硬核观察 #927 LastPass 被入侵源于其工程师家用电脑被黑
LastPass 被入侵源于其工程师家用电脑被黑
去年,著名的密码管理服务 LastPass 被入侵(#740),并被窃取了部分源代码和客户的保险库的 备份(859)。经过调查,该公司公布了更多关于其系统如何被攻击的细节,“威胁者利用从一名高级 DevOps 工程师那里偷来的有效凭证来访问一个共享的云存储环境……这是通过瞄准该工程师的家用电脑并利用一个脆弱的第三方媒体软件包来完成的。威胁者能够在员工用 MFA 认证后,捕捉到员工输入的主密码,并获得该工程师的 LastPass 公司保险库的访问权。”
老王点评:远程工作越来越流行,其带来的安全风险敞口不可忽视。
Gmail 客户端加密现在公开可用
谷歌现在对谷歌工作空间企业版、教育版和教育标准版客户开放了 Gmail 客户端加密(CSE)。一旦启用,Gmail CSE确保作为电子邮件正文和附件(包括内联图像)的一部分发送的任何敏感数据在到达谷歌的服务器之前将是不可读和加密的。同样重要的是要注意,电子邮件的标题(包括主题、时间戳和收件人名单)将不会被加密。
老王点评:其实类似的技术,如 PGP,早就有了,但是一直难以推广开来。
OpenAI 现在与其承诺背道而驰
OpenAI 成立于 2015 年,原本是一家非营利性研究机构。在其成立声明中,该公司宣布其研究承诺 “以最有可能造福全人类的方式推进数字智能,不受产生经济回报的限制”。OpenAI 鼓励所有研究人员分享 “论文、博文或代码,我们的专利(如果有的话)将与世界共享”。但八年后的今天,我们面对的是一家既不透明也不以积极的人类影响为动力的公司。OpenAI 摆脱了其非盈利地位,建立了一个 “封顶利润” 部门,该公司现在可以接受投资,并将为投资者提供封顶为 100 倍的投资利润。OpenAI 也没有开源和公开它的技术,并且它开发的技术反而使更多人失业了。
老王点评:终究成了自己当初最讨厌的模样——问题是,在商业上还挺成功。