Meta称 “100万 Facebook账户凭证可能被盗”。

在一份新的报告中，该公司的信息安全专家说，他们在过去一年中发现了400多个旨在劫持 Facebook 用户凭证的欺诈性应用程序。

其中355个是安卓应用，47个是iOS应用。这些恶意软件在 Play 商店和 App Store 中都有被发现。

Meta公司的威胁管理总监大卫·阿格拉诺维奇说，受影响用户的确切数量尚不清楚，但Facebook正在向100万可能使用过这些应用程序的人发出警告。

#privacy

客户服务中心窃取客户的个人数据 ——

大多数服务提供商没有任何隐私政策或控制措施来保护设备所有者的个人数据不被技术人员窥探。实地调查显示，维修业的隐私状况令人担忧。

维修过程中侵犯行为多有发生，包括窥探私人数据、复制设备上的数据、以及删除窥探活动的痕迹。

比如，维修人员被要求更换运行Windows 10的华硕UX330U笔记本电脑的电池，这种修复原本不需要登录或访问操作系统的凭证。然而，在被调查的18家公司中的17家都要求设备所有者提供登录凭证。

研究人员向维修师傅们提供了带有假凭证的事先准备好的Windows笔记本电脑，以检查他们如何使用这些设备。16位维修人员中有6位窥探了客户数据，并将客户数据复制到外部设备。

🧬报告：https://arxiv.org/abs/2211.05824

#privacy

Telegram用户的私密通信被成为刑事案件的“证据” ——

俄罗斯西伯利亚联邦阿尔泰边疆区的一位居民在Telegram的私人通信中向秋明市的一位居民提供了在哈尔科夫的临时住所。

此后，这个女孩成为了刑事案件的被告，被指控 "协助和教唆参与外国领土上的非法武装组织"。

这两名Telegram用户的私密通信究竟是如何落入俄罗斯间谍手中的，目前尚不清楚。有很多种可能性，其中包括Telegram 现在正在与俄罗斯间谍机构合作。均无法证明。

🧬 如果您错过了《从 Telegram 揭露您的身份信息可能吗？—— 有中国朋友提起了这个问题。答案是：可能。》

#privacy #telegram

如何巧妙地隐藏媒体文件 ——

您可以使用安卓版的 Photo Vault Calculator 应用程序或iOS版的 Calculator# 来实现这一目标 —— 它们可以用在很多方面：从简单的保护个人照片不被窥视，到隐藏重要文件（如果您只有手机没有电脑的话），例如，当智能手机在街边被警察强行搜查、或被海关人员检查时。

比如iOS：

1️⃣ 从 App Store下载该应用程序。
2️⃣ 进入其中，选择 "计算器"。
3️⃣ 输入密码，点击"%"。
4️⃣ 选择您想隐藏的文件类型。
5️⃣ 导入文件。

就可以了。

对于安卓版的该工具，它有闯入警报功能，不用担心有人尝试闯入。您还可以为这个假空间设置密码，即便它被人发现，也能避免危险。通过AES军事级加密算法，对那些您不想与人分享的内容进行加密，且对文件格式、大小没有任何限制；还支持直接拍照和录制私密视频。

对于iOS版，可密码保护隐藏的文档和其他文件；锁定音频以安全地记录语音笔记。可以从 PC、Mac 或其他设备进行 WiFi 传输。还有内置的 Web 浏览器、内置的密码管理器和钱包，内置安全笔记、待办事项和提醒，内置的联系人管理器。适用于 iPhone 和 iPad，两者都有 GUI。

#Privacy #Security #Selfdefence #tools

紧急更新一个帖子给中国朋友。

关于：
1、Telegram有哪些地方是不安全的；
2、如果您必需使用它，您至少应该如何保护自己；
3、昨天我们提醒了接下来更可能出现的局势  — — 不仅有“秋后”，还包括信息战，统治者将使用大量歪曲的信息污染抗议战略，分化抗议者、恐吓支持者，旨在扑灭那些已经燃起的火焰。这种情况下后勤人员需要发挥作用：搜集信息、验证信息，即 开源情报。这里提供一些Telegram信息搜索工具。

🧬《Telegram的隐私保护指南，和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e

#tips #tools #privacy #China #ZeroCovidPolicy #protest

还说 “查手机“ 问题。刚才看到有 iPhone 用户在发愁如何隐藏翻墙应用程序，提醒：iPhone是可以更换应用程序图标的，对​​iOS 15及以上版本来说。这里有一个简单的教程：https://www.lsbin.com/28353.html
把敏感应用的图标换成时钟或者计算器或者纸牌游戏等，就是那些最不会吸引人去打开的东西，您知道的。作为最简单的紧急措施。

不论如何，敏感文件尽可能不要储存在移动设备上；照片和视频加密储存。对于正在持续从事高风险工作的用户（比如组织者、紧急联络人、物资团队等等）不要使用移动设备登入/打开最敏感的工作事项/文档等，即便是临时，也不要这样做！如果您还记得我们介绍的关于警用移动设备取证的知识，您会理解这点。

#tips #privacy

对 Telegram 用户说：

近期出现了一些这样的案例 —— 用户收到来自自己的联系人名单中某人发来的私密消息，声称被赠送了一个Telegram高级订阅会员账户。如果你按其要求按下了其中的确认按钮，就会收到一个授权码，这一切表面上看起来都像是为了激活高级订阅，但事实上，是攻击者获得了对您的账户的访问权，接下来他们会假借您的名义继续对您的其他朋友进行网络钓鱼。

换句话说，如果您的联系人中有人缺乏保护意识，这种攻击方法将对您和其他所有通讯录上的朋友产生威胁。

📌 关于保护意识：https://www.patreon.com/posts/cong-telegram-lu-72200795

频道管理员和群组管理员尤其需要注意，一旦您的账户被劫持，意味着攻击者将可以向非常多的人发送恶意链接/文档。

这种攻击方式曾经在其他需要手机号码注册/验证的应用中被使用过（包括Instagram 和 Facebook ）现在只是更多转向Telegram了，随着其用户量的飞涨，这是可以预想的。

甚至还有另一种神奇的案例：骗子创建了一个叫“Saved Messages”的账户，使用系统的图标作为头像，也就是说表面上看起来与telegram系统自带的信息保存功能一模一样，结果是，受害用户主动向该钓鱼账户发送重要的信息，有些情况下包括登入凭据和银行卡信息。

建议您将真正的“Saved Messages”置顶，或者，最好不要使用它来保存任何重要的信息。

#Privacy #Security #Selfdefence #Telegram

许多智能手机用户早已习惯了被操作系统制造商、 软件开发商和ISP以一种或另一种形式收集有关用户的信息。 但可能很少有人会去怀疑手机芯片厂商在监视资本主义中的作用。

一份新的调查报告发现装有高通公司芯片的智能手机会秘密向高通公司发送用户的个人数据。这些数据是在未经用户同意的情况下发送的，并且没有经过加密，甚至在使用无谷歌的安卓系统发行版时也是如此。受影响的智能手机是索尼Xperia XA2和可能的Fairphone以及更多使用流行的高通芯片的安卓手机。

报告列出了高通公司根据其隐私政策可能从您的手机中收集的数据：

唯一ID
芯片组名
芯片组序列号
XTRA软件版本
移动国家代码
移动网络代码(允许识别国家和无线运营商)
操作系统的类型和版本
设备品牌和型号
自上次启动应用处理器和调制解调器的时间
设备上的软件列表
IP地址

报告称高通公司的 "XTRA服务”还提供了辅助GPS（A-GPS），有助于为移动设备提供准确的卫星定位。

全球约 30% 的 Android 设备现在都在高通芯片上运行。

报告强调数据包是通过 HTTP 发送的，没有使用 HTTPS、SSL 或 TLS 进行加密。 这意味着网络上的任何其他人，包括黑客、政府机构、网络管理员、本地和外国的电信运营商，都可以轻松拦截此数据，存储它并使用唯一标识符和手机序列号创建历史记录。 高通将它们发送到名为 Izat Cloud 的云中。

🧬 https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker

#privacy

研究人员使用人工智能对1560万个流行密码进行破解 ——

来自 Home security heroes 的研究人员决定调查使用人工智能的密码破解速度。他们使用了1560万个流行密码的集合进行测试。

结果显示，PassGAN人工智能可以做到：

- 51%的密码集合在1分钟内被破解；
- 在1小时内破解集合中65%的密码；
- 在24小时内破解集合中71%的密码；
- 1个月内从集合中破解81%的密码。

“人工智能根据它所学到的一切，预测最可能的下一个数字。它没有寻求外部知识，而是依靠它通过学习形成的模式”，研究人员说。

当然，算力始终是挑战。越复杂越长的密码需要的破解时间就越多，对AI来说也一样。

🧬您可以在这里查看AI 在 2023 年破解您选择的密码需要多长时间:
https://www.homesecurityheroes.com/ai-password-cracking/

#Security #Passwords #Privacy #AI

对于上述消息，它不意味着给Telegram的匿名安全性加分。CNN的报道可能不是该公司与巴西当局的全部故事，但确实存在多个针对Telegram用户去匿名化的工具。

比如：https://tomhunter.ru/pk
该工具被称为“Okhotnik”(Охотник)，意思是“猎人”。据说使用超过 700 个数据点来建立关联和相关性，从而可以揭露匿名 Telegram 用户的身份。

这些“数据点”来自社交网络、博客、论坛、即时通讯工具、留言板、加密货币区块链、暗网和政府服务，以及关注名字、昵称、电子邮件地址、网站、域、加密货币钱包、加密密钥、电话号码、地理位置信息、IP 地址等等。

该工具旨在盯紧目标用户在过去任何时候犯下的任何操作错误，因此即使是最轻微和最久远的真实身份暴露线索，也可以用来创建去匿名化路径。

类似的工具还有其他。上面这个动图所演示的是另一个类似的去匿名化工具，自2018年至今；它通过手机号码、连接的设备和设备数据、以及地理定位信息来识别用户。

📌 在此重申我们一直的强调：

时间是所有安全措施的杀手。因为人会疲劳，会积累压力，从而增大误操作的可能性。所以，建议；

从事高风险工作的人，请不要持续使用单一伪装身份；
每个身份最好只匹配1～2个具体任务，任务完成后彻底摧毁身份。
对于单枪匹马的前线工作者来说，请尽可能避免使用虚构身份积累网络知名度，那将是得不偿失的。
您当然可以在拥有知名度/倡导能力和影响力的同时更持久地保持匿名安全，那需要您采取集体身份，
此原理相当于 Black bloc，其中每一位成员都享有集体知名度，而集体掩护每位成员的个人匿名安全。

当您准备开启一项计划之前，只要该计划涉及到社交媒体传播，建议先仔细研读这篇文章：
《您在什么时候需要假名、匿名和公开在线身份？– 在线创建和管理身份的思考方式》
https://iyouport.substack.com/p/as46-

#Privacy #Security #Selfdefense

不要接听Telegram拨打来的电话 ——

这可能泄露您的位置。

有专门工具可用来提取通话人IP。

比如 Wireshark（https://www.wireshark.org/download.html ）。通过Telegram拨打电话。只要用户接听电话，就会立即开始显示数据，其中就有被呼叫用户的IP地址。

此外 tshark（https://github.com/n0a/telegram-get-remote-ip ）也是同类的工具。

#Security #Privacy #Tools

英国政府即将在全球范围内削弱加密技术 ——

英国议会正在推进一项庞大的互联网监管法案，该法案将损害世界各地人们的隐私。所谓的《在线安全法案》目前正处于上议院通过之前的最后阶段，该法案赋予英国政府在消息服务中强行设置后门的能力，这将破坏端到端加密。尚未接受任何可以减轻该法案最危险因素的修正案。

如果《在线安全法案》获得通过，对于全球隐私和民主本身来说将是一个巨大的倒退。要求人们只能使用政府批准的软件是一个糟糕的先例。

在线交谈的私密性是一项基本人权。为了在数字世界中实现这些权利，目前为止我们拥有的最好的技术就是端到端加密。然而这项基本人权与所谓的《在线安全法案》中要求的政府批准的消息扫描技术完全背道而驰。

提供加密消息传递的公司（例如 WhatsApp、Signal 和英国的 Element ）也解释了该法案的危险。然而针对这些抵制浪潮，英国政府的反应是摆手否认现实 ……

这场斗争已经持续多年。我们的列表-1中有“加密和反加密之战”的板块 (https://start.me/p/xbYXdR/iyp-1 ) 记录了一些重点事件，如果您希望了解的话。

EFF正呼吁更多人权捍卫者加入抵抗该法律的斗争。

#privacy #IMs #Encryption

紧急更新一个帖子给中国朋友。

关于：
1、Telegram有哪些地方是不安全的；
2、如果您必需使用它，您至少应该如何保护自己；
3、昨天我们提醒了接下来更可能出现的局势  — — 不仅有“秋后”，还包括信息战，统治者将使用大量歪曲的信息污染抗议战略，分化抗议者、恐吓支持者，旨在扑灭那些已经燃起的火焰。这种情况下后勤人员需要发挥作用：搜集信息、验证信息，即 开源情报。这里提供一些Telegram信息搜索工具。

🧬《Telegram的隐私保护指南，和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e

#tips #tools #privacy #China #ZeroCovidPolicy #protest

俄版加密货币用户去匿名化项目 ——

俄罗斯已经学会了识别加密货币的所有者。至少，俄罗斯联邦金融监测局（Rosfinmonitoring）是这么说的。该机构负责人尤里·奇汉钦说，该机构有一个工具可以追踪俄罗斯人的数字资产交易。这项名为 "透明区块链" 的服务允许监控者 "查看资金的发送方和接收方"。

目前对这项服务的细则还知之甚少。在2021年该计划开启的最初，它似乎还只能识别比特币交易，但现在，据称可以追踪30多种加密货币。该机构定期吹嘘 “透明区块链” 项目的成果，例如，报告声称它被用来追踪雇佣杀手。

国家杜马加密货币工作组专家委员会成员米哈伊尔·乌斯宾斯基看起来并不信任这类技术，他说："经常有这样的情况，你可以追踪数字货币到某个交易所的路径，但从所有其他迹象来看，这显然是一个不真实的人。执法部门在这种情况下最多只能尝试在欺诈行为的幕后黑手和真正的实施者之间建立联系。但这些联系通常是通过暗网远程构建的 ……”。相比下他更信任人类情报，也就是线人。

近几年里，围绕加密货币追踪的服务，有一场全球大国的 军备竞赛。不论如何这场猫鼠游戏都会继续下去。

在这里看到我们曾经介绍的书和相关内容：https://t.me/iyouport/7097
以及，更多追踪加密货币的开源情报工具：https://t.me/iyouport/10294

#cryptocurrency #privacy

好消息：Signal 正在测试用昵称代替电话号码。

有了这项新功能，您就可以向潜在的对话者发送二维码或链接，同时保密您的电话号码。在这种情况下，新联系人将无法看到 Signal 用户的电话号码，只能看到用户在账号中指定的昵称。

目前该功能仍处于内部测试阶段。

#E2EE #privacy

注重隐私的浏览器扩展 【1】——

1、Self Destructing Cookies (https://add0n.com/self-destructing-cookies.html) - 在您离开网站后立即删除 Cookie。

2、WebRTC Leak Prevent (https://github.com/aghorler/WebRTC-Leak-Prevent ) - 允许您在Chromium浏览器中禁用WebRTC。在Firefox 中则在设置中禁用。

3、ScriptSafe (https://github.com/andryou/scriptsafe ) - 可以阻止某些脚本的执行。

4、Site Bleacher (https://github.com/wooque/site-bleacher ) - 自动删除 cookie、本地存储、IndexedDB 和Service Worker。

5、Skip Redirect (https://github.com/sblask/webextension-skip-redirect ) - 跳过链接中嵌入的所有重定向站点，直接指向最终站点。

6、Web Archives (https://github.com/dessant/web-archives/wiki/Search-engines ) - 允许您从多种存档和缓存源中进行搜索，允许您：Wayback Machine、Archive is、Google 和其他。

#tools #privacy

Kali Linux 2023.4

开发者们推出了该发行版在2023年的第四个也是最后一个新版本。这款新产品已经可以下载，同时包含15种新工具和GNOME 45。

新工具：

cabby - TAXII 客户端实现；
cti-taxi-client - TAXII2 客户端库；
enum4linux-ng - 下一代 enum4linux 带附加功能（Windows/Samba枚举工具）；
exiflooter - 在所有URL和图像目录中进行搜索和地理位置；
h8mail - 电子邮件开源情报和查找密码泄露的工具；
Havoc - 一种现代、灵活的后渗透管理和控制系统；
OpenTAXII - TAXII 服务器实现；
PassDetective - 扫描 shell 命令历史记录，检测意外写入的密码、API密钥和机密；
Portspoof - 所有65535 TCP 端口始终开放并模拟服务；
Raven - 轻量级 HTTP 文件下载服务；
ReconSpider - OSINT高级框架；
rling - RLI Next Gen (Rling)，一个更快的多线程和功能丰富的 rli 替代方案；
Sigma-Cli - 列出 Sigma 规则并将其转换为查询语言；
sn0int - 半自动 OSINT 框架和包管理器；
SPIRE - 一组 SPIFFE 运行时环境 API，用于建立软件系统之间的信任。

从这个版本开始，Kali Linux AMD64 和 ARM64 可以在亚马逊 AWS 和微软 Azure 市场上得到，从而可以轻松地在云中部署 Kali。

#Kali Linux 2023.4 Release (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)

🧬 https://www.kali.org/blog/kali-linux-2023-4-release/

#OS #Anonymity #Hacking #Privacy