网络安全与隐私新闻汇总

图片源于:https://www.wired.com/story/chinas-salt-typhoon-hackers-breached-the-us-national-guard-for-nearly-a-year/

上周报道的“原始”杰弗里·爱泼斯坦监狱视频由美国联邦调查局(FBI)发布,尽管没有证据表明视频被欺骗性地操纵,但有报道称,该视频模式在至少某些方面被修改。

WIRED周二报道称,视频的元数据分析显示,两个拼接的剪辑中约有2分钟53秒的内容被删除。

与此同时,美国国土安全部(Department of Homeland Security)因从大约133,000名移民儿童和青少年收集的DNA样本添加到刑事数据库中而面临争议。

与此同时,研究员杰里迈亚·福勒(Jeremiah Fowler)本周发表的发现显示,超过2GB的极其敏感的收养相关数据——包括生物父母、儿童和养父母的信息——在开放互联网中暴露并可公开访问。

Roblox的新信任连接(Trusted Connections)功能包括使用AI扫描青少年的视频自拍以进行年龄验证,并确定他们是否可以获得与认识的人进行无过滤聊天的权限。

随着视频深度伪造技术的成熟——包括可以甚至操纵实时视频素材的AI工具,AI“脱衣”平台吸引了数百万用户,并通过美国公司的技术产生数百万美元的收入。

此外,每周我们都将汇总未深入讨论的安全和隐私新闻。 点击标题以阅读完整故事。

中国国家支持的黑客组织“盐台风”(Salt Typhoon)去年曾震惊美国,揭露其深入渗透美国电信系统,甚至实时监控包括当时候选人唐纳德·特朗普(Donald Trump)和JD·范斯(JD Vance)在内的公民的短信和电话交谈。

现在看起来该组织的间谍活动还包括美国军方,并且在去年的大部分时间里,盐台风处于至少一个州的美国国民警卫队(National Guard)网络中。

NBC新闻本周报道,根据国家安全透明非营利组织“人民财产”(Property of the People)获得的一份国土安全部备忘录,盐台风的黑客组织在去年的3月至12月期间入侵了该州级国民警卫队网络。

该备忘录未指明受到攻击的州。

根据备忘录,盐台风的入侵“可能为北京提供了能够促进其他州的陆军国民警卫队单位黑客活动的数据,并可能包括他们很多州级网络安全合作伙伴的数据。”

特朗普政府正在开发一种新数字系统,旨在为移民和海关执法局(Immigration and Customs Enforcement,ICE)提供几乎实时访问纳税人的敏感数据,包括他们的家庭住址。

周二,《普罗公共事务》(ProPublica)公布的内部蓝图显示,该系统旨在“按需”自动化和加快数据交换,绕过传统的IRS保护措施,这些保护措施通常要求逐案审查和法律依据。

该系统代表了IRS数据访问方式的重大转变,已经引发了公民自由专家的担忧,他们表示,这一过程可能违反隐私法并进一步加速ICE获取用于驱逐目的的税务数据的能力。

一个零日漏洞允许恶意黑客触发火车刹车的概念令人十分不安。

一个已存在7300多天的漏洞使火车容易遭受刹车攻击,这对美国关键基础设施的疏忽程度令人震惊。

网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)上周发布了一份关于缺乏认证的协议的公告,该协议允许位于火车前端的设备(HOT)向另一台位于火车尾部的设备(EOT)发送刹车信号,以实现长货运列车的协调刹车。

这意味着黑客可以发送其未经认证的命令以扰乱火车、关闭铁路网络,甚至造成出轨,公告中的一位研究人员告诉SecurityWeek。

这一问题更加令人愤慨,因为研究人员发现该漏洞早在2005年就已被报告,但从未被认真对待或修复。

数万台易受攻击的HOT和EOT设备计划将在明年开始更换。

希望建立一个由恶意软件控制的物联网设备僵尸网络的黑客可以搜索这些设备以查找漏洞——这些漏洞非常丰富——并远程利用它们。

更好的办法是,他们可以在这些设备甚至出货之前感染它们。

谷歌本周宣布将对BadBox 2.0僵尸网络的管理人员提起诉讼,该僵尸网络由1000万台安卓电视组成,这些电视在销售给消费者之前就已感染了恶意软件。

谷歌描述的僵尸网络运营者是中国网络罪犯,他们随后将这些设备的访问权出售,用作代理机器或在庞大的点击欺诈计划中虚假展示广告观看量。

BadBox 2.0“已经是已知的互联网连接电视设备中最大的僵尸网络,并且每天都在增长。

它已经对全球数百万名受害者造成伤害,并威胁着更多的人,”谷歌的投诉中写道。