微闻

标签: 数据安全

  • 谷歌云端硬盘推出文件锁定选项

    谷歌云端硬盘推出文件锁定选项

    谷歌为云端硬盘推出文件锁定选项,锁定后其他人无法添加修改、评论或建议

    谷歌正在向 Google 云端硬盘添加一个新选项:锁定文件功能。锁定文件可确保审阅者无法更改文件。无法将编辑、评论和建议添加到锁定的文档中。

    要想锁定文件,你必须有文件的编辑访问权限。右键单击文件选项,选择“文件信息” > “锁定” > 即可锁定该文档。

    文件锁定功能昨天开始就向部分用户推出,计划于月底向所有用户推出。

    —— Google Workspace 更新

  • 英国网络安全公司进行的数据安全审计

    TikTok聘请英国网络安全公司进行数据安全审计,以证明其数据不会被中国政府获得

    路透斯德哥尔摩 9 月 5 日 – TikTok 已聘请英国网络安全公司 NCC 对其数据控制和保护进行审核,并提供独立验证,作为该社交媒体公司数据安全制度(绰号为“Project Clover”)的一部分。

    由于人们越来越担心中国公司字节跳动旗下的 TikTok,以及中国政府是否可以收集用户数据以促进其利益,多个政府机构已禁止在员工手机上使用 TikTok。

    作为该制度的一部分,TikTok 将开设三个数据中心——两个在爱尔兰,一个在挪威,用于存储欧洲的用户数据。

    爱尔兰第一个数据中心已上线,TikTok已开始迁移数据。欧洲隐私主管伊莱恩·福克斯 (Elaine Fox) 在一次媒体电话会议中表示,剩余的数据中心将在 2024 年底前建成。

    “我们不会等待我们的欧洲数据中心全面投入运营……我们已经开始默认将欧洲经济区和英国用户的个人数据存储在一个名为欧洲飞地的指定安全区域中,该区域临时托管在美国,”她说。

    未来几个月,TikTok 和 NCC 表示,他们将与欧洲各地的政策制定者接触,解释该系统在实践中将如何运作。

    由于大西洋两岸立法者在数据安全方面面临的压力越来越大,TikTok在 3 月份宣布了Project Clover。

    —— 路透社

  • tiktok母公司要给美国政府什么样的控制权

    TikTok 规避禁令的计划草案赋予美国政府前所未有的监督权力

    TikTok 的中国母公司字节跳动多年来一直在与拜登政府谈判一项国家安全协议,以避免美国对该短视频应用的禁令。

    现在,该协议的 2022 年夏季草案揭示了字节跳动可能需要给予美国政府多少控制权。如果最终敲定,美国政府将可以几乎不受限制地访问 TikTok 的内部信息,并对其基本功能进行前所未有的控制,而这是其他任何主要自由言论平台所不具备的。

    当时正在谈判的协议草案将授权司法部或国防部等政府机构以下权力:
    1、在很少或没有通知的情况下检查 TikTok 在美国的设施、记录、设备和服务器。
    2、阻止该应用更改其美国的服务条款、审核政策和隐私政策。
    3、否决聘用任何参与领导 TikTok 美国数据安全组织的高管。
    4、命令 TikTok 支付各种审计、评估和其他有关 TikTok 美国功能安全报告的费用,并使其接受这些审计、评估和报告。
    5、在某些情况下,要求字节跳动暂时停止 TikTok 在美国的运作。

    该协议草案将使 TikTok 的美国业务受到一系列独立调查机构的广泛监督,包括第三方监督员、第三方审计员、网络安全审计员和源代码检查员。它还将迫使 TikTok US 将字节跳动领导人排除在某些与安全相关的决策之外,转而依靠安全委员会,该委员会的运作将对字节跳动保密。该委员会的成员将首先负责保护美国的国家安全,然后才是为公司赚钱。

    —— 福布斯

  • 搜狗输入法存在隐私风险和安全漏洞

    多伦多大学研究员发现,搜狗输入法存在隐私风险与安全漏洞

    来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞,研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析,发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞,这使得网络窃听者能够恢复加密网络传输的明文。

    研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器,上传过程中包含的敏感数据(例如用户按键的数据)的网络传输可以根据漏洞被网络窃听者破译,从而会暴露用户在按键输入时键入的内容。

    研究员向搜狗开发人员披露了这些漏洞后,搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本( Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 )。

    —— 多伦多大学公民实验室

  • 黑客可能获得了数百万英国选民的信息

    英国选举委员会称黑客可能可以获得了数百万英国选民的信息

    英国选举监管机构周二表示,黑客可能获取了选民登记信息,可能涉及数千万名英国选民,这一漏洞在一年前被发现。

    选举委员会对此次泄漏行为表示歉意,但表示大部分信息已经进入公共领域,2014 年至 2022 年期间登记投票的人的姓名和地址不太可能被“敌对行为者”用来影响选举结果。

    该委员会的首席执行官肖恩·麦克纳利表示:“英国的民主选举过程分散程度很高,其中的关键方面仍然基于纸质文件和计数,这意味着很难利用网络攻击来影响这一过程。”

    —— 美联社

  • Threads 的隐私风险有多大

    Threads 的隐私风险:Threads 的个人资料只能通过删除您的 Instagram 帐户来删除

    Threads 终于在今天早上推出,对于那些想要摆脱马斯克的Twitter的用户提供了一个替代品。Threads 的报道褒贬不一,一些用户将Meta的新应用程序比作老式 Twitter,而另一些用户则嘲笑它的首页推荐算法并不好。

    但要注意的是一旦你创建了 Threads 个人资料,Meta 就会毫不犹豫地劫持你的Instagram帐户,诱骗你保留下它。

    Threads 的隐私条款写道:当您停用自己的 Threads 主页时,您的内容和主页将被隐藏,不会被其他用户看到,但仍然会保留在 Threads 服务器上。

    只有当您逐一检查并手动删除您的帖子时,您的帖子才会从 Threads 的服务器上删除。

    如果你的帖子太多无法手动删除,就只能请求删除自己的 Instagram 帐户时才会间接删除你的全部 Threads 内容,删除过程将在您提出请求后 30 天内自动开始。在删除过程开始后,可能需要长达 90 天的时间从 Threads 服务器上删除 Threads 内容。

    —— Threads 使用条款 、Threads 隐私权补充政策 、mashable

  • 谷歌身份验证器的新同步功能并非端到端加密

    谷歌身份验证器的云端同步功能没有端到端加密

    周一,Google Authenticator 推出了将2FA 代码同步到您的 Google 帐户的功能。后来发现该功能不是端到端加密的 (E2EE),谷歌今天解释了原因。

    Mysk的安全研究人员昨天对 Google Authenticator 的新同步功能不是端到端加密 (E2EE) 提出批评,因此从理论上讲,Google 可以获取并复制您的 2FA 代码。

    那些非常注重安全并且不相信谷歌(或恶意第三方)不会访问用户数据的人希望通过使用只有他们知道的另一个密钥(或密码)对代码进行端到端加密,让除了他们之外没有人可以访问 2FA 代码。

    谷歌今天解释说,Authenticator 的新同步功能的目标是“提供保护用户的功能,但又实用又方便。” 承认“E2EE 是一项提供额外保护的强大功能”,缺点是如果用户忘记或丢失了他们的 Google 帐户密码(或额外的安全层),他们可能“无法恢复自己的数据”。

    谷歌“计划为谷歌身份验证器提供 E2EE。” 同时,它提醒用户他们可以在离线/不同步 Google 帐户的情况下继续使用该应用程序。

    —— 9TO5google

  • 西部数据披露一起安全事件

    西部数据披露一起安全事件,内部数据被黑客窃取

    数据存储设备制造商西部数据公司周一表示,它正在调查一起网络安全事件,此前一些系统的漏洞扰乱了其部分业务运营。

    该公司在一份声明中说,未经授权的一方从其系统中获得了某些数据,西部数据正在努力了解这些数据的性质和范围。

    该公司表示,该事件可能会对其业务运营造成进一步干扰,并正在实施措施以确保运营安全,包括将系统和服务下线。

    该公司还表示,在与外部安全和取证专家进行了自己的调查之后,它正在与执法当局合作。

    —— 路透社

  • 中国将设立新的国家数据局监管其海量数据

    中国将设立新的数据治理最高监管机构,将把所有与数据相关的问题置于一个机构监管之下

    新加坡——随着北京寻求解决企业的数据安全问题并简化其监管结构,中国将成立一个新的政府机构来集中管理该国海量数据。

    知情人士说,新的国家数据局将成为中国处理各种数据相关问题的最高监管机构,这将改变目前多部委共同监管的结构。

    他们说,建立该机构的计划预计将在全国人民代表大会年度会议期间进行讨论和批准,该会议将持续到 3 月 13 日。

    他们说,如果成立,该机构将决定跨国公司是否可以出口其在中国业务产生的数据。 他们说,它还将为企业制定和执行数据收集和共享规则。 例如,它可以禁止公司收集某些类型的消费者数据,或者审查国内公司计划与外国商业伙伴共享的数据,以检查是否存在潜在的国家安全漏洞。

    知情人士说,新的数据监管机构还将调查数字领域的各种问题,例如使用算法进行数据操纵或诱导未成年人上网成瘾,以及识别容易受到网络攻击的数据安全漏洞。

    代表中国政府处理媒体查询的全国人民代表大会和国务院新闻办公室没有回应置评请求。

    —— 华尔街日报

  • TikTok 允许美国政府检查其算法但不能确保是否受中国影响

    TikTok 允许美国政府检查其算法,但研究人员表示这无法得出其是否被中国影响的结论

    TikTok 表示,它已经制定了一项计划,允许美国官员检查其专有算法——向用户推荐视频的计算机代码的秘方,以确定它们是否受到了北京方面的影响。  

    一些美国官员和独立研究人员表示,这种安排面临实际困难,他们表示,确定算法为何提升或降低内容是一项复杂的任务,通常无法得出明确的答案。

    TikTok 对其算法透明化的承诺是该公司应对越来越多要求禁止该应用程序提议的核心部分。

    总部位于北京的 ByteDance Ltd. 拥有的 TikTok 表示,它不会允许中国政府进行干预,但已提出让美国公司甲骨文公司能够访问该算法的代码并为政府检查员标记问题,以实现完全隔离美国业务。

    TikTok 上的政治内容是美国官员最关心的国家安全问题之一。华纳先生和其他人一些儿说,北京可能会试图塑造美国人在 TikTok 上的看法,目的是挑拨离间、影响公众舆论或影响选举。 

    —— 华尔街日报