理器(预计在“2023 年初”)。

    您仍然可以使用其他人的设备临时访问您的 Google 帐户。选择“使用另一台设备的Passkeys”选项会创建一次性登录,不会将Passkeys转移到新硬件。正如谷歌指出的那样,你永远不应该在共享设备上创建密钥,因为任何可以访问和解锁该设备的人都可以访问你的谷歌帐户。

    如果用户怀疑其他人可以访问该帐户,或者如果他们丢失了唯一存储密钥的设备,则用户可以立即在 Google 帐户设置中撤销Passkeys。谷歌表示,注册其高级保护计划的用户可以选择使用Passkeys代替他们通常的物理安全密钥,这是一项免费服务,可提供针对网络钓鱼和恶意应用程序的额外安全保护。

    —— The Verge

  • 百度贴吧利用AI加强安全防护

    百度贴吧利用AI加强安全防护

    百度副总裁:在AI技术的加持下,百度贴吧正在成为一个“正能量加速器”

    在百度AI技术的赋能下,贴吧通过AI自动审核、实时过滤,可以迅速有效识别拼音、谐音、拆字、形近字、影射等违规文本内容。

    在AI技术的加持下,百度贴吧正在成为一个“正能量加速器”, 让平台更安全也更温暖:文本内容理解技术和信息提取技术能够更精准理解吧友提出的问题,并自动分析评论关注点和观点,并输出评论观点标签及观点;基于自然语言理解、深度学习等技术,能够有效识别过滤违规互助内容;通过领先的中文命名实体识别技术,从非结构化的文本中抽取命名实体,并关联到知识库中的实体对象,实现吧友互助正能量内容结构化,加速用户查找、使用、推荐和传播。

    技术发展的趋势是客观事实,甚至是全球各国正在进入深度竞争的关键领域。如何将AI技术为我所用,在保障安全的前提下,去推进社会和文明的进步,是需要我们深入思考的问题。百度贴吧会充分发挥技术优势,和用户携手,与AI技术一起,提升内容安全,弘扬正能量,共创有爱的清朗文明家园。”王颖表示。

    —— 中国日报 快照

  • 工业和信息化部要求腾讯公司加强微信业务安全稳定

    工业和信息化部信息通信管理局指导腾讯公司 做好重要业务系统安全稳定运行工作

    4月12日,工业和信息化部信息通信管理局听取腾讯公司关于“ 3·29 ”微信业务异常情况汇报,要求腾讯公司进一步健全安全生产管理制度、落实网络运行保障措施,坚决避免发生重大安全生产事故,切实提升公众业务安全稳定运行水平。

    —— 财经网

  • 美国情报大泄露

    美国情报大泄露 泄密者为20多岁枪支爱好者

    《华邮》星期三(4月12日)报道,这名泄密者在社群聊天平台Discord的一个群组里分享机密信息。这个群组共有约20名男子和年轻男孩,他们“共同热爱枪支、军事装备和上帝”。报道是根据与群组里两名成员所进行的访问所写的。

    Discord星期三较早时发声明说,公司正与执法部门合作。

    五角大楼正在评估美国机密信息泄露事件所造成的损失。五角大楼移交此事后,司法部上周开始进行正式的刑事调查。

    泄密者的名称是“OG”,即“原始的大佬”(Original Gangster),或意指一个老派的传统主义者。一名消息人士说,泄密者相信是20来岁的男子,深受群组里成员的尊重。其中一名成员说:“他很健硕。他很强壮。他有武器。他受过训练。在某种疯狂的电影可以想象得到的那种。”这名成员未满18岁,在征得母亲同意后匿名发言。

    这次相信是美国多年来最严重的文件泄露事件。美国敏感文件的图片被发布在Discord和其他平台上,包括线上消息板4Chan、加密的Telegram应用和社媒平台推特。

    美国国家安全机构和司法部正在调查这起事件,以评估对国家安全,以及与盟友和包括乌克兰在内的其他国家关系的损害。

    —— 联合早报

  • OpenAI Offer Bounty for ChatGPT Vulnerabilities

    OpenAI 开始为 ChatGPT 提供漏洞赏金 – 但越狱聊天机器人没有奖励

    OpenAI 推出了漏洞赏金,鼓励公众发现并披露其AI服务 (包括ChatGPT) 中的漏洞。奖励从”低严重性”的200美元到”特殊发现”的20000美元不等,报告可通过众包网络安全平台 Bugcrowd 提交。

    值得注意的是,赏金不包括越狱 ChatGPT 或导致其生成恶意代码或文本的奖励。OpenAI 表示,这种”模型安全问题不适合漏洞赏金计划,因为它们不是可以直接修复的单个离散错误。解决这些问题通常涉及大量研究和更广泛的方法,此类问题的报告应通过公司的模型反馈页面提交。”

    —— The Verge

  • 香港居民接收防诈骗提示

    香港居民本月起接收境外来电将有防诈骗提示

    据香港中通社报道,电话骗案层出不穷,为提高市民警觉性,香港特区政府通讯事务管理局办公室(通讯办)星期二(4月11日)公布,香港移动网络运营商本月起就来电号码为“+852”开头的境外来电,向所有流动服务用户发送话音提示或文字讯息,以提醒用户有关来电源自境外。

    移动网络运营商会就“+852”来电向所有移动服务用户发送统一的提示内容:“来电源自香港境外,慎防诈骗。”话音提示会以粤语、普通话及英语读出,文字讯息则以中英文提供。所有移动网络运营商将于5月1日全面实施相关提示安排。

    有关提示服务由移动网络运营商免费提供,用户无需事先在手机上做任何设定。

    —— 联合早报