TikTok漏洞导致商店向18岁以下的用户显示
根据 TikTok 的政策,TikTok Shop 功能仅限年满18岁用户使用,但该平台的一个漏洞似乎允许一些青少年访问 TikTok Shop 选项卡。当青少年注册 TikTok 时谎报年龄,输入出生日期显示他们已年满18周岁,但后来父母要求他们使用 TikTok 内置的家长控制功能将该帐户与父母的帐户配对,问题就出现了。尽管进行了配对,但青少年仍可以使用仅限成人使用的功能。设置家长控制,实际上将账户管理的关键方面移交给父母或监护人,这应该向 TikTok 发出一个信号,即年轻的用户肯定曾谎报过他们的年龄已超过18岁,但 TikTok 并没有意识到这一点。
—— Techcrunch
谷歌接近斥资230亿美元收购网络安全初创企业Wiz
据知情人士透露,谷歌母公司 Alphabet 正就以约230亿美元收购网络安全初创公司 Wiz 进行深入谈判。这笔交易将是谷歌母公司有史以来最大的一笔收购。知情人士说,如果谈判没有破裂,可能很快就会达成协议。自 Wiz 创立以来,估值一直飙升,今年早些时候该公司融资10亿美元,估值为120亿美元。
—— 华尔街日报
美国运营商 AT&T 称新黑客事件涉及客户通话和短信记录
美国运营商 AT&T 遭遇了大规模客户数据黑客攻击,此次攻击包括2022年六个月内几乎所有手机用户的通话和短信记录。该公司周五在一份监管文件中表示,此次未披露的泄密事件还包括2022年5月1日至同年10月31日期间使用 AT&T 网络的无线服务提供商客户的记录。该公司在4月份获悉这些信息是从第三方云平台的工作区非法下载的,发言人称该平台为 Snowflake Inc.。该公司表示,自2023年1月2日起,极少数客户的记录也遭到泄露。文件显示,这些数据不包括通话和信息的内容、出生日期和社会安全号码等个人信息或通话时间。然而,这些记录“识别了 AT&T 手机号码在此期间与之交互的电话号码。”
—— 彭博社
谷歌将通行密钥引入其高级保护计划
从今天开始,高风险用户除了可以使用传统的物理安全密钥外,还可以选择使用通行密钥来保护其帐户。谷歌还宣布与 Internews 建立新的合作伙伴关系,为记者和人权工作者提供安全支持。高级保护计划是谷歌最强大的谷歌帐户安全保护措施,可提供额外的保护措施来抵御网络钓鱼、恶意软件和欺诈性数据访问等常见攻击。使用通行密钥注册高级保护计划,用户首先需要确保自己拥有兼容的设备和浏览器。确认兼容性后,访问高级保护计划注册页面并点击“开始”。按照屏幕上的说明完成注册过程。您可以选择使用通行密钥或物理安全密钥进行注册。
—— 谷歌博客
领势 Velop 路由器将 Wi-Fi 密码以明文形式发送到美国服务器
据比利时消费者协会 Testaankoop 称,两款领势路由器正在以明文形式向亚马逊服务器发送 Wi-Fi 登录详细信息。涉及 Linksys Velop Pro 6E 和 Velop Pro 7 mesh 路由器。在例行安装检查期间,Testaankoop 检测到多个数据包被传输到美国的 AWS 服务器。这些数据包包含以明文形式配置的 SSID 名称和密码、更广泛数据库中的网络识别令牌以及用户会话的访问令牌,这可能为中间人攻击铺平道路。消费者组织使用当时最新的固件进行了这些测试。尽管在11月警告了领势,但该公司并未采取任何有效措施。
—— Stack Diary
黑客窃取了 OpenAI 机密技术细节
2023 年初,一名黑客入侵了 OpenAI 的内部消息系统,窃取了有关该公司人工智能技术的设计细节。公司高管于4月向员工披露了该事件,并通知了董事会,但没有向公众或执法部门透露。这名黑客窃取了一个在线论坛的讨论细节,而这正是 OpenAI 员工讨论最新技术的地方。不过黑客并没有进入该公司存储和构建人工智能的系统。
提供这一信息的两位消息人士称,OpenAI 的一些员工曾表示担心,此类攻击可能会被一些中国等对手国家用来窃取人工智能技术,这可能会危及美国的国家安全。在得知这一事件后,一些员工还对公司对安全问题的重视程度提出了质疑。据说,员工之间对人工智能的风险也出现了分歧。
—— 纽约时报
美国国防部面临华为难题 国会不愿解决
美国国防部面临一个问题:如何避免与依赖华为的公司做生意?到目前为止,尽管2019年美国法律禁止其与任何使用华为设备的人签订合同,但国防部表示仍无法做到,国防部推动豁免的行为引发了其与国会的新一轮对峙,国防官员警告说,如果不解决,可能会危及国家安全。国防部就一直寻求正式豁免《2019年国防授权法案》第889条所承担的义务,该条款禁止政府机构与使用华为零部件的实体签订合同。其理由是,华为在其开展业务的国家的体系中根深蒂固,该公司占全球电信设备收入的近三分之一,因此不可能找到替代方案。官员们认为,严格遵守这些限制将会破坏国防部购买军队所依赖的大量医疗用品、药品、服装和其他类型后勤支持的能力。
—— 彭博社
Cloudflare 推出阻止人工智能机器人的工具
云服务提供商 Cloudflare 推出了一款新的免费工具,以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用,只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”,打开“AI 爬虫程序和爬网程序”选项。该公司表示:“客户不希望人工智能机器人访问他们的网站,尤其是那些不诚实的机器人”为了解决规避检测问题,Cloudflare 分析了人工智能机器人和爬虫流量,以微调自动机器人检测模型。除其他因素外,模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。
—— TechCrunch、Cloudflare
Chrome 将证书颁发机构 Entrust 移出信任列表
谷歌通过博客公告,从 2024 年 11 月 1 日发布的 Chrome 127 版本开始,默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称,过去几年中,公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为,这些行为未能达到上述期望,并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前,Mozilla 在 5 月份发布了一份报告,其中汇总了今年 3 月至 5 月期间 Entrust 证书问题的详细清单。
以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效,2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效,并被浏览器默认阻止连接到对应的服务器。
—— 谷歌安全博客
谷歌“快速分享”出现安全漏洞 新版本已修复
谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本,可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1,允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常,当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而,这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9,可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。
—— Stackdiary、下载链接