2013年2月26日

Google:挾持帳號成為寄送垃圾郵件的新手法

Google安全工程師Mike Hearn表示,對抗Google垃圾郵件過濾機制的方法之一,是以使用者通訊錄中的友人帳號來發送郵件,這也讓駭客開始藉由挾持使用者帳號來寄送垃圾郵件。每天都有網路罪犯入侵各種網站來竊取資料庫中的使用者名稱與密碼,然後到黑市兜售,由於許多人在不同的網站使用同樣的帳密,代表只要竊取一組就能應用於其他網站服務。

不過,Hearn解釋Google不僅僅是確認使用者輸入的密碼,當使用者登入Google時,系統即會進行風險分析,以確定登入的是使用者本人,假設該登入很可疑,系統就可能會詢問使用者的電話號碼或安全問題,在2011年挾持帳號的高峰期時,Google減少了99.7%的帳號挾持比例。

即使有安全機制的保障,Google仍然建議用戶使用更複雜的密碼,同時升級到必須額外自手機接受認證碼才能登入的雙步驟驗證,並且更新帳號回復資訊,以改善使用者的安全與隱私。

http://www.ithome.com.tw/itadm/article.php?c=78845

律師:Nokia百萬個資外洩案已可提告求償,恐成個資團訟首例



-達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。

依據個資法28條規定,單一事件中每人可求償金額從50020,000元不等,以Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額2億元的上限。

雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由Nokia負責,民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

不能只在網站發表聲明,企業需主動通知受害當事人

根據個資法施行細則第22條規定,Nokia必須採取當事人能夠知道的方式來通知民眾,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。但是,葉奇鑫認為Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的告知義務。

http://www.ithome.com.tw/itadm/article.php?c=78926

2013年2月21日

Firefox 19正式釋出,內建PDF閱讀功能

Firefox 19正式釋出,內建PDF閱讀功能

Mozilla基金會於周二(2/19)正式釋出Firefox 19,支援系統涵蓋WindowsOS XLinuxAndroid。新版本首度正式內建PDF檔案閱讀功能,Android版本則開始提供正體與簡體中文支援,並降低對行動裝置的硬體要求,可使用的裝置數量大幅提高。

Firefox 19使用PDF.js這個JavaScript程式開啟PDF檔案,讓使用者不用安裝Adobe Acrobat/Reader即可開啟PDF檔案,也可降低因Acrobat/Reader漏洞引發的問題。PDF.js是從2011年開始研發,當年GoogleAdobe合作推出Chrome瀏覽器內建PDF瀏覽功能。

Mozilla承認PDF.js並非完全安全,與ChromePDF瀏覽功能或Adobe Reader相比,Firefox缺乏沙箱保護技術,但Mozilla認為第三方外掛程式的安全性可能不如Mozilla內建的功能。

Mozilla在此版Firefox還修補了13個漏洞,其中有十個屬於重大漏洞。依照Mozilla的規劃,下一個版本Firefox 20應於4/2成為正式版本。

http://www.ithome.com.tw/itadm/article.php?c=78849

蘋果也遭遇和Facebook一樣的駭客攻擊

蘋果也遭遇和Facebook一樣的駭客攻擊

Facebook日前證實該站系統成為駭客攻擊的目標,Facebook員工造訪了已被駭客入侵的行動開發人員論壇,結果因瀏覽器上的Java漏洞感染了惡意程式,駭客並嘗試存取Facebook的內部系統。Facebook的調查顯示,有其他公司也成為攻擊目標。

而蘋果的遭遇如出一轍,有部份員工的Mac電腦因瀏覽器的Java外掛程式而感染了惡意程式,蘋果已隔離這些電腦,並表示無證據顯示駭客竊取了蘋果的資料。此外,蘋果也說攻擊該公司的與攻擊Facebook的駭客是同一批人。

Facebook與蘋果並未指明有哪些或多少公司受到攻擊,但根據彭博社的報導,至少有40家業者受到波及,包含Facebook、蘋果與Twitter,首腦是來自東歐的駭客集團,目的為竊取公司機密。


http://www.ithome.com.tw/itadm/article.php?c=78843

Google創造出一個利用YouTube進行學習的電腦

>過去的識別系統,往往是先由研究人員設定好事物的定義,才讓電腦有所依循,進行分辨,達到「識別」的目的。


>這次Google X的研究則相反,研究人員並不會在電腦中加入定義等資料,反而是隨機挑選YouTube裡的1000萬張圖片,將其輸入電腦,讓電腦從中尋找不斷出現的特徵,透過這段過程,電腦即可自行「學習」到,貓咪長什麼樣子、人類的身體特徵等知識。

>Google的神秘實驗室Google X繼開發Google眼鏡及自動駕駛汽車外,又有新花招。《紐約時報》的報導指出,Google X自數年前即開始研究模擬人工智慧的系統,Google的科學家們利用16000個電腦的中央處理器(CPU),創造出一個可以利用YouTube進行學習的電腦,目前這個系統已經可以自己辨認出貓咪,潛力驚人。

2013年2月18日

Google將進軍Google直營體驗店?

Google目前已經在英美地區和部分零售商(如Bestbuy、Dixen)合作建置Chrome筆電體驗店,直接向消費者介紹Chrome筆電,以增加和消費者的直接接觸。但隨著Google對硬體開發的投入持續增加,尤其是針對Google眼鏡這類新型態商品的推出,Google必須提供使用者更多可直接體驗的機會,也難怪Google決定必須投入自家體驗店的建置。

2013年2月6日

Google與法國出版商和解,出資6000萬歐元設立媒體基金會

Google與法國出版商和解,出資6000萬歐元設立媒體基金會

Google與法國總統Francois Hollande上周共同宣布將由Google出資6000萬歐元成立數位出版創新基金(Digital Publishing Innovation Fund)協助當地媒體轉型至數位出版,並同意與當地媒體合作以改善其網路營收。

由於Hollande曾威脅要立法來徵收新聞連結稅,因此外界將Google此一決定視為與法國政府的妥協。

包括德國、比利時與法國等媒體皆曾抗議Google News摘錄他們的新聞,並因而降低新聞網站流量與廣告營收,德國議院曾於去年底提出一項法案,要求搜尋引擎提供新聞或內容連結時,必須事先徵求出版商的同意或付費提供連結。

比利時新聞媒體則是在2006年控告Google News提供新聞摘要涉嫌侵犯著作權,當地法院初審判決Google敗訴,Google於是在去年底與當地新聞媒體和解,承諾將秉持互惠原則,透過AdWords把流量導至新聞網站,同時這些網路媒體也將陳列Google廣告。

這些國家的媒體基本上認為Google免費使用他們的新聞內容摘要來獲取利潤,卻沒有與他們共享這些利潤是不合理的行為,Google與比利時及法國的協議可望成為未來類似爭議的重要參考先例。

http://www.ithome.com.tw/itadm/article.php?c=78697

FTC建議行動業者 加強保護個資

FTC建議行動業者加強保護個資   

美國越來越多消費者攜帶時時連網的行動裝置,FTC的建議凸顯主管機關越漸關注使用者的個人隱私議題。

     主管機關建議的事項之一,便是希望行動產業追蹤使用者的定位和取得手機內的其他個人資料之前,需要先得到使用者的同意。此外,應用程式開發商應該考慮以圖像代表所蒐集的資料種類,而非使用fine print

     FTC建議行動產業加強保護用戶隱私,可能影響谷歌、微軟、蘋果和亞馬遜等大型科技業者,以及規模較小的應用程式開發商。

     許多業者早已自行採納主管機關的部分建議,不過過去也有應用程式開發商侵犯用戶隱私,遭主管機關裁罰的案例。

     應用程式開發聯盟主席波特(Jon Potter)表示,「很高興FTC能和我們站在同一陣線,支持發給用戶簡單且簡短的通知,有效與用戶溝通,應用程式蒐集了什麼資料,以及業者與誰分享這些資料?」

http://news.chinatimes.com/world/11050401/122013020500163.html

甲骨文提前進行Java SE重大更新,修補50個漏洞

甲骨文表示,Java SECPU原本預訂於今年219日才釋出,但由於其中一個漏洞已經受到利用,影響了桌面瀏覽器的JRERuntime Environment),因此決定提前進行更新。

此一更新程式修補了Java SE中的50個安全漏洞,其中有49個可能在未經授權的情況下被遠端攻擊,例如不需使用名稱或密碼即可入侵網路,此一更新影響了JDK/JRE 7 Update 11與先前的版本、JDK/JRE 6.0 Update 38JDK/JRE 5.0 Update 38與先前的版本、SDK/JRE 1.4.2_40與先前的版本,JavaFX 2.2.4與先前的版本。

甲骨文軟體安全總監Eric Maurice則說明,在這50個安全漏洞中,有44個只影響瀏覽器中的Java部署,換句話說,這些漏洞只會透過Java Web Start程式或Java applet影響使用者的桌面。

Maurice亦強調,JRE在桌面瀏覽器上的普及,再加上瀏覽器上的JavaOS是各自獨立的,才讓Java成為駭客覬觎的目標。為了避免Java applet任意直接執行,甲骨文也把Java預設的安全等級提升到「高」(high),以允許瀏覽器用戶能在執行Java applet之前進行確認。

在甲骨文發表了Java SE的重大修補更新後,蘋果也隨之釋出OS XJava更新,表示最新的Java版本已解決了先前外掛程式的安全問題。

http://www.ithome.com.tw/itadm/article.php?c=78709

美國能源部遭駭,員工資料外洩

美國能源部遭駭,員工資料外洩

美國能源部(US Department of Energy)上周寄出一封內部郵件,表示該部門在今年1月中被駭客入侵,員工與約聘人員的個人資料外洩,但並無其他機密資料遭竊。

根據該郵件,能源部已確定此一攻擊是鎖定總部的網路,並導致數百名員工與約聘人員的個資外洩,已通知受影響的員工,同時協助這些員工避免受到進一步的身份竊盜。此外,能源部也加強網路的監測及部署更多的防禦工具來保護該部門的機密資產。

目前能源部尚未確認受損範圍,但該部門的網路安全團隊、安全辦公室及聯邦執法機構合作展開調查。

近來包括紐約時報、華爾街日報與華盛頓郵報,以及Twitter皆傳出遭來自中國駭客入侵的情事,而能源部則未說明此一攻擊事件的來源。

http://www.ithome.com.tw/itadm/article.php?c=78708

搜尋

標籤

總網頁瀏覽量