Channel: 隐私中国
WPS 想用用户文档“喂”AI
近日,许多网友发现在登录 WPS 选择同意隐私协议时,发现WPS 隐私政策中 4.2.1 第 4 小项难以接受。WPS 隐私协议提出,为提升您使用我们提供的包括但不限于在线文档美化、在线 PPT 美化、在线表格美化的 AI 功能的准确性,我们将对您主动上传的文档材料,在采取脱敏处理后作为 AI 训练的基础材料使用,同时请您放心,我们将采取严格的安全措施和技术手段对该资料进行去标识化处理,以降低其他组织或个人通过去标识化处理后的个人信息识别到您的风险、保护您的个人信息。
目前,WPS已将该项隐私政策条款删除,并在末尾备注相关信息。
但是,WPS 的隐私政策还是引起了网友的广泛讨论,不少人表示担心自己的文档信息被拿去给 AI 训练。即使隐私条款中明确指出会“采用严格的手段去标识,脱敏”,但依旧无法打消网友的顾虑。此外,部分网友表示自己上传的文件应当享有“版权”,平白无故被拿走作为 AI 训练文档是否涉及侵权等问题。
这其实也是当下 AI 大模型飞速发展过程中面临的潜在安全风险。数据问题是模型安全的源头,虽然现在AI 大模型厂商会采取一系列措施来对数据进行处理,包括对训练数据做一些清洗,对输入输出内容做过滤,以及监测和鉴别等安全防控措施。但是AI大模型依旧面临严峻的数据安全,隐私保护,以及知识产权保护等问题,如何区分 AI 大模型语料和用户隐私的边界至关重要。
近日,许多网友发现在登录 WPS 选择同意隐私协议时,发现WPS 隐私政策中 4.2.1 第 4 小项难以接受。WPS 隐私协议提出,为提升您使用我们提供的包括但不限于在线文档美化、在线 PPT 美化、在线表格美化的 AI 功能的准确性,我们将对您主动上传的文档材料,在采取脱敏处理后作为 AI 训练的基础材料使用,同时请您放心,我们将采取严格的安全措施和技术手段对该资料进行去标识化处理,以降低其他组织或个人通过去标识化处理后的个人信息识别到您的风险、保护您的个人信息。
目前,WPS已将该项隐私政策条款删除,并在末尾备注相关信息。
但是,WPS 的隐私政策还是引起了网友的广泛讨论,不少人表示担心自己的文档信息被拿去给 AI 训练。即使隐私条款中明确指出会“采用严格的手段去标识,脱敏”,但依旧无法打消网友的顾虑。此外,部分网友表示自己上传的文件应当享有“版权”,平白无故被拿走作为 AI 训练文档是否涉及侵权等问题。
这其实也是当下 AI 大模型飞速发展过程中面临的潜在安全风险。数据问题是模型安全的源头,虽然现在AI 大模型厂商会采取一系列措施来对数据进行处理,包括对训练数据做一些清洗,对输入输出内容做过滤,以及监测和鉴别等安全防控措施。但是AI大模型依旧面临严峻的数据安全,隐私保护,以及知识产权保护等问题,如何区分 AI 大模型语料和用户隐私的边界至关重要。
河南联通被曝强迫用户更换光猫,后台断网、停账号
近日河南电视台都市频道节目揭露了河南周口联通存在的一种恶劣行为:为了强迫用户更换光猫,联通公司在后台停掉用户的宽带账号,导致用户无法上网,然后让工程师上门“维修”,谎称光猫损坏,需要花 299 元换新。更换完后,联通再在后台恢复用户的网络。
据节目报道,联通公司不仅对老用户进行这种强制更换光猫的行为,还会在给新用户装机的时候,故意使用破旧光猫,也就是之前强迫用户换新留下的,而在过一段时间之后,又会告诉用户使用的是旧光猫无法匹配,必须换新。
反诈路由器加速安排😁
近日河南电视台都市频道节目揭露了河南周口联通存在的一种恶劣行为:为了强迫用户更换光猫,联通公司在后台停掉用户的宽带账号,导致用户无法上网,然后让工程师上门“维修”,谎称光猫损坏,需要花 299 元换新。更换完后,联通再在后台恢复用户的网络。
据节目报道,联通公司不仅对老用户进行这种强制更换光猫的行为,还会在给新用户装机的时候,故意使用破旧光猫,也就是之前强迫用户换新留下的,而在过一段时间之后,又会告诉用户使用的是旧光猫无法匹配,必须换新。
反诈路由器加速安排😁
四川公安机关侦破陈某某犯罪团伙侮辱他人案
四川公安机关网安部门工作查明,犯罪嫌疑人陈某某、马某某、陆某某、曾某等人利用黑客手段获取大量公民个人信息,在网上接受他人雇佣后,采取曝光隐私信息、电话短信“轰炸”、冒名填写器官捐赠信息、发送虚假内容举报信、线下邮寄花圈纸钱、制作发布丑化图片等手段对受害人实施网络暴力,逼迫受害人拍摄道歉视频或书写道歉信,造成多名未成年受害人不同程度患上抑郁,甚至产生自杀倾向。目前,陈某某、马某某、陆某某、曾某等人已被公安机关依法采取刑事强制措施,案件正在进一步侦办中。
有没有人知道这个案子的相关信息,例如他们曾经在哪个平台,或者他们在活跃的平台的账户id叫什么,再或者他们是哪个圈子的
四川公安机关网安部门工作查明,犯罪嫌疑人陈某某、马某某、陆某某、曾某等人利用黑客手段获取大量公民个人信息,在网上接受他人雇佣后,采取曝光隐私信息、电话短信“轰炸”、冒名填写器官捐赠信息、发送虚假内容举报信、线下邮寄花圈纸钱、制作发布丑化图片等手段对受害人实施网络暴力,逼迫受害人拍摄道歉视频或书写道歉信,造成多名未成年受害人不同程度患上抑郁,甚至产生自杀倾向。目前,陈某某、马某某、陆某某、曾某等人已被公安机关依法采取刑事强制措施,案件正在进一步侦办中。
有没有人知道这个案子的相关信息,例如他们曾经在哪个平台,或者他们在活跃的平台的账户id叫什么,再或者他们是哪个圈子的
卡巴斯基最新关于苹果iOS 0day漏洞三角行动的表述中,明确指出为了绕过这种基于硬件的安全保护,攻击者使用了苹果公司设计的SoC的另一个硬件功能。
攻击者能够将数据写入某个物理地址,同时通过写入数据、目标地址、以及将数据散列到固件未使用的芯片的未知硬件寄存器。
卡巴斯基猜测是,这个未知的硬件功能很可能是苹果工程师或工厂用于调试或测试目的,或者是被错误地包含在内。由于固件未使用此功能,因此不知道攻击者如何知道如何使用它。
从这也侧面证明了,苹果手机存在后门,至于是谁让他们设置的后门就不得而知了
https://mp.weixin.qq.com/s/aA-reigEEeCSCWDoD7nOcQ
攻击者能够将数据写入某个物理地址,同时通过写入数据、目标地址、以及将数据散列到固件未使用的芯片的未知硬件寄存器。
卡巴斯基猜测是,这个未知的硬件功能很可能是苹果工程师或工厂用于调试或测试目的,或者是被错误地包含在内。由于固件未使用此功能,因此不知道攻击者如何知道如何使用它。
从这也侧面证明了,苹果手机存在后门,至于是谁让他们设置的后门就不得而知了
https://mp.weixin.qq.com/s/aA-reigEEeCSCWDoD7nOcQ
Weixin Official Accounts Platform
巅峰对抗:卡巴斯基曝光疑遭NSA利用的苹果处理器“神秘后门”
苹果处理器“后门”机制遭滥用
1月8日,北京市司法局官方微信公众号京司观澜发布文章称,针对地铁上使用Airdrop功能传播投送非法内容,北京一家司法鉴定所称他们破解了Airdrop传输原理中手机号和邮箱的加密字段,从而可以快速从被发送者的手机上提取锁定Airdrop发送者的手机号和邮箱,并成功帮助公安机关确定多名犯罪嫌疑人。
2022年10月四通桥事件发生期间,曾发生过多地民众在地铁上通过Airdrop接力转发四通桥标语的事件。
2022年11月,苹果率先在中国区开始对Airdrop进行限制,用户无法设置对所有人长期开启,每次打开最长时间为10分钟,随后会自动关闭。
2022年10月四通桥事件发生期间,曾发生过多地民众在地铁上通过Airdrop接力转发四通桥标语的事件。
2022年11月,苹果率先在中国区开始对Airdrop进行限制,用户无法设置对所有人长期开启,每次打开最长时间为10分钟,随后会自动关闭。
苹果芯片被曝安全漏洞:能缓解但需牺牲性能
3月22日消息,据媒体报道,研究人员在最新发表的论文中披露,苹果M系列芯片中存在一个新发现的安全漏洞。
据悉,这个漏洞源于一种名为数据内存依赖预取器(DMP)的硬件优化功能,它通过预测即将访问的内存地址来提高处理器效率。
然而,DMP有时会错误地将密钥等敏感数据内容与内存地址指针混淆,导致攻击者可以通过“解引用”操作泄露信息。
攻击者无法直接获取加密密钥,但可以通过操纵加密算法中的中间数据,使其在特定输入下看起来像是地址,从而利用DMP的这一特性来间接泄露密钥信息。
由于该漏洞深植于Apple Silicon芯片的核心部分,无法通过直接修补芯片来解决。为了减轻这一影响,只能依赖在第三方加密软件中增加防御措施。
然而,苹果在实施任何缓解措施时都需权衡性能与安全性。因为这些措施可能会增加芯片执行操作的工作量,导致M系列芯片在执行加密操作时性能明显下降,特别是在M1和M2系列上表现更为显著。
3月22日消息,据媒体报道,研究人员在最新发表的论文中披露,苹果M系列芯片中存在一个新发现的安全漏洞。
据悉,这个漏洞源于一种名为数据内存依赖预取器(DMP)的硬件优化功能,它通过预测即将访问的内存地址来提高处理器效率。
然而,DMP有时会错误地将密钥等敏感数据内容与内存地址指针混淆,导致攻击者可以通过“解引用”操作泄露信息。
攻击者无法直接获取加密密钥,但可以通过操纵加密算法中的中间数据,使其在特定输入下看起来像是地址,从而利用DMP的这一特性来间接泄露密钥信息。
由于该漏洞深植于Apple Silicon芯片的核心部分,无法通过直接修补芯片来解决。为了减轻这一影响,只能依赖在第三方加密软件中增加防御措施。
然而,苹果在实施任何缓解措施时都需权衡性能与安全性。因为这些措施可能会增加芯片执行操作的工作量,导致M系列芯片在执行加密操作时性能明显下降,特别是在M1和M2系列上表现更为显著。
iOS 17不再绝对安全,GrayKey设备现可解锁iPhone 15 PIXEL 7 Samsung Galaxy S24等设备
https://www.imore.com/ios/ios-17/law-enforcements-graykey-iphone-unlocking-devices-now-support-ios-17-and-the-iphone-15-for-the-first-time?utm_source=dlvr.it&utm_medium=twitter
https://www.imore.com/ios/ios-17/law-enforcements-graykey-iphone-unlocking-devices-now-support-ios-17-and-the-iphone-15-for-the-first-time?utm_source=dlvr.it&utm_medium=twitter
iMore
Law enforcement's GrayKey iPhone unlocking devices now support iOS 17 and the iPhone 15 for the first time
Nobody's safe.
Forwarded from The Stryker Project
Turn off automatic media downloading now! Code execution starts after image/video downloading, automatically
No patch available yet.
Update 1: Originally a warning will popup "exe file can be harmful..", without user confirmation nothing will happen (at least as we know)
Please open Telegram to view this post
VIEW IN TELEGRAM
戴尔泄露4900万用户购物数据:疑涉及大量中国用户
泄露数据包括姓名、收件地址、订单信息等,不涉及联络方式或支付信息,但仍可用作针对用户的钓鱼攻击;
数据售卖者称,该数据库中用户归属最多的国家依次为美国、中国、印度等,目前尚未发现戴尔针对国内用户的响应动作。
据外媒Daily Dark Web最先报道,名为Menelik的威胁行为者,于4月28日试图在Breach Forums黑客论坛上出售戴尔数据库。
威胁行为者表示,他们从这家计算机制造商那里窃取了“4900万客户以及在2017年至2024年间购买的其他信息系统”的数据。
目前尚无法确认这些数据是否就是戴尔披露的数据,但是它与数据泄露通知中列出的信息相匹配。
Breach Forum的数据售卖帖子已被删除,这可能表明已经有人购买了数据库。
泄露数据包括姓名、收件地址、订单信息等,不涉及联络方式或支付信息,但仍可用作针对用户的钓鱼攻击;
数据售卖者称,该数据库中用户归属最多的国家依次为美国、中国、印度等,目前尚未发现戴尔针对国内用户的响应动作。
据外媒Daily Dark Web最先报道,名为Menelik的威胁行为者,于4月28日试图在Breach Forums黑客论坛上出售戴尔数据库。
威胁行为者表示,他们从这家计算机制造商那里窃取了“4900万客户以及在2017年至2024年间购买的其他信息系统”的数据。
目前尚无法确认这些数据是否就是戴尔披露的数据,但是它与数据泄露通知中列出的信息相匹配。
Breach Forum的数据售卖帖子已被删除,这可能表明已经有人购买了数据库。
隐私中国
戴尔泄露4900万用户购物数据:疑涉及大量中国用户 泄露数据包括姓名、收件地址、订单信息等,不涉及联络方式或支付信息,但仍可用作针对用户的钓鱼攻击; 数据售卖者称,该数据库中用户归属最多的国家依次为美国、中国、印度等,目前尚未发现戴尔针对国内用户的响应动作。 据外媒Daily Dark Web最先报道,名为Menelik的威胁行为者,于4月28日试图在Breach Forums黑客论坛上出售戴尔数据库。 威胁行为者表示,他们从这家计算机制造商那里窃取了“4900万客户以及在2017年至2024年间购买的其他信息系统”的数据。…
黑客透露其伪造账户和花费超过20天抓取戴尔客户数据都没被发现
上周戴尔证实其门户网站数据遭到黑客窃取,戴尔称泄露的主要包括客户真实姓名、地址、订单信息等,不包含客户的财务信息、电子邮件地址和手机号码等。
现在来看戴尔并不是数据库被拖库,因为黑客使用了一种意想不到的方式获取这些数据的,不得不说戴尔安全团队这也是草台班子,黑客花费超过 20 天抓取数据竟然都没有检测出来
这名黑客在特定的戴尔门户网站以多个不同的企业名称注册戴尔合作伙伴,这类合作伙伴是转售戴尔产品或服务的公司,黑客提交的这些申请都获得了戴尔的批准。
接着黑客使用这些虚假的合作伙伴账户强行使用客户服务标签拼凑随机数据并发起请求(类似于某种意义上的遍历),客户服务标签是戴尔为客户生成的一组不重复的、由数字和字母组成的 7 位数字符串。
戴尔批准给合作伙伴的权限就包括通过客户服务标签获取客户的私密信息,也就是姓名、地址、订单、产品或服务这类,这种应该是戴尔就这么设计的而不是漏洞。
黑客使用多个不同的账户、以每分钟 5000 次请求的频率向包含客户敏感信息的页面获取数据,这种工作持续时间超过 20 天,累计发起的请求数超过 5000 万次。
在黑客执行操作的过程中戴尔安全团队确实注意到了一些事情但似乎没有处理,直到黑客认为自己获取到足够多的数据之后停止了操作,并向戴尔发送了多个电子邮件通知该漏洞。
最终戴尔在收到黑客通报后花了一周时间将漏洞修复,不过此时黑客已经获得足够多的数据,足以威胁戴尔或将数据售出变现。
不过戴尔方面稍微有些异议,戴尔称在收到黑客电子邮件之前已经注意到了威胁并开始修复,这与黑客所说的戴尔收到通知后才开始修复略有不同。
应该算作社会工程学攻击:
从上面黑客的叙述来看,这次攻击可能都要算作是社会工程学攻击,包括利用不同的身份注册虚假合作伙伴账户并获得戴尔批准。
在实际操作过程中几乎没有利用戴尔 IT 基础架构中存在的漏洞,这种允许高频次发起请求并获得数据最多算是戴尔的安全配置薄弱,严格意义上看不算是漏洞。
戴尔可能一开始设计系统时也没想到还有人通过随机生成服务标签来获取数据,但问题在于,戴尔的合作伙伴似乎不需要额外批准就可以通过标签获得客户私密数据。
所以整个攻击暴露的是戴尔 IT 基础设施中存在的不少薄弱环节,这些都是在系统设计之初人为造成的,戴尔始终没有注意到这些问题最终酿成大祸。
上周戴尔证实其门户网站数据遭到黑客窃取,戴尔称泄露的主要包括客户真实姓名、地址、订单信息等,不包含客户的财务信息、电子邮件地址和手机号码等。
现在来看戴尔并不是数据库被拖库,因为黑客使用了一种意想不到的方式获取这些数据的,不得不说戴尔安全团队这也是草台班子,黑客花费超过 20 天抓取数据竟然都没有检测出来
这名黑客在特定的戴尔门户网站以多个不同的企业名称注册戴尔合作伙伴,这类合作伙伴是转售戴尔产品或服务的公司,黑客提交的这些申请都获得了戴尔的批准。
接着黑客使用这些虚假的合作伙伴账户强行使用客户服务标签拼凑随机数据并发起请求(类似于某种意义上的遍历),客户服务标签是戴尔为客户生成的一组不重复的、由数字和字母组成的 7 位数字符串。
戴尔批准给合作伙伴的权限就包括通过客户服务标签获取客户的私密信息,也就是姓名、地址、订单、产品或服务这类,这种应该是戴尔就这么设计的而不是漏洞。
黑客使用多个不同的账户、以每分钟 5000 次请求的频率向包含客户敏感信息的页面获取数据,这种工作持续时间超过 20 天,累计发起的请求数超过 5000 万次。
在黑客执行操作的过程中戴尔安全团队确实注意到了一些事情但似乎没有处理,直到黑客认为自己获取到足够多的数据之后停止了操作,并向戴尔发送了多个电子邮件通知该漏洞。
最终戴尔在收到黑客通报后花了一周时间将漏洞修复,不过此时黑客已经获得足够多的数据,足以威胁戴尔或将数据售出变现。
不过戴尔方面稍微有些异议,戴尔称在收到黑客电子邮件之前已经注意到了威胁并开始修复,这与黑客所说的戴尔收到通知后才开始修复略有不同。
应该算作社会工程学攻击:
从上面黑客的叙述来看,这次攻击可能都要算作是社会工程学攻击,包括利用不同的身份注册虚假合作伙伴账户并获得戴尔批准。
在实际操作过程中几乎没有利用戴尔 IT 基础架构中存在的漏洞,这种允许高频次发起请求并获得数据最多算是戴尔的安全配置薄弱,严格意义上看不算是漏洞。
戴尔可能一开始设计系统时也没想到还有人通过随机生成服务标签来获取数据,但问题在于,戴尔的合作伙伴似乎不需要额外批准就可以通过标签获得客户私密数据。
所以整个攻击暴露的是戴尔 IT 基础设施中存在的不少薄弱环节,这些都是在系统设计之初人为造成的,戴尔始终没有注意到这些问题最终酿成大祸。
HTML Embed Code: