在办公环境中开启iPhone 镜像功能或存在严重的隐私和法律违规风险

近日，有“互联网记忆”之称的互联网档案馆（Internet Archive）发生数据泄露事件，黑客成功攻破其网站，盗取了包含3100万条用户认证记录的数据库。

互联网档案馆创立于1996年，是全球最大的数字存档平台之一，保存和提供网络历史、书籍、音频、视频等多种形式的数字内容。最著名的功能是其“时光机”（Wayback Machine，也是此次黑客攻击的目标），允许用户查看过去某一时刻的网站快照，是学术研究、新闻回溯和数据恢复的重要工具。该网站保存了超过20多年的互联网数据，拥有数十亿个网页的历史记录，是全球用户了解和研究互联网变迁的重要资源。

早前作为办公软件主力产品的 Microsoft Word 出现某个错误，该错误会导致用户在保存文件后或者关闭 Word 时自动删除文件，好在文件只是被移动到回收站中而不是永久删除。

该问题主要影响以下行为：1、文件名中包含 # 号；2、文件后缀为全大写的DOCX；3、文件后缀为全大写的.RTF (注：Wordpad 写字板的扩展名称)。如果用户打开的文件或保存的文件存在以上情况，文件就会被自动删除，微软没有解释为什么会发生这种奇怪的问题，不过现在微软已经通过服务端进行了远程修复。

修复方法：

方法一：在联网情况下打开 Word，然后再关闭 Word，这种情况下 Word 会自动从后端服务器获取数据完成修复；

方法二：如果联网修复不起作用或设备无法联网，则可以使用命令行执行操作，打开管理员模式的命令提示符以此执行以下命令cd %programfiles%Common FilesMicrosoft SharedClickToRun每粘贴一行命令后按回车，建议两条命令分开执行进行操作，该操作会将 Word 恢复到以前不受影响的版本，如果系统能够再次联网，则可以转到控制面板、程序与功能、找到 Office 并点右键选择修复，这样也会自动重新安装 Office 并更新到最新版本 (此操作不会影响文件，但可能某些设置会被重置)

网络安全公司 Sevco 日前表示，苹果公司新推出的iPhone镜像功能存在用户隐私泄露风险，风险源自iPhone镜像会将iOS应用程序元数据集成到macOS环境中，允许企业IT部门访问有关个人应用程序的元数据，尽管实际的应用程序数据并不会被传输。如果用户在办公环境的Mac 设备上使用iPhone镜像功能时，运行的所有 iPhone 应用程序都会在 Mac 库中创建一个条目，相关路径如下：

/Users//Library/Daemon Containers//Data/Library/Caches/<_name>

这意味着当公司运行自动化网络审计功能时，可以轻松识别出设备上所有的iPhone应用程序及部分的应用数据。

 对于 iPhone 用户来说，这个漏洞可能暴露用户个人生活的敏感信息，包括使用的VPN、约会应用程序或健康相关服务信息，使用户面临法律或社会风险，具体情况取决于用户所在地区。这个问题还给雇主带来了新的责任风险，包括可能违反隐私法。雇主企业可能无意中收集私人数据，如果这些数据管理不当，将面临法律后果。 

Sevco目前已经向苹果公司正式报告了这个问题，苹果承认了问题并正在积极修复。在此之前，Sevco建议企业禁用工作设备上的iPhone镜像功能，员工也应该避免在职场环境中使用该功能。

据彭博法律报道，法国游戏公司育碧日前因被指控非法与Meta（Facebook的母公司）共享用户个人身份信息（PII），面临一项集体诉讼。该诉讼指出，当用户在育碧的官方网站购买游戏或订阅Ubisoft+服务时，他们的个人信息通过Meta的Pixel追踪工具被传输给了Meta。 

诉讼文件中指出，育碧未能在其网站上告知用户，其个人信息会被Meta的追踪Pixel捕获并传输给Meta，这使得任何具有基本技术能力的人都能够获取这些数据，从而暴露了用户的个人信息。诉讼强调，数据共享政策对于用户决定是否提供个人信息至关重要。 

诉讼指出，由于育碧未告知用户其个人信息正在与Meta共享，因此违反了相关法律。诉讼文件中提到，育碧故意使用Pixel追踪用户在网站上的活动，并将这些信息披露给Facebook，以收集有营销价值的数据。 

目前，这起诉讼还在等待成为集体诉讼的认证，原告方正在寻求陪审团审判，并要求育碧对所有受影响的用户进行经济赔偿。同时，他们还要求法院命令育碧要么从其网站上移除Pixel，要么在共享用户个人信息前获得用户的明确同意。

日前，澳大利亚政府向议会提交了该国首部独立的网络安全法《2024年网络安全法案》。新法案旨在更好地保护公民和组织免受日益严峻的地缘政治和网络威胁环境。 

新法案涵盖众多方面，包括物联网设备需要满足基本的网络安全标准及关键基础设施组织需要强制报告勒索软件事件。

该法案还将设立网络事件审查委员会，对重大网络安全事件进行事后审查，并明确“有限使用”义务，以限制使用并与其他政府机构共享向国家网络安全协调员提供的事件信息。该法案还将促进并落实根据澳大利亚《2018年关键基础设施安全法案》规定的改革，包括简化行业和政府之间的信息共享、加强政府援助措施，以更有效地管理所有危害事件对关键基础设施的影响。 

新法案还规定了强制性报告义务，某些澳大利亚企业需要报告导致支付勒索软件赎金的网络安全事件。这种要求适用于负责澳大利亚关键基础设施资产的私营部门组织，不适用于公共部门组织。未履行报告义务面临民事处罚。

微软公司的安全研究团队日前警告称，越来越多的网络攻击活动滥用企业环境中广泛使用的合法文件托管服务（比如SharePoint、OneDrive和Dropbox），并作为规避防御监测的流行手法。这类活动的最终目的是允许攻击者窃取合法身份，并进行商业电子邮件入侵（BEC）攻击，最终导致财务欺诈、数据泄露以及横向移动到其他端点。 

合法互联网服务（LIS）武器化是一种被攻击者采用的日益流行的威胁途径，攻击者混入合法网络流量中，常常绕过传统安全防御机制，加大了受害者查明攻击源头的难度。这种方法又叫可信赖网站寄生攻击（LOTS），利用这些备受信任且熟悉的服务绕过电子邮件安全护栏，并传播恶意软件。 

此类攻击通常从攻陷可信赖供应商的用户入手，将恶意文件和攻击载荷放到该供应商的文件托管服务上，随后与目标实体共享文件托管服务。

Adobe公司近日发布了针对Substance 3D Painter的安全更新（APSB24-52）。该更新的优先级被定义为3级，解决了编号为CVE-2024-20787的内存泄漏漏洞，这是一个高危级漏洞，可能允许网络犯罪分子执行任意代码，并未经授权访问系统。Adobe公司建议10.0.1及更早版本的用户通过Creative Cloud更新到10.1.0版本，以降低该风险。 

Adobe同时还发布了Adobe Commerce和Magento的安全更新（APSB24-73）。该更新的优先级为2级，解决了可能导致代码执行和特权提升的多个关键漏洞。该公司强烈建议Adobe Commerce和Magento用户更新到最新的指定版本，以确保系统安全。 

重要的是，Adobe已证实还没有获悉大肆利用这些漏洞的活动，让依赖该公司安全措施的用户一再放心。

F5公司日前开展的一项安全调查显示，面向客户的API中，仅有70%使用HTTPS加以保护，而其他近30%的API应用完全没有安全保护措施。这与现在90%以上的网页通过HTTPS访问形成了鲜明对照，过去十年主张安全网络通信的呼声促使HTTPS得到广泛应用。

 研究发现，如今平均每家组织管理着421个不同的API，其中大多数托管在公共云环境中。但大量API、尤其是面向客户的API仍然未得到保护。特别是API正在广泛连接到OpenAI等AI服务，安全模式必须适应入站API流量和出站API流量。而当前的安全措施主要关注入站流量，出站API调用非常容易受攻击。 

调查发现，有59%的组织表示希望在API生命周期的每个阶段都纳入安全性。而87%的组织表示计划采用安全开发生命周期（SDLC）实践，注重在生命周期的每个阶段确保安全。 

采用零信任安全模式的组织不能仅仅着眼于其应用程序，还应该确保每个API请求（无论来源如何）都经过身份验证、授权和核实。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除