Twitter 重大安全事故

多位名流发布钓鱼推特、数万账号被停用

当地时间15日，Twitter遭遇史上最大规模的网络攻击，数十位政商界知名人士账号被盗，黑客在他们的账户上发布了骗取比特币的推文。

一家比特币追踪公司称，黑客骗取了价值至少12万美元的比特币，这些资产中超过一半已经被转移到其他账户中。

黑客入侵了包括亚马逊首席执行官杰夫·贝索斯和特斯拉创始人埃隆·马斯克在内的部分企业高管的Twitter账号，并在这些账号上发布信息「我希望能在疫情期间回馈社会，只要向比特币钱包地址支付比特币，我将双倍返还给你」。

在汇入账号的12万美元中，大约6.5万美元已经被转移到了其他比特币账号地址，其中一个账号在过去一直保持活跃，并在美国一家交易所注册。黑客在这起诈骗案中获得的资金约有一半来自美国，四分之一来自欧洲，其余则来自亚洲。

除了一些著名政商领袖，本次黑客还成功侵入了许多加密公司，比如双子星交易所（Gemini exchange）。

美国最大的比特币交易所Coinbase已经开始阻止用户向黑客账户汇款。Coinbase发言人埃利奥特·萨瑟斯（Elliott Suthers）说：“我们已将黑客账号列入了黑名单。“

印度拟设监管机构

限制谷歌脸书等巨头的数据主导地位

近日，据外媒报道，印度政府任命的一个专家委员会建议，印度需要设立新的数据监管机构来监督在线收集信息的共享、货币化和隐私等问题，以此限制谷歌、Facebook、亚马逊以及Uber等美国科技巨头的在线数据主导地位。

这个由8名专家组成的委员会提交报告称，市场力量本身不会从数据中为社会带来最大的效益，而新的监管机构必须解决由此产生的关键问题。

报告建议，这个机构必须确保所有利益相关者遵守规则，在提出合法请求时提供数据，评估重新识别匿名个人数据的风险，并帮助为企业创造公平的竞争环境。

这份文件称Facebook、亚马逊、Uber以及谷歌等美国科技巨头具有先发优势，是网络效应的受益者，导致许多新进入者和初创企业受到挤压，面临巨大的进入壁垒。监管机构在促进数据共享方面的角色将会减轻这些影响，并刺激创新、经济增长和社会福祉。

随着世界各国加强国内数据保护，印度正在起草和加强管理其蓬勃发展的数字经济的政策。印度已经颁布了管理个人数据使用的法案，最新报告还建议通过立法增加对非个人数据的监管。

非个人数据是指不包括姓名、年龄或地址等可用于识别个人身份的信息，它还包括那些最初是私人的、但后来被聚合成为匿名数据的信息。

报告中提议的规则将管理数据的收集、分析、分享以及销毁。报告称，此举的目的是为现有企业提供洞察力，并鼓励创建新业务，从而发掘数据的“巨大”社会和公共价值。

美高梅酒店遭数据泄漏

超过 1.42 亿用户信息在暗网上出售

近日，暗网上一则广告引发人们的关注，有卖家称能够提供近两亿名美高梅酒店用户的详细资料，价格仅为2900多美元。据称，这些信息包括名人和政府雇员的数据，包括姓名、地址、电子邮件、电话号码和出生日期。

美高梅表示，财务信息、身份证或社会安全号码以及酒店住宿细节都不在此次漏洞之列。ZDNet联系了一些过去的酒店客人，确认名单的准确性。

美高梅称这些信息来自于去年该酒店的一次数据泄露，当时一名黑客未经授权访问了一个米高梅的云端服务器，这个服务器包含了以往客人的信息。该连锁店表示，已经按照国家法律的要求，通知了所有受影响的人。发布广告的人声称，这些数据实际上来自于数据泄露监测服务DataViper最近的一次攻击，但该公司否认拥有完整的美高梅数据库，并表示黑客试图破坏该公司的声誉。

米高梅表示，它一直都知道有多少客人的数据在此次泄密事件中被泄露，但法律上并没有要求它透露这个数字。美高梅国际酒店集团知道去年夏天之前报道的这起事件影响范围，并且已经处理了这一情况。

研究发现平均70.91美元就能在暗网买到他人银行账户

据Digital Shadows网络安全研究人员称，包括银行账户和网络管理员账户在内的逾150亿条各类账户信息在暗网上“待价而沽”，其中有些信息甚至可供免费访问。许多账户被多次分享，表明用户不知道自己的账户已遭到攻击。即使信息存在重复，在暗网上“待价而沽”的“独立”账户超过50亿个。

Digital Shadows表示，售价最高的是机构的系统管理员账户信息，其中价格最高可以达到12万美元，这类账户信息的平均售价为3139美元。不过，获取这类账户信息的犯罪分子，通常会对被攻击的组织“狮子大开口”，所以他们认为这样的价格“物有所值”。

在消费类账户信息中，银行账户信息价格最高，平均为70.91美元（约合人民币500元）。利用这类信息，犯罪分子通常可以窃取用户银行账户中的钱财，甚至能申领信用卡、申请贷款。

令人颇感意外的是，价格第二高的消费类账户信息是杀毒软件账户，平均价格为21.67美元——远低于正常的杀毒软件年费。流媒体服务、VPN、文件共享和社交媒体账户信息的价格都不足10美元。

研究人员称，暗网上出现大量账户信息的原因，是人们采用了低强度的密码，这样的密码很容易遭到暴力破解工具破解。

亚马逊称通知员工从移动设备卸载TikTok的邮件属于误发

当地时间上周五，纽约时报报道称，亚马逊以安全风险为由要求员工将TikTok从他们的移动设备上删除。据报道，亚马逊在上周五早上给员工的第一封电子邮件中表示：“由于安全隐患，不再允许在访问亚马逊电子邮件的移动设备上使用TikTok应用程序。

“如果您的设备上装有TikTok，则必须在7月10日之前将其删除，以保留对Amazon电子邮件的移动访问权限。目前，允许通过您的Amazon笔记本电脑浏览器使用TikTok。”

纽时记者Taylor Lorenz在推特上公布了这封电子邮件的截图。

然而反转来了，据报道，当地时间7月11日，亚马逊的一位发言人表示，电子邮件“发错了”。亚马逊发言人说：“此前给员工的电子邮件是错误的，亚马逊给现在对TikTok的政策没有改变。”

据报道，近期，由于iOS 14中的一项新功能，TikTok被发现在后台运行时访问用户剪贴板数据，从而可能暴露密码或其他敏感数据，目前尚不清楚该行为已存在于应用程序中多久。

当地时间7月7日，美国副总统彭斯表示，因国家安全和数据隐私问题，美国将继续对TikTok等公司采取“强硬立场”。

而在前一日，美国国务卿迈克·庞培告诉福克斯新闻社 ，特朗普政府正考虑采取行动禁用TikTok等社交媒体应用。他还称，美国民众对于使用TikTok应提高警觉，不过他并没有说明美国具体将采取何种措施。

警方正在购买黑客窃取数据的访问权，以从中搜集调查线索

Motherboard网站报道，一些公司正在向政府机构出售从网站上窃取数据的访问权限，希望它能产生调查线索，数据包括密码、电子邮件地址、IP地址等。一家名为SpyCloud的公司向潜在客户展示的幻灯片显示，该公司声称授权世界各地执法机构和企业调查人员更快速有效地将恶意行为者绳之以法。

该幻灯片是由一位担心执法机构购买黑客数据访问权的消息人士分享的。SpyCloud向Motherboard证实了这些幻灯片的真实性。SpyCloud的联合创始人兼首席产品官Dave Endler在电话中告诉Motherboard ：”我们正在将犯罪分子数据与他们对立起来，我们正在赋予执法部门这样做的权力。”

曝光的幻灯片展现了被泄露数据的一种新用途，并表明通常与商业部门相关的数据也可以被执法部门重新利用。但这也引发了执法机构是否应该利用原本被黑客窃取信息的问题。

通过购买SpyCloud的产品，执法部门也将获得与任何犯罪无关人的黑客数据，绝大多数受数据泄露影响的人都不是罪犯。令人不安的是，执法部门可以简单地买到大量的账户信息，甚至是密码，而无需获得任何法律程序。