#PSA ：Mastodon 实例管理员请更新至 4.2.10；新漏洞或会使私有贴文泄露。

https://github.com/mastodon/mastodon/releases/tag/v4.2.10

CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)

#Mastodon

Twilio 在骇客放出数据后确认 Authy 用户手机号码遭到泄露。受影响用户数约 3300 万。

Authy 是 Twilio 的 2FA 软件，需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。

securityweek.com/~

#Twilio #Privacy

绿联私有云 NAS 向用户分发公用泛域名证书私钥。

目前此证书已被吊销 [2]。

1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp

#Ugreen #TLS

Figma 开放 AI 特性；Starter 及 Professional 计划用户默认允许自己作品用于训练。

Figma 还提到：
- 关于启用 AI 特性的功能，所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项，Starter/Professional 计划用户默认开启，Organization/Enterprise 计划用户默认关闭。

help.figma.com/~

#Figma #AI

有 Twitter 用户发现 Chrome 内置隐藏插件 [1] 允许 Google 站点访问用户设备资源占用数据。

- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关，后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。

twitter.com/lcasdev/~
seealso: HackerNews:40918052

1. source.chromium.org/~

#Chrome #Privacy

AT&T 称几乎所有用户的电话和短信记录元数据（不含内容）遭到泄露。

TechCrunch 还提到：
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据，部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台，后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司，包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。

techcrunch.com/~
seealso: HackerNews:40944505

#ATNT #Privacy

赞助/内容销售平台「爱发电」站点被停止解析；域名被锁定。

whois 信息显示，域名处于 clientHold 及 clientTransferProhibited 状态，或是被注册商锁定。

另参：The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。

1. /3893

#DNS #China #Xinnet #Afdian

Firefox 128 起提供「『保护隐私的』广告效果衡量」功能；因默认启用而引发争议。

mastodon.social/~
seealso: HackerNews:40954535

#Firefox #Privacy

Firefox CTO 在 Reddit 回应对「广告效果衡量」功能的质疑。

文章提到：
- 广告业是大型行业，不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立；帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作，亦有和 W3C 及 ISRG 合作，以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型，只在 Firefox 访问特定站点时启用；它旨在收集数据，不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好，因而选择自行配置「更好的默认值」 (better defaults)

old.reddit.com/~

thread: /4565

[感谢订户提供此消息。]

#Firefox #Privacy

[旧闻] CrowdStrike 安全软件导致全世界大量机场、医院等组织的 Windows 设备蓝屏无法启动。

受影响用户可以手动进入安全模式删除 %WINDIR%\System32\drivers\CrowdStrike 下形似 C-00000291*.sys 的文件以解决故障。

- forbes.com/~
- crowdstrike.com/~

EDIT 7/21: 修正笔误。感谢订户指出。

#CrowdStrike #Windows #BSOD

第八届挺好萌将于 2024/7/28 开始提名。

> 我台呼吁公众给明年的《Ave Mujica》留一点机会，让祥子度过一个安详的晚年。
> 我台呼吁公众关注初代挺王 YOSORO 及 Aqours 生态。
> 我台在《BanG Dream! It's MyGO!!!!!》和《吹响吧！上低音号》间选择立场中立。

tieba.baidu.com/~

⌒⌣⌒ #today

2024/9/16 起，Outlook 用户将需使用 OAuth 从第三方邮件客户端登录，或使用 Outlook 软件。

support.microsoft.com/~

#Microsoft #OAuth #IMAP

YuzuSoft 宣布入驻 Bilibili。

https://t.bilibili.com/956459465638412297

linksrc: https://www.tg-me.com/CE_Observe/34710

#YuzuSoft

goo.gl 将于 2025/8/25 停止服务；所有短链接将失效。

2018 年初， goo.gl 宣布停止接受新链接，但当前链接不会失效。现在这些链接也将不再可用。

developers.googleblog.com/~

#Googl #Google

Let's Encrypt 宣布计划废弃 OCSP 服务。

文章还提到：
- Let's Encrypt 决定废弃 OCSP 服务主要出于隐私及维护成本因素。
- CA/B 在 2023 年八月投票通过将 OCSP 降级为非必需 CA 特性；除了微软之外的 CA 根证书计划也已停止要求 CA 实现 OCSP。Let's Encrypt 认为微软也会在近期停止对 OCSP 功能的要求。

letsencrypt.org/~
seealso: HackerNews:41046956

EDIT 7/24: 修正链接。

#OCSP #PKI #LetsEncrypt

[旧闻] Chrome 计划停止禁用第三方 cookie 的计划，转而让用户自行「作出明智选择」。

声明中提到这样的决定是因为直接禁用第三方 cookie 将使广告业的各个参与者，包括广告主和网站主，都受到较大的波及。

- privacysandbox.com/~
- theverge.com/~

#Chrome #Privacy

《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见至 8/25。

草案提到：
- 自然人可向「公共服务」申领「网号」、「网证」。网号不含明文身份信息。
- 鼓励互联网平台自愿接入「公共服务」，支持用户使用网号/网证进行身份信息登记。
- 法规规定互联网平台需留存用户身份证件信息的， 「公共服务平台」应按最小化原则提供。

www.cac.gov.cn/~

#China #Privacy

[旧闻] Niconico 宣布将于 8/5 重新开放大多旧有功能。

包括动画、生放送、大百科等功能将于 8/5 重新开放；其它功能也将于后续重新开放。ニコニコミュニティ则因数据丢失而无法恢复。

https://blog.nicovideo.jp/niconews/225330.html

thread: /4545

#Niconico

继 Google 后，Mozilla 亦宣布停止信任 Entrust CA 新证书。

- 由于对 Entrust 的事故报告不满意，Google（包括 Chrome） [1] 决定停止信任 Entrust 于 2024/10/31 后签发的证书。昨日，Mozilla 也宣布决定停止信任 Entrust 于 2024/11/30 后签发的证书。
- 受影响 CA 品牌包括 Entrust 及 AffirmTrust。

groups.google.com/~

1. security.googleblog.com/~

#PKI #Entrust

W3 TAG 发文阐述立场，指名道姓 Google，呼吁浏览器移除对第三方 cookie 的支持。

w3.org/~

thread: /4573

[感谢 夜坂雅 提供此消息。]

#Cookie #Privacy