瑞士政府表示，暂缓使用M365及所有SaaS服务，因其缺乏端到端加密

Infosec简报 瑞士数据保护官员会议（Privatim）上周通过一项决议，呼吁瑞士公共机构出于安全考虑，避免使用超大规模云和SaaS服务。

决议指出：“大多数SaaS解决方案尚未提供真正的端到端加密，无法阻止服务提供商访问明文数据。”因此，Privatim认为SaaS或超大规模云服务——尤其是那些受美国《云法案》管辖的服务——不适合瑞士政府机构存放“特别敏感的个人数据或受法律保密义务约束的数据”。

决议还指出，云和SaaS服务提供商可以单方面修改其条款和条件，这可能削弱安全和隐私条款。

“因此，使用SaaS应用程序会导致控制权严重丧失，”决议声明。“公共机构无法影响基本权利被侵犯的可能性。它只能通过不将特别敏感的数据移出其控制范围来减轻潜在侵权的严重性。”

文件总结道，瑞士在“大多数情况下”不应允许使用“大型国际提供商”的SaaS，并特别指出Microsoft 365作为不合适的服务。

清理您的代码库 安全工程师卢克·马歇尔透露，他扫描了在GitLab上能找到的所有公共代码库——总计560万个——并发现了17,000个已验证的有效密钥。

据密钥嗅探服务Truffle Security的一篇帖子详述，GitLab的一个API可以生成所有公共代码库的列表。

马歇尔生成了该列表，然后编写了“一个本地Python脚本，将所有5,600,000个代码库名称发送到AWS SQS队列，该队列充当了一个持久的任务列表。”

他还创建了一个AWS Lambda函数，使用Truffle Security的TruffleHog工具扫描代码库，并记录结果。

“这让我花费了大约770美元，但它让我在大约24小时内扫描了5,600,000个代码库，”他写道。

在他发现的密钥中，有超过5,000个Google Cloud凭证、超过2,000个MongoDB凭证、大量OpenAI和AWS凭证，以及910个Telegram机器人令牌。

马歇尔曾对Atlassian的Bitbucket代码库进行过类似分析，并表示他的扫描发现“GitLab上每个代码库泄露密钥的密度比Bitbucket高出约35%。”

Strava告诉间谍应停止过度分享 运动追踪应用Strava发布了其服务条款的更新草案，要求用户接受使用其地理位置功能相关的所有风险。

该应用允许用户创建其跑步、散步、徒步和骑行等户外活动的地图。这些数据曾暴露过军事基地用户的位置以及法国总统埃马纽埃尔·马克龙保镖的位置。

Strava的新法律条款将于2026年1月1日生效，免除了其与使用地理位置相关的任何风险，并指出：“这些风险可能因您的情况而更大，例如，如果您从事敏感工作或担任受信任的职位。”

武器化的文件名漏洞使得更新glob成为紧急任务 Logitech在零日攻击后泄露数据 卢浮宫可悲的密码属于博物馆，但不是那个博物馆 奥尼尔的新座驾在“黑客攻击”中被“劫持”

泄露事件暴露伊朗的“迷人小猫”团伙 伊朗反对派活动家、独立网络间谍调查员纳里曼·加里布上周发布了一份分析报告，内容据称是描述伊朗“迷人小猫”组织活动的泄露文件。

加里布表示，泄露的文件将“迷人小猫”与暗杀行动联系起来。

“每一个被攻破的航空公司数据库、每一个被入侵的酒店预订系统、每一个被黑客攻击的诊所，都为旨在定位并杀死伊朗政权视为敌人的人的系统提供信息，”他写道。

调查员称，“迷人小猫”是一个复杂的组织，拥有专门负责开发攻击工具、渗透目标和管理钓鱼活动的团队。另一个团队则花费大量时间翻译袭击中窃取的文件。

加里布表示，伊朗至少从2017年就开始运作“迷人小猫”，并且该组织的规模和复杂程度都在增长。

以色列军队可能已禁用安卓手机 据报道，以色列国防军已禁止高级官员使用安卓智能手机。

据《耶路撒冷邮报》报道，以色列陆军电台上周预示了一项命令，该命令将定义一个标准操作环境，规定高级官员使用iOS设备。

该命令显然是为了减少因使用社交媒体应用而遭受监视的风险。