图片来源:布兰登·摩根

Top Security and Privacy News: scramble Bits Vol. 38

凯利的电话被黑,更多卡巴斯基新闻,可疑的VPN隐私,等等。

这是scramble Bits每周通讯,一个关于安全、隐私、加密、技术和法律交叉领域的本周最有趣新闻的快速摘要。

头条新闻

凯利的电话被黑了好几个月了

本周,白宫办公厅主任、前国土安全部部长约翰·凯利的私人电话在几个月前被窃听。

我们不知道具体是谁,如何使用,但一位发言人说,他自从加入政府以来就没有使用过他的个人手机。即便如此,如果设备完全被破坏,攻击者可以访问麦克风和摄像头。如果他把手机开着或放在身边,即使他不用,这也会成为一个巨大的国家安全问题。

俄罗斯利用卡巴斯基窃取美国网络情报

“俄罗斯在网络空间是一个明显的对手,我们承受不起这些自我造成的伤害。——内布拉斯加州共和党参议员本·萨瑟(Ben Sasse)

2015年,一名在美国国家安全局(NSA)精英黑客部门工作的美国公民把机密材料带回家。10bet娱乐71966 澳门永利据匿名人士透露,这名美国国家安全局雇员的家用电脑使用了卡巴斯基反病毒软件。据报道,俄罗斯黑客利用卡巴斯基反病毒软件侵入了他的电脑,并窃取了其中的高度机密信息。

这一妥协让俄罗斯对美国网络间谍活动有了难以置信的了解。

Equifax获得数百万美元的安全合同

美国国税局授予Equifax一份价值725万美元的无投标合同,用于防止欺诈。换句话说,这家将数百万美国人置于危险境地的安保不力的公司,现在却在帮助美国国税局保护他们的安全。

“在经历了10年来最大规模的数据泄露事件之后,国税局将数百万纳税人的钱交给一家尚未就至少1.45亿美国人的个人身份信息如何被泄露给出简洁答案的公司,这是不负责任的行为。”——参议院财政主席奥林·哈奇

两党议员都很愤怒所以我们

雅虎入侵比想象中糟糕3倍

雅虎漫长的一系列泄密事件并未结束。本周我们了解到,最初创纪录的10亿账户受影响的估计太小了。事实证明,实际数字是这个数字的三倍——30亿账户受到影响。

如果你曾经在雅虎有一个账户,你的数据被偷了。被窃取的信息包括电子邮件地址、密码、生日、电话号码等。

政府

澳大利亚以网络攻击威胁俄罗斯

作为对俄罗斯干涉西方国家选举的回应,澳大利亚威胁称,如果发现俄罗斯或其他国家的任何行动,将使用攻击性黑客进行报复。

“澳大利亚对恶意网络活动的反应可能包括执法或根据情况采取适当的外交、经济或军事措施。这可能包括(但不限于)破坏、否认或削弱对手的计算机或计算机网络的攻击性网络能力。——外交部长朱莉·毕晓普

一个月修复选举安全

距离新泽西州和弗吉尼亚州的投票只有一个月的时间。美国国土安全部(DHS)正在加紧审查官员,以获得有关选举系统可能遭到网络入侵的机密简报。为了抵御已知的威胁和攻击,官员们首先需要了解情况。不幸的是,国安局的安全许可进展缓慢。时间不等人。

隐私

隐私维权人士战胜亚里士多德

周三,美泰迫于压力,在产品发布前放弃了亚里士多德自动保姆产品。

亚里士多德是一个以儿童为中心的智能中心,它通过诸如打开夜灯或打开舒缓的音乐等行动来响应儿童的需求。

对亚里士多德主要有两种反对意见。首先,该产品引起了弱势群体对隐私的担忧。第二,使用机器来安抚孩子和处理其他需求对儿童早期发展的影响是未知的。

虽然我们不会在产品货架上看到亚里士多德,但似乎有可能会有人发布类似的东西,并在真实的婴儿身上测试这些问题。

机场生物监测

电子前沿基金会呼吁人们关注运输安全管理局现代化法案。该法案Will“make a bad situation worse”,由:

  1. 扩大生物识别筛查,包括国内航班。
  2. 在单趟行程中增加生物识别筛查的频率。

该法案目前正在参议院审议,将增加在国内机场收集生物识别数据(包括面部、指纹和视网膜扫描)的政府检查点的数量。

直接走无人驾驶飞机交付

一款新的无人机送货应用可以在几分钟内将货物直接送到你所在的位置。成本?你的隐私。这项服务依靠你手机的GPS来追踪你的位置,从而找到你。

自动车辆法案缺少隐私保护

AV START法案旨在促进自动驾驶汽车在美国的部署,但缺少重要的隐私保护。该法案设置了缺乏隐私标准的自愿安全措施。为了解决这个问题,参议员马基提出了隐私修正案,来自40多个国家的官员通过了一项决议,敦促各方“充分尊重用户保护其个人数据和隐私的权利”。

PureVPN不那么私人

PureVPN服务声称从不存储日志,但它们确实如此。在一起网络跟踪案件中,联邦调查局获得了访问日志的权限,其中显示了一个匿名用户,以及他浏览的地方,包括ProtonMail等网站。证据足以结案,并判定网络跟踪者有罪。

关于隐私和日志保留的营销声明是客户无法验证的。就把坏人关进监狱而言,这个案子对好人来说是一个明显的胜利,但它也给那些相信未经证实的关于安全和隐私的营销主张的人敲响了警钟。

值得注意的漏洞和漏洞

  • 我会给你一个提示-这是你的密码—最新的mac OS版本High Sierra(10.13)在密码提示中使用明文密码。呵!
  • NFL由Elasticsearch曝光-一个错误配置的Elasticsearch数据库暴露了1133名NFL球员及其经纪人的电子邮件、手机号码和家庭地址。
  • 恶意软件针对航空航天和国防承包商-名为FormBook的恶意软件正在战略性地攻击美国和韩国的航空和制造公司。FormBook能够进行击键记录、窃取剪贴板内容、从HTTP会话中提取数据、从命令控制(C2)服务器中执行命令、启动进程、关闭和重新启动系统,以及窃取cookie和本地密码。
  • Disqus最终确认2012 Breach- Disqus刚刚确认了敏感数据的泄露,包括2012年以来1750万用户的散列密码和电子邮件地址。

新闻底部

  • 德国大选的担忧-德国一名安全研究人员发现了一个漏洞,可以让攻击者操纵德国投票软件中的投票计数。
  • “最新”不包括固件你的Mac可能没有最新的安全补丁,即使它告诉你它是。苹果只对其最新型号应用固件更新。发现过失的研究人员正在释放工具帮助您检查您的机器是否为最新版本。
  • 欧迪办公最近禁止卡巴斯基产品-在美国政府禁止卡巴斯基在联邦电脑上使用后,欧迪办公正跟随其他零售商将卡巴斯基的产品下架。

If you liked this, please click the below. If you’re reading this in an email, please go to the article on the web first. Liking the article will help other people see it on Medium. You might also be interested in上周的总结赞美的IronCore实验室

订阅我们的电子邮件摘要以避免错过另一个更新。

咸的散列

关于构建安全的提示、技巧、指针和透视图…

多亏了鲍勃墙

麦迪逊Soucie

写的

慢性学习者。问题解决者。探险家。工程师@bookclub成立。从持续改进中获得深刻的目标感。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

麦迪逊Soucie

写的

慢性学习者。问题解决者。探险家。工程师@bookclub成立。从持续改进中获得深刻的目标感。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,1.7亿读者可以在这里找到深刻和动态的思考。在这里,专家和未被发现的声音同样会深入任何话题的核心,并带来新的想法。了解更多

关注与你有关的作家、出版物和主题,你会在你的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。写在媒介

获取媒体应用程序

有一个“在App Store上下载”的按钮,点击它就会引导你进入iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店