9月6日消息，腾讯宣布对《王者荣耀》健康系统再次升级。从届时起，新用户在首次进入游戏时，会启动更严格的实名策略，接入公安权威数据平台进行校验。该项校验能够精准判断相关帐号的实名信息是否为未成年人，进而决定是否将此帐号纳入到健康系统的防沉迷体系中。

本次升级由于涉及游戏客户端的版本更新，根据iOS版本的审核结果，预计将于9月15日前后正式启动，并于9月之内完成新的实名策略对于《王者荣耀》全部新用户的校验。

此前，公安权威数据平台主要应用于金融、信用、政务等对征信安全要求极高、身份识别最为严格的行业，在其他业务领域尚未普及。

按照腾讯规定，12周岁以下（含12周岁）未成年人每天在《王者荣耀》中限玩1小时（同时每日21:00-次日8:00之间禁玩），12周岁以上未成年人每天限玩2小时，超过时间后将被强制下线，当天不能再玩。

华住的库被拖了，1.3亿人开房数据正在暗网售卖。

数据包含我们所熟知的汉庭、桔子、全季以及美爵、禧玥、漫心、诺富特、美居、CitiGO、星程、宜必思尚品、宜必思、怡莱和海友，共计14家酒店。

酒店开房记录包括了内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共计约2.4亿条信息。

可能是近5年内国内最大最严重的个人信息泄露事件。

在暗网论坛中，发帖人表明如果已购买数据包之后，如果权限不丢失，后续数据还可以免费提供给已购买的用户。这就意味着酒店系统或服务器中或许已经出现漏洞。

28日下午，华住集团酒店官方微博回应此事，称“引起极其恶劣的舆论影响。我集团非常重视，已在内部迅速开展核查，确保客人信息安全；我集团已经第一时间报警，公安机关正在开展调查；我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。”

此外，上海市长宁公安分局官方微博8月28日晚间也发布消息，称警方已介入调查。

有媒体发布文章称：依照华住目前的体量，渡过此次事件的危机或许并不难，难的是其在事后如何表现——在完善自身信息安全系统的基础上，带动整个行业对于信息安全系统的建设和完善。经过此次事件，最该成长的可能不是“华住们”，而是消费者自己。对于企业而言，如果愿意并且认真去做，加大投入、完善信息安全系统并不难实现；但如果消费者自己都不够重视个人信息保护，企业又怎么会有动力去推动并完成这一切呢?

是什么让机构数据库如此不堪一击？30日，新华社发布的文章做出了大致分析，称：在愈发频繁的数据泄露事件中，机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。

安防力量薄弱，防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示，去年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受勒索病毒攻击。

用户数据市场需求旺盛。如今，越来越多的人开始习惯刷微博、网购、线上理财等生活方式，在此背景下，根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告，坏人用你的数据来对你诈骗勒索。”用户数据倒卖在我国已形成相对成熟的黑灰产，打包出售用户数据的情况在黑市中随处可见。

数据流转程序较多，部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为，用户数据在外卖、快递等行业随着商品同时流动，流转过程较为复杂，中间环节出现泄露的可能性也同时增加。张威表示，一些企业认为自己并非互联网行业主要参与者，不会成为被攻击对象，因此在用户数据保管上没有做好安全措施，最终导致大批量用户数据泄露。

外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现，除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外，鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系，后续调查结果也未向公众披露，间接导致行业内对用户数据保护氛围恶化。

法律说：

律师

对照我国法律关于公民个人信息的定义，用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。根据《网络安全法》、《消费者权益保护法》的规定，网络运营者不得泄露收集的个人信息，应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。因此，律师认为，如果这一事件属实，无论是华住公司的员工上传数据过程中造成信息泄露的，还是黑客主动攻击华住公司的网站窃取信息的，华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎，依法应承担相应的行政责任和民事责任。 

《网络安全法》

《网络安全法》规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。如果黑客采取技术手段非法窃取、截获和贩卖用户信息，情节严重的，将涉嫌触犯《刑法》规定的侵犯公民个人信息罪，最高可以判处7年有期徒刑并处罚金。根据相关司法解释规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的；或者违法所得五千元以上的，即到达刑事立案追诉的标准。 

《刑法修正案九》

针对有的网络运营商懈怠履行信息安全保护义务的现象，《刑法修正案九》及相关司法解释特别规定，如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。该规定正是为了促使网络服务提供者保护用户信息安全，采取有效的技术手段和安全措施确保用户信息不会被泄露。对此，网络运营商都应高度重视相应的法律风险和法律责任。

 GDPR

另外，据有文章称：“华住酒店集团股价暴跌，在很大程度上是因为投资者担心其会因此受到严厉处罚。伴随着欧盟《通用数据保护条例》（GDPR）的实施，各个国家都在加强企业数据保护方面的合规监管。如果查实该数据属实，华住恐怕罪责难逃；若欧盟介入，处罚可能会更加严厉。以GDPR为代表的数据隐私法规，即是中国企业当下面临的重大合规经营挑战。一旦出现问题，很可能会给相关企业带来灭顶之灾，但却至今没有引起大家的重视。而在上个月，美国加州也紧接着推出《消费者隐私法案》，加大消费者对个人数据的处置权。这一法案将于2020年1月起生效。”

C.行业状况揭秘 

近年来，酒店行业信息泄露的事件屡见不鲜，凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。可即便如此，该现象并未得到有效的遏制。

对此，酒店行业资深业者表示，再强大的系统也会存在可被破解的漏洞——信息泄露事件虽在情理之中，但其如何泄露才是关键所在。在其看来，在信息社会，数据安全是任何企业都应该做好的底层工作;而国内的酒店集团普遍在技术安全保障和管理流程机制方面有所欠缺,且整体落后于国外。据其介绍，国外酒店集团的信息化标准十分严苛，细致到每个系统的补丁、版本升级标准、岗位权限设置等等，均有详尽的规定。可即便如此，国外酒店也依旧难以避免信息泄露的问题。如此看来，国内酒店对信息安全的不够重视，实则埋下了巨大的隐患。

另一位酒店从业者还感概：大多数国内酒店并没有完全绷紧信息安全这根弦，还是没有足够痛的领悟；另外，大部分中国消费者对于个人隐私保护的意识不足，并没有充分认识到信息泄露的严重性，这就导致酒店集团犯错的成本很低。同时，酒店信息安全体系的建设及维护是一笔非常大的投入；对于意图迅速抢占市场份额的酒店集团来说，也是最容易忽视的一个版块。而这种现状已经持续了一段时间，如果借此事可以引起整个行业的重视，酒店业的信息安全也会向前迈出一大步。

2018年2月，国内知名网络安全媒体freebuf就在其发布的《酒店行业信息安全现状很糟糕》文章中提到酒店业当前信息化安全现状：

高度依赖信息化作业：如果说开房住店使用WIFI等可能泄露个人信息，那酒店里的安全问题可多了。先谈一谈酒店与信息数据的关系，现在智能酒店很依赖信息化，特别是大型的高档酒店，信息系统出现严重故障会让酒店罢工。根据酒店管理系统模块使用量的不同，可能会让住客办不了入住手续、上不了楼、进不了房间、出不了门、结不了帐、退不了房……

不重视IT，待遇差，留不住高手：酒店管理系统比你想像中的更脆弱，像摇摇欲坠的墙，只差人去推一把。酒店行业IT待遇太差，所以高手一般都不愿呆在那儿，入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护，而厂商的人员无非就是做做系统支持，弄台服务器，安装个服务器端软件，搞个培训！产品中设置一个授权时间，到时报警或停用不就得了，用得了下逻辑炸弹？

安全监控系统功能单一化：除了酒店管理系统的前台和客房模块，会员、预订、收银、门禁等模块也往往在前台操作，安全监控系统往往和消防等等是独立给安全部门的，较少有整合。国内多数酒店的业务工作流和信息数据流还不够完全无纸化，所以在信息架构上也还不科学。一般来说，酒店至少要有两套隔离的网络，一套自家用，一套给客人连接到互联网。通常，客人不会接触到酒店自家使用的网络信息系统，但实际上勇敢地去尝试一下并不难找到突破点。找到酒店自用网络的接入点，金矿就来了。披着“渗透测试”的外衣，轻轻松松拖几个数据库和复制一批住客的信息。

安全问题被刻意忽视：究其原因，软件公司和程序员不遵守软件开发的基本准则，在功能上急于争先，在安全上刻意忽视，造成后期问题爆多、维护工作量巨大、安全隐患日益突显。想要快刀斩乱麻，规范化的IT管理很重要，酒店IT管理人员应该注意短痛不如长痛，评估和选用经过科学认证的管理系统，替代高危的软件，并且加强员工们的信息安全意识教育，保障终端安全，防范黑客入侵和窃密。

E. 酒店行业数据安全解决思路

不仅是酒店行业，对于各个行业来说，数据正在引领新的商业模式的变革，但显然，当前整体数据安全思路是缺乏的，数据的管理与安全使用未成体系，数据安全市场现状不容乐观：

 数据库“安全底子”不统一

尤其非关系型数据库存在安全问题，大数据安全的基础保障体系尚未建立。

互联网业务创新带来前所未有新风险

在万物互联，数据共享的互联网时代，各个行业的系统之间实现了紧密联结，业务的访问直达数据库，与此同时，安全防护体系的搭建却落后不止一步，一旦前端出现安全问题，后端数据将面临巨大风险。

共享交换时代数据去隐私化处理

在数据共享趋势下，数据安全问题凸显，数据的去隐私化成为焦点，因此，网安法对于网络运营者个人信息隐私的保护提出了明确要求。

上云后数据主管权问题

云计算时代，企业上云最担忧的莫过于云上数据的安全，云上数据的主管权一刻没有厘清，这种担忧就一刻不会离开。

如何进行数据资产管理而确保数据的高效、安全使用被提上日程。

凡事就怕“认真”二字，酒店行业一旦敬畏法律、尊重客户的个人信息隐私，重视起数据安全建设问题，健全数据安全管理制度，就完成了至关重要的第一步。

当前酒店行业数据泄露无非源于两大类安全威胁：1、外部黑客攻击；2、内部人员（包含外包IT团队）作案。

酒店管理系统是酒店信息化的载体，既有对外开放的业务系统，供客户、携程等第三方合作预定、查询等，也有对内开放的运营系统，包含前台接待、前台收银、客房管家、销售POS、餐饮管理 、娱乐管理、 公关销售、财务查询、电话计费、系统维护、经理查询、工程维修等功能模块。

针对应用侧的安全防护：防外部黑客

尽管酒店行业信息化程度高，但是信息安全建设却相对薄弱，因此，很容易遭受来自外部的入侵。

数据库防火墙技术可以通过虚拟补丁、SQL注入特征库、影响行数限定、黑白名单策略等技术手段重点针对漏洞攻击、非授权人员访问等外部及应用侧的威胁行为进行访问控制，防止数据泄露及篡改。

针对数据资产的安全防护：内外皆可防

而从数据本源出发，利用数据库加密技术进行防护或是最好的选择。加密技术直接作用于数据本身，使得数据即使遭遇了泄漏危机，被窃取或者丢失的数据其核心内容还是受到加密技术的防护。成熟的数据库加密产品要具备以下几点：

1）确保自主可控安全。加密产品需要具备独立于数据库的密钥管理体系，保证密钥不出设备，确保数据即使被拖库，依然安全。

2）三权分立机制。加密产品要具备三权分立机制，确保实现DBA、安全管理员和审计管理员权责分离，做到相互监督、相互制约。

3）具备独立的权限体系。产品可实现基于密文的增强访问权限控制，防止DBA及高权限用户对敏感数据进行访问。所有数据库用户想要访问密文数据，必须经过授权。

4）应用身份鉴别。实现应用系统、应用用户和数据库用户的绑定，只有受信的应用通过授权的应用账户才具有密文访问权限，防止数据库用户口令泄露后，绕开合法业务系统，对数据库直接访问。

针对运维侧的安全防护：防内部/外包等

我们知道酒店的业务相关系统主要采用业务外包形式由第三方公司代为开发，且后期系统及数据维护可能由不同部门相关管理人员和第三方开发商共同完成，在开发过程中存在以下风险：

数据库管理员对数据库有最高访问权限，并且风险操作及高危操作无法管控；

运维人员存在对生产数据库批量导出操作漏洞；

数据分析员对数据库存在越权访问及操作；

第三方运维、测试、开发、数据分析人员对核心数据库的运维操作无法监控；

酒店行业的开发、运维工作多交给了第三方外包人员，这就让安全管理难度加大。由于缺乏细粒度的管控手段，数据库运维工作普遍存在内部人员、甚至第三方外包人员间的账号共享、主机共享、高权限账户滥用等情况，加之人工操作无法保证100%的准确度，数据库日常运维操作面临：操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故不可溯等一系列安全风险。

因此，实现数据库运维侧的安全管控，就需要在审批环节中满足两方面能力：其一，能够整合审批流程，为内部运维人员、第三方外包人员、业务主管等多角色提供细致统一的审批平台，能够提供对操作人、操作对象、操作内容、操作时间、相关审批人等等细粒度的申请条件，使审批过程清晰、透明。其二，能够提供对申请内容的智能分析能力，能够对操作申请进行风险预估和异常行为评测，为审批者提供决策依据，在操作前最大可能的降低运维事故概率。

安华金和长期专注数据库安全建设，致力于让数据自由而安全的使用，帮助用户建立公众信任，守护个人隐私，提升全社会安全感。

当安全事件发生，愿每一个身处其中的人，不要站在阴影里，不要再沉默。

2、  为什么未来的数据存储仍然是磁带

数据是新时代的石油。今天被记录下来的数据容量每年增长 30% 到 40%，但现代硬盘的容量增长速度不到这个增速的一半。幸运的是，绝大部分信息并不需要即时存取。对于此类信息，磁盘是完美的解决方案。

是的，世界大部分的数据仍然保存在磁带上，包括基础科学如粒子物理学和射电天文学，文化遗产和国家档案，电影，金融、保险和石油勘探等。

最近微软的 Azure Archive Storage 还使用了 IBM 的磁带存储设备。

磁带的一大优势是廉价，而且其容量仍然在不断增长，平均每年增长 33%，意味着每两年或三年其容量将会翻一番。磁带可能属于最后一批仍然遵守摩尔定律的信息技术。

 

3、知名OCR软件被曝泄露超过20万份客户文件

Oath向华尔街日报承认公司确实进行了邮件扫描，但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置，避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统，人们不期望获得没有价值交换的免费服务。

报道中还指出，即使启用了雅虎的高级邮件服务（月费3.49美元），如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中，那些经常购买机票的用户就会标记为出差频繁人士，那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。

来源：cnBeta.COM 

2、来自11家OEM厂商的智能手机容易遭到隐藏AT指令攻击

前言

国外的安全研究人员发现，来自11家智能手机OEM厂商的数百万台移动设备容易遭到隐藏AT命令攻击。

AT（ATtention）命令是20世纪80年代早期开发的短字符串（ShortString）命令集合，通过电话线和控制调制解调器传输。将不同的AT命令字符串合并在一起，可用于告知调制解调器进行拨号、挂断或更改连接参数等功能。

普通用户可能不知道，现代智能手机也集成了基本的调制解调器组件，允许智能手机通过其电话功能连接到互联网。虽然国际电信机构已经推出了标准化的标准化的基本AT命令，所有智能手机必须支持这些指令。可出于实际需要，供应商还是为自己的设备添加了自定义AT命令集，可用于控制一些非常危险的手机功能，例如触摸屏界面、设备摄像头等。

针对数以千计Android固件的研究

来自佛罗里达大学、斯托尼布鲁克大学和三星研究美国的11名科学家组成团队，研究了现代Android设备目前支持哪些类型的AT指令以及影响。

该研究团队分析了来自11个Android OEM的超过2000个Android固件映像，如华硕、谷歌、HTC、华为、联想、LG、LineageOS、摩托罗拉、三星、索尼和中兴。发现这些设备支持超过3500种不同类型的AT指令，其中一些可用于访问非常危险的功能。

USB接口暴露AT指令

这些AT指令均通过手机USB接口暴露，这意味着攻击者必须获得用户设备的访问权限或接入隐藏的USB底座、充电器或充电站内的恶意组件。

一旦攻击者通过USB连接到目标手机，他就可以使用手机的一个隐藏AT指令重写设备固件，绕过Android安全机制以获得敏感的设备信息、解锁屏幕等。有些AT指令仅能在手机处于USB调试模式时才可用，但研究人员也发现许攻击者可以直接访问的AT命令，即使手机已进入锁定状态。

在许多情况下，运行这些指令完全没有日志记录。最大的风险是攻击者可模拟触摸屏点击，使得攻击者完全控制设备并安装恶意应用程序以进行进一步的行动。

厂商已收到通知

该研究团队已通知所有相关供应商，还在网站上发布了包含手机型号和固件版本的数据库。

研究人员仅通过USB接口测试了对Android设备上AT命令集的访问，还计划测试Apple设备以及通过远程访问（如手机的Wi-Fi或蓝牙连接）来运行AT命令。该团队还发布了一个Shell脚本，在研究期间使用它来检查Android固件并查找包含AT指令的字符串，可在GitHub上下载。

*参考来源：BLEEPINGCOMPUTER，Freddy编译整理，转载请注明来自 FreeBuf.COM。

3、Mozilla 公布 DNS over HTTPS 实验结果

Mozilla 早些时候 发布了 Firefox 的 Nightly 版本，引入了 DNS over HTTPS (DoH) 功能。它邀请了用户测试被称为 Trusted Recursive Resolver (TRR)的加密域名解析功能。今天的 DNS 解析通常没有加密，不安全，采用 DoH 将让 DNS 解析更安全。

现在，Mozilla 公布了DNS over HTTPS 的实验结果。有大约 2.5 万用户参与了实验，产生了超过 10 亿 DoH 事务。 

来源：solidot.org

看雪推荐阅读：

1、[原创]小白文——好玩不贵的无线遥控器克隆指南

2、[翻译]内核模式Rootkits：文件删除保护

3、[翻译]国外2018最新区块链教程英文版，大胆翻译，助力论坛『区块链安全』开设第四棒！

4、[原创]看雪安全峰会—《从WPA2四次握手看KRACK密钥重装攻击》

5、[原创]2018看雪CTF第十五题WP

前言

来自国外的Threat Stack网络安全团队的研究人员表示黑客利用正在利用商业云服务平台的特性对目标用户发起恶意活动，并隐藏自己的行踪。

越来越多的证据表明，黑客正在将目光对准云服务用户，利用公共云平台常见的功能来隐藏活动以长驻目标网络进行恶意活动。

来自Threat Stack网络安全团队数年来一直在跟踪和观看黑客利用云服务的模式。一个明显的分水岭是2016年，他们注意到利用亚马逊网络服务（AWS）进行攻击的复杂性陡然上升。在2017年这种趋势更加明显。该团队指出，问题不在于AWS服务和软件存在漏洞，而在于黑客能够以巧妙的方式利用它的特性。

举个简单的例子：

黑客通常可以通过窃取AWS密钥来获得存储在开放S3容器中的资源路径，或者启动新的Amazon Elastic Compute Cloud（EC2）来挖矿。这种情况已经很常见了，在过去的几年里配置错误的S3容器好几次都登上了头条新闻。亚马逊强调默认情况下S3容器是安全的;，还推出了Macie以保护AWS S3数据，并通过Trusted Advisor提供免费的容器检查。

针对亚马逊推出的一系列安全服务，黑客这边也没有闲着。利用AWS进行恶意活动变得越来越复杂，针对性越来越强，可与基于网络的入侵攻击相结合。

工作原理

大多数这些攻击都始于凭证被窃取，黑客通过网络钓鱼窃取访问密钥或凭据，部署恶意软件以获取用户名和密码，或者是其他感兴趣的信息。

在获取凭证之后，下一步是确定可以获得的权限级别。如果没有黑客想要的东西，他可能会尝试在AWS中创建其他账户或凭据，然后在目标环境中启动新的EC2实例。

此时，黑客可在网络中调用EC2实例来扫描主机。登陆新主机后，黑客会检查其AWS权限。如果只是在寻找少量数据，那么在受感染的终端或主机上绕过DLP工具即可。具体怎么做取决于黑客的动机。

行为模式

这种情况通常出现在针对性的持续攻击中，黑客试图获得对特定数据的访问权限，包括制造业、金融业和高科技行业等都是他们的热门目标。

如何获取数据和数据量多大还是取决于目的。举个例子，如果公司存储医疗保健信息或选民记录，则黑客可能会批量查找数据。而黑客瞄准媒体公司的话，可能只想要知道即将发布的产品信息或更具体的内容，这样只要复制和粘贴或截取屏幕截图即可，这种方式更难察觉到。

总结

在AWS场景中，横向攻击难以被检测到的一个原因是，大多数安全监控技术都假设攻击者潜入主机并升级权限。而在这种情况下，黑客会尽量离开主机层返回到AWS控制平面，大多数安全人员可能都不会注意到这种操作。

*参考来源：DARKRing，Freddy编译整理，转载请注明来自 FreeBuf.COM

2、Google 披露 Fortnite Android 版安全漏洞，Epic 抨击 Google 不负责任

3、小米有品回应信息泄露：供应商内部漏洞 已报警

前言

诸如智能家居等形式的物联网设备正在深入人们的生活，在企业环境中物联网设备早已无处不在。因此物联网安全的重要性也越来越高，本文罗列了7个物联网应用的薄弱点供大家参考。

A. 千奇百怪的网页用户界面

用户都喜欢一个好看、好用的网络交互界面。在物联网应用领域，网络用户界面可用于实现设备的控制、设置和集成功能，如使用多个智能LED灯泡构建Mesh网络等。功能很多，随之而来的问题也不少。

网页用户界面

物联网设备的用户界面和企业网络安全领域的痛点类似，虽然不会被SQL注入这种问题困扰，但命令注入、跨站点脚本和请求伪造等手段仍可为犯罪分子大开方便之门，黑客可获取完整的系统权限并随时访问设备，监控甚至干扰用户的生活。

好在大多数物联网设备的网页界面安全问题可以部署常规解决方案，比如验证输入、强密码、不公开凭据、限制密码重试次数以及可靠的密码和用户名恢复流程等。

B. 被忽视的身份验证步骤

人们在选购物联网设备时，注意力往往会放在功能是否丰富这一点上，如控制家居产品、居住环境（如空调或者灯光氛围）、通过音视频对区域进行监控等功能，在帮助用户监控区域安全的时候，很少有厂商将设备的安全性当成卖点来吸引用户。这也从侧面反应出厂商和用户多少对设备本身的安全性重视得不够。很多物联网应用都缺乏对于身份的基本验证步骤，而有认证步骤的其实做得还不够。

对于物联网应用而言，需要两种类型的身份验证：

用户身份验证。鉴于物联网环境的复杂性，是否要求特定区域中的每个物联网设备进行安全认证，还是一次认证即可通行整个生态系统，这是在产品设计时厂商们常常面临的问题。大多数系统设计人员因为便利性而选择后者，这样一来，对于处在该物联网系统中心的设备或各设备共用的统一入口而言，可靠的身份认证步骤绝对不能少。

设备身份验证。由于用户不会在每个设备上进行身份验证，因此物联网中的设备应进行互相的身份验证，防止黑客将一些不受信任的设备，如被黑的路由器等，接入该网络。

解决上述风险的思路和第一条一样，就是要重视物联网应用的开发，不要光卖硬件，将配套的固件/软件当作卖点来开发。没有用户界面，设备间只是各种API接口的调用，因此无需设备的身份验证这种理由可以束之高阁了。

C. 千篇一律的默认值

用户名是“Admin”，密码也是“Admin”，这种情况在一些普通的路由器上很常见。用户用起来方便，不过“别人”用起来也方便。现在这个问题跑到了物联网设备身上。

默认的用户凭证信息会为物联网设备的安全带来巨大的风险。如果网络被黑客入侵，通过简单的猜解即可进入设备后台，获取端口信息、为每个用户设置管理员权限、设置网络参数等，这些都是和网络安全息息相关的设置。不仅是入口设备，整个系统中的设备都有可能被黑客全面接管。

除了完善入口网络或者基础设备的安全性之外，为每台产品设置不同的默认值将会是一个简单有效的方法。这一点主要还是厂商要付出努力，相比网页用户界面和身份验证体系的开发而言，要解决这个问题相对来说比较简单。

D. 不受重视的固件漏洞

物联网设备的硬件和软件两个领域发展历史不长，技术积淀也不够厚重，所以漏洞也频发。

开发人员也会经常积极推出漏洞补丁或者是功能性的更新。问题是它不像手机操作系统，对于用户而言难以感知，有时候哪怕是知道有新的固件，也懒得去更新。还有一种情况是，没有用户界面的物联网设备也是进行固件更新的一大障碍。

一般情况下，物联网设备放在某个地方时候就不会怎么移动，这样就给黑客提供了充裕的时间来实验各种方法和手段。之前发生的巴西20多万台路由器被劫持用于挖矿就是一个典型的例子，厂商早在漏洞发现后的第一时间里发布了新版固件，但是数月后仍有很多用户由于各种原因没有部署该固件，从而导致海量路由器被大面积劫持。

因此，有新的就用新的，要是实在用不了，看到了相关问题也要留个心眼，通过其他方法，如增加/调整网络防火墙、提升安全检查的频率来加固系统。

E. 人见人爱的云端

物联网设备的蓬勃发展离不开国内外各大厂商对于云端系统的大量投入，现在没有几个消费电子领域和商业领域中的物联网系统，能够不依赖云端进行大量的任务处理和命令识别和运行等操作。如果要进行语音识别/交互时，这就更跑不开了，而设备与云端建立的链路可能成为一个薄弱点。

物联网设备与云端通信所用的消息类型多种多样，有简单的数据包传递，也有会语音和视频流的发送，处理任务列表、日历事件，以及运行DevOps框架和工具指令等高级任务也是常见。这些敏感数据流是否通过加密隧道传输？你知道吗？

这里的问题前面几个一样，主动权并不掌握在用户手里。设备采用哪款物联网芯片？接入哪个云平台？使用的API接口是什么？接口支持的加密协议有哪些、启用了哪个？如果身边有物联网设备的朋友可以自己问问自己清楚这些问题的答案否。

用户侧目前能做的只有加固防火墙、部署入侵防御系统（IPS）设备或是其他安全工具来做些弥补。

F. 难以防御的内部根源

写得不好的物联网应用程序对于网络防火墙来说也是个大麻烦，恶意代码/信息可以搭乘获得防火墙信任的物联网设备数据流自由进出，好比是在防火墙上挖来了一个洞。

物联网设备通过网络内部调用其控制服务器，然后通过心跳信号来维护链路。建立连接后，攻击者可以利用未加密和未经身份验证的流量漏洞，在开放链路发送/传输恶意流量。这样的话黑客就可以从外部进入用户的系统并利用物联网设备的漏洞进行恶意活动。

有些人可能会说黑客要预先知道设备的连接类型才能利用漏洞，他们可能没有听说过Shodan。通过简单的Shodan搜索，可以在不花费太多精力或时间的情况下找到各种设备、通信方式和开放端口。定位到设备之后就可以使用简单的脚本实现自动化攻击。

G. 一半是天使，一半是恶魔的通信协议

工业控制领域的通信协议，如MQTT的应用面非常广泛，通信协议本身并没有什么问题，而是实现它们的方式导致海量的系统遭受安全风险。

以前，工业控制安全的模式很简单：

首先，系统要尽可能少地连接到任何广域网络；

接下来，就看谁想要攻击工业控制系统了。

现在越来越多的工业控制系统依托于互联网，这就变成了各路黑客的香饽饽和练手的对象，都希望能够通过各种协议访问或控制物联网设备，获取能够卖掉的数据或是搞点破坏。

总结

保护物联网部署的关键是知识：了解物联网中实际部署的内容、这些设备在网络上的作用以及本地设备与其依赖的云系统之间的数据流。

*参考来源：DARKReading，Freddy编译整理，转载请注明来自 FreeBuf.COM。

2、19岁黑客用SIM卡交换诈骗加密货币 购买迈凯伦跑车

据报道，美国警方逮捕了一位加州利用SIM卡交换技术实施诈骗的诈骗者，19岁男子Xzavyer Clemente Narvaez利用SIM卡交换技术劫持交换了多位手机用户的手机号码，并以此访问受害者的数字加密币账号和社交信息，盗取了大量的比特币及其他种类数字加密货币。 

SIM卡交换是指将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。一旦黑客收到电话号码，他们就可以用来重置受害者的密码并侵入他们的账户，这其中就包括了加密货币交易所的账户。许多在线服务都是用手机号码验证身份，也为黑客开启了后门。

据报道他用获得的非法收入购买了各种奢侈物品，包括20万美元的迈凯伦跑车。损失最多的受害人报道被窃取了等值15万美元的数字加密货币。

来源：cnBeta.COM

3、澳大利亚禁止华为参与 5G 网络建设

澳大利亚政府禁止中国电信巨头华为为其 5G 移动网络提供设备，理由是存在遭受外国干预的风险。澳大利亚的立场与美国相似。美国也以国家安全担忧为由限制或禁止使用华为的电信设备。澳大利亚政府在声明中称，“那些可能受制于外国政府法外指令的”供应商，将使其网络容易受到未经授权的访问或干预。声明没有指明是哪家中国公司，但一位不愿透露姓名的政府官员称，这项命令针对的是华为，旨在阻止其参与 5G 网络。华为通过推特表示此举“对消费者来说是一个极其令人失望的结果”。

来源：solidot.org 

针对微软公司所说的“俄黑客试图干扰2018年美国国会中期选举”一事，当地时间8月21日，俄罗斯外交部发表声明称，微软公司上述说法毫无证据。日前美国微软公司发表声明称，俄罗斯黑客组织已参照美国哈德森研究所、国际共和研究所以及国会参议院官方网站建好了虚假网站，诱骗访问者点击进入，从而达到入侵访问者电脑的目的。

对于这种说法，俄外交部当天发表声明称，微软公司的说法毫无证据，明显是在最大程度地哗众取宠。

俄外交部说，对微软这样在俄经营多年的大型美国企业也不得不参与反俄活动而感到遗憾。

俄外交部表示，俄方一直以来提议就网络安全问题与美方举行工作组会议。会议上俄美专家可就具体问题进行讨论。“但很明显，美国同行们不想出示任何所谓俄方干涉的证据”。“他们其实也没有(证据)，也无法出示”。

当天俄总统新闻秘书佩斯科夫也表示，微软方面的说法“没有任何一点可被证实”。

自特朗普当选美国总统以来，美国会以及独立检察官一直就“俄黑客影响美国大选”等事件进行调查，目前已有多家俄公司和数名俄黑客被起诉。

2018年11月，美国国会将迎来中期选举。美国有政客呼吁，应避免2016年总统大选事件重演。对于相关调查和类似呼吁，俄方多次表示，所谓的“俄干涉美大选”根本不存在。

来源：cnBeta.COM

美国范德堡的大学的一位计算机科学家本周二发布报告，对谷歌的数据收集行为展开了分析。这份报告显示，谷歌会利用搜索引擎、网络浏览器、移动操作系统、Gmail、YouTube和Nest等产品和平台收集数十亿人的数据。

虽然这份报告并未包含轰动性消息，但却可可以帮助我们大致了解谷歌为了尽可能获得用户信息所采取的各种措施。这份报告正值外界对科技公司的数据保护措施愈发担忧之际，人们希望了解这些企业的究竟收集了多少信息，如何利用这些信息以及如何确保数据安全。但由于Facebook最近成为众矢之的，所以谷歌受到的关注大幅减少。

“在剑桥分析丑闻曝光后，人们显然都很关注Facebook。” Digital Content Next CEO詹森·金特（Jason Kint）说，“这份报告展开了量化分析，而且建立了一条基线，让人们了解谷歌所作的一切。”Digital Content Next是一家贸易组织，他们代表包括CNN在内的许多媒体内容发布商。这份报告就由Digital Content Next负责发布。

但谷歌发言人回应称：“该报告由专业的华盛顿游说团体委托制作，撰写报告的人是甲骨文与谷歌打官司时的证人。所以，这就难怪其中会包含很多误导信息了。”

该报告称，谷歌收集的信息远多于Facebook，而且该公司还是全球最大的数字广告公司。从Android到谷歌搜索，再到Chrome和Google Pay，其庞大的服务组合创造了一个数据水龙头。

道格拉斯·施密特（Douglas Schmidt）教授和他的团队在Android手机向谷歌服务器发送数据的过程中对其进行拦截。他们还对谷歌通过其My Activity和Google Takeout工具提供给用户的信息进行了分析，并参考了谷歌的隐私政策以及之前针对这类问题展开的研究。

这些研究人员表示，你在网上的一举一动几乎都会被收集和整理，从音乐品味、上班路径和新闻偏好，到日程安排、网页访问和购买记录都包含在内。

该报告称：“总之，谷歌可以非常精确地判断用户的兴趣。”

即使在你不使用手机的时候，谷歌仍然可以收集你的数据。这项研究表示，当Android手机处于休眠状态时，如果Chrome浏览器在后台运行，便可在24小时内向谷歌服务器发送340次地理位置。该研究称，在经过一天“典型的”上网活动之后，Android设备向谷歌服务器传送的数据达到11.6MB。

这些数据包含了用户使用谷歌搜索和谷歌地图查询信息时提供的内容。但在此次研究中，谷歌有三分之二的数据是在用户没有输入任何信息的情况下收集的。Android操作系统、Chrome浏览器、谷歌搜索、谷歌地图、Google Analytics网站工具和AdWords广告系统，都会在用户不知道或无法控制的情况下，通过网络搜索、地图请求以及其他活动收集信息。

谷歌曾经表示，该公司使用其中的大量数据来改进产品。例如，这些信息可以帮助其提高搜索结果的相关性。但他们也会使用很多信息来提升广告效果，这在今年第二季度为其贡献了大约86%的营收。谷歌越是了解用户的兴趣，就越能提升广告的精准度。

多数人早已明白：免费使用谷歌的产品就意味着要提供自己的数据。所以该报告并没有阐述加强隐私保护的有效方法。

谷歌自己的设置也未必能阻止这种数据搜集活动。美联社最近的调查显示，即便是在用户关闭了位置历史选项后，该公司仍然会记录定位数据。

研究人员表示，从Android转用iOS之后，便可尽可能减少数据收集数量。他们认为，除非使用谷歌产品或者访问使用谷歌追踪工具的网站，否则iOS设备通常不会把定位数据发送给谷歌。但研究人员并未与iPhone发送给苹果服务器的数据进行对比。

不过，即便是在iPhone上，使用Safari并删除所有的谷歌应用之后，用户仍然会通过广告和网站工具与谷歌分享信息。谷歌还拥热门的营销和在线广告服务。

“几乎不可能在不让谷歌收集你的数据的情况下，在数字世界里从事任何事情。”金特说。

来源：网易科技

2、Google 开始向 Gmail 移动用户推送“保密模式”

3、美国22个州联名诉FCC 要求恢复"网络中立"规则

从图中可知，基于侧信道的推测执行攻击主要有五种形态，包括熔断/幽灵（含变体）以及L1TF（一级缓存终端故障），即便是尚未发布的Cascade Lake处理器（新至强），也仅仅在V3（幽灵）和V5（L1TF）上实现了硬件免疫，V1/V2/V4仍需要操作系统/虚拟机管理器、固件（主板BIOS）等升级来防御。

因此，Intel所谓的性能拉回正轨的还存在变数。

Cascade Lake其它特性：

按照PPT，Cascade Lake-SP和Skylake-SP（现款Xeon可扩展处理器）同属Purely Platform，接口完全兼容。规格方面，互联架构、最高28核56线程、48条PCIe通道、6通道DDR4内存等都保持一致。

 

当然，Cascade Lake会支持一种新扩展指令集AVX512_VNNI用于加速深度计算和AI相关负载。另外，Cascade Lake将率先支持Optane非易失DIMM内存条，单通道（128G LRDIMM+512GB Optane），也就是单路处理器平台最大3840GB。

根据Intel Business官推，傲腾非易失性DIMM内存条（128GB/256GB/512GB）已经在8月份开始出货了。

来源：快科技 

2、史上最大数据泄露案告破 上市公司竟窃取30亿用户信息

3、美国科技巨头大力游说 印度数据本地化方案遇阻

北京时间8月20日下午消息，据消息人士透露，美国科技巨头们正计划加强游说力度，以应对印度更严格的数据本地化要求。这些巨头称，数据本地化将破坏他们在印度的发展。代表亚马逊、美国运通和微软等公司的美国贸易组织已经对印度打算在本地存储数据的计划提出反对。