瑞士政府建议公共部门避免使用SaaS和超大规模云服务

瑞士数据保护官员会议（Privatim）上周通过一项决议，呼吁瑞士公共机构出于安全考虑，避免使用超大规模云服务和SaaS（软件即服务）。

该决议指出：“大多数SaaS解决方案尚未提供真正的端到端加密，无法阻止服务提供商访问明文数据。” 因此，Privatim认为，SaaS或超大规模云服务——尤其是那些受美国《云法案》（CLOUD Act）管辖的服务——并非瑞士政府机构存放“特别敏感的个人数据或受法律保密义务约束的数据”的合适场所。

决议还指出，云服务和SaaS提供商可以单方面修改其服务条款，这可能会削弱安全和隐私条款。“因此，使用SaaS应用程序意味着控制权的显著丧失，”决议写道，“公共机构无法影响基本权利被侵犯的可能性。它只能通过不将特别敏感的数据释放出其控制范围之外，来减轻潜在侵权行为的严重性。”

该文件总结道，瑞士在“大多数情况下”不应允许使用“大型国际提供商”的SaaS，并特别指出Microsoft 365是一项不合适的服务。

清理您的代码仓库

安全工程师卢克·马歇尔透露，他扫描了在GitLab上能找到的所有公共代码仓库——总计560万个——并发现了17,000个经过验证的实时密钥（secrets）。

根据秘密嗅探服务Truffle Security上的一篇帖子详述，GitLab的一个API可以生成所有公共代码仓库的列表。马歇尔生成了该列表，然后编写了一个“本地Python脚本，将所有5,600,000个仓库名称发送到AWS SQS队列，该队列充当了一个持久化任务列表”。

他还创建了一个AWS Lambda函数，使用Truffle Security的TruffleHog工具扫描代码仓库，并记录结果。“这花了我大约770美元，但让我得以在大约24小时内扫描了5,600,000个仓库，”他写道。

在他发现的密钥中，有超过5,000个Google Cloud凭证、超过2,000个MongoDB凭证、大量OpenAI和AWS凭证，以及910个Telegram机器人令牌。

马歇尔还对Atlassian的Bitbucket代码托管平台进行了类似分析，并表示他的扫描发现“GitLab上每个仓库泄露密钥的密度比Bitbucket高出约35%”。

其他安全简讯

• Strava告诫间谍停止过度分享：运动追踪应用Strava发布了一份服务条款更新草案，要求用户接受使用其地理位置功能相关的所有风险。该应用允许用户创建跑步、步行、徒步和骑自行车等户外活动的地图。这些数据曾泄露军事基地用户的位置以及法国总统埃马纽埃尔·马克龙保镖的位置。Strava的新法律条款将于2026年1月1日生效，免除了其与使用地理位置相关的任何风险，并指出：“这些风险可能因您的具体情况而更大，例如，如果您从事敏感工作或担任受信任的职位。”
• 泄露文件揭露伊朗“迷人小猫”黑客组织：伊朗反对派活动人士兼独立网络间谍调查员纳里曼·加里布上周发布了一份分析报告，称其掌握了描述伊朗“迷人小猫”组织活动的泄露文件。加里布表示，泄露的文件将“迷人小猫”与暗杀行动联系起来。他写道：“每一个被入侵的航空公司数据库、每一个被攻破的酒店预订系统、每一个被黑客攻击的医疗诊所，都汇入了一个旨在定位并杀害伊朗政权视为敌人的人的系统。” 调查员称，“迷人小猫”是一个复杂的组织，其下设有专门团队负责开发攻击工具、渗透目标以及开展网络钓鱼活动。另一个团队则花费大量时间翻译在攻击中窃取的文档。加里布称伊朗至少从2017年起就开始运作“迷人小猫”，并且该组织的规模和复杂程度都在增长。
• 以色列军队可能已禁用安卓手机：据报道，以色列国防军已禁止高级军官使用安卓智能手机。根据《耶路撒冷邮报》报道，以色列陆军电台上周预示将发布一项命令，该命令将定义一个标准操作环境，规定高级军官需使用iOS设备。该命令显然是为了减少通过社交媒体应用进行监视的风险。