社交工程与数据泄露
近期,黑客通过社交工程手段误导百思买(Best Buy)员工,窃取了40多台总价值超过4万美元的PS5及其他游戏主机。在网络空间,研究员Jeremiah Fowler发现了一个包含1.49亿条被盗密码的公开数据库,泄露信息涵盖Gmail、Instagram、OnlyFans及币安(Binance)等多个平台,其中包含140万个教育机构(.edu)邮箱账号。目前该数据库在研究员的干预下已从托管平台移除。
软件漏洞与隐私和解
由于WinRAR软件缺乏自动更新功能,其半年前已修复的一项旧漏洞目前仍对大量未手动更新的用户构成威胁。在隐私诉讼方面,谷歌同意支付6800万美元,以和解有关谷歌助手(Google Assistant)在未触发“Hey Google”等指令时擅自录音并存储用户对话的指控。此外,TikTok在转由美阿(UAE)合资企业运营后更新了隐私政策,用户注意到其数据收集权限有所变动。
加密权限与政府监管
微软近期披露,在收到合法执法请求时,会向FBI提供存储在其服务器上的BitLocker解密密钥。由于BitLocker在设置时默认将密钥备份至微软账户,这一机制实际上为政府访问加密数据提供了途径。安全专家指出,若用户不自主掌控加密密钥,则无法实现对数据的完全控制。与此同时,奥地利法院裁定微软365教育版违反《通用数据保护条例》(GDPR),利用Cookie非法追踪学生信息,责令微软在四周内停止该行为。
AI 插件安全威胁
LayerX Security的研究人员发现了16款恶意浏览器扩展程序,这些插件伪装成ChatGPT的功能增强工具,实则旨在窃取用户的账号凭证。虽然多数插件的安装量仅为数十次,但其中一款已接近600次。专家建议用户谨慎使用第三方AI平台扩展工具,以防范此类针对AI用户的新型凭证窃取攻击。
(PCMag.com)
via 茶馆 - Telegram Channel
