香港政府电脑禁用桌面版 WhatsApp 应用
香港特区政府早前向内部推出信息科技安全指引,规定政府雇员须获批准才能在办公室使用电脑桌面版 WhatsApp、Gmail 和云端软件,各部门最迟需本月内采取措施或制定实施计划。香港创新科技及工业部部长孙东今天表示,明白此举一定会给政府人员带来不便,但由于涉及重大安全隐患,因此有必要实施。他还指出,手机并不受限制,相信各部门能够找到替代方法。孙东表示,过去一年政府内部的电脑遭到入侵的情况比较严重,形容形势严峻。因此,参考国际上各国政府的通用做法,包括内地和美国,政府内部对电脑系统都有较严格的规范。
—— 香港01
爱尔兰为视频分享平台制定网络安全规范
爱尔兰媒体委员会通过并发布了一项网络安全规范,该规范将从下个月起适用于总部位于爱尔兰的视频分享平台,包括 TikTok、YouTube 、Instagram 等。根据该规范,相关平台必须制定条款和条件,禁止上传或分享各种有害内容类型。包括网络欺凌、宣扬自残或自杀、宣扬饮食失调或喂养障碍,此外还须禁止煽动仇恨或暴力、恐怖主义、儿童性虐待材料 (CSAM)、种族主义和仇外内容。爱尔兰媒体委员会发言人亚当·赫尔利证实,该规范的目的是解决不直接属于欧盟数字服务法 (DSA) 范围的内容类型。该网络安全规范将直接适用于向爱尔兰用户提供的视频服务,包括几个因地区总部设在爱尔兰而属于该规范范围的主要社交媒体平台。
—— Techcrunch
互联网档案馆再次因访问令牌被盗遭到入侵
互联网档案馆再次遭到黑客入侵,这次是在其 Zendesk 电子邮件支持平台上。近日,大量曾向互联网档案馆提出的删除请求的网友收到回复,警告称该组织因未正确轮换被盗的身份验证令牌而遭到入侵。黑客在电邮中写道:“令人失望的是,即使在几周前就已经意识到发生了入侵,互联网档案馆仍未尽职轮换其 GitLab 机密中暴露的许多 API 密钥。”“正如此邮件所示,其中包括一个 Zendesk 令牌,该令牌具有访问自2018年以来发送到 [email protected] 的80多万张支持工单的权限。”这些电子邮件的邮件头也通过了所有的身份验证检查,证明这些电子邮件是由互联网档案馆的授权 Zendesk 服务器发送的。
—— bleepingcomputer
微信开发人员在修改 TLS 时引入了安全漏洞
研究人员称,消息应用巨头微信使用了自定义修改版的 TLS 网络协议,因此引入了安全漏洞。微信使用 MMTLS,这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整,但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致,例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示,它提供了两层加密,明文内容被包裹在“业务层加密”中,而得到的密文则被包裹在 MMTLS 加密中,密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击,但这些缺陷在标准版 TLS 中并不存在。
研究人员表示,只有在中国,开发人员才会逆潮流而行,自行开发加密系统,而且一般来说,这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。
—— The Register
网站使用 Cloudflare 可能会阻止RSS用户
在 Cloudflare 的仪表板中,可以找到旨在阻止自动化流量进入网站的工具。特别是“自动程序攻击模式”和下面的“阻止 AI 自动程序”选项。启用后,这些功能最终会阻止通过 RSS 阅读器访问网站的用户,即使 RSS 阅读器是合法的并且不是恶意自动程序。当 RSS 阅读器尝试读取网站时,Cloudflare 会向其提出许多阅读器无法完成的交互式质询。在其他情况下,Cloudflare 会无缘无故地阻止 RSS 阅读器访问网站。解决 Cloudflare 阻止 RSS 阅读器访问网站的唯一方法是直接联系站长并要求制定自定义规则来解除阻止。
—— OpenRSS
英特尔始终将产品安全和质量放在首位
中国网络空间安全协会10月16日发布文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》,认为英特尔产品中存在诸多安全风险,建议启动网络安全审查。对此,英特尔官方今日发布声明称:我们注意到相关媒体的报道。 作为一家在华经营近40年的跨国公司,英特尔严格遵守业务所在地适用的法律和法规。英特尔始终将产品安全和质量放在首位,一直积极与客户和业界密切合作,确保产品的安全和质量。我们将与相关部门保持沟通,澄清相关疑问,并表明我们对产品安全和质量的坚定承诺。
—— 英特尔
FIDO 联盟新规范将推动通行密钥可转移
推动密钥普及的组织 FIDO 联盟宣布了一份新规范草案,该规范将允许用户在不同的密码管理器之间安全地移动通行密钥。通行密钥很不错,但目前还没有一个在密码管理器之间传输通行密钥的标准协议。新规范的凭证交换协议 (CXP) 和凭证交换格式 (CXF) 旨在填补这一空白。FIDO 联盟的“凭证提供商特别兴趣小组”参与了该规范的制定,该小组的成员包括来自 1Password、苹果、Bitwarden、谷歌、微软、Okta 等公司的代表。新规范仍处于草案阶段,以便公众可以审阅和提供意见。FIDO 联盟在新闻稿中写道:“至关重要的是,用户可以选择自己喜欢的凭证管理平台,并安全、无负担地切换凭证提供商。”
—— TheVerge
中国黑客组织正在为中美冲突作准备
近几个月来,美国情报官员称,中国政府支持的黑客一直在深入美国关键基础设施的网络,包括水务、能源和交通运输供应商。官员们表示,他们的目标是为未来中美发生冲突时可能发动的破坏性网络攻击奠定基础。
美国政府及其盟友将中国黑客组织命名为“台风”家族,并公布了有关其所构成威胁的新细节。今年 1 月,美国破坏了一个名为“伏特台风”的中国政府黑客组织,该组织的任务是为破坏性网络攻击做准备。9 月下旬,联邦政府控制了另一个中国黑客组织“亚麻台风”运营的僵尸网络,该组织伪装成北京的一家私营公司,其职责是帮助掩盖中国政府黑客的活动。此后,出现了一个由中国支持的新黑客组织“盐台风”,该组织能够通过破坏美国电话和互联网提供商的窃听系统来收集美国人以及美国监视的潜在目标的情报。
—— TechCrunch
宝可梦开发商 Game Freak 被黑客入侵 包括源代码在内的数据被泄露
Pokémon 系列开发商 Game Freak 遭到黑客攻击,超过 1TB 的数据被盗。泄露的内容包括该系列较早作品的源代码,例如《心金魂银》和《黑白 2》,以及未来项目的信息,包括代号为 Gaia 的第 10 代游戏,该游戏将在 Nintendo Switch 2 及其前身上发布。此外,泄露文件还证实,下一代 Nintendo 游戏机的代号确实是“Ounce”,与之前的流言相符。今天泄露的未来项目不仅仅是主线作品,Game Freak 还与 ILCA 合作开发了一款代号为 Synapse 的游戏,这是一款多人/以战斗为重点的游戏。
—— wccftech
黑客让全美各地扫地机器人发出辱骂言论
美国全国各地的扫地机器人在几天之内均遭到黑客攻击。这使得攻击者不仅能控制扫地机器人,还能利用扬声器向附近的任何人发出种族歧视和辱骂性言论。所有受影响的扫地机器人都是同一品牌和型号,即中国制造的科沃斯 Deebot X2s。这个问题的根源在于一个安全漏洞,恶意行为者可以利用该漏洞绕过所需的四位数安全 PIN 码,从而控制扫地机器人。漏洞最初于2023年12月曝光。目前科沃斯公司已经开发出一个补丁来消除上述安全漏洞,预计将于11月左右推出。
—— 澳大利亚广播公司、Gizmodo