网信办查处网易云音乐等在内的173 款违法违规 App;LastPass 安全事件持续发酵,破解常规主密码只需 100 美元;

VSole2023-01-05 09:09:29

浙江网信办查处 173 款违法违规 App

IT之家 12 月 30 日消息,据“网信浙江”微信公众号 28 日消息,近期,浙江省网信办依据《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“诺言”等 173 款违法违规 App。

经查,173 款 App 存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题,依法责令限期 50 日完成整改,逾期未完成整改的,依法予以下架处置。

IT之家注意到,违法违规 App 名单包括有赞精选、网易邮箱、顺风车、叮嗒出行、同花顺投资账本、企鹅共享、网易严选、网易云音乐、LOOK 直播、有货、网易帐号管家、杭州地铁、方太幸福家等。

责令限期整改 App 名单:

依据《个人信息保护法》《App 违法违规收集使用个人信息行为认定方法》等法律法规规定,173 款 App 存在个人信息保护相关违法违规行为,责令限期整改。

LastPass 安全事件持续发酵,

破解常规主密码只需 100 美元

IT之家 12 月 30 日消息,LastPass 今年 11 月发生的安全事件持续发酵。继安全专家对官方公告提出 14 点疑问之后,友商 1Password 也加入拆台行列。

在 LastPass 公告中表示破解用户主密码需要数百万年时间,此前安全专家质疑表示破解常规用户主密码只需要 2 个月时间。而现在友商 1Password 再次拆台,表示破解常规主密码只需要 100 美元(约 698 元人民币)。

1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中表示,LastPass 公告所提及的内容大幅夸大了破解难度,而如果真的想要破解常规 LastPass 客户的主密码,成本只需要 100 美元(约 698 元人民币)左右。

IT之家了解到,Goldberg 支撑这个观点的理由是大多数用户的现实生活中的主密码不是随机的,对于密码破解者来说他们也知道这一点。如果破解只是英文和数字的密码(例如 Fido8my2Sox)要明显简单很多,而如果破解“2b||!2b.titq”、“zm-@MvY7*7eL”自然需要很久。但是普通用户不会使用这样复杂、难以记忆的密码作为主密码。

他说,大多数密码只需不到 100 亿次猜测就可以破解,而且只需大约 100 美元(约 698 元人民币)即可破解。

更详细内容可以访问:《Not in a million years: It can take far less to crack a LastPass password》

软件lastpass
本作品采用《CC 协议》,转载必须注明作者和本文链接
11月30日,当大部分用户已经忘掉这件事后,LastPass却再次爆出数据泄露事件。目前, LastPass已经确认,此次黑客能够顺利侵入服务器,是因为TA利用了在今年8月被窃取的源代码和专有信息,并借此获得了对数据的访问权限。随后LastPass发布了一份声明,指出其安全团队观察到并收到了潜在的未知攻击者撞库尝试的报告。研究人员称,即使LastPass允许用户选择自行关闭这些追踪器,但其依然可能会给用户带来安全风险。
攻击事件发生后,LastPass聘请了网络安全和取证公司进行处理,采取了相应的缓解措施,降低事件带来的影响。LastPass发布安全公告2022年8月25日,LastPass就此次攻击问题,发布了一份安全公告。LastPass在安全公告中表示,没有任何证据表明客户数据或加密的密码库遭到破坏,但承认部分源代码和LastPass 专有的技术信息已经被攻击者窃取。
LastPass 的严重安全事故本可可以避免。攻击者利用了该公司一高级工程师家用电脑上安装的 Plex 软件的一个已知漏洞,而该漏洞早在 2020 年 5 月 7 日就修复了,但不知道出于什么原因,这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员 Plex 账号的人通过 Camera Upload 功能上传恶意文件,利用服务器数据目录位置与 Camera Upload 允许上传的库重叠,让 Plex 媒体服务器执行该恶意文件。
外媒报道称,俄罗斯市长的办公室和法院遭到了一种新的加密病毒的攻击。
想象一下:这是一个普通的在家办公的日子,但你没有意识到黑客坐在某个地下室里,当他们收到你在键盘上敲击的每一个按键时,他们高兴地搓着手。在您意识到之前,他们已经访问了您公司的数据并造成了大规模的数据泄露!但等等,情况会变得更糟。您发现,如果您只需更新笔记本电脑的软件,就可以防止违规行为。谈论工作中糟糕的一天!不幸的是,对于 LastPass 及其用户来说,这个噩梦在 2022 年 8 月成为现实,当
提供密码管理服务的 LastPass 更新了去年发生的严重安全事故的最新调查结果:它的一名高级工程师的家用电脑遭到黑客入侵,而这名员工拥有企业密码库的访问权限。LastPass 称,8 月 12 日到 26 日之间,未知黑客窃取到了一名高级 DevOps 工程师的有效凭证。该工程师是 LastPass 四名能访问企业密码库的工程师之一。在进入企业密码库之后,黑客导出了所有条目,其中包括 AWS S3 LastPass 产品备份的密钥。
据安全内参了解,“二次协同攻击”事件,是指LastPass在2022年8月、12月先后披露的两起违规事件,这两起事件的攻击链有关联。LastPass公司只有4位DevOps工程师有权访问这些解密密钥,因此恶意黑客将矛头指向了其中一名工程师。LastPass日前发布的最新安全警告称。该数据库经过加密,但在第二次违规事件中,恶意黑客窃取了单独存储的解密密钥。
官方声明登录都被风控系统拦截,并及时通知用户修改主密码。
VSole
网络安全专家