微软意外泄露了其内部工具,该工具可以开启 Windows 11 的秘密功能
昨天意外发布的 Microsoft StagingTool 是该公司本周“bug bash”活动的一部分,工程师鼓励 Windows 11 测试人员提供反馈,以在重大更新之前消除任何剩余的错误。
Twitter 用户 XenoPanther 于周三首次发现 StagingTool,几小时后微软迅速将其删除。该内部工具现已被 Windows 社区广泛共享。
StagingTool 是一个命令行应用程序,可让您切换功能 ID,以启用 Windows 11 的某些未发布部分。当 Microsoft 对功能使用 A/B 测试时,它特别有用,因为只有一小部分 Windows Insider 才能在之前访问某个功能。微软将其更广泛地推广给测试人员。
微软自己的 StagingTool 泄漏使得启用秘密功能的过程变得更加容易和更加“官方”,因为这是工程师用来测试未发布功能的内部工具。
—— The Verge
索尼 Playstation 的高度机密信息被大聪明泄露
在 FTC 诉微软的听证会文件中,有人用记号笔对文档进行了机密涂黑,但当你扫描时很容易看到底下的内容。目前法院已紧急移除该文件,但记者和索尼的竞争对手已经下载了所有处于公共领域的文件。
部分机密数据显示:
1. 《地平线:西之绝境》5年内耗资2.12亿美元拥有300名员工,《最后生还者2》耗资2.2亿美元拥有200名员工。
2. 有100万 PlayStation 玩家除了《使命召唤》之外什么都不玩。
3. 索尼会从自家平台的第三方游戏中收到10%分成 (可能,这部分涂黑不太清晰)
4. 一半的美国 PS5 用户也拥有 Nintendo Switch。
……
并不只有索尼出现了文档编辑问题,微软机密邮件就曾忘记涂抹关键信息 (现已重新涂抹),Xbox 负责人 Phil Spencer 与 微软CEO和CFO的邮件中显示,微软考虑收购SE、世嘉、Bungie 等游戏公司以扩大 Xbox Game Pass 的影响力。
—— The Verge
纽约时报:调查揭示TikTok如何泄露用户隐私,驾照、地址和照片在数千人的群组中公开发布
根据时报获得的文件,该平台(Lark,即飞书,字节跳动的员工用来做内部沟通)还可以看到美国用户的驾照,以及一些用户发布的可能非法的内容。在许多情况下,这些信息可以在Lark“群组”中获得,这些拥有数千名成员的群组基本上是员工的聊天室。
据内部报告以及四名现任和前任员工称,Lark上大量的用户数据令一些TikTok员工警觉,尤其是字节跳动在中国和其他地方的员工可以轻而易举地看到这些资料。根据该文件以及现任和前任员工的说法,至少从2021年7月开始,多名安全员工已经向字节跳动和TikTok高管警告与该平台相关的风险。
一位TikTok员工去年7月在一份内部报告中问道,“北京员工是否应该成为包含用户秘密数据的群组的群主”。
时报看到的文件包括2019年至2022年的数十张截图,显示了报告、聊天消息和员工在Lark上的评论,以及内部通讯的视频和音频。
该公司没有回应有关Lark数据是否存储在中国的问题。它拒绝回答有关中国员工参与在Lark群组中创建和发布TikTok用户数据的问题,但表示许多聊天室“在审查内部问题后已于去年关闭”。
—— 纽约时报
俄罗斯高超音速科学家被控向中国泄露机密
伦敦,5 月 24 日(路透社)——两位知情人士告诉路透社,俄罗斯一家顶级科学研究所所长与另外两名高超音速导弹技术专家因涉嫌叛国罪被捕,被控向中国泄露机密。
消息人士称,西伯利亚克里斯蒂安诺维奇理论与应用力学研究所 (ITAM) 所长亚历山大·希普卢克 (Alexander Shiplyuk) 涉嫌在 2017 年中国的一次科学会议上交出机密材料。
据知情人士透露,这位 56 岁的老人坚称自己是清白的,并坚称所涉信息不涉及机密,可以在网上自由获取。路透社为了保护他们的安全而选择不具名。
“他确信这些信息不是秘密,而且他自己是清白的,”其中一位知情人士说。
去年 8 月被捕的 ITAM 主任所受指控的性质此前未见报道。与中国的联系将使 Shiplyuk 成为近年来因涉嫌向北京泄露机密而被捕的一系列俄罗斯科学家中的最新一例。
—— 路透社
俄罗斯高超音速科学家被控向中国泄露机密
伦敦,5 月 24 日(路透社)——两位知情人士告诉路透社,俄罗斯一家顶级科学研究所所长与另外两名高超音速导弹技术专家因涉嫌叛国罪被捕,被控向中国泄露机密。
消息人士称,西伯利亚克里斯蒂安诺维奇理论与应用力学研究所 (ITAM) 所长亚历山大·希普卢克 (Alexander Shiplyuk) 涉嫌在 2017 年中国的一次科学会议上交出机密材料。
据知情人士透露,这位 56 岁的老人坚称自己是清白的,并坚称所涉信息不涉及机密,可以在网上自由获取。路透社为了保护他们的安全而选择不具名。
“他确信这些信息不是秘密,而且他自己是清白的,”其中一位知情人士说。
去年 8 月被捕的 ITAM 主任所受指控的性质此前未见报道。与中国的联系将使 Shiplyuk 成为近年来因涉嫌向北京泄露机密而被捕的一系列俄罗斯科学家中的最新一例。
—— 路透社
Edge的“Follow Creator”功能会向Bing泄露你所访问的网站
Edge 浏览器目前被曝出存在向 Bing 发送访问记录的 Bug,这个 Bug 由 Edge 的 “Follow Creator” 功能引起,会自动将所有的访问链接发送给 Bing。这个 Bug 基本对国内用户没有影响。Follow Creator 功能只面向了很少一部分国内用户开放。
Follow Creator 是 Edge 的“内容订阅”功能,通过 Follow Creator 功能可以订阅 Youtube、B站博主、新闻等网站。
Edge 的 Follow Creator 功能本意是通知 Bing 那些支持“订阅”的网站正在被访问。
目前,微软已经承认了这个问题,并且正在修复中。
—— cnBeta
推特称其部分源代码在网上泄露
根据一份法律文件,Twitter 的部分源代码在网上泄露,这是一次罕见的重大安全事故,正值该公司努力减少技术问题和扭转业务困境之际。
备案文件显示,Twitter 周五采取行动,通过向发布代码的软件开发人员在线协作平台 GitHub 发送版权侵权通知,删除了泄露的代码。GitHub 遵从并在当天取下了代码。目前还不清楚泄露的代码在网上发布了多长时间,但它似乎已经公开至少几个月了。
根据备案文件,Twitter 还要求美国加利福尼亚州北区地方法院命令 GitHub 识别共享代码的人以及下载代码的任何其他人。
两名了解内部调查情况的人士表示,Twitter 开始对泄密事件进行调查,处理此事的高管推测,负责此事的人去年已离开了这家总部位于旧金山的公司。自从马斯克先生于10月以440亿美元收购 Twitter 以来,该公司 7,500 名员工中约有 75% 已被解雇或辞职。
了解内部调查情况的人士说,这些高管最近才知道源代码泄露。他们表示,其中一个担忧是该代码包含安全漏洞,可能会让黑客或其他有动机的各方有机会提取用户数据或关闭网站。
—— 纽约时报
俄罗斯科技公司 Yandex 被前雇员泄露 44.7GB 源代码
俄罗斯科技公司 Yandex 前雇员近日在一个流行的黑客论坛上以 Torrent 磁链的形式发布了总容量为 44.7GB 的源代码仓库。
泄露者称这是 ‘Yandex git sources’,于 2022 年 7 月从公司窃取,包含了除反垃圾邮件规则之外的所有源代码。
软件工程师 Arseniy Shestakov 在分析泄露的 Yandex Git 仓库后,发现其中包含搜索引擎和索引机器人、地图、邮件、云存储等服务。泄露文件目录
—— OSCHINA
2亿条 Twitter 用户的电子邮件地址被黑客泄露
一个据称包含超过 2 亿 Twitter 用户的电子邮件地址的数据泄漏在黑客论坛上以大约 2 美元的价格销售。 BleepingComputer 已确认泄漏中列出的许多电子邮件地址的有效性。
自 2022 年 7 月 22 日以来,威胁行为者和数据泄露收集者一直在各种在线黑客论坛和网络犯罪市场上出售和传播大量的 Twitter 用户配置文件数据集,其中包含私人数据(电话号码和电子邮件地址)和公共数据。
这些数据集是在 2021 年通过利用 Twitter API 漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码以确认他们是否与 Twitter ID 相关联。
今天,一名威胁行为者在 Breached 黑客论坛上发布了一个包含 2 亿条 Twitter 个人资料的数据集,需要 8 个论坛货币积分,价值约 2 美元。
据称,该数据集与 11 月份流传的 4 亿组相同,但经过清理后不包含重复项,总数减少到约 221,608,279 行。 然而,BleepingComputer 的测试也证实了最新泄露数据中的重复项。
数据以 RAR 存档的形式发布,其中包含六个文本文件,总数据量为 59 GB。
文件中的每一行代表一个 Twitter 用户及其数据,包括电子邮件地址、姓名、昵称、关注计数和帐户创建日期。
—— Bleeping Computer
泄露的电影大片放映副本往往会在年底出现,但在2022年却没有发生这种事
到了年底,传统上好莱坞电影的试映拷贝会在网上泄露。今年,没有明显的试映片浮出水面。这种缺席可能部分是由于安全和执法措施,但流媒体服务和较短的发行窗口也是主导因素。
vhsScreeners是近期电影的预发拷贝,一般是发给评论家和奖项投票者进行审查。
这些拷贝经常落入盗版者手中,之后在网上广泛流传。这包括潜在的奥斯卡奖提名者的映像,这些映像通常在12月左右出现。
然而,今年,盗版方面的情况相当平静。虽然许多奖项的试映片链接已经被送去审查,但第一个试映片还没有泄露给公众。
从最近的历史来看,今年没有盗版试映片出现在网上,这几乎是不可想象的。二十多年来,他们已经泄露了大量的信息,往往来自好莱坞自己的关系。那么,为什么现在会停止呢?
近年来泄露的许多试映版都是由几周前神秘失踪的发布组“ EVO”发布的。该组织过去常常发布源源不断的电视剧和电影。这个常规的发布时间表在上个月突然停止,并且没有恢复。EVO失踪后,有未经证实的逮捕传言。
目前所有的奥斯卡放映副本都是以数字方式发送,这也可能有助于提高安全性,尽管这肯定不是万能的。第三个,也许是更重要的因素是,当网上没有高质量的电影拷贝时,盗版组织通常会发布盗版放映片。这在过去非常普遍,因为影院和蓝光或数字版之间的时间间隔很长。现在的情况不再是这样了。
今天,发行窗口已经大大缩减或完全消失了。当Netflix发布一部新电影时,高质量的拷贝很快就会被发布到盗版网站。因此,对于盗版组织来说,已经发行的Netflix影片的试映版是没有用的。
—— TorrentFreak