推特 API 溢价 210 倍，学者无法承担高额费用、且要求删除此前研究数据

推特API溢价210倍，学者无法承担高额费用、且要求删除此前研究数据推特此前专门提供了，提供了一个批量数据馈送，每天随机推送推文，占所有推文的10%。DecahoseAPI有免费和收费两种，收费的每月为200美元。不过推特于上月撤销了所有API的访问权限，随后告知大学学者，需要升级到企业级API，也就是每月支付42000美元，才能继续展开相关数据研究。推特公司最近几周一直在联系研究人员，要求他们每月支付42000美元，才能访问0.3%的所有推文用于研究。如果每月不支付42000美元，那么就要求删除此前获取的所有推特相关数据。推特在一封邮件中表示，不签署新合同的研究人员，需要删除所有存储在本地硬盘、或者缓存到系统中的推特数据，研究人员将被要求发布“展示删除证据”的屏幕截图。来源，附：来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

Twitter允许更多研究人员访问平台运营数据

Twitter允许更多研究人员访问平台运营数据今年早些时候，Twitter推出了Twitter调控研究联盟（TMRC），这是一个由来自学术界、民间社会、非政府组织和新闻界的专家组成的团体，致力于研究Twitter的平台治理问题。此前，TMRC的成员资格仅限于选定的可信赖的合作伙伴，但Twitter今天开始向所有研究人员提供申请机会。PC版：https://www.cnbeta.com/articles/soft/1319567.htm手机版：https://m.cnbeta.com/view/1319567.htm

【纽约联储研究人员：稳定币不是支付的未来】

【纽约联储研究人员：稳定币不是支付的未来】2月8日消息，纽约联邦储备银行的研究人员在周一发表的论文中表示，稳定币不是支付的未来，代币化存款是更好的选择。研究人员分别来自加州大学圣巴巴拉分校经济学教授RodGarratt，纽约联储研究和统计小组成员MichaelLee和AntoineMartin以及法律小组的JosephTorregrossa。他们认为，如果分布式账本技术（DLT）融入传统金融，稳定币就不是转移资金的最佳方式。报告写道：“稳定币与安全和流动资产捆绑意味着它们不能用于其他用途，例如帮助银行满足监管要求以保持足够的流动性。”该论文认为，代币化存款是更好的支付方式，虽然需要制定一些实际细节，但它背后的原理很简单。银行存款人将能够将他们的存款转换为数字资产（代币化存款），这些资产可以在DLT平台上流通。这些代币化存款将代表对存款人商业银行的债权，就像普通存款一样。

研究人员发现汽车甚至应急车辆存在严重漏洞 品牌包括宝马、奔驰、本田、日产

研究人员发现汽车甚至应急车辆存在严重漏洞品牌包括宝马、奔驰、本田、日产根据研究人员SamCurry的最新报告，多个漏洞可能让攻击者远程跟踪和控制不同制造商的警车、救护车和消费者车辆。这次更新是在11月的类似通知之后进行的。这些弱点源自于控制超过1500万台设备（其中大部分是车辆）的GPS和Telematics的公司的网站--SpireonSystems。研究人员描述Spireon公司的网站已经过时，可以通过一些巧妙的方法用管理员账户登录。在那里，他们可以远程跟踪和控制警车、救护车和商业车辆的车队。攻击者可以解锁汽车，启动它们的引擎，禁用它们的点火开关，向整个车队发送导航命令，并控制固件更新，从而有可能发送恶意软件载荷。SiriusXM的远程系统漏洞可以让黑客只用每辆车的车辆识别码就能偷走Acura、Honda、Infiniti和Nissan的车辆。他们还可以访问客户的个人信息。新报告揭示了起亚、现代和Genesis车型也有类似危险。此外，配置错误的单点登录系统使研究人员能够访问宝马、奔驰和劳斯莱斯的内部企业系统。这些缺陷并没有授予直接的车辆访问权。但是，攻击者仍然可以侵入奔驰的内部通信，访问宝马经销商的信息，并劫持宝马或劳斯莱斯的员工账户，法拉利网站的安全漏洞也让研究人员进入管理权限并删除所有客户信息。研究人员还发现，大多数（不是全部）加州数字车牌都容易受到攻击者的攻击。去年该州将数字车牌合法化后，一家名为Reviver的公司可能处理了所有的车牌，Reviver的内部系统出现了安全故障。数字车牌持有者可以使用Reviver更新他们的车牌，并远程报告他们被盗。然而，漏洞允许攻击者赋予普通的Reviver账户以更高的权限，可以跟踪、改变和删除系统中的任何条目。Curry的最新博客文章为那些对细枝末节感兴趣的人广泛地详述了他和其他黑客在研究时所使用的方法：https://samcurry.net/web-hackers-vs-the-auto-industry/他的团队在披露之前向受影响的公司报告了这些漏洞。至少其中一些公司确认发布了安全补丁。...PC版：https://www.cnbeta.com.tw/articles/soft/1338013.htm手机版：https://m.cnbeta.com.tw/view/1338013.htm

研究人员对被利用的恐惧正使我们的科学进步停滞不前

研究人员对被利用的恐惧正使我们的科学进步停滞不前因此，可以理解的是，许多科学家越来越不愿意合作，不愿意通过分享工作成果来帮助同行。他们会"隐藏"自己的原始数据，尽管这些数据是经过多年努力才收集到的。他们也会隐瞒那些失败的或被证明无关紧要的实验。所有这些做法都会导致不同的团队将宝贵的时间浪费在进行同样无用的研究上，而不是取得进一步的进展和为世界知识做出贡献。与此同时，近年来，开放科学在全球范围内得到了越来越多的推动：这是一场支持和赞美建立在透明、协作和共享基础上的一整套良好实践的运动。因此，慕尼黑大学和马尔堡大学的一个德国社会心理学家团队对欧洲和北美的科学家进行了一系列研究，以找出促使研究人员对同事隐瞒知识的原因。他们的研究结果最近发表在开放获取的同行评审学术期刊《社会心理学通报》上。实验室中的研究人员。图片来源：罗达-贝尔（RhodaBaer）/美国国家癌症研究所"知识隐藏是个问题，不仅对私营经济如此，在学术界也是如此。也许有人会说，科学领域的知识隐藏问题更大，因为科学的目的应该是获取、审查和传播知识，"研究报告的作者解释道。"如果科学家们倾向于向同行隐瞒他们所知道的知识，那么科学知识的积累就不可能实现，科学也不会最大限度地发挥发现真理的集体努力，而只会产生互不关联的、孤立的、很可能不可复制的单一效应"。根据他们的研究结果，一种名为"受害者敏感性"的特定人格特质可以预测科学知识的隐藏。具有这种人格特质的研究人员都有一种潜在的恐惧，害怕被他人利用，因此对同事更加怀疑。研究小组还测试了提醒参与者他们的"研究人员"身份是否会帮助或阻碍合作。他们观察这种方法影响的动机与之前的研究有关，这些研究表明，人们倾向于偏爱属于自己群体的人。但令人惊讶的是，当其中一项研究的参与者的"研究者"身份意识被激活时，他们实际上变得更加多疑，并准备隐藏自己的知识。对此的一种解释是，"研究人员"的身份提醒激活了一种阻碍性的自我刻板印象：研究人员是一个雄心勃勃的人，但却冷酷无情，而不是充满爱心和合作精神。研究报告的作者指出，好消息是，在参与者中，隐藏知识的意图很低。不过，作者警告说，这其中可能存在偏见。自愿参与这些研究的研究人员很可能一开始就比较合作。此外，在自我报告的情况下，参与者可能会试图把自己表现得更讨人喜欢。研究小组总结说："我们可能需要改变对自己作为研究人员的刻板印象，以便在科学家之间建立信任，创造共享环境。研究人员的身份应该包括合作、以他人为导向和值得信赖：这是一种代表知识共享而非知识隐藏的社会身份"。...PC版：https://www.cnbeta.com.tw/articles/soft/1379113.htm手机版：https://m.cnbeta.com.tw/view/1379113.htm

安全研究人员发现微软 Windows Hello 指纹认证可被绕过

安全研究人员发现微软WindowsHello指纹认证可被绕过微软的WindowsHello指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞，这些传感器被企业广泛用于通过WindowsHello指纹身份验证保护笔记本电脑。微软邀请安全研究人员评估指纹传感器的安全性，研究人员在10月份的微软BlueHat会议上展示了他们的研究成果。该团队选择了来自Goodix、Synaptics和ELAN的三款流行的指纹传感器作为研究对象，并在博客文章中详细介绍了构建一个可以执行中间人攻击(MitM)的USB设备的过程。这种攻击可以提供对被盗笔记本电脑的访问，甚至对无人看管的设备进行“EvilMaid”攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别攻击的受害者，只要有人以前在设备上使用过指纹身份验证，研究人员就可以绕过WindowsHello保护。研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上一个自定义TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及到解码和重新实现专有协议。——、