第三方风险管理公司 UpGuard 发现了一个漏洞,涉及暴露的 Ollama
API,这些 API 允许访问正在运行的 AI 模型。暴露的 API
不仅让这些模型的所有者面临安全风险,还提供了一个独特的机会,帮助我们了解像
DeepSeek 等特定 AI 模型的采用率和地理分布情况。
Ollama 是一个 AI
模型框架,通过提供易于使用的界面来简化与模型的交互,使用户可以选择并下载模型。然而,UpGuard
的研究表明,这些 API
可能暴露在公共互联网中,这使得其功能(如推送、拉取和删除模型)可能危及数据安全,未经授权的用户还可能通过向模型发送大量请求,给云计算资源的所有者带来费用。Ollama
的现有漏洞也可能被攻击者利用。
根据 UpGuard 的 研究,已有证据表明这一漏洞已被利用,部分受攻击的
IP 地址被篡改。
研究人员表示,暴露的 Ollama API
可能被一些业余爱好者在家庭网络、小型企业或大学网络中使用,这些系统很容易被攻击者攻破并被纳入未来的僵尸网络。
UpGuard 还分析了在暴露的 Ollama API 上运行的 DeepSeek
模型的分布情况。14b ...
去年,我收到了通知,称我的数据暴露在两个数据泄露事件中。我必须承认,得知我的个人信息可以在暗网以几分钱的价格购买,这确实令人感到恐惧。尽管网络犯罪分子显然在不断攻击,但我并非毫无防备。
信用冻结是如何工作的
被盗数据可能对你造成的最大危害之一,就是有人可以以你的名义开设信用账户。大部分被盗数据会被打包出售到暗网上,供不法分子牟取财利。如果某人收集到足够的个人身份信息(PII),他们可以创建一个足够准确的档案来冒充你。一旦成功冒充,他们只需几次点击,就能申请贷款或开设新的信用卡。
即便犯罪分子手中有一堆个人数据,只要你冻结了自己的信用,他们就无法利用这些数据开设新信用账户。简单来说,信用冻结就像它的名字一样。你只需要联系三大主要信用报告机构——Equifax、Experian
和 TransUnion,请求他们停止与你相关的任何新信用活动。
因此,在申请任何信用,如新的信用卡、汽车融资或房贷时,贷款机构会检查你的信用报告。冻结信用报告将阻止黑客访问它,失去访问权限后,他们就无法获取新的信用额度。
数据泄露后如何保护你的信用评级
数据泄露并不令人愉快。但你可以采取若干步骤来保护你的数据、身 ...
近370万人现在有资格从 Avast
领取退款——这家知名的杀毒软件公司多年来偷取并出售用户数据。若你在过去十年购买过
Avast 的任何产品,下面是你需要知道的事项。
Avast 用户现在可以申请退款
如果你曾购买过 Avast
的任何杀毒软件产品,如其恶意软件防护应用或浏览器扩展程序,你很可能有资格获得一些赔偿,以弥补该公司不当行为的损失。从
2025 年 2 月 24 日起,任何在 2014 年 8 月至 2020 年 1 月期间购买 Avast
软件的用户都可以申请退款。这笔退款将来自联邦贸易委员会(FTC)裁定的 1650
万美元的和解款项。
这起诉讼是在 FTC 发现 Avast
未经用户同意收集数据后提出的,包括宗教信仰、政治倾向、位置和财务信息等。
Avast 不仅非法收集了这些数据,还通过其子公司 Jumpshot 将其出售给了
100 多家公司。在 Avast
的官网 上,公司将其行为称为“误导”,而非故意盗窃:
“美国联邦贸易委员会(FTC)指出,从 2014 年 8 月到 2020 年 1 月,Avast
错误地表示它会以去标识化的形式与其子公司 Jumps ...
每天我收到的垃圾短信比真实信息还多,而一不小心点开一个恶意链接,可能就会导致账号被盗、数据泄露,甚至感染恶意软件。所以,当可疑短信弹出来时,我从不盲目点击,而是谨慎检查。
4. 检查发送者信息
收到带有可疑链接的短信后,我第一步会核实发送者的身份。如果号码陌生、来自异常的短信短码,或者是突如其来的国际号码,那就要小心了。我已经数不清收到多少次
+91 开头的“自拍邀约”短信——很可能是因为我曾经把个人手机号放在了 Instagram
个人资料里。
看到可疑号码后,我会使用 Truecaller
之类的来电识别应用,查看该号码是否与诈骗行为有关,或者是否是某家公司的官方号码。
123
此外,我还会判断这条短信的内容是否符合逻辑。如果短信声称来自某个我经常使用的服务,我会去该公司的官网查找其官方短信号码。正规公司不会使用随机号码给用户发送重要通知。
同时,常识判断
也很重要:我不会突然收到一份自己没投递过简历的面试邀请,也不会收到某个快递公司让我评价服务的短信——尤其是我最近根本没有使用过他们的服务。如果是我
没有主动联系过的公司 发送的信息,那很可能是诈骗。
3.
检查短信内容和链 ...
并不是所有设备自带的功能都值得开启。例如,路由器上的
WPS(Wi-Fi
保护设置),虽然表面上看起来很方便,但对于大多数家庭网络而言,关闭它才是最安全的选择。
什么是 WPS?
WPS(Wi-Fi Protected
Setup)是大多数路由器上都配备的一项功能,按下按钮后,支持 WPS
的设备可以自动连接到 Wi-Fi
网络,而无需输入密码。这项功能对于快速连接多个设备来说非常实用,尤其是在配置打印机、智能家居设备或其他不方便输入密码的设备时。
通常,使用 WPS 连接网络的方法有两种:
WPS 按钮模式:按住路由器上的 WPS
按钮几秒钟,然后在设备上选择 Wi-Fi 网络,设备就能自动连接。
WPS PIN 码模式:设备会要求输入一个 8 位数的 PIN
码,这个 PIN 码由路由器生成,用于身份验证。
然而,现代版本的 Android、iOS 和 macOS 已 不再支持
WPS,主要原因就是安全性问题。
为什么 WPS
存在安全隐患?
虽然 WPS
让网络连接变得更简单,但它也带来了严重的安全风险。让设备免密码接入网络听起来很方便,但如果有恶意入侵者,他们也能轻松利用
...
随着 AI 技术的进步,相关骗局也变得越来越逼真。最近,一款 AI
生成的“晶洞杯” 在 TikTok
上爆火,然而,收到实物的买家却发现——现实远比想象更魔幻。
TikTok“晶洞杯”的起源
故事始于 2024 年 9 月,社交媒体上开始出现一种
晶洞杯(Geode Mug) 的广告。其中,TikTok 账号
@inspiringdesignsnet
发布的视频更是让这款产品看起来像个梦幻杰作——视频中的杯子仿佛是由真正的
晶洞矿石
精雕而成,保留了原石的天然纹理,看起来质感十足。
然而,细心的观众很快发现了一些 不对劲的细节。
在视频中:
杯口冒出的蒸汽 有时候会从 杯柄 或
杯身 渗出,而不是杯口。
蒸汽的流动
也不太自然,有的画面里是缓缓飘散,而有些片段里却是静止的。
某些杯子的形态 在旋转时出现了明显的
视觉扭曲,看起来像是 AI 生成的瑕疵。
虽然官方从未证实,但种种证据表明,这些视频很可能是 AI
生成的渲染作品,而所谓的晶洞杯,可能根本不存在。尽管如此,这并不妨碍大量买家
下单抢购,期待能收到这个“艺术品”。
买家收到货后,现实狠狠给了他们一巴掌
到了 2024 ...
我们对 机器人骚扰电话(Robocalls)
的厌恶可谓众口一词。尽管美国国会已经通过法案以遏制这些骚扰,但很多人不愿意被动等待。那么,如果你想要立即摆脱这些烦人的电话,该如何主动出击呢?
1. 不要接听可疑电话
如果你接听了骚扰电话,诈骗者就会确认你的号码是
活跃的,这意味着他们会
持续拨打,甚至将你的号码与其他活跃号码打包出售,导致你接到更多垃圾电话。
我们的本能反应是接听电话,但如果无法确定来电者身份,最好的做法就是
不接听。如果对方真有急事找你,他们通常会留言。
2.
加入“禁止骚扰电话注册名单”
骚扰电话不仅仅来自诈骗者,推销电话(Telemarketing
Calls) 也是一大元凶。区别在于,你可以通过注册 国家“勿扰”名单(Do Not Call
Registry) 来屏蔽这些销售电话。
你可以拨打
1-888-382-1222(需使用你想注册的手机拨打)进行登记。注册成功后,推销商
必须在 31 天内停止拨打 你的号码。
当然,并非所有企业都会遵守法规。如果你在注册后 仍然
接到推销电话,可以录下通话内容并向 FCC(美国联邦通信委员会)
投诉。
3.
屏蔽“ ...
谷歌即将调整 Gmail 账户的身份验证方式。传统的
短信验证码(SMS) 即将被淘汰,取而代之的是更安全的
二维码认证。
Gmail
账户验证:从短信验证码转向二维码
根据 Forbes
报道,谷歌计划逐步弃用 短信验证码(SMS),改用
二维码(QR Code) 进行身份验证。这一调整的主要原因是
短信认证易被黑客利用,存在安全隐患。
Gmail 发言人 Ross Richendrfer 在接受 Forbes
采访时透露了即将发生的变化:
“在接下来的几个月里,我们将重新设计电话号码验证方式。具体来说,未来用户将不再输入手机号码并接收
6 位数验证码,而是会在屏幕上看到一个
二维码,用户需用手机相机扫描该二维码完成身份验证。”
虽然短信验证码仍然是目前广泛使用的两步验证(2FA)方式,但它的安全性已受到威胁,黑客不断寻找新方法来
拦截或劫持短信验证码。
短信验证码存在哪些安全风险?
短信认证面临的主要攻击手段包括:
SIM 卡交换攻击(SIM Swap)
黑客伪装成用户,诱骗手机运营商将受害者的电话号码转移到他们自己的 SIM
卡上,从而接收包括验证码在内的所有短信。
...
已经很多年了,我不再从大型连锁店购买笔记本电脑。相反,我专门寻找那些自带隐私保护功能的设备。而且,不,这些电脑可不是
MacBook。
主流笔记本的隐私问题
目前,大多数笔记本电脑都会预装以下三种操作系统之一:微软的
Windows、苹果的 macOS 或谷歌的 ChromeOS。
这三种系统在隐私保护方面各有不同,但没有一个是真正意义上的“私密”系统。ChromeOS
强烈依赖云端计算,你的所有操作都会被记录并存储。Windows
不仅存在数据跟踪问题,还会在桌面上投放广告,让人防不胜防。
相较之下,macOS
在隐私保护方面做得更好一些,但仍然需要谨慎调整默认设置。例如,如果不手动启用磁盘加密,苹果仍然可以访问你存储在
iCloud 里的文件。
还有更好的选择
如果你想要一台真正注重隐私的计算机,最好的选择是预装自由开源操作系统的设备。而
Linux
无疑是其中最受欢迎的选择,这也是我十多年来一直在寻找的电脑类型。
大多数 Linux 用户会选择在已有的硬件上安装
Linux,这是最经济实惠的方式。但这些年来,我更倾向于直接购买预装 Linux
的笔记本。
在 Linux
电脑 ...
ISP(互联网服务提供商)提供的路由器看似是一个省心的选择——预配置、即插即用,甚至可能包含在订阅套餐中。但经过深入了解后,我发现这些“官方”路由器可能并不适合保障我的网络安全。
5 安全更新滞后
大多数 ISP
并不自己生产路由器,而是将制造任务外包给第三方厂商。这些厂商往往同时为多个
ISP 生产路由器,并销售自己的品牌设备。
问题在于,当安全漏洞被发现时,这些制造商往往优先修复自家品牌的设备,而
ISP
版本的路由器则被排在更新队列的末尾。这意味着,当你的
ISP
路由器存在漏洞时,你的网络可能要等待数周甚至数月才能获得修复补丁,期间黑客可能已经利用这个漏洞攻击你的设备。
这绝非杞人忧天。2021 年,BBC 报道某些 Sky UK
路由器存在身份验证绕过漏洞,黑客可以未经授权访问用户的网络。尽管最终发布了补丁,但由于更新推送缓慢,许多用户仍然处于风险之中。
4 ISP
远程控制你的路由器
ISP
提供的路由器通常预设了远程访问权限,允许你的网络服务商在无需你许可的情况下登录、修改设置甚至推送固件更新。这听起来很方便,但同时也存在严重的隐私和安全隐患。
即使你的 ISP
没 ...