今天是4月9日星期一,今天早餐的主要内容有:Facebook 首席执行官回应数据泄露:不排除其他数据滥用的情况 ;Telegram因拒绝向俄罗斯政府提供加密密钥而遭起诉;因存在安全漏洞,intel主动下架远程键盘APP并建议停止使用;RSA将收购行为分析公司 fortscale;微软office 365中新增反勒索软件功能。
【国际时事】
Facebook 首席运营官回应数据泄露:不排除其他数据滥用的情况
早在 3 月 19 日,Facebook 被曝 5000 万用户数据遭剑桥分析公司非法搜集并用于干扰美国大选,事件一出,激起轩然大波。而到 4 月 4 日,Facebook 首席技术官又发表报告称,实际遭影响的用户高达 8700 万。Facebook CEO 扎克伯格多次道歉并公开声明承担责任。但时至今日,事情反而愈演愈烈。近日,Facebook 的首席运营官雪莉·桑德伯格(Sheryl Sandberg)公开表态称,Facebook 其实在两年前就知道剑桥分析公司暗中获取用户数据,而且也不排除还存在其他数据滥用的情况。
雪莉·桑德伯格在 2008 年从谷歌离职加入 Facebook,至今已有 10 年。数据泄露丑闻曝出后,她一直没有发声,不过在 4 月 5 日和 4 月 6 日分别接受了美国国家公共广播和 NBC“今日秀”的采访,并发表了个人观点。
我们知道 Facebook 在保护用户数据方面做得远远不够,对此我跟 CEO 表示诚挚抱歉。我们现在正在采取实际行动进行补救。安全相当于军备竞赛。我们用心去做好防护,却总有人想去打破规则。但更严重的问题是,我们本应该在几年前就采取更有效的安全措施。我们信奉社会经验,也认为保护隐私很重要,但我们太理想主义了。之前我们对于数据泄露事件没有足够重视,现在我们已经吸取教训,尽力补救。”
桑德伯格说,Facebook 的确在两年半之前就意识到剑桥分析公司通过用户投票而搜集用户数据。
当时我们得知有研究人员将数据提供给剑桥分析公司,但他们向我们保证会将数据删除。后来我们没有跟进和确认,这是我们的失误。我们本该早些采取措施保护这些重要的数据,阻止第三方将其用于选举。”
[Freebuf]
Telegram因拒绝向俄罗斯政府提供加密密钥而遭起诉
俄罗斯电信监管机构Roskomnadzor今天向即时通讯应用Telegram提起诉讼,要求莫斯科法院裁决限制其在俄罗斯境内的服务。
一切都源于俄罗斯主要情报部门FSB以前曾要求Telegram提供加密密钥,从而访问通过Telegram发送的加密消息。
Telegram拒绝泄露密钥,FSB以国家安全和该机构打击恐怖主义为由,提起诉讼强行获取这些加密密钥。
所有法庭判决均支持俄罗斯政府,上个月俄罗斯最高法院作出最终裁决,裁决规定Telegram必须在没有法院命令的情况下就将用户的加密密钥交给FSB特工,只要特工来电。
注册于伦敦的Telegram通过其律师回应说,它没有这样的计划。为了应对俄罗斯的压力,Telegram在欧洲人权法院(ECHR)对俄罗斯政府提起了诉讼。
【行业动态】
因存在安全漏洞,intel主动下架远程键盘APP并建议停止使用
英特尔在远程键盘APP中发现三个严重的安全漏洞之后,并没有决定修复这些漏洞,而是正式下架该应用,并且提醒用户停止使用。
这款远程键盘APP是英特尔在2015年推出的Android应用程序,允许用户通过无线控制英特尔NUC和英特尔Compute Stick单板计算机设备。
CVE | 评分 | 描述 |
---|---|---|
CVE-2018-3641 | 9.0(严重) | 在所有版本的英特尔远程键盘中提升权限,允许网络攻击者以本地用户的身份注入按键指令。 |
CVE-2018-3645 | 8.8(高) | 在所有版本的英特尔远程键盘中提升权限,允许本地攻击者将按键指令注入另一个远程键盘会话。 |
CVE-2018-3638 | 7.2(高) | 英特尔远程键盘的所有版本中的提升权限,允许授权的本地攻击者以特权用户的身份执行任意代码。 |
三个漏洞分别由三个不同的研究人员发现,该漏洞会被黑客利用,获得访问权限,并将击键指令注入到远程键盘会话中,并在用户的Android设备上执行恶意代码。
其中两个漏洞的评分为“高”,另一个被列为“严重”。英特尔公司在一份安全公告中称:“英特尔已经远程键盘APP发布了产品停产通知,并建议所有用户尽早将其卸载。”
[Freebuf]
微软office 365中新增反勒索软件功能
微软今天正式宣布为Office 365(基于商业订阅的办公工具套件)推出新的反勒索软件功能。
这项新功能称为“文件恢复”,它是一项OneDrive功能,可以让用户把文件回滚到30天之前的状态。
OneDrive文件恢复功能可用于意外大量删除,文件损坏或任何其他灾难性事件,但微软将此功能作为保存在OneDrive文件夹内重要文件的反勒索软件保护系统。
意外删除文件或感染勒索软件的不幸用户可以在OneDrive Web仪表板中找到新的“文件还原”选项。
此外,微软还调整了OneDrive的内部机制,检测帐户的文件是否可能被勒索软件加密。
在某些情况下,如果用户安装了OneDrive应用程序,公司将向用户手机发送通知。
下面的通知 – 图片会在用户发现勒索软件感染后立即提醒用户,并让用户和公司在生产停止前恢复受影响的文件回到之前的状态。
RSA将收购行为分析公司 fortscale
RSA宣布收购Fortscale,Fortscale是一家提供行为分析解决方案的公司。该交易的财务条款尚未披露。
Fortscale的技术旨在通过大数据分析和机器学习来预测识别威胁。它会自动识别与正常行为的偏差,并警告安全团队潜在风险,例如共享用户凭据,远程访问异常和滥用特权帐户。
RSA希望通过其NetWitness平台向客户提供新的用户和实体行为分析(UEBA)功能。
自2013年公司成立以来,Fortscale总共获得资金2300万美元,其中包括大约一年前的700万美元。
RSA还宣布推出NetWitness平台的新版本。版本11.1中不仅包含UEBA Essentials,还包括可帮助组织管理终端的Endpoint Insights,以及使用动态分析技术提供日志数据的可视化。
本月晚些时候,RSA还将推出NetWitness Orchestrator,这是一款由Demisto提供支持的产品,可以让安全团队更轻松地追踪调查事件。 RSA表示,NetWitness Orchestrator会向分析师提供建议,并确定最佳的调查方案。
【国内新闻】
最高检召开网络安全和信息化领导小组全会暨办公会
最高人民检察院召开网络安全和信息化领导小组全会暨办公会。最高检党组成员、副检察长李如林主持会议,最高检副检察长张雪樵出席会议。
会议听取了全国检察机关电子检务工程总结汇报,听取了各部门对检察信息化工作的意见建议,研究明确了2018年检察信息化工作的总体思路和重点任务。
张雪樵在讲话中强调,各级检察机关要紧紧抓住当前历史性机遇,牢固树立信息化思维,进一步认清信息化工作在检察工作中的重要地位。要坚持高起点规划,推进智慧检务工程立项和建设实施;坚持高水平建设,深化电子检务工程“六大平台”建设应用;坚持高共享发展,推进新兴科技与检察工作的深度融合。要处理好信息化建设与司法改革、统筹推进和创新突破、系统开发与实际应用,以及规划、建设与管理等四个方面的关系。
李如林在总结讲话中指出,要紧紧把握信息时代发展规律,按照检察信息化工作的总体思路,进一步强化顶层设计,处理好应用、管理等各方面关系,把各项具体工作落在实处,切实提升检察信息化建设水平,推动检察工作科学发展。
最高检机关各内设机构、直属事业单位负责人参加会议。
[正义网]
公安部:网络服务提供者窃取信息最高将罚100万元
近日,公安部就《公安机关互联网安全监督检查规定(征求意见稿)》公开征求意见。意见稿拟规定,互联网服务提供者窃取、非法出售、非法提供个人信息,即使不构成犯罪,没有违法所得,也将被处以最高一百万元的罚款。
据报道,该规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规和部门规章规定的网络安全责任义务情况进行的安全监督检查。
意见稿第二十五条指出,公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,应当依照《网络安全法》规定,处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
[人民网]
来源:freebuf.com 2018-04-09 07:00:46 by: Sphinx
请登录后发表评论
注册