网络盾牌 | 0301-欧盟委员会禁止使用TikTok-元宇宙无隐私-美一广播电视台遭网络攻击-加拿大电信巨头Telus遭泄露

欧盟委员会禁止员工使用 TikTok；

标签：欧盟委员会，TikTok

近日，欧盟委员会已经禁止员工在其公司设备以及加入委员会移动设备服务的个人设备上使用TikTok应用程序。根据委员会周四发表的一篇博文，此举旨在保护委员会免受网络安全威胁，指示员工须于3月15日前从有公务用途的手机上卸载抖音海外版TikTok。

文章说：”这项措施符合委员会严格的内部网络安全政策，即使用移动设备进行与工作有关的通信，它补充了委员会对工作人员的长期建议，即在使用社交媒体平台时采用最佳做法，并在日常工作中保持高水平的网络意识。”

“该措施符合欧盟委员会关于使用移动设备进行工作相关通信的严格内部网络安全政策。它补充了委员会的长期建议，即员工在使用社交媒体平台时应用最佳做法，并在日常工作中保持高水平的网络意识。”

委员会还表示，将继续审查其他社交媒体平台的安全发展。

委员会发言人Sonya Gospodinova周四在Twitter上写到：“委员会致力于确保其工作人员得到很好的保护，以应对日益增加的网络威胁和事件，因此，我们有责任尽可能早地对潜在的网络警报做出反应。”

Gospodinova和欧盟委员会首席发言人Eric Mamer强调了该决定背后的理由，并补充说该禁令是 “暂时的”，正在不断审查和可能的重新评估。”

另有报道称，欧盟理事会也将采取类似禁令，但欧洲议会尚无跟进动向。在欧盟27个成员国中，也几乎没有哪个国家对TikTok下禁令。但有报道称，荷兰总务部去年11月建议当地公务员暂停使用TikTok，直至该平台对数据保护政策做出调整。据悉，TikTok在荷兰人气颇高，约有350万名用户。

此举是在TikTok证实欧洲大陆以外的一些员工可以访问欧洲用户的数据几个月之后。

TikTok欧洲公共政策副总裁Theo Bertram在Twitter上表示”我们还没有得到任何解释。在3月15日停职生效之前，我们希望能够了解是否有任何具体的担忧，并有机会解决这些问题。”

这项禁令发生在TikTok今年年初，在1月份曾被法国数据保护监管机构罚款500万欧元（540万美元），原因是没有向用户提供足够的cookie收集信息。

信源：E安全

元宇宙无隐私：百秒内确定唯一身份 匿名性不复存在；

标签：元宇宙，隐私

美国加州大学伯克利分校的最新论文表明，如果没有创新的新保障措施来保护用户，元宇宙中也许将没有隐私可言。

这项在负责任去中心化智能中心（RDI）进行的研究由研究员Vivek Nair带领，重点关注用户在虚拟现实（VR）中的最大交互数据集，是否如以往分析认定的存在隐私风险。结果令人惊讶，研究发现只需要最基础的数据，即可实现对元宇宙内用户身份的识别，可以说是消除了在虚拟环境中保持匿名的可能性。运动数据看似简单但并不简单。

大多数元宇宙隐私研究人员和政策制定者，都将注意力集中在现代VR头显及其摄像头/麦克风上。这些摄像头和麦克风能够捕捉用户面部特征、声纹及眼动等信息，同时也会记录下关于用户住宅或办公室中的环境情况。部分研究人员甚至担心，能通过头皮检测大脑活动的干式脑电图（EEG）传感器等新兴技术也会构成威胁。尽管这些丰富的数据流确实会在元宇宙中构成严重的隐私风险，但即使将其全部关闭，恐怕仍无法保障用户匿名性。这是因为与虚拟世界交互所需的最基本数据流（即简单运动数据），可能足以从大量人群中识别出特定某一用户。所谓“简单运动数据”，也就是虚拟现实系统所跟踪的三项基础数据点：用户的头戴、左手与右手数据点。研究人员一般将其统称为“遥测数据”，它表示允许用户在虚拟环境中进行自然交互所需要的最小数据集。百秒内即可确定唯一身份。

下面来看伯克利发表的最新研究，《通过头和手部运动数据对5万多名虚拟现实用户进行身份识别》（Unique Identification of 50,000-plus Virtual Reality Users from Head and Hand Motion Data）。该研究分析了流行应用Beat Saber的5万名参与者留下的250万条VR数据记录（完全匿名化）。结果发现，只使用短短100秒内的运动数据，即可获得超过94%的用户身份识别精度。更令人惊讶的是，就算运动数据只有短短2秒，仍可将身份识别精度维持在50%左右。达到这样的准确性需要创新AI技术的加持，但可以看到这里使用的数据非常稀疏。随时间推移，未来识别用户身份也许只需要3个空间点。换句话说，每当用户戴上混合现实头显、握住两只标准控制器，开始在虚拟或增强世界中进行交互之时，都会留下一系列可反映其身份的数字指纹。这就引出了新的问题：这些数字指纹与身份识别间的对应关系，跟真实世界中的指纹相比是高是低？相信大家都听过所谓“世界上没有两个指纹是相同的”这种说法。也许是对的，但其实并不重要。指纹的真正意义，在于以一定的精度通过犯罪现场或扫描元件处捕捉到的指纹识别出对方身份。事实证明，无论是物理采集还是设备扫描，获得的指纹信息并不像我们认为的那么唯一。我们可以考虑一下指纹扫描元件的工作方式。根据美国国家标准技术研究所（NIST）的规定，指纹扫描装置只要达到特定的匹配精度基准——即从10万人中识别出1人，就算是切实有效。也就是说，NIST等机构的实际测试发现，大多数指纹扫描装备的实际准确率可能低于1/1500。尽管如此，这已经足够把偷手机的贼或者意外接触到设备的其他人挡在门外了。匿名性不存在。

另一方面，伯克利的研究表明，当VR用户挥动虚拟刀劈砍飞来的物体时，留下的运动数据可能比真实世界中的指纹更具身份识别能力。这构成了严重的隐私风险，甚至可能彻底消灭在元宇宙中保持匿名的可能性。此外，还可以使用这些运动数据准确推断出关于用户的一系列个人特征，包括其身高、惯用手和性别。在与虚拟和增强环境中经常被追踪记录的其他数据相结合后，这种基于运动的“指纹采集”方法将获得更高的精度。运动数据是元宇宙的基础。

针对此事，笔者邀请论文作者Nair对传统指纹和虚拟/增强环境下的运动数据这一“数字指纹”做出比较。他这样描述相关风险，“在虚拟世界中四处走动时，基础运动数据会一刻不停地保持实时传输；这就像是在浏览传统互联网时，把自己的指纹随时共享给所访问的各个网站。其中的区别在于，网络浏览并不需要共享指纹，但运动数据流却是当前元宇宙环境的实现基础。”为了真正理解这种基于动作的“数字指纹”中存在多大隐患，我们不妨假想这样的场景：未来用户会经常在虚拟和增强环境中购物。到那时，我们可能会在虚拟门店中浏览产品，也可能是在自己的居所内通过混合现实眼镜把新家具投射在真实的物理背景上。伯克利的研究表明，这些常见动作对于每位用户都如同指纹一样独特。如果真是如此，我们也许可以将其称为“动作指纹”，就是说休闲购物者将无法在保持匿名的情况下访问虚拟门店。那么，我们要如何解决这个固有的隐私问题？一种方法是在采集结果从用户硬件传往任何外部服务器之前，对运动数据作模糊化处理。遗憾的是，这意味着引入噪音，即在保护用户隐私的同时也降低身份运动的精度和灵活性，最终损害用户在各类虚拟现实应用中的体验。对很多人来说，用体验来换取匿名性可能并不值得。另一种办法是制定合理的法规，防止元宇宙平台随时间推移不断存储和分析人类运动数据。这样的法规有助于保护公众，但执行起来很困难并可能引发行业倒退。出于这些原因，伯克利的研究人员们正在探索更复杂的防御技术，希望借此掩盖物理运动中的独特特征，同时不影响用户在虚拟和增强世界中的灵活性。笔者仍然贯彻长久以来的消费者保护理念，强烈建议并行探索所有方法，包括技术和政策等多种思路。对个人隐私的保护不仅是用户的头等大事，也将决定整个行业的未来命运。毕竟如果用户无法安全放心地使用元宇宙，就不可能接受虚拟与增强环境成为其数字生活中的重要组成部分。

信源：安全内参

美国一广播电视台遭网络攻击，网站、电话、应用程序离线；

标签：美国，广播电视台，网络攻击

美国电视巨头和卫星广播供应商Dish Network在过去24小时内神秘断网，其网站和应用程序停止运作。

大范围的中断影响了Dish.com、Dish Anywhere应用程序以及该公司拥有的几个网站和网络。同时该公司的呼叫中心电话也无法接通。

此外，客户在通过他们的Dish凭证登录MTV和Starz等电视频道应用程序时面临认证问题。Dish Network的远程员工已经也被禁止访问其工作系统。

Dish网络的网站、电话、应用程序离线

包括Dish.com、DishWireless.com和Dish Anywhere在内的Dish Network网站和应用程序正面临长时间的中断，客户无法进入他们的账户或在线播放电视。

另外，用户表示Dish Anywhere的安卓应用也遇到了连接问题。

客户还报告说，在试图支付他们的账单或致电客户服务中心时遇到了问题。

2023年2月23日该公司的推特账户称，一个内部系统问题正在影响我们的一些客户服务业务。我们对造成的不便感到抱歉。目前正在积极的回复中。谢谢你的耐心等待。

The Verge发表的一份报告还显示了一封发给Dish Network员工的内部邮件，管理层通知他们正在发生的 “VPN问题”。

员工们被告知，他们将无法连接到他们的VPN，无法进行远程办公。

这是一次网络攻击

一位与Dish Network员工接触的消息人士告诉记者，网络 “受到了攻击”，员工在桌面上看到了 “空白图标”，这通常是在勒索软件感染加密受害者的文件后发生的。

另一名员工说，他们收到了经理的邮件信息，该事件 “是由外部不良行为者造成的，是一个已知的威胁组织”，公司还不清楚他们是如何获得访问权限的。

这封邮件还提到，公司正在与一个外部供应商合作，以解决这个问题

信源：www.bleepingcomputer.com/news/security/dish-network-goes-offline-after-likely-cyberattack-employees-cut-off/

这一远程木马被伪装成合法的 Windows 开源工具，悄然传播；

标签：远程木马，Windows 开源工具

近日，趋势科技发现了一波新的攻击，目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。

经研究人员分析x32dbg.exe有一个有效的数字签名，因此它被错认为是安全的。这让攻击者能够逃避检测，保持持久性，提升权限，并绕过文件执行限制。

该RAT使用DLL侧面加载，如x32dbg调试工具（x32dbg.exe）时，恶意加载自身有效载荷DLL。

攻击者通过修改注册表和创建计划任务来实现持久性，即使在系统重新启动时也能保持访问。

专家报告说，x32dbg.exe被用来投放一个后门，一个UDP shell客户端，收集系统信息，收集主机信息，并创建一个线程来持续等待C2命令，并使用硬编码的密钥来解密C&C通信。

最后，报告总结说，尽管安全技术有所进步，但攻击者继续使用这种技术，因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库，这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。

信源：securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html

加拿大电信巨头Telus员工信息及源代码遭泄露；

标签：加拿大电信，Telus，员工信息，源代码，泄露

Telus是加拿大三大电信巨头之一，总部坐落于哥伦比亚省的温哥华市。Telus是加拿大发展最快的电信公司，拥有大约6万名员工，为数千万的客户提供电信服务。据外媒报道，Telus目前正在调查一起数据泄露事件，事关其员工信息及源代码。

事情始于前不久一名黑客（昵称Seize）在BreachForums论坛上声称其已获得Telus的敏感数据，并公开兜售。在其中一个帖子中，该黑客提供76000封员工电子邮件以及与Telus员工相关的内部信息，目前价格未定可协商，并且只会出售给一个人。

在另一个帖子中，该黑客还以7000美元的价格售卖一个包含Telus员工电子邮件的数据库，以6000美元的价格出售一个包含770条员工记录（其中包括Telus总裁的信息）的工资单数据库。最为重磅的是，黑客还计划出售Telus的私有源代码和GitHub存储库，售价为50000美元。

对此，Telus发言人Richard Gilhooley表示，他们正在调查与Telus内部源代码和部分Telus员工信息相关的少量数据出现在暗网上的说法，他们目前可以确认，在意识到这一事件后立即启动的调查中尚未发现涉及任何公司或零售客户数据。

对于Telus的客户来说，最需要担心的是该存储库泄露可能导致的损失，例如SIM卡交换攻击。一般而言，这这种攻击方式需要通过社会工程学欺骗电信公司员工。而在代码库泄露后，可能会被犯罪分子利用来将受害者的电话号码转移到攻击者控制的设备，进而拦截短信验证码来劫持受害者的其他在线帐户

信源：theregister