Unpacking Google’s new “dangerous” Web-Environment-Integrity specification
https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/
https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/
Vivaldi Browser
Unpacking Google’s new “dangerous” Web-Environment-Integrity specification
Why Vivaldi browser thinks Google’s new proposal, the Web-Environment-Integrity spec, is a major threat to the open web and should be pushed back.
Forwarded from 蓝点网订阅频道
#科技资讯 #安全资讯 7 年过去搜狗输入法依然存在严重安全问题,收集用户的输入且加密系统存在漏洞可被监听。
详情:https://ourl.co/99829
7 年前网友发现搜狗和百度输入法会将用户输入的每一个内容以明文协议发送到他们的服务器,虽然事后改成了 HTTPS 传输,但用户即便退出用户体验计划也无法阻止数据被收集。
今天有安全团队披露搜狗输入法还在继续收集用户的输入,腾讯采用的加密墙系统存在缺陷,仍然可以解密用户输入的明文。
在 7 月 20 日腾讯发布搜狗输入法新版本修复漏洞,Windows/Android/iOS 用户都请及时更新。
另外如果实在要使用搜狗输入法的话,建议禁用其联网权限,这会导致云输入失效,但安全性可以大幅度提升。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
详情:https://ourl.co/99829
7 年前网友发现搜狗和百度输入法会将用户输入的每一个内容以明文协议发送到他们的服务器,虽然事后改成了 HTTPS 传输,但用户即便退出用户体验计划也无法阻止数据被收集。
今天有安全团队披露搜狗输入法还在继续收集用户的输入,腾讯采用的加密墙系统存在缺陷,仍然可以解密用户输入的明文。
在 7 月 20 日腾讯发布搜狗输入法新版本修复漏洞,Windows/Android/iOS 用户都请及时更新。
另外如果实在要使用搜狗输入法的话,建议禁用其联网权限,这会导致云输入失效,但安全性可以大幅度提升。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
中國的監控手段如何擴展至全球 - Tutanota Blog
https://tutanota.com/blog/chinese-surveillance-going-global
獨裁國家,甚至部分民主國家正使用來自中國的監控科技
https://tutanota.com/blog/chinese-surveillance-going-global
獨裁國家,甚至部分民主國家正使用來自中國的監控科技
Tuta
How Chinese surveillance methods are going global. | Tuta
Authoritarian countries - but also democracies - use surveillance technology from China.
Forwarded from 電腦王阿達 KOCPC
ℹ️ Tesla 超過 7.5 萬人電話地址與內部機密共計 100GB 資料洩密,是因為「內部不當行為」導致 #
在多達 100GB 的洩密資料 - 其中包括姓名、地址、手機號碼、電子信箱等員工個資,還有車主投訴案件等共計超過 2.3 萬筆 2015 ...
kocpc.com.tw/506748
在多達 100GB 的洩密資料 - 其中包括姓名、地址、手機號碼、電子信箱等員工個資,還有車主投訴案件等共計超過 2.3 萬筆 2015 ...
kocpc.com.tw/506748
知名語言學習 App - 多鄰國 Duolingo 超過 260 萬用戶資料被公佈在駭客論壇
https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/
https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/
BleepingComputer
Scraped data of 2.6 million Duolingo users released on hacking forum
The scraped data of 2.6 million DuoLingo users was leaked on a hacking forum, allowing threat actors to conduct targeted phishing attacks using the exposed information.
😱1
Forwarded from 蓝点网订阅频道
#科技资讯 #手机数码 让国外用户也小小的震撼一下:小米远程将 MIUI 国际版的 Chrome (注意不是小米自己的浏览器) 主页改成 Mintnav。
全文链接:https://ourl.co/100103
从 3 月份开始就有小米国外用户发现自己的 Chrome 浏览器主页被劫持和篡改了,导航到了 Mintnav。
这些用户以为自己手机中毒了,其中一位印度用户在 X 上发帖抱怨的同时顺手艾特了印度信息和电子技术部部长。
事实证明这并不是中毒了,而是小米自己改的,小米日前发布回应称,该公司与 Mintnav 合作,所以修改了 Chrome 主页,用户可以根据需要随时切换回去。
当然这事儿的离谱在于小米不仅改了还从未发布任何通知或提供支持文档,用户查询也只以为自己中毒了;小米改自己浏览器主页就算了,竟然还改 Chrome 浏览器主页。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
全文链接:https://ourl.co/100103
从 3 月份开始就有小米国外用户发现自己的 Chrome 浏览器主页被劫持和篡改了,导航到了 Mintnav。
这些用户以为自己手机中毒了,其中一位印度用户在 X 上发帖抱怨的同时顺手艾特了印度信息和电子技术部部长。
事实证明这并不是中毒了,而是小米自己改的,小米日前发布回应称,该公司与 Mintnav 合作,所以修改了 Chrome 主页,用户可以根据需要随时切换回去。
当然这事儿的离谱在于小米不仅改了还从未发布任何通知或提供支持文档,用户查询也只以为自己中毒了;小米改自己浏览器主页就算了,竟然还改 Chrome 浏览器主页。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
👍1
Forwarded from 蓝点网订阅频道
#科技资讯 #安全资讯 开源代码编辑器 Notepad++ 被发现四个安全漏洞,由于开发者没有修复,研究人员公布了漏洞细节和 PoC。
全文链接:https://ourl.co/100096
Gitlab 的研究人员在 4 月底向开发者通报了漏洞,但到现在漏洞也没有修复,时间超过了三个月。
因此研究人员根据披露政策公布了漏洞细节和 PoC,提醒使用 Notepadd++ 的用户注意安全,同时也算是敦促开发者进行修复。
至于为何不修复暂时还不清楚。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
全文链接:https://ourl.co/100096
Gitlab 的研究人员在 4 月底向开发者通报了漏洞,但到现在漏洞也没有修复,时间超过了三个月。
因此研究人员根据披露政策公布了漏洞细节和 PoC,提醒使用 Notepadd++ 的用户注意安全,同时也算是敦促开发者进行修复。
至于为何不修复暂时还不清楚。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
Google Chrome pushes ahead with targeted ads based on your browser history
https://www.theregister.com/2023/09/06/google_privacy_popup_chrome/
https://www.theregister.com/2023/09/06/google_privacy_popup_chrome/
The Register
Google Chrome pushes ahead with targeted ads based on your browser history
YMMV, based on where you are
Forwarded from Solidot
汽车在隐私方面是最糟糕的产品
2023-09-07 16:06 by 记忆残留
今天的汽车大多数都运行基于 Linux 的系统,但这并不意味着它们尊重你的隐私。Mozilla 基金会评估了 25 个汽车品牌的数据收集和隐私政策。它发现所有汽车品牌都在收集非必要的用户个人数据,将这些信息用于汽车之外的其它目的。它的结论是现代汽车是隐私噩梦。汽车上的传感器、摄像头、麦克风和跟踪器会记录用户的一举一动。过去三年,有 17 个汽车品牌发生过安全或隐私泄露事故。
https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
#Mozilla
2023-09-07 16:06 by 记忆残留
今天的汽车大多数都运行基于 Linux 的系统,但这并不意味着它们尊重你的隐私。Mozilla 基金会评估了 25 个汽车品牌的数据收集和隐私政策。它发现所有汽车品牌都在收集非必要的用户个人数据,将这些信息用于汽车之外的其它目的。它的结论是现代汽车是隐私噩梦。汽车上的传感器、摄像头、麦克风和跟踪器会记录用户的一举一动。过去三年,有 17 个汽车品牌发生过安全或隐私泄露事故。
https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
#Mozilla
https://www.youtube.com/watch?v=OYcmF9IAJbU
在日產網站的 Privacy Notice 中 👀:
Sensitive personal information, including driver’s license number, national or state identification number, citizenship status, immigration status, race, national origin, religious or philosophical beliefs, sexual orientation, sexual activity, precise geolocation, health diagnosis data, and genetic information.
在日產網站的 Privacy Notice 中 👀:
Sensitive personal information, including driver’s license number, national or state identification number, citizenship status, immigration status, race, national origin, religious or philosophical beliefs, sexual orientation, sexual activity, precise geolocation, health diagnosis data, and genetic information.
YouTube
https://youtu.be/eKupBBoRn5A
https://www.youtube.com/watch?v=EozPi1qmH44&t=170s
https://bit.ly/485ZDeE
https://www.reuters.com/business/autos-transportation/tesla-hit-with-class-action-lawsuit-over-alleged-privacy-intrusion-2023-04-08/
https://www.youtube.com/watch?v=DZu-gNZcV-I
htt…
https://bit.ly/485ZDeE
https://www.reuters.com/business/autos-transportation/tesla-hit-with-class-action-lawsuit-over-alleged-privacy-intrusion-2023-04-08/
https://www.youtube.com/watch?v=DZu-gNZcV-I
htt…
Forwarded from 科技.db
Mozilla:25款汽車品牌車主的隱私與資料安全堪慮 | iThome 新聞
https://bit.ly/3ZdGgfx
https://bit.ly/3ZdGgfx
iThome
Mozilla:25款汽車品牌車主的隱私與資料安全堪慮
Mozilla檢驗了全球25款汽車品牌的隱私政策,發現這些汽車品牌透過各式聯網裝置蒐集到大量車主個資,但提供給車主的隱私保護機制卻付之闕如
Forwarded from Solidot
美国指 Google 通过搜索默认交易巩固其垄断地位
2023-09-15 13:39 by 我是传奇
备受瞩目的 Google 反垄断诉讼案本周开庭。美国司法部指控该公司非法维持其搜索业务的垄断地位。其一是与智能手机制造商和浏览器开发商达成的默认搜索交易。Google 每年向 AT&T 等移动运营商、苹果等设备制造商和 Mozilla 等浏览器开发商支付 100 亿美元维持其默认搜索位置,抵御竞争对手确保市场份额接近九成。证据显示 Google 早在 2000 年代中期就寻求通过获得移动设备的默认搜索位置而吸引大量搜索查询。绝大部分用户是不会修改默认搜索的。其二是 Google 深知其行为受到密切留意,因此鼓励员工不要留下永久性记录。该公司有一项名为 Communicate with Care 的政策,建议 Google 员工在聊天应用中谈论敏感对话时关闭历史记录,也就是记录会在 24 小时后删除。Google 高管早在 2003 年就表示要对反垄断保持敏感。该公司的敏感术语包括市场份额,Google 高管要求用查询份额替代。其它敏感主题包括:避免讨论“规模”和“网络效应”,“锁死”或“锁定”用户/合作伙伴,“捆绑”产品等等。
https://tech.slashdot.org/story/23/09/14/1447215/us-alleges-google-got-rich-because-people-stick-with-search-defaults
https://archive.is/XsDSf
#Google
2023-09-15 13:39 by 我是传奇
备受瞩目的 Google 反垄断诉讼案本周开庭。美国司法部指控该公司非法维持其搜索业务的垄断地位。其一是与智能手机制造商和浏览器开发商达成的默认搜索交易。Google 每年向 AT&T 等移动运营商、苹果等设备制造商和 Mozilla 等浏览器开发商支付 100 亿美元维持其默认搜索位置,抵御竞争对手确保市场份额接近九成。证据显示 Google 早在 2000 年代中期就寻求通过获得移动设备的默认搜索位置而吸引大量搜索查询。绝大部分用户是不会修改默认搜索的。其二是 Google 深知其行为受到密切留意,因此鼓励员工不要留下永久性记录。该公司有一项名为 Communicate with Care 的政策,建议 Google 员工在聊天应用中谈论敏感对话时关闭历史记录,也就是记录会在 24 小时后删除。Google 高管早在 2003 年就表示要对反垄断保持敏感。该公司的敏感术语包括市场份额,Google 高管要求用查询份额替代。其它敏感主题包括:避免讨论“规模”和“网络效应”,“锁死”或“锁定”用户/合作伙伴,“捆绑”产品等等。
https://tech.slashdot.org/story/23/09/14/1447215/us-alleges-google-got-rich-because-people-stick-with-search-defaults
https://archive.is/XsDSf
❤1👍1
Forwarded from Solidot
TikTok 因违反欧盟儿童数据保护法被罚 3.45 亿欧元
2023-09-15 22:08 by 计算群星
TikTok 因违反欧盟关于处理儿童账号的数据保护法 GDPR 而被罚 3.45 亿欧元。负责在欧盟监管 TikTok 的爱尔兰数据监管机构表示,这款中国视频应用多次违反 GDPR 规则:其儿童用户账号默认设置公开;允许公众对这些账号发表评论;不检查通过“家庭配对”访问儿童账号的成年人是否是父母或监护人;没有考虑其平台上 13 岁以下儿童在公开场合所面临的风险。TikTok 表示该公司已经解决了调查中发现的问题,从 2021 年开始所有未成年人的新旧账号都默认设为私有,只有获得用户批准的账号才能访问其内容。TikTok 表示它非常不赞同爱尔兰数据监管机构的决定,尤其是罚款金额。
https://www.theguardian.com/technology/2023/sep/15/tiktok-fined-345m-for-breaking-eu-data-law-on-childrens-accounts
#互联网
2023-09-15 22:08 by 计算群星
TikTok 因违反欧盟关于处理儿童账号的数据保护法 GDPR 而被罚 3.45 亿欧元。负责在欧盟监管 TikTok 的爱尔兰数据监管机构表示,这款中国视频应用多次违反 GDPR 规则:其儿童用户账号默认设置公开;允许公众对这些账号发表评论;不检查通过“家庭配对”访问儿童账号的成年人是否是父母或监护人;没有考虑其平台上 13 岁以下儿童在公开场合所面临的风险。TikTok 表示该公司已经解决了调查中发现的问题,从 2021 年开始所有未成年人的新旧账号都默认设为私有,只有获得用户批准的账号才能访问其内容。TikTok 表示它非常不赞同爱尔兰数据监管机构的决定,尤其是罚款金额。
https://www.theguardian.com/technology/2023/sep/15/tiktok-fined-345m-for-breaking-eu-data-law-on-childrens-accounts
#互联网
Forwarded from 科技圈🎗在花频道📮
Google Authenticator 如何使一家公司的网络漏洞变得更加严重
Retool公司披露了其客户支持系统遭到入侵的情况,攻击者通过谷歌身份验证器(Google Authenticator)的同步功能入侵了27个加密货币行业的客户账户。
攻击始于一名员工点击了一条短信中的链接,泄露了谷歌身份验证器中的密码和临时一次性密码。攻击者还通过电话获取了额外的多因素代码,并添加了自己的设备到员工的Okta账户中。
谷歌最近发布的谷歌身份验证器同步功能 ,可将 MFA 代码同步到云端。如 Hacker News 指出的那样 ,这是非常不安全的,因为如果你的 Google 帐户被泄露,那么你的 MFA 代码也会被泄露。
Retool指出,谷歌身份验证器的同步功能加剧了入侵的严重性,呼吁谷歌删除该功能或提供禁用选项。同时还强调FIDO2规范的多因素身份验证是安全的标准,而基于TOTP的身份验证容易受到网络钓鱼攻击。
Via Daneel God
投稿:@ZaiHuaBot
频道:@TestFlightCN
Retool公司披露了其客户支持系统遭到入侵的情况,攻击者通过谷歌身份验证器(Google Authenticator)的同步功能入侵了27个加密货币行业的客户账户。
攻击始于一名员工点击了一条短信中的链接,泄露了谷歌身份验证器中的密码和临时一次性密码。攻击者还通过电话获取了额外的多因素代码,并添加了自己的设备到员工的Okta账户中。
谷歌最近发布的谷歌身份验证器同步功能 ,可将 MFA 代码同步到云端。如 Hacker News 指出的那样 ,这是非常不安全的,因为如果你的 Google 帐户被泄露,那么你的 MFA 代码也会被泄露。
Retool指出,谷歌身份验证器的同步功能加剧了入侵的严重性,呼吁谷歌删除该功能或提供禁用选项。同时还强调FIDO2规范的多因素身份验证是安全的标准,而基于TOTP的身份验证容易受到网络钓鱼攻击。
参考:Retool;Ars Technica来源:Ars TechnicaVia Daneel God
投稿:@ZaiHuaBot
频道:@TestFlightCN
Forwarded from 蓝点网订阅频道
#科技资讯 #安全资讯 微软 AI 研究人员不慎泄露高达 38TB 的数据,包含部分密码 / 密钥和聊天记录。
全文链接:https://ourl.co/100321
泄露的数据似乎是 AI 训练内容,不包含用户数据,也基本不涉及微软的敏感服务。
这份数据库存储在 Azure 存储库,由于微软研究人员分享数据库时没有配置权限,导致任何人访问链接都能获取数据。
这份数据包含了两位微软员工的个人资料备份,部分账号密码和密钥等就是这两位员工的。
调查显示这个问题自 2020 年以来就存在,直到今年 6 月云安全公司 Wiz 发现并报告给微软才删除链接。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
全文链接:https://ourl.co/100321
泄露的数据似乎是 AI 训练内容,不包含用户数据,也基本不涉及微软的敏感服务。
这份数据库存储在 Azure 存储库,由于微软研究人员分享数据库时没有配置权限,导致任何人访问链接都能获取数据。
这份数据包含了两位微软员工的个人资料备份,部分账号密码和密钥等就是这两位员工的。
调查显示这个问题自 2020 年以来就存在,直到今年 6 月云安全公司 Wiz 发现并报告给微软才删除链接。
🎉 订阅频道:蓝点网订阅
🥰 𝕏(原推特):@landiantech
👋 交流频道:蓝点网读者群
Forwarded from Solidot
安全公司披露全新 Linux 后门
2023-09-19 18:30 by 黄泉归来
安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca,他们在其服务器上发现了一个加密二进制文件,通过 VirusTotal 搜索文件名 libmonitor.so.2,研究人员找到了一个可执行 Linux 文件 mkmon,它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus,有多个功能是专为 Linux 重新实现的。他们将该 Linux 后门命名为 SprySOCKS。它有版本号的标记,显示它还在开发之中。
https://www.trendmicro.com/en_ca/research/23/i/earth-lusca-employs-new-linux-backdoor.html
#安全
2023-09-19 18:30 by 黄泉归来
安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca,他们在其服务器上发现了一个加密二进制文件,通过 VirusTotal 搜索文件名 libmonitor.so.2,研究人员找到了一个可执行 Linux 文件 mkmon,它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus,有多个功能是专为 Linux 重新实现的。他们将该 Linux 后门命名为 SprySOCKS。它有版本号的标记,显示它还在开发之中。
https://www.trendmicro.com/en_ca/research/23/i/earth-lusca-employs-new-linux-backdoor.html
#安全