Telegram交出数千个用户数据现私政策改变激发关心

　　白宫暗示，包罗Best Buy和亚马逊正在内的零售商将凸起显示带有美国收集信赖标记的产物，该标记将以二维码的形式呈现，消费者能够扫描二维码获取产物的收集平安消息，例如产物的支撑刻日和能否从动安拆平安更新。获得收集信赖标记的产物必需遵照由美国国度尺度取手艺研究院（NIST）制定的一系列收集平安尺度。

　　美国近日颁布发表，备受等候的收集平安标识打算将于2025年正式启动，旨正在为消费者的互联网毗连设备供给平安标识。拜登于2023年6月初次推出美国收集信赖标记（U。S。 Cyber Trust Mark），暗示这一志愿标识打算将提高互联网毗连设备的平安尺度，使美国消费者可以或许更明智地选择采办的设备。

　　虽然ICAO尚未供给具体的查询拜访触发缘由，可是正在声明发布两天前，行为者natohub正在BreachForums黑客论坛上泄露了4。2万份据称是被盗的ICAO文件。按照natohub的说法，这些被盗文件包含姓名、出华诞期、地址、德律风号码、电子邮件地址以及教育和就业消息。另一名行为者声称，该档案包含2GB的文件，涉及57，240个奇特的电子邮件地址。

　　CISA取IT范畴协调委员会（IT SCC）进行了普遍合做，开辟了这些方针。但它们为所相关键根本设备范畴的软件和产物开辟者供给了应沉点关心的最低根本实践。CISA激励产物开辟者采纳这些SSGs，以显著提拔软件产物的收集平安态势。

　　此外，通知布告还细致申明了来自第三方供应商的组件缝隙：联发科技的调制解调器芯片组存正在一个组件缝隙（CVE-2024-20154），可能导致数据写入错误的，使者通过诱使设备毗连到假基坐，从而近程节制设备；高通的一个特定缝隙（CVE-2024-21464）正在数据复制过程中，未查抄数据能否适合内存空间，可能导致内存错误，特别是正在没有活跃用户毗连设备互联网功能时。消费者利用谷歌刊行的设备或其他合做伙伴的设备时，及时无效地使用这些补丁。

　　通知布告中指出，存正在五个环节的近程代码施行（RCE）缺陷。这些缺陷影响系统的焦点组件及其底层架构。者能够操纵这些缺陷正在不需要额外权限的环境下施行代码。所有正在2025年1月5日或之后获得平安补丁的设备将遭到。

　　Telegram 持久以来被用做取伴侣和家人沟通、但它也被普遍用于收集犯罪。行为者常常操纵该平台出售不法办事、进行、买卖被盗数据，或做为其恶意软件的批示和控务器。正在现私政策发生变化后，Telegram 现正在也会正在其他犯罪案件中取法律部分共享用户数据，包罗收集犯罪、不法商品买卖和正在线欺诈等。

　　结合国国际平易近用航空组织（ICAO）于2025年1月7日颁布发表，正正在查询拜访一路被称为“一个以国际组织而闻名的行为者相关的潜正在消息平安事务”的可能的平安缝隙。该机构强调，他们对此事很是注沉，并已采纳告急平安办法，进行全面查询拜访。

　　ICAO成立于1944年，是一个间组织，取193个国度合做，支撑配合承认的手艺尺度的制定。

　　系统近日发布了2025年的首个平安更新，披露了多项影响普遍的环节和高危平安缺陷，这些缺陷涉及多款设备。

　　这一变化是对压力的回应。Telegram 创始人兼首席施行官 Pavel Durov 于2024 年8 月底正在法国，面对多项，包罗参取收集犯罪、组织诈骗和不法材料，以及协帮拦截以支撑犯罪查询拜访。政策的改变已导致多个收集犯罪组织颁布发表退出 Telegram 。

　　Reliaquest 指出，虽然这一勾当最早正在 2024 年9 月被发觉，但从 10 月到 2024 年12 月初，其客户察看到冒充 CAPTCHA 网坐的数量几乎翻了一番。该公司称，黑客将继续改良冒充 CAPTCHA 手艺，使其更难以识别，并预测将来几个月将呈现替代施行方式，这将对组织形成严沉风险。

　　此次泄露使黑客可以或许拜候 T-Mobile 的系统，窃取了客户的姓名、出华诞期、社会平安号码以及驾驶执照消息。部门被盗的客户数据随后正在一个出名的收集犯罪论坛上被发布。

　　长亭科技CTO 钊引见，语义阐发3。0版检测引擎的焦点道理是深度融合语义阐发手艺取机械进修手艺。正在新的引擎架构中，语义阐发不再间接输出检测成果，而是专注于提取请求中的特征，包罗词法、语法和语义层面的特征。这些强平安特征相对不变，削减了对引擎的需求。提取到的特征被送入多个AI模子进行鉴定，无需复杂复杂的深度神经收集模子，即能实现较高的鉴定精确率。如许的设想既保留了语义阐发和机械进修两者的长处，同时又削减了各自的不脚。

　　Reliaquest 的研究表白，者通过伪制 reCAPTCHA 界面，用户施行下载无害脚本的号令。这些脚本可以或许成立平安外壳（SSH）地道，窃取数据。者正在拜候被攻下的网坐后，会被沉定向到冒充的 CAPTCHA 页面。取凡是的“点击交通信号灯的图片”或从头输入恍惚字母的体例分歧，用户被提醒打开运转窗口，并粘贴一个正在拜候网坐时悄然复制到剪贴板的号令。这个恶意号令会导致恶意软件的安拆，凡是是像 Lumma Stealer 如许的根据窃取东西。平安研究人员将这种让者自行执意号令的方式称为“”。

　　按照诉讼，T-Mobile 正在泄露后未能向受影响客户供给充实的通知，且通知“脱漏了环节消息并淡化了事务的严沉性”，这影响了消费者评估身份或欺诈风险的能力。此外，诉状指出，该公司的“和警报设置装备摆设不脚”，使得黑客更容易正在不被发觉的环境下拜候 T-Mobile 的收集。T-Mobile 的公开声明也被了对其收集平安防御能力及客户数据正在暗网上的认识。一种新的社交工程变种正正在兴起，者操纵虚假的 CAPTCHA 页面，仿照谷歌和 Cloudflare 等可托办事，诱利用户正在其设备上执意脚本。

　　Telegram 近日透露，该通信平台满脚了 900 项美国请求，向法律部分分享了 2，253 名用户的德律风号码或 IP 地址。此前，Telegram 仅正在涉及的环境下分享用户的 IP 地址和电线 名用户。这一数字的大幅添加，次要是因为 2024 年9 月该平台正在用户数据共享政策上的改变。

　　美国收集平安和根本设备平安局（CISA）于2025年1月7日发布了针对IT和产物设想范畴的新志愿收集平安绩效方针。这些IT范畴特定方针（SSGs）取“平安设想”准绳相分歧，旨正在该范畴免受收集事务的影响，帮力正在产物发布前识别和处理缝隙，改善事务响应，并显著提拔软件平安性。

　　1月7日，长亭科技语义阐发3。0暨雷池30巡回发布会正在举行。长亭科技正在发布会上展现了长亭语义阐发手艺的最新、雷池（SafeLine）全新升级30版本和WAF的最佳实践。

　　近日，州对 T-Mobile 提告状讼，此次泄露影响了全美跨越 7900 万客户。诉讼旨正在按照州消费者保寻求经济补偿，并要求 T-Mobile 改善其收集平安政策。

　　虽然尚未发布具体的启动日期，但通知布告指出，企业将“很快”可以或许向11家获得核准的测试公司提交产物，以获得该标签，打算正在2025年将认证产物推向市场。收集信赖标记同样旨正在提高消费级互联网毗连设备的平安性，包罗由器、家庭摄像头、智能音箱和婴儿器等，这些设备凡是出厂时配有易于猜测的默认暗码，而且没有持续平安更新的许诺。