LastPass 被入侵源于其工程師家用電腦被黑
去年,著名的密碼管理服務 LastPass 被入侵(#740),并被竊取了部分源代碼和客戶的保險庫的備份(859)。經過調查,該公司公布了更多關于其系統如何被攻擊的細節,“威脅者利用從一名進階 DevOps 工程師那裡偷來的有效憑證來通路一個共享的雲存儲環境……這是通過瞄準該工程師的家用電腦并利用一個脆弱的第三方媒體軟體包來完成的。威脅者能夠在員工用 MFA 認證後,捕捉到員工輸入的主密碼,并獲得該工程師的 LastPass 公司保險庫的通路權。”
消息來源:Dev Class
老王點評:遠端工作越來越流行,其帶來的安全風險敞口不可忽視。
Gmail 用戶端加密現在公開可用
谷歌現在對谷歌工作空間企業版、教育版和教育标準版客戶開放了 Gmail 用戶端加密(CSE)。一旦啟用,Gmail CSE確定作為電子郵件正文和附件(包括内聯圖像)的一部分發送的任何敏感資料在到達谷歌的伺服器之前将是不可讀和加密的。同樣重要的是要注意,電子郵件的标題(包括主題、時間戳和收件人名單)将不會被加密。
消息來源:Bleeping Computer
老王點評:其實類似的技術,如 PGP,早就有了,但是一直難以推廣開來。
OpenAI 現在與其承諾背道而馳
OpenAI 成立于 2015 年,原本是一家非營利性研究機構。在其成立聲明中,該公司宣布其研究承諾 “以最有可能造福全人類的方式推進數字智能,不受産生經濟回報的限制”。OpenAI 鼓勵所有研究人員分享 “論文、博文或代碼,我們的專利(如果有的話)将與世界共享”。但八年後的今天,我們面對的是一家既不透明也不以積極的人類影響為動力的公司。OpenAI 擺脫了其非盈利地位,建立了一個 “封頂利潤” 部門,該公司現在可以接受投資,并将為投資者提供封頂為 100 倍的投資利潤。OpenAI 也沒有開源和公開它的技術,并且它開發的技術反而使更多人失業了。
消息來源:VICE
老王點評:終究成了自己當初最讨厭的模樣——問題是,在商業上還挺成功。