网络盾牌 | 1129-美国禁止销售中兴、海康威视等电信和监控设备-加拿大公布印太战略从军事、情报、网安三方面对抗

以威胁国家安全为由，美国禁止销售中兴、海康威视等电信和监控设备；

标签：国家安全，中兴，海康威视

美国联邦通信委员会（FCC）正式宣布，禁止进和销售包括华为和中兴通讯在内的，中国科技巨头制造的电信和监控设备，认为这些设备“对国家安全构成不可接受的风险”。

此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头，这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。

公开资料显示，华为、中兴、海康威视、海能达和大华等5家中企，此前都被FCC列入了2021年3月12日的 “对美国国家安全构成威胁的通信设备和服务”清单。

FCC主席Jessica Rosenworcel在11月25日的命令中表示，“这些新规则是我们保护美国人民免受涉及电信的国家安全威胁行动的重要部分。”

2022年9月20日，FCC将太平洋网络公司和中国联通（美洲）也加入 “对美国国家安全构成威胁的通信设备和服务”清单，至此中国三大电信运营商全部上榜。FCC称这一行动是为了遏制中国国有通信运营商在美国网络中的影响力。

上个月，拜登政府还宣布，将收紧对中国出口的可用于军事应用的半导体产品的监管。

不仅仅是美国，英国也采取了类似措施，禁止在“敏感”的政府场所安装中国企业生产的安全监控摄像头，涉及海康威视和大华股份两家企业。

信源：美国联邦通信委员会

欧盟呼吁成员国的部分实体托管和运营跨境网络威胁检测平台；

标签：欧盟，跨境网络威胁检测平台

欧盟委员会与欧洲网络安全能力中心(ECCC)发出呼吁，建议遴选成员国实体表达兴趣，这些实体将主办和运营跨境网络威胁检测平台，每个平台汇集来自多个成员国的相关公共实体和私营实体。这些平台有望促进来自多个来源的大量网络安全威胁数据的交换和融合，通过专家分析和工具和基础设施的使用为参与者提供高质量、可操作的情报。该方法应有助于提高检测能力，预防和应对网络威胁和事件。

在2020年12月宣布欧盟网络安全战略后，欧盟委员会在2021-2022年网络安全工作计划(WP)中拨款1.1亿欧元用于“安全运营中心能力建设”。设想的关键行动之一是建立“跨界平台，在多个成员国之间收集网络安全威胁的数据”。跨境安全行动中心将与欧洲网络安全能力中心一起采购网络威胁检测工具和服务，该中心最初将在数字欧洲项目下提供3000万欧元。该项目还将为网络威胁检测提供高达72,500万欧元的拨款，此前该项目已公开征求提案。各中心或平台也可申请此类赠款，以补充与欧洲网络安全能力中心联合采购所产生的投资。

欧盟委员会在11月24日发布的一份文件中概述道:“此次意向书(CfEl)的目的是在欧盟成员国和其他符合条件的国家中选择愿意部署和管理跨境SOC平台的实体。”“选定的财团将与ECCC进行联合采购，购买必要的工具和基础设施，以建立跨境SOC平台。对于每次联合采购，欧盟将贡献高达75%的采购成本。联合采购的数量将取决于该CfEl下确定的需求，采购预算将包括高达3000万欧元。”

信源：https://industrialcyber.co/news/eu-calls-upon-select-entities-in-member-states-to-host-operate-cross-border-cyber-threat-detection-platforms/

加拿大公布印太战略从军事、情报、网安三方面对抗；

标签：加拿大，印太战略

莫斯科(卫星网)——加拿大外交部长梅勒妮·乔利周日（27日）表示，加拿大提出了其印度-太平洋战略，旨在通过增加军费开支和加强贸易联系来巩固该国在该地区的领导地位。

乔利在推特上说:“今天，当我们启动加拿大的印度-太平洋战略时，你们将看到加拿大在一代人的全球转变中，不仅打算参与，而且打算领导的全貌。”据彭博社报道，渥太华将致力于增加军费开支，加强与印太国家的贸易关系，同时对抗中国及其日益增长的影响力。

该战略还概述了17亿美元的额外支出，用于增加军事存在、增强情报能力和网络安全。与此同时，该文件将中国描绘为“一个颠覆性的全球大国”，加拿大将通过削减投资等方式挑战中国。路透社(Reuters)称，渥太华还计划收紧外国投资规定，保护知识产权，以防止中国国有企业向加拿大的关键领域注入资金。该文件还指出，加拿大应该保持与中国的关系，尽管概述了一些要点。根据世界银行的数据，中国是加拿大仅次于美国的最重要贸易伙伴，占加拿大进口总额的近15%。

信源：https://www.reuters.com/world/americas/canada-launches-new-indo-pacific-strategy-focus-disruptive-china-2022-11-27/

Twitter 遭黑客攻击泄露 540 万户数据，影响比想象中严重；

标签：Twitter，数据泄露

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码，预计影响到多达540多万用户。据悉，这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。

威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月，一份发表在Hacker上的报告声称发现了一个漏洞，攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户，即使用户在隐私选项中选择了防止这种情况。

该漏洞允许任何一方在没有任何认证的情况下，通过提交电话号码/电子邮件获得任何用户的twitter ID（这几乎等同于获得一个账户的用户名），即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序，特别是在检查Twitter账户的重复性的程序。

zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁，因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户，而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群（创建一个具有电话/电子邮件到用户名连接的数据库）。这样的数据库可以卖给恶意的一方，用于广告目的，或者用于在不同的恶意活动中给名人打标签。

卖家声称，该数据库包含从名人到公司的用户数据（即电子邮件、电话号码），卖家还以csv文件的形式分享了一份数据样本。

8月，Twitter证实，数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的，他获得了5040美元的赏金。

据悉，这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。

本周，网站9to5mac.com声称，数据泄露的内容比该公司最初报告的要多。该网站报告说，多个威胁者利用了同一个漏洞，网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露，暴露了500多万个电话号码和电子邮件地址，比最初报告的情况更糟糕。我们已经看到证据表明，同一个安全漏洞被多人利用，而被黑的数据已经被几个来源提供给暗网出售。

9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站，该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项（在Twitter的设置中很难找到）”的账户。

9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测，多个威胁者可以进入Twitter数据库，并将其与其他安全漏洞的数据相结合。

账号@chadloder（Twitter在消息披露后）背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站，他们将与Twitter联系以征求意见，但整个媒体关系团队都离开了该公司。

信源：E安全

德国：拼写检查功能可能将数据非法跨境传输给第三方；

标签：德国，非法跨境

现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。

同时，网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能，例如通过人工智能（AI）实现更好的结果。如果这种基于云的拼写支持是开启的，所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示，如果相关网站的运营者没有通过特别的预防措施来防止这种情况，甚至连密码都可以被传送。

HBDI了解到，在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下，HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置，并在必要时进行调整。

如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商，则需要采取进一步行动。根据GDPR第四条第12项，此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险，控制者必须立即并尽可能在72小时内向主管监督机构报告（GDPR第三十三条第1款）。此外，如果数据主体的权利和自由有可能面临高风险，则必须将数据泄露事件通知这些数据主体，不得有不当延迟（GDPR第三十四条第1款）。无论风险如何，数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件，以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。

如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险，可以联系当地的信息安全联系人和/或当地的信息专家。

信源：https://datenschutz.hessen.de/pressemitteilungen/erweiterte-rechtschreibpr%C3%BCfung-browser-funktionalit%C3%A4t-kann-personenbezogene-daten