2021年8月31日 星期二

今日资讯速览：

1、知名勒索软件团伙Ragnarok宣布解散 并免费发布解密密钥

2、柏林Xayn公司推出保护隐私的桌面版搜索服务

3、Instagram将开始要求用户提供他们的出生日期

1、知名勒索软件团伙Ragnarok宣布解散 并免费发布解密密钥

Ragnarok 是 2019 年开始活跃的一个勒索软件团伙，因对未打补丁的 Citrix ADC 服务器发起攻击后而打响名声。现在该团伙宣布解散并关闭，并为受害者免费发布了解密密钥。

该团伙有时候也被叫做 Asnarok，上周在门户网站上列出了 12 名受害者之外，还分享了如何解密文件的简短说明。伴随着解密器的发布，EMSIsoft 的专家确认其中包含主解密密钥。这家以帮助勒索软件受害者进行数据解密而闻名的安全公司还发布了适用于 Ragnarok 勒索软件的通用解密器。

Ragnarok 以使用 Ragnar Locker 勒索软件来攻击 IT 网络而闻名。在利用 Citrix ADC 漏洞搜索易受 EternalBlue 漏洞攻击的 Windows 计算机（现在臭名昭着的 WannaCry 攻击背后的相同漏洞）后。该团伙声称有数十名受害者，并且已经支付了超过 450 万美元的赎金。

2020 年 4 月，该团伙窃取了属于葡萄牙能源巨头 EDP 的 10 TB 数据，并威胁说如果不支付 1090 万美元的赎金，就将其泄露。该团伙继续从意大利白酒巨头金巴利集团的服务器中窃取多达 2TB 的数据，包括银行对账单、员工记录和名人协议，并要求其交出 1500 万美元的赎金。

而在 11 月，这个短暂的勒索软件团伙还瞄准了日本视频游戏巨头 Capcom， 它是街头霸王、生化危机和鬼泣等游戏的幕后推手。据报道，该团伙从 Capcom 的系统中窃取了 390,000 名客户、业务合作伙伴和其他外部方的个人数据。

由于没有正式的离职通知，目前尚不清楚 Ragnarok 似乎决定退出的原因。但面对美国政府越来越大的压力，其他勒索软件团伙采取了类似的自毁策略，今年早些时候，美国政府将勒索软件列为国家安全威胁； JBS 袭击案的幕后黑手 REvil 神秘地从互联网上消失，而 Colonial Pipeline 事件幕后的幕后黑手也宣布退休。【阅读原文】

2、柏林Xayn公司推出保护隐私的桌面版搜索服务

总部位于柏林的Xayn公司正在做无广告、个性化、隐私安全的搜索，作为谷歌等广告技术巨头的替代产品。现在它已经扩大了其产品范围，推出桌面版产品，目前仅提供测试目的。

桌面版Xayn WebBeta被描述为该产品的"轻量级网络版"，具有与移动应用类似的功能，当然也有区别，比如不能像Xayn的移动应用那样在内容上滑动以表示兴趣/不感兴趣。Xayn本身并不是一个浏览器，但是它有点越界，因为除了私人搜索，它还通过填充一个以发现/新闻源形式组织的内容片段，提供一种应用内浏览体验。

用户可能会注意到，在桌面浏览器中加载该软件时，会有短暂的滞后（在移动端也是如此），因为Xayn人工智能会找出要填充的信息。当用户第一次启动软件时，当人工智能侦测到有用户喜好的个人浏览内容时，重复访问的时间似乎会稍长。

在桌面Xayn上，用户可以通过将鼠标悬停在绿色（喜欢）或粉色（不喜欢）条旁边，对某一特定内容发出喜欢或不喜欢的信号，这些条分别出现在内容框的左侧和右侧，然后点击弹出的向上（或向下）的拇指图标。如果用户真的不需要加入另一个feed，用户可以关闭发现视图，在加载时只有一个搜索栏。

Xayn的学习型人工智能可以通过点击右上方的大脑图标随时关闭。用户也可以通过清除用户的浏览数据来手动重置人工智能学习。Xayn吸引用户的另一个特色是没有广告。Xayn是无广告，而其他无跟踪的私人搜索引擎（如DuckDuckGo或Qwant），它们往往依赖于显示上下文广告。另外，Xayn智能搜索算法是开放源代码的。

Xayn桌面版的其他功能包括"深度搜索"，让用户通过简单的点击就能看到相关内容的个人参考库来深入了解一个主题，以及一个类似于书签的产品，让用户通过创建、填充和管理收藏来收集和存储他们喜欢的网络内容。

此外，除了本身无广告外，Xayn还内置了一个广告拦截器，拦截第三方网站的广告，以获得它所说的"无噪音"的浏览体验。它在桌面上的第一个重点是支持基于Chromium的浏览器和Firefox，因此Safari用户将需要切换到一个支持的浏览器，以启动Xayn WebBeta。据该公司称，Xayn的移动版产品早在12月就已推出，自那时起，全球下载量已超过25万次。【阅读原文】

3、Instagram将开始要求用户提供他们的出生日期

据外媒报道，Instagram最近宣布了旨在保护年轻用户安全的变化，但这些功能取决于对用户年龄的了解。为此，Instagram表示，它已经开始要求用户提供他们的出生日期，假设用户还没有提供这些信息。除此之外，该公司表示，通过提供这些信息，它还能为用户提供个性化的体验。

几年前，Instagram首次开始询问用户的出生日期--而且据该公司称，它已经掌握了大多数用户的详细信息。然而，对于那些尚未向Instagram确认其年龄的用户，他们在打开应用程序时将看到一个新的提示，要求他们添加自己的出生日期。

该提示包括一个链接，以了解更多关于Instagram希望获得该信息的原因，以及通过点击  “Not Now”来避免提供该细节的选项。这种缓和只会在短时间内提供；如果用户多次拒绝该提示，Instagram称他们最终会被要求提供信息以继续使用该应用。

除此之外，Instagram将要求用户分享他们的出生日期信息，然后才能查看被警告屏幕隐藏的帖子。这也适用于尚未与Instagram分享其出生日期的用户。该公司承认，一些用户可能会提供一个假的出生日期来绕过基于年龄的限制。

该公司表示，它正在使用人工智能来确定用户是否有可能与他们所提供的年龄不同。如果人工智能发现用户的出生日期有潜在的问题，Instagram说该用户会有各种选项来确认他们的出生日期。这个由人工智能驱动的年龄验证功能目前被列为“早期阶段”。【阅读原文】

2021年8月30日 星期一

今日资讯速览：

1、欧盟机构发出建议：不应该将搜索查询和上网历史用于公民征信

2、韩国今日将开创先河 禁止苹果谷歌强制开发者使用其支付系统

3、加拿大魁北克疫苗护照应用的QR码安全性受到质疑

1、欧盟机构发出建议：不应该将搜索查询和上网历史用于公民征信

欧洲数据保护机构本周四发布建议[PDF]，不应该将搜索查询和互联网浏览历史等个人数据用于公民征信和相关评估。该建议来自欧洲数据保护监管机构 (EDPS)， 该机构是一家隶属于欧盟的独立机构，负责“就与个人数据处理相关的所有事项”向政策制定者提供建议。

在本周四发布的一份文件中，EDPS 认为：“从搜索查询数据或在线浏览活动等数据推断消费者的信用风险与目的限制，这与公平和透明以及数据处理的相关性、充分性或相称性原则不相符。因此，EDPS 建议明确将禁止范围扩大到搜索查询数据或在线浏览活动”。

此外，该机构建议金融和信贷服务提供商也不得使用健康数据，例如癌症数据，以及 GDPR 第 9 条规定的任何特殊类别的个人数据来计算信用评分。该机构补充说：“确保在处理个人数据时遵守相称性原则也有助于保护消费者免受不公平信贷优惠（例如高成本发薪日贷款）的脆弱时刻”。

EDPS 的这项建议是在欧盟委员会于 2021 年 6 月 30 日提议修订两套欧盟规则之后提出的，其中包括更新欧盟关于消费者信贷协议的旧指令 (2008/48/EC)。

值得注意的是，虽然 EDPS 的建议涉及大量主题，但该机构的官员出于某种原因解决了使用在线浏览历史进行信用评估的问题。

也就是说，该机构正在解决去年 12 月发表的国际货币基金组织的一篇有争议的博客文章，其中 IMF 研究人员认为，如果金融评估能够用非金融数据点来丰富，例如“浏览器的类型”和用于访问互联网的硬件、在线搜索和购买的历史记录。”【阅读原文】

2、韩国今日将开创先河 禁止苹果谷歌强制开发者使用其支付系统

北京时间8月30日消息，韩国预计将在今天成为世界上首个通过立法，终结苹果、谷歌支付系统在各自应用商店主导地位的国家。苹果、谷歌在印度、美国等全球各国运营着利润丰厚的应用商店，韩国此举可能会为他们设定一个激进的先例。

苹果、谷歌应用商店的支付额

韩国周一要表决的是《电信业务法》修订案，它在韩国也被称为“反谷歌法”，会强制企业允许用户自由选择应用支付提供商。鉴于执政党在韩国立法机构占绝大多数，《电信业务法》修订案几乎肯定会在韩国国民大会的投票中通过。这将为《堡垒之夜》开发商Epic等公司直接与用户交易，绕过苹果和谷歌的抽成打开大门。

“这可能会引发多米诺骨牌效应，”研究机构Omdia数字消费者平台分析师古尔摩·埃克斯菲特(Guillermo Escofet)表示，“北美和欧洲的监管机构、立法者以及诉讼人也会审查应用商店收费规则，最重要的政治氛围已经不利于巨大权力集中在科技巨头手中。”【阅读原文】

3、加拿大魁北克疫苗护照应用的QR码安全性受到质疑

在安全研究人员和黑客表明加拿大魁北克省的移动验证系统存在许多安全问题后，一个疫苗护照iOS应用程序的缺陷被揭开。魁北克省发布了其VaxiCode应用程序，这是该省的COVID-19疫苗接种护照，旨在提供一种通过手机来证明一个人的疫苗接种状况的方法。在其发布后不久，整个系统的安全性已经受到质疑。

一位被称为"路易斯"的计算机程序员成功地推翻了魁北克省数字转型部长Eric Caire的说法，即该系统生成的二维码"不能被伪造、修改或复制"。在加拿大广播公司CBC的报道中，该男子设法为一个不存在的人制作了一份假的疫苗接种证明。

在VaxiCode应用程序中存储该证明后，该证明能够骗过VaxiCode Verif配套应用程序，该应用程序旨在为企业验证文件。

"老实说，我对自己能够如此轻易地穿透系统感到惊讶，"这位程序员说。

安全问题并不仅仅局限于制造假证明。周四，据报道，一群黑客甚至能够获得总理Francois Legault、市长Valerie Plante、魁北克卫生部长Christian Dube的二维码，以及省内反对派的疫苗证明。

这些二维码包含一些信息，包括姓名、出生日期、接种日期和使用的疫苗类型。Caire淡化了这个问题，坚持认为该系统使用起来很安全。

该系统旨在尽可能简单，以鼓励采用，但Caire说该省可以使获得二维码的过程更加复杂，以提高安全性。

Caire还说，公民还必须出示带照片的身份证明，才能去需要疫苗接种护照的场所。"故事的核心是证明你的身份，"凯尔说。"我想说得很清楚，二维码没有被伪造，没有被修改，它仍然是安全的。"

魁北克省从9月1日起强制要求在一些活动中使用疫苗接种护照，包括坐在酒吧或餐馆里，去节日或健身房，以及其他有高传播风险的情况。

这些问题导致魁北克团结会发言人Gabriel Nadeau-Dubois向魁北克省长Legault发出一封信，称这种情况是"不可原谅的混乱"。信中要求总理解决这个漏洞，"否则，需要考虑暂停疫苗护照，直到找到一个长期的解决方案"。【阅读原文】

2021年8月27日 星期五

今日资讯速览：

1、微软警告数千名云服务客户：数据库或被暴露

2、全新SideWalk后门攻击针对美国电脑零售业务

3、一起钓鱼网络攻击泄露了Revere Health 12000名患者的医疗信息

1、微软警告数千名云服务客户：数据库或被暴露

据报道，微软的一封电子邮件和一位网络安全研究员表示，该公司在周四警告了数千名云计算客户，包括一些世界上规模最大的企业，入侵者可能有能力阅读、改变甚至删除其主要数据库。这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现，它能够访问控制数千家公司持有的数据库访问权的密钥。

Wiz公司首席技术官阿米·卢特瓦克（Ami Luttwak）是微软云安全集团的前首席技术官。

由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。

微软发言人拒绝立即就此事置评。

微软在发给客户的电子邮件中写到，他们当前已经修复了这个漏洞，而且没有证据表明这个漏洞已经被利用了。该公司写道：“没有迹象表明研究人员（Wiz）以外的外部实体能够访问主要的读写密钥。”

卢特瓦克说道：“这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是Azure的中央数据库，我们能够获得我们想要的任何一个客户的数据库的访问权限。”

卢特瓦克透露，他的团队在8月9日发现了这个被命名为ChaosDB的漏洞，并且在8月12日将此问题报告给了微软。

几个月之前，微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵，他们盗取了微软的一些源代码。不久前，微软还重新修复了一个问题，该问题允许计算机被打印机接管。

上周，Exchange的一个电子邮件缺陷引发了美国政府的紧急警告，客户需要安装几个月前发布的补丁，因为勒索软件团伙现在正在利用这个缺陷。【阅读原文】

2、全新SideWalk后门攻击针对美国电脑零售业务

斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击，被认为与Winnti umbrella组织有关，并指出其与另一个被称为Crosswalk的后门相似，后者在2019年被同一黑客组织使用。

SideWalk是一个模块化的后门，可以动态加载从其C&C命令和控制服务器发送的附加模块，利用Google Docs作为死循环解析器，以及Cloudflare作为C&C服务器，它还可以适当处理代理背后的通信。自2019年首次出现以来，SparklingGoblin与几个针对香港大学的攻击有关，使用Spyder和ShadowPad等后门，后者近年来已成为多个中国黑客集团的首选恶意软件。

在过去的一年里，这些集团袭击了世界各地的广泛组织和垂直行业，特别是位于巴林、加拿大、格鲁吉亚、印度、澳门、新加坡、韩国、台湾和美国的学术机构，其他目标实体包括媒体公司、宗教组织、电子商务平台、计算机和电子产品制造商以及地方政府。

SideWalk被描述为一个加密的壳代码，它通过一个.NET加载器部署，该加载器负责从磁盘上读取加密的壳代码，对其进行解密，并使用进程空心化技术将其注入合法进程。感染的下一阶段是SideWalk与C&C服务器建立通信，恶意软件从Google Docs文档中检索加密的IP地址。

除了使用HTTPS协议进行C&C通信外，SideWalk还被设计为加载从服务器发送的任意插件，积累有关运行进程的信息，并将结果外泄回远程服务器。SideWalk是SparklingGoblin APT组织使用的一个以前没有记录的后门。它很可能是由CROSSWALK背后的相同开发者制作的，它与CROSSWALK共享许多设计结构和实施细节。【阅读原文】

3、一起钓鱼网络攻击泄露了Revere Health 12000名患者的医疗信息

据外媒报道，根据医疗保健公司Revere Health上周五发布的新闻稿称，一名医疗保健员工沦为一个网络钓鱼邮件攻击的对象，由此泄露了约1.2万名患者的一些医疗记录--其中包括圣乔治的心脏病患者。

Revere Health营销和沟通主管Bob Freeze表示，6月21日，这名员工的电子邮件被侵入了约45分钟，并由此泄露了圣乔治迪克西心脏心脏病科患者的一些信息。该公司认为黑客的目的并不是公布病人的医疗信息，而是为了向Revere的其他员工发起更复杂的网络钓鱼邮件攻击。

Revere Health在对该漏洞进行了两个月的调查后得出了这一结论，他们发现患者的医疗信息没有被分享到网上分享，另外还认为该漏洞对受影响患者的影响为“低风险”。Freeze表示，该公司已经联系了受影响的患者并建议他们密切关注他们的任何医疗信息是否被共享。

据该新闻稿称，通过此次泄露获得的信息包括医疗记录号码、出生日期、提供者姓名、程序和保险提供者姓名。据Freeze披露称，此次数据攻击没有泄露信用卡等财务信息。

网络钓鱼邮件攻击是黑客获取敏感记录和信息的常见方式。据美国联邦贸易委员会(FTC)称，这些网络钓鱼攻击通常看起来像是来自可靠公司的合法邮件，它会要求用户打开一个附件--通常是一个网页链接，一旦用户打开附件就可能安装恶意软件窃取某人的信息。【阅读原文】

2021年8月26日 星期四

今日资讯速览：

1、微软谷歌将在5年内投资300亿美元用于加强网络安全

2、谷歌今年或向苹果支付150亿美元维持Safari默认搜索引擎地位

3、黑客组织窃取国家敏感数据，试图扳倒现任总统

1、微软谷歌将在5年内投资300亿美元用于加强网络安全

苹果、谷歌、微软等美国科技巨头的CEO在昨天出席了与美国总统乔·拜登的网络安全会议，在会议后谷歌、微软、苹果都表示要加强网络安全，其中谷歌已宣布会在5年内投资100多亿美元增强网络安全，微软也宣布会在未来5年投资200亿美元加强网络安全，苹果CEO库克也作出类似承诺，但未公布投资金额。

在各公司的公告中，谷歌表示计划在五年内投资100亿美元来加强网络安全，并计划通过其职业证书计划在技术领域培训10万名美国人。微软承诺在五年内投入200亿美元提供更先进的安全工具，并将投资1.5亿美元帮助政府机构升级他们的安全系统。

IBM计划在三年内培训超过15万人的网络安全技能，并宣布为关键基础设施公司提供新的数据存储解决方案。亚马逊网络服务计划为账户持有人提供免费的多因素身份验证设备以提高安全性，并且还将提供安全意识培训。

在会议期间，美国总统拜登要求科技高管帮助改善关键基础设施和经济的网络安全，敦促他们培训更多的网络安全劳动力，并改善其所在行业的网络安全。【阅读原文】

2、谷歌今年或向苹果支付150亿美元维持Safari默认搜索引擎地位

据9to5Mac报道，众所周知，谷歌每年都会向苹果支付一笔巨款，以确保其继续成为iPhone、iPad和Mac上的默认搜索引擎。现在，Bernstein公司分析师的一份新报告表明，2021年谷歌向苹果支付的费用可能达到150亿美元，高于2020年的100亿美元。

Bernstein的分析师估计，2021年谷歌对苹果的付款将增加到150亿美元，2022年将达到180亿至200亿美元。这些数据是基于「苹果公开文件中的披露，以及对谷歌TAC（流量获取成本）支付的自下而上的分析」。

Bernstein公司的分析师Toni Sacconaghi说，谷歌很可能是「为确保微软不出价竞争而买单」。分析师们概述了谷歌向苹果付款的两个潜在风险，包括监管风险和谷歌认为这笔交易不值。

据介绍，苹果决定保留谷歌作为iPhone、iPad和Mac的默认搜索引擎，多年来受到越来越多的批评。在今年早些时候的一次采访中，苹果公司的全球隐私高级主管Jane Horvath为这项交易提供解释:「现在，谷歌是最受欢迎的搜索引擎。我们确实将谷歌作为默认搜索引擎，但我们也有对DuckDuckGo的内置支持，我们最近还支持了Ecosia搜索引擎」。【阅读原文】

3、黑客组织窃取国家敏感数据，试图扳倒现任总统

作为推翻现任总统亚历山大·卢卡申科及其政权的斗争行动之一，白俄罗斯的反对派实施了一项大胆的黑客攻击，并成功入侵了数十个警察与内政部数据库。

黑客们自称为“白俄罗斯网络游击队”，并于最近发布了庞大数据库中的一部分窃取内容，包括该国最秘密的警察与政府数据库。根据采访以及审查结果，可以证实这些信息包含受到指控的警察线人名单、政府高级官员及间谍个人信息、收集自警用无人机与拘留中心的视频片段，以及来自政府窃听系统的秘密电话录音等。

黑客从白俄罗斯拘留中心内收集到的视频截图，抗议者被关押并据称遭到殴打。

在被盗文件中，还有关于卢卡申科核心权力图及情报官员的个人详细信息。文件显示，有死亡率统计数据表明，白俄罗斯死于新冠疫情的人数要比政府公开承认的多出数千。

黑客们通过采访和社交媒体指出，他们还入侵了白俄罗斯的240多个监控摄像头，并准备使用名为X-App的恶意软件攻陷政府计算机。【阅读原文】

2021年8月25日 星期三

今日资讯速览：

1、诺基亚子公司遭遇勒索软件攻击

2、微软云平台暴露3800万条客户数据：因默认配置不当

3、黑莓承认：因为漏洞疏忽，2 亿汽车恐被攻击

1、诺基亚子公司遭遇勒索软件攻击

近日，诺基亚子公司SAC Wireless披露在遭遇勒索软件Conti攻击后发生了数据泄露事件。Conti勒索软件运营者成功入侵其网络、窃取数据（250GB）并加密了系统。

SAC Wireless公司与美国各地的电信运营商、主要信号塔所有者和原始设备制造商 (OEM) 合作。帮助客户设计、构建和升级蜂窝网络，包括5G、4G LTE、小基站和FirstNet。

SAC Wireless公司直到Conti勒索软件部署了有效载荷并加密了无线系统之后，才发现其网络被勒索软件入侵。在外部网络安全专家的帮助下进行数字取证调查后，该公司发现，在勒索软件攻击期间，现任和离职员工（及其健康计划的家属或受益人）的个人信息也被盗。

“Conti勒索软件攻击者获得了SAC系统的访问权限，将文件上传到其云存储，然后在6月16日部署了勒索软件来加密SAC系统上的文件。” SAC在数据泄露通知信中说道。

在完成取证调查后，该公司认为被盗文件包含以下几类个人信息：姓名、出生日期、联系方式（如家庭地址、电子邮件和电话）、政府身份证号码（如驾照、护照或军人身份证）、社会安全号码、公民身份、工作信息（如头衔、工资和评估）、病史、健康保险政策信息、车牌号、数字签名、结婚或出生证明、纳税申报表信息和受抚养人/受益人姓名。【阅读原文】

2、微软云平台暴露3800万条客户数据：因默认配置不当

上千款Web应用程序错误暴露在开放互联网之上，涉及多个COVID-19接触者追踪平台、疫苗接种登记、工作申请门户以及员工数据库的多达3800万条记录已经确认暴露。数据中涵盖一系列敏感信息，包括电话号码、家庭住址、社保号码乃至COVID-19疫苗接种状态。

此次事件还给多家主要企业及组织造成影响，包括美国航空公司、福特、运输与物流企业J.B. Hunt、马里兰州卫生部、纽约市交通局以及纽约多所公立学校。虽然情况已经得到控制，但事件再次表明，流行技术平台中的一项错误设置很可能引发深远的影响。

此次曝光的数据全部存储在微软Power Apps门户服务当中。这是一套低代码开发平台，用户可以轻松创建供外部使用的Web或移动应用程序。如果您需要在疫情期间快速启动疫苗预约注册点，Power Apps门户可以快速生成面向公众的站点及数据管理后端。

自今年5月起，安全公司Upguard的研究人员就开始调查Power Apps门户中本应保密的大量数据为何被意外公开，其中甚至涉及一部分微软自己开发的Power Apps。从已知情况来看，并没有任何数据遭到滥用，但此次调查仍然揭示出Power Apps门户设计中的致命疏漏。现在问题已经得到修复。

除了管理内部数据库以及提供应用开发基础之外，Power Apps平台还提供现成的应用程序编程接口以实现数据交互。但Upguard的研究人员们意识到，在启用这些API时，平台会默认开放相应数据的访问权限。换句话说，必须手动操作才能启用隐私设置。结果就是，大量客户将这一默认配置错误地保留到了应用程序当中。

UpGuard公司网络研究副总裁Gerg Pollock表示，“我们发现其中一项配置错误会导致数据暴露。这实在是闻所未闻，我们很好奇到底是偶发事件还是系统性问题。由于Power Apps门户采取开放运作方式，所以快速调查的难度很低。我们很快发现存在大量此类数据暴露，情况相当普遍。”

研究人员还偶尔发现，暴露的信息类型非常广泛。75万名印第安纳州居民的新馆疫情密接追踪数据被暴露，J.B. Hunt暴露的是包括社保号码在内的求职者数据。微软自己也在Power Apps门户上公开了多个数据库，包括一套名为“全球薪资服务”的旧平台、两个“业务工具支持”门户外加一个“客户洞见”门户。

好在信息本身仍受一定限制。例如，印第安纳州虽然在Power Apps门户上公开了数据，但这只是该州全部持有数据中一部分，即州内部分新冠接触者追踪数据。【阅读原文】

3、黑莓承认：因为漏洞疏忽，2 亿汽车恐被攻击

拖延数月，黑莓终于修复了QNX操作系统的BadAlloc安全漏洞。尽管企业通常不愿公开披露软件漏洞，但若没有外界的压力，终端软硬件客户很可能要等待很久，才能拿到官方的修复补丁。以黑莓为例，在美国国土安全部介入数月之后，该公司终于在本周二正式披露了位于其 QNX 操作系统中的一个 BadAlloc 安全漏洞。

几个月来，黑莓操作系统的BadAlloc安全漏洞一直存在漏洞，该漏洞使 2 亿辆汽车以及医院和工厂的系统处于危险之中。

“这确实引发了一场新的辩论。在任何情况下，将如此广泛的漏洞保密是有益的吗？” NTT 应用安全战略副总裁 Setu Kulkarni 说。“毕竟，与物理对抗性威胁不同，网络威胁无法被边界或条约看到或遏制。在这种情况下，越早披露，就能越早推出预防措施。”

BadAlloc 漏洞于去年 4 月由微软研究人员首次发现，他们在多家公司的操作系统和软件中发现了该漏洞。一个月后，网络安全和基础设施安全局 (CISA) 的公告警告必须修补该漏洞。但黑莓直到周二才发现其 QNX 操作系统存在漏洞，且并没有采取行动或公开警告组织。

BlackBerry QNX 软件开发平台 (SDP) 6.5.0SP1 及更早版本、QNX OS for Medical 1.1 及更早版本和 QNX OS for Safety 1.0.1受影响版本中运行时库的calloc()函数中的整数溢出漏洞。黑莓表示，早些时候“可能允许成功的攻击者执行拒绝服务或执行任意代码”，并强调没有证据表明该漏洞已被利用。   

黑莓的披露引发了 CISA 的警告，该警告指出黑莓 QNX RTOS 存在于广泛的产品中。该机构表示，妥协“可能导致恶意行为者控制高度敏感的系统，增加国家关键职能的风险。”【阅读原文】

2021年8月24日 星期二

今日资讯速览：

1、Razer Synapse零日漏洞曝光：插上鼠标即可获得SYSTEM账户权限

2、Microsoft Power的默认设置导致3800万份记录数据对外部暴露

3、1720万次/秒！HTTP DDoS攻击峰值创下新高

1、Razer Synapse零日漏洞曝光：插上鼠标即可获得SYSTEM账户权限

安全研究人员 jonhat 刚刚在即插即用的 Razer Synapse 软件中发现了一个零日漏洞，可怕之处在于能够让用户在 Windows 设备上快速获得 SYSTEM 级别的管理员账户权限。作为一家知名的游戏外设制造商，Razer 官方宣称该软件有被全球超过 1 亿用户所使用。

在将 RAZER 外设插入 Windows 10 / 11 设备时，操作系统会自动下载并安装 Razer Synapse 软件，以便用户轻松设置驱动程序、配置宏或映射按键。

另一方面，SYSTEM 是 Windows 操作系统中设定的最高权限，允许用户在系统上执行任何命令。若权限配置不当，很容易导致恶意软件对系统造成破坏。【阅读原文】

2、Microsoft Power的默认设置导致3800万份记录数据对外部暴露

据外媒报道，许多公司都在使用微软的Power App平台，由于默认安全设置较弱，所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示，Power App用户中有相当多的人没有保护自己的数据库。

进一步的调查显示，这个问题是由薄弱的默认安全设置造成的，如果用户不采取手动操作数据就会暴露在外面。

根据Wired的一份报告，美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月，但微软的修复程序直到8月才全面推出。

UpGuard负责网络研究的副总裁Greg Pollock表示：“我们发现其中一个被错误配置为暴露数据，我们从没听说过这种情况，我们想，这是一次性问题，还是一个系统性问题？由于Power Apps门户产品的工作方式，所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”

Upguard开始调查大量的Power App门户网站，这些网站本应是私有的--甚至是微软开发的应用也存在配置错误的情况。然而，尽管这些数据是向公众开放的，但据知没有任何数据被泄露。

问题的核心在于默认的安全设置。比如在设置Power App和连接API时，平台默认使相应的数据可以公开访问。

由于8月份的更新，Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通，但安全问题的规模太大、无法涵盖每一家企业。

“安全的默认设置非常重要，”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出：“当一个模式出现在使用特定技术构建的面向网络的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误，那么这个平台的创造者就应该受到关注。”

据悉，暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。

Upguard再次表示，目前还没有任何数据被泄露。

Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。【阅读原文】

3、1720万次/秒！HTTP DDoS攻击峰值创下新高

根据Cloudflare的监测报告，今年7月份的一次短暂DDoS攻击的攻击峰值为每秒1720万次请求 (rps)，创下历史新高。Cloudflare的DDoS保护系统记录了此次攻击，占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的这次“瞬间攻击”持续了不到一分钟，总共发送了超过3.3亿条针对金融行业企业的请求。攻击峰值的每秒请求数高达 1720 万，并在15秒的高峰期内基本保护在每秒1500万次左右。虽然此次攻击的持续时间不长，但它威力惊人，这表明DDoS攻击者正在提高他们的攻击能力。

Cloudflare表示，攻击者利用了来自世界各地的至少20,000台设备的僵尸网络。产生攻击流量的大多数IP地址位于印度尼西亚（15%），其次是印度和巴西（合计17%）。

据悉，Cloudflare应对的这种HTTP DDoS攻击几乎是我们所知道的此前攻击的三倍。Cloudflare服务负载每秒超过2500万个HTTP请求，7月份的DDoS攻击最猛烈，达到了其服务容量的68%。

Cloudflare指出，上周发动攻击的僵尸网络也针对托管服务提供商进行了相同类型的攻击，但其峰值低于每秒800万个请求。Cloudflare检测到并挫败的其他值得注意的DDoS攻击来自基于Mirai的僵尸网络，该僵尸网络不止一次地展示其每秒可产生超过1 TB的不良流量。

在最高峰的时候，僵尸网络产生了接近1.2Tbps的垃圾流量，其中一些目标是亚太地区的主要互联网、电信和托管服务提供商，以及一家游戏公司。

Cloudflare透露：Mirai僵尸网络开始时大约有3万个bot，然后慢慢缩减到大约2.8万个。然而，尽管损失了不少bot，但该僵尸网络仍然能够在短时间内产生大量的攻击流量。在某些情况下，每次爆发仅持续几秒钟。【阅读原文】

2021年8月23日 星期一

今日资讯速览：

1、Windows 11的错误破坏了Windows内置安全应用 但可手动修复

2、Linux 5.14稳定版可能于下周末发布

3、立法机关权威人士：《个人信息保护法》十大亮点解读

1、Windows 11的错误破坏了Windows内置安全应用 但可手动修复

Windows 11仍处于测试阶段，它被各种问题所困扰。根据用户报告，微软最近发布了一个有问题的更新，它似乎给Windows Security应用带来了一些严重的问题，该应用用于管理Windows Defender和其他安全功能。

Windows 11 Build 22000.160或更早的版本正在导致Windows Security显示错误信息，说"你需要一个新的应用程序到这个windowsdefender链接"。虽然用户仍然可以查看防病毒、防火墙和保护状态，但有些人无法再打开不同的保护功能，如账户保护、防火墙和网络保护、应用程序和浏览器控制等。【阅读原文】

2、Linux 5.14稳定版可能于下周末发布

Linux 5.14周期正在顺利进行，很可能Linux 5.14稳定版内核会在下周末发布。Linus Torvalds刚刚发布了Linux 5.14-rc7作为最新的每周测试候选版本。总的来说，Linus对目前的情况很满意，他在5.14-rc7公告中写道，除非有什么大的意外出现，否则这将是最后一个候选版本。

最新发布的5.14-rc7大多数变化都是源自于驱动（GPU和网络是最突出的），其余的都是非常随机的东西：arch、tracing、核心网络、几个虚拟机的修复。Linus恳请给这一切一些最后的测试，以确保稳定版本准备发布。

继8月29日Linux 5.14首次发布后，在接下来的两周内，将开启令人兴奋的Linux 5.15周期。【阅读原文】

3、立法机关权威人士：《个人信息保护法》十大亮点解读

经过三次审议，8月20日，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，将于2021年11月1日起施行。

在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。个人信息保护法坚持和贯彻以人民为中心的法治理念，牢牢把握保护人民群众个人信息权益的立法定位，聚焦个人信息保护领域的突出问题和人民群众的重大关切。

个人信息保护法共8章74条。在有关法律的基础上，该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。

“个人信息保护法切实将广大人民群众网络空间合法权益维护好、保障好、发展好，使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。” 全国人大常委会法工委经济法室副主任杨合庆20日对个人信息保护法进行了权威解读。【阅读原文】

2021年8月19日 星期四

今日资讯速览：

1、巴西财政部内部网络遭遇勒索软件攻击

2、《使命召唤：战区》盗号者因安保措施升级无号可卖

3、德国汉堡州 DPA 警告州政府停止使用 Zoom

1、巴西财政部内部网络遭遇勒索软件攻击

据外媒ZDNet报道，巴西政府日前发布了一份说明，称其财政部内部网络在上周五（13日）遭到了勒索软件的攻击。根据巴西经济部的声明，巴西政府已经立即采取了初步措施来控制网络攻击的影响。到目前为止的初步评估发现，巴西财政部的结构化系统没有受到损害，例如与公共债务管理有关的平台。

巴西国家财政部秘书处和数字政府秘书处(DGS)的安全专家正在分析勒索软件攻击的影响。联邦警察也已被通知。该部门指出，关于该事件的新信息“将及时被披露，并具有适当的透明度”。

巴西财政部周一（16日）与巴西证券交易所联合发表的进一步声明指出，这次攻击没有“以任何方式”影响Tesouro Direto的运作--该计划使个人能够购买巴西政府债券。

巴西财政部的事件是在2020年11月出现的针对巴西高级选举法院的重大网络攻击之后发生的。这次攻击使法院的系统停顿了两个多星期。当时，该事件被认为是有史以来针对巴西公共部门机构策划的最全面的攻击，就其复杂性和所造成的损害范围而言。

7月，巴西政府宣布建立一个网络攻击响应网络，旨在通过联邦政府机构之间的协调，促进对网络威胁和漏洞的快速响应。

在巴西经济部管理和数字政府特别秘书处下运作的DGS，将在网络的形成中发挥战略作用。DGS是SISP的中心机构，该系统用于规划、协调、组织、操作、控制和监督联邦政府200多个机构的信息技术资源。

在私营企业方面，2021年在巴西出现的主要勒索软件攻击涉及大型公司，如医疗保健公司Fleury和航空航天集团Embraer。【阅读原文】

2、《使命召唤：战区》盗号者因安保措施升级无号可卖

动视一直在实施新的安全功能来扼杀盗号转卖的地下市场。而根据Vice Motherboard了解到，《使命召唤：战区》销售这些黑账号的卖家目前正遇到缺货问题，这表明了新的安全措施正有效地在阻碍这个黑色市场。

作为目前市面上最受欢迎的大逃杀游戏之一，《战区》拥有约1亿常驻玩家。作为一款免费入门的游戏，玩家可以通过其它免费或付费的方式在游戏中获得各种稀有皮肤或武器。这也是盗号者的主要目标，这些黑客可以通过盗走拥有大量皮肤的账户并进行转卖来获取大量利润。

在一个外国黑账号交易市场的Discord频道中，一些被盗账号的价格高达300美元。对于解锁了游戏中最难获得的武器皮肤——大马士革的账号，价格可能高达2000美元（是不是有些离谱？）。但是由于最近的安全性增强，这些“黑客”很难再获得新账户。【阅读原文】

3、德国汉堡州 DPA 警告州政府停止使用 Zoom

DPA关注了欧洲最高法院去年夏天一项里程碑式裁决，该裁决宣布欧盟和美国之间的一项数据传输协议（隐私盾）无效，认定美国监控法与欧盟隐私权不相容。现在，一些欧洲的DPA机构现在正在调查使用美国数字服务情况，因为数据传输问题，这些DPA公开警告不要使用美国的主流工具，如Facebook和Zoom，因为用户数据在传输时不能得到充分的保护。

在这方面，德国机构是最积极主动的。但欧盟的数据保护监督员也在调查德国机构对美国巨头亚马逊和微软的云服务使用情况，以解决同样的数据传输问题。与此同时，欧盟委员会和拜登政府之间寻求替代数据传输协议的谈判仍在进行。然而，欧盟立法者一再警告不要快速解决问题，说在恢复隐私保护之前，可能需要对美国监控法进行改革。

随着法律上僵局持续下去，欧洲越来越多的公共机构正面临着放弃美国服务而改用符合要求的本地服务压力。在汉堡一案中，DPA表示，在参议院大法官没有对之前提出的问题作出充分回应后，它采取了公开警告措施。

该机构声称，参议院对Zoom的使用不符合GDPR对处理个人数据的有效法律依据要求，参议院总理府提交的关于使用Zoom的文件显示，GDPR标准没有得到遵守。2021年6月17日，DPA通过听证会启动了正式程序，但表示参议院总理府未能停止使用视频会议工具。它也没有提供任何额外的文件或论据来证明合规使用。因此，DPA根据GDPR条款采取了正式警告措施。【阅读原文】

2021年8月18日 星期三

今日资讯速览：

1、不打不相识？Poly Network要聘请黑客担任首席安全顾问

2、勒索凶猛！美国数十家医院诊所系统瘫痪，患者紧急转移

3、Microsoft 365应用和服务今天结束对IE11浏览器的支持

1、不打不相识？Poly Network要聘请黑客担任首席安全顾问

区块链互通平台Poly Network今日称，由于黑客已经归还了大部分数字资产，决定不再追究其法律责任。不仅如此，还要聘请他担任公司首席安全顾问。上周，Poly Network遭受黑客攻击，价值6.1亿美元的加密资产被盗。

这是迄今为止，DeFi（去中心化金融）行业史上最严重的安全事故。Poly Network允许用户将令牌从一个数字账簿交换到另一个数字账簿，而黑客则利用了Poly Network代码中的一个漏洞，将数字资产转移到自己的加密钱包中。

该事件被认为是有史以来最大的一起数字货币抢劫案，超过了2018年日本Coincheck交易所被盗的5.348亿美元数字货币，以及2014年东京Mt. Gox交易所4.5亿美元的比特币失踪案。

但在这起入侵案件中，黑客做出了一个非同寻常的举措，归还了大部分被盗资金。除了3300万美元之外，所有的数字产都已经归还。但是，有超过2亿美元的资金目前被锁定在一个账户中，需要Poly Network和黑客提供密码才能访问。

Poly Network已恳求这名黑客交出密码，即所谓的“私钥”。上周，Poly Network悬赏50万美元，希望黑客退回全部资金。最初，该该黑客拒绝了赏金提议，但周一又表示：“如果有黑客能够侵入Poly Network，我正考虑将这笔赏金作为奖励。”

Poly Network今日还表示，希望实施“重大系统升级”，以防止未来再次发生此类攻击事件。但在归还所有剩余资产之前，还不能这么做。

Poly Network还称，奖励该黑客50万美元的承诺仍然有效。不仅如此，Poly Network甚至邀请这名黑客成为其“首席安全顾问”。

Poly Network在一份声明中称：“为了表达我们的谢意，并鼓励该黑客继续与我们一起为区块链世界的安全进步做出贡献，我们诚挚地邀请他担任我们的首席安全顾问。”

“我们此前承诺奖励他50万美元，但他没有接受，并公开表示，他已经考虑将这笔资金提供给为区块链安全做出贡献的技术社区。我们完全尊重他的想法，为了表达我们的感激之情，我们仍将把这50万美元的赏金转移到他的钱包地址，让他自行决定将其用于网络安全事业，并支持更多项目和个人。”

Poly Network最后还表示，无意追究此次黑客攻击的法律责任。【阅读原文】

2、勒索凶猛！美国数十家医院诊所系统瘫痪，患者紧急转移

上周日（8月15日）凌晨，美国医疗连锁机构Memorial Health System遭遇勒索软件攻击，致使IT系统瘫痪，旗下三家医院无法正常运营。

Memorial Health System旗下拥有64家诊所，以及位于西弗吉尼亚州与俄亥俄州玛丽埃塔-帕克斯堡都市区的玛丽埃塔纪念医院、塞尔比将军医院以及锡斯特斯维尔将军医院。

自上周日夜间开始，三家医院着手将急诊病患转移至卡姆登克拉克医疗中心。这里距离拥有25张病床的锡斯特斯维尔将军医院有一小时车程，与另外两家遭受攻击的纪念医院间的车程则在25分钟左右。除此之外，位于俄亥俄州贝尔普雷市贝尔普雷医学园区一处独立急诊室的重症监护设施也受到了同一波攻势的影响。

Memorial Health System下辖的大部分医院诊所还取消了安排在本周一的所有非紧急手术和放射性检查，并建议已经与外科医生或专家预约的患者提前来电沟通、商议应对办法。

官员们在一份声明中表示，“我们将继续在玛丽埃塔纪念医院接收急性心梗、中风及创作患者。贝尔普雷及塞尔比医院正在对全体患者进行转移，努力保证患者能够被送往符合其最佳利益的周边医疗机构。如果所在地区的医院均无法接收，患者将被送往距离最近的急诊室。本次应急调度将持续至IT系统恢复为止。”【阅读原文】

3、Microsoft 365应用和服务今天结束对IE11浏览器的支持

早在 1 年前，微软就宣布 Office 网页版应用和 Teams 结束对 Internet Explorer 11（IE11）的支持。Teams 早在 2020 年 11 月 30 日放弃了支持，现在 Microsoft 365 其他应用和服务都放弃了对这个传统浏览器的支持。

正如外媒 OnMSFT 所发现的那样，微软在近日更新的博文中提供了一些指导。基本上，从今天起，IE11 上对 Microsoft 365 应用程序和服务的支持已经结束。这意味着，你可能无法连接到某些服务，或者不得不忍受糟糕的用户体验。

Microsoft 365 旗下的所有产品都将按照各自独立的时间表逐步淘汰，以便让客户有时间迁移到其他产品。然而，微软已经对以下两项服务提供了明确的指导。

● Outlook 网页应用

使用 AAD 账户登录的用户仍将获得完整的 OWA 体验，但从 2021 年 8 月 17 日开始将不会获得新的功能，而使用微软账户（MSA）登录的用户将被重定向到 Outlook Web App Light 体验。

● 使用资源管理器中以 Explorer/View 方式打开（SharePoint）

一些客户可能会继续使用"用资源管理器打开"和"在文件资源管理器中查看"（只能在 IE11 中访问）来访问文档库。为避免干扰，这些客户在 IE11 中进入文件库时，暂时可以使用这些功能。

这些功能仍然处于维护模式，没有得到进一步的发展。我们鼓励所有客户转移到现代浏览器和OneDrive同步，以获得更好的用户体验和更容易访问文件。关于如何为您的SharePoint环境做好结束对IE11的支持的准备，请阅读这篇文档文章。

今后，用户不应期望在 IE11 上为 Microsoft 365 服务添加新的功能，还应该注意，如果他们遇到任何问题，他们将不会得到任何支持。鉴于我们知道该公司明年将退出其传统浏览器，此举并不完全出乎意料。事实上，Twitter去年就结束了对IE11的支持，而Google Meet今天也在做同样的事情。该公司已建议用户将其工作负载迁移到微软Edge，该浏览器还为那些在仍然支持IE11的网站上遇到兼容性问题的用户提供了一个"IE模式"。【阅读原文】

2021年8月17日 星期二

今日资讯速览：

1、因疫情买不到回国机票 小伙花钱找黑客入侵最终被判刑

2、Windows端iCloud更新：新增iCloud Keychain密码管理应用

3、Netgear多款路由器存在针对简体中文的命令注入漏洞

1、因疫情买不到回国机票 小伙花钱找黑客入侵最终被判刑

国外疫情严重之时，国际航线机票一度紧缺，回国机票价格暴涨，一票难求。官网订票、APP购票、找黄牛抢票，能想到的方法都用了，可还是买不到票。一气之下身处境外的小陈竟花钱进行黑客入侵，致使南航对外服务网络全面瘫痪近4小时，5000余万用户受到影响。近日，白云区法院审理了该案。

据介绍，2020年6月初，17岁的小陈因新冠疫情滞留在国外疫情严重地区，因在境外无法买到回国机票而产生不满情绪。

冲动之下，他在境外网站购买攻击套餐，利用DDOS（黑客通过远程控制服务器或计算机等资源，对目标发动高频服务请求，使目标服务器因来不及处理海量请求而瘫痪）等攻击手段，多次、持续攻击南航客票等计算机系统。

此次黑客入侵，造成南航对外服务网络全部瘫痪，包括南航客票业务、微信直播平台销售、机场旅客服务、飞行、运控等系统无法正常运作，导致为5000余万用户提供服务的南航客票等计算机系统不能正常运行累计四小时，给南航公司造成巨大经济损失与负面网络舆论评价。

同年7月，归国的小陈在广州一酒店办理解除隔离手续时，被公安机关抓获。【阅读原文】

2、Windows端iCloud更新：新增iCloud Keychain密码管理应用

适用于 Windows 的 iCloud 于今天获得更新，升级到了 12.5 版本。本次更新重点为 Windows 用户新增了名为 iCloud Keychain 的密码管理应用。通过该应用，用户可以添加、编辑、复制、粘贴、删除和查看用户名和密码。事实上早在今年 1 月的 iCloud 更新中，苹果就已经预告了该功能，但直到现在才正式上线。

全新的 iCloud Keychain 能作为扩展程序的形式兼容 Edge 和 Chrome 浏览器，从而能够像在 Safari 那样自动填写 iCloud 密码。为网站创建的用户名和密码会自动添加到 Passwords 应用程序中。Windows 上的 iCloud Keychain 密码存储在一个加密的数据库中，并使用加密通道传输到浏览器扩展，密码不以明文存储。

iCloud for Windows Passwords 是 iCloud for Windows 12.5 的一部分，Windows 用户可以从 Microsoft Store 下载它。适用于 Windows 的 iCloud 应用程序旨在让 Windows 用户从 Windows 设备访问他们的 iCloud 文件、照片、电子邮件等。【阅读原文】

3、Netgear多款路由器存在针对简体中文的命令注入漏洞

2021-08-11，中国人大信息技术中心发布了一则通告，如下：

关键词：

当路由器系统语言设置为简体中文时，通过认证后的远程攻击者可利用该漏洞向设备注入并执行任意命令。

会有什么漏洞，只针对简体中文版本存在？多个网络安全专家指出，这个可能是一个专门用于简体版本路由器的测试后门。

无论如何猜测，请相关路由器使用者马上执行通告里面的操作，防止被不法分子利用攻击。【阅读原文】

2021年8月16日 星期一

今日资讯速览：

1、AI造出9张“万能人脸” 可冒充超40%的人

2、成本不到100美元 安全专家证明可操纵电压来破解AMD的SEV技术

3、超1亿用户数据已泄露？ T-Mobile称正在调查指控是否属实

1、AI造出9张“万能人脸” 可冒充超40%的人

近日，以色列特拉维夫大学研究人员证明了一种创建“万能人脸（master face）”的方法。研究人员通过图像生成系统StyleGAN先生成假的人脸图像，然后通过算法和分类器对比筛选出与真实人脸相似度最高的图像，最终获得9张“万能人脸”图像。

这种计算机生成的“万能人脸”作用就像万能钥匙一样，可以模仿多个身份，通过基于人脸识别的身份验证。

该研究论文题目为《利用网络辅助的潜在空间演化生成字典攻击的万能人脸（Generating Master Faces for Dictionary Attacks with a Network-Assisted Latent Space Evolution）》，已提交至论文预印本发布平台arXiv上。【阅读原文】

2、成本不到100美元 安全专家证明可操纵电压来破解AMD的SEV技术

来自柏林理工大学的研究团队已经证明，可以通过操纵输入电压来破解 AMD 的安全加密虚拟化 (SEV) 技术。此前也有一些安全团队利用类似的方法攻破英特尔处理器安全技术。 AMD 的 SEV 技术主要依靠安全处理器 (SP)， 一种不起眼的 ARM Cortex-A5， 为 AMD EPYC CPU（Naples, Rome 和 Milan——Zen 1 到 3） 提供信任根。

这份研究报告虽然非常冗长，但是标题非常有趣：“One Glitch to Rule Them All: Fault Injection Attacks Against AMD’s Secure Encrypted Virtualization”（一个小故障引发的血案：针对 AMD 安全加密虚拟化的故障注入攻击”）。该报告描述了攻击者如何破坏 SP 以检索加密密钥或执行任意代码。

在报告中写道：“通过操纵芯片上 AMD 系统 (SoC) 的输入电压，我们在 AMD-SP 的只读存储器 (ROM) 引导加载程序中引入了错误，使我们能够完全控制这种信任根”。

执行这种攻击所需的位置相当严格；以允许在硬件级别访问服务器的角色访问云计算公司，并聪明地将其完成而不引起怀疑。然而，所需的设备并不那么雄心勃勃，只需要一个微控制器和一个闪存编程器，两者的价格都低于 50 美元。【阅读原文】

3、超1亿用户数据已泄露？ T-Mobile称正在调查指控是否属实

T-Mobile表示，该公司正在调查一个在线论坛帖子上的一项指控。该帖子称，超过1亿用户的个人数据已被泄露。据悉，T-Mobile是一家美国无线网络运营商，总部位于华盛顿州贝尔维尤。其最大股东分别为占43%的德国电信和占24%的软银集团。T-Mobile是美国第三大移动通信运营商，截至2021年第一季度拥有约1.034亿客户。

T-Mobile发言人在一份声明中说：

“我们已经注意到在一个论坛上发表的声明，并正在积极调查其是否属实。我们目前没有任何额外的信息可以分享。”

总部位于美国的数字媒体Vice首先在这里报道了数据泄露的指控。根据Vice ‘s Motherboard的报道，该论坛的帖子没有提到T-Mobile，但黑客告诉Vice，他们已经获得了超过1亿人的数据，这些数据来自T-Mobile的服务器。

报告还说，这些数据包括社会保险号、电话号码、姓名、实际地址和驾照信息等信息。

根据Vice的报道，卖家在这个在线论坛上要求6个比特币，以获取包含3000万个社会安全号码和驾照的数据，而其他数据则是私下出售的。【阅读原文】

2021年8月13日 星期五

今日资讯速览：

1、Mozilla Firefox 92开始通过阻止不安全连接的下载项来增强安全性

2、微软确认存在另一个新的Windows Print Spooler安全漏洞

3、亚马逊将监控客服人员键盘输入和鼠标点击以提升安全性

1、Mozilla Firefox 92开始通过阻止不安全连接的下载项来增强安全性

最近发布的Firefox 91在私人浏览模式中启用了HTTPS-only模式。随着下一个Firefox 92版本的推出，Firefox可能会通过阻止混合不安全的下载来进一步提高安全性。此前因为提供了对Google安全浏览的支持，Firefox浏览器已经阻止了危险的、潜在的不需要的和不常见的下载。

现在，Mozilla正在进一步扩大Firefox浏览器的下载保护，通过直接在下载面板上显示错误，检测并拒绝通过HTTPS网站的不安全连接下载文件，"文件没有下载。潜在的安全风险"，该错误写道。

当用户点击它时，Firefox浏览器对错误细节的解释如下：

"该文件使用不安全的连接。它可能在下载过程中被损坏或篡改。你可以搜索其他的下载源，或稍后再试"

用户可以通过点击"允许下载"来获得该文件，风险自负，Firefox浏览器下载面板还提供了从设备上删除的选项，以保证您的安全。【阅读原文】

2、微软确认存在另一个新的Windows Print Spooler安全漏洞

与微软Windows打印机的相关问题的噩梦挥之不去，今天早些时候，该公司确认了Windows Print Spooler服务的一个新的安全漏洞。这个新的漏洞被编号为CVE-2021-36958。微软表示，当Windows Print Spooler服务不适当地执行特权文件操作时，存在一个远程代码执行的漏洞，成功利用该漏洞的攻击者可以用系统权限运行任意代码。

然后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

那些一直密切关注此事的人可能会注意到，这个新问题与正在发生的PrintNightmare漏洞有关，该公司几天前曾为此发布了一个补丁。微软声称，该补丁应该在很大程度上有助于缓解这个问题，因为它现在需要管理员权限来实现打印驱动的安装和更新操作。然而，在已经安装了打印机驱动程序的系统上，可能是威胁者的非管理员用户仍然可以利用该漏洞。【阅读原文】

3、亚马逊将监控客服人员键盘输入和鼠标点击以提升安全性

根据Motherboard网站获得的一份亚马逊机密文件显示，亚马逊计划监控客户服务员工的键盘和鼠标动作，以试图阻止流氓员工、冒名顶替者或黑客访问客户的数据。虽然该文件说亚马逊已经考虑部署一个能捕捉所有按键的解决方案，但该公司似乎倾向于购买的工具并不是为了准确记录员工的输入内容或监控他们的通信。

相反，该系统根据员工的自然键盘和鼠标动作生成一个档案，然后不断验证是否似乎是同一个人在控制员工的账户，以抓住可能随后窃取数据的黑客或冒名者。此举凸显了在持续新冠疫情期间，随着在家或远程工作的继续，公司可能会越来越多地部署这类工具，以及亚马逊已经面临客户数据被盗的问题。

该文件认为，亚马逊需要键盘和鼠标监控来对抗几种不同的威胁。根据该文件，一个是冒充客服人员的人已经成功访问了亚马逊的客户数据。文件补充说，根据一组人工审计，亚马逊安全团队发现了4起冒充者访问此类数据的案例。【阅读原文】

2021年8月12日 星期四

今日资讯速览：

1、杀毒软件业大并购：诺顿斥资 86 亿美元收购 Avast

2、Facebook着手研发同态加密技术，仅仅是精准投放广告吗？

3、境内外勾结企图颠覆！国安部披露危害国家安全的大案要案

1、杀毒软件业大并购：诺顿斥资 86 亿美元收购 Avast

北京时间 8 月 11 日消息，美国诺顿杀毒软件开发商诺顿 LifeLock 公司 (前身为赛门铁克) 已经同意收购捷克杀毒软件开发商 Avast，这笔交易的价值最高达到 86 亿美元。借助这笔交易，诺顿 LifeLock 将接触到杀毒软件行业最大的用户群之一。

双方在一份声明中称，Avast 股东将收到诺顿 LifeLock 支付的现金和股票，交易价值介于 81 亿美元至 86 亿美元之间。合并完成后，诺顿 LifeLock 文森特・皮莱特 (Vincent Pilette) 将继续担任 CEO，公司将在美国亚利桑那州坦佩、捷克布拉格设立双总部。Avast CEO 昂德里・维莱克 (Ondřej Vlček) 将担任合并后公司总裁，并加入董事会。【阅读原文】

2、Facebook着手研发同态加密技术，仅仅是精准投放广告吗？

基于用户数据的算法，如果面临用户隐私壁垒，新世界的规则如何建立。

近日，Facebook正在尝试不解密就能分析加密数据的方法，也就是同态加密。这种技术严重依赖数学。目前，微软、亚马逊和谷歌等科技巨头也在研发这一技术。

摘掉解密这一步骤，意味着Facebook能够以更小的风险了解用户数据，保障用户隐私安全，建立数据垄断。对于Facebook 这样的公司来说，能攻破这一计算方式，将会使自己更具有竞争力。

目前 Facebook 想要通过这一方法，针对 WhatsApp 聊天的内容进行更加精准的广告营销。据外媒报道，Facebook 正在招募其人工智能研究人员来研究同态加密，并在招聘广告中高调呼吁人们，“在确保隐私的同时，提高 Facebook 广告系统的效率。"

高调宣传同态加密技术，似乎和上月扎克伯格在采访中谈到元宇宙时的兴奋如出一辙。此时的WhatsApp，也更容易被大众定义为优化元宇宙底层技术的试验场。

粗略来说，元宇宙包括了这几个方面的技术--芯片技术、网络通信技术、虚拟现实技术（VR/AR/MR/XR）、游戏技术（游戏引擎、游戏代码、多媒体资源）、AI人工智能技术、区块链技术。【阅读原文】

3、境内外勾结企图颠覆！国安部披露危害国家安全的大案要案

今日，一位名叫迈克尔·斯帕弗的加拿大籍人员，因犯境外刺探、非法提供国家秘密罪，被判处有期徒刑十一年，并处没收个人财产人民币五万元，并被驱逐出境。

事实上，类似这样的国外间谍窃密事件屡见不鲜，不仅如此，为了刺探更多的国家机密，某些国内涉密人员也被险恶用心的国外人员“拉下水”，成为获取我国国家机密的帮凶，对我国国家安全造成重大损失和影响。

近年来，国家安全机关先后在政治、军事、经济、科技等重点领域破获了一批危害我国国家安全的大案要案。国家安全部新闻办对外披露了几起典型案件，桩桩件件可谓触目惊心。【阅读原文】

2021年8月11日 星期三

今日资讯速览：

1、无间道！勒索软件团伙Conti攻击手册泄露

2、勒索软件eCh0raix衍生出新变种：可感染QNAP和群晖NAS设备

3、微软再发安全补丁 限制打印机驱动安装和更新权限缓解PrintNightmare漏洞

1、无间道！勒索软件团伙Conti攻击手册泄露

Conti是近年来最为活跃和危险的勒索软件团伙之一。该组织采用勒索软件即服务 (RaaS) 的运营模式，其中核心团队管理恶意软件和Tor站点，而招募的联盟机构则执行网络漏洞和数据加密攻击。核心团队赚取赎金的20~30%，而附属公司赚取其余部分。

上图是该团伙的培训材料，勒索软件的攻击手册也在其中 

近日，安全研究人员pancak3分享了一个反水的Conti加盟机构成员发布的论坛帖子，该成员公开泄露了有关勒索软件操作的信息。该信息包括Cobalt Strike C2服务器的IP地址（下图，pancak3强烈建议立刻封锁图片中的IP地址）和一个113MB的档案，其中包含大量用于进行勒索软件攻击的工具和培训材料。

该成员还表示，他发布这些材料的原因是在一次攻击后的分赃中只获得了1,500美元，而团队的其他成员却将赚取数百万美元。一位威胁情报专家指出，此次泄露的攻击手册与Conti的活跃案例相符，基本可以确认是真实泄露。【阅读原文】

2、勒索软件eCh0raix衍生出新变种：可感染QNAP和群晖NAS设备

根据安全公司 Palo Alto Networks 的最新报告，知名勒索软件 eCh0raix（也称 QNAPCrypt）近日衍生出一个新变种，现在可以感染 QNAP 以及 Synology 网络附加存储（NAS）设备。

去年 9 月，Palo Alto Networks 就发现了这种新型 eCh0raix 变种，该勒索软件活动的项目名称为“rct_cryptor_universal”，表明该恶意软件可以影响任何供应商。早些时候，该项目名称为"qnap_crypt_worker"，因为它将使用不同的变体经常在不同的实例上感染 QNAP 和 Synology 设备。

eCh0raix 是在 2016 年肆虐的一款勒索软件，当时它只是攻击 QNAP NAS 系统，因此也被称之为 QNAPCrypt。随后该勒索软件不断进化，在 2019 年和 2020 年再次对 QNAP 设备进行了攻击。

新型 eCh0raix 变种目前编号为 CVE-2021-28799。早在4月，QNAP 已经确认该漏洞是 HBS 3（混合备份同步3）中的"不当授权漏洞"。该公司进一步补充说，它已经在以下HBS 3版本中修复了这个漏洞。

● QTS 4.5.2: HBS 3 v16.0.0415及以后的版本

● QTS 4.3.6: HBS 3 v3.0.210412及以后版本

● QTS 4.3.3和4.3.4: HBS 3 v3.0.210411及以后版本

● QuTS hero h4.5.1: HBS 3 v16.0.0419及以后版本

● QuTScloud c4.5.1 ~ c4.5.4: HBS 3 v16.0.0419及以后版本

与受影响的Synology系统的安全固件版本相关的信息还不存在。根据Cortex Xpanse的数据，QNAP和Synology总共有大约25万台受影响的设备。【阅读原文】

3、微软再发安全补丁 限制打印机驱动安装和更新权限缓解PrintNightmare漏洞

今天，微软再次发布了针对 PrintNightmare 漏洞的安全补丁，重点改进了 Windows 平台上 Point and Print 功能的默认行为，因为当前的实现不能满足客户的安全需求。未来，Point and Print 驱动的安装和更新都需要管理权限，这意味着能缓解目前和 Windows Print Spooler 服务相关的所有漏洞。

Point and Print 是 Windows 的一项功能，它允许用户连接到打印服务器，甚至是远程 Internet 连接的服务器，并自动下载和安装服务器的打印机驱动程序。

微软表示，本次更新对驱动程序安装和更新行为进行了限制，这虽然对非管理员用户带来了不便，但好处是远远大于这些不便的。该公司警告说，如果 IT 管理员不安装此更新或禁用此缓解措施，他们将容易受到 PrintNightmare 攻击。重要的是要记住 PrintNightmare 几乎影响所有版本的 Windows， 这就是为什么尽快安装此补丁至关重要。【阅读原文】

2021年8月10日 星期二

今日资讯速览：

1、中国台湾电脑巨头技嘉遭勒索软件攻击，上百GB数据失窃

2、中央网信办：深入推进摄像头偷窥等黑产集中治理工作

3、浏览器迎来“千年虫”考验：Mozilla已测试Firefox 100的兼容性影响

1、中国台湾电脑巨头技嘉遭勒索软件攻击，上百GB数据失窃

电脑大厂技嘉遭RansomExx勒索软件攻击，位于台湾的系统被迫关闭，超112GB签署保密协议的商业数据遭泄露，涉及英特尔、AMD等合作伙伴；

过去几年来，台湾科技行业一直笼罩在勒索软件攻击的阴影之下，宏碁、研华、仁宝、广达以及佳明等知名厂商均遭受过重大打击。

中国台湾计算机硬件供应商技嘉遭遇勒索软件攻击，黑客一方表示除非受害者接受他们提出的赎金要求，否则会将超过112GB商业数据发布出去。

作为一家以高性能主板而闻名的硬件厂商，技嘉公司位于台湾的系统被迫关闭，多个网站受到影响。

一位发言人表示，此次攻击并未影响技嘉的生产系统。只有台湾总部的几台内部服务器遭到入侵，而且目前已经被关闭和隔离。【阅读原文】

2、中央网信办：深入推进摄像头偷窥等黑产集中治理工作

中央网信办指导各地网信办督促各类平台清理相关违规有害信息2.2万余条，处置平台账号4000余个、群组132个，下架违规产品1600余件。

其中，百度、腾讯、UC等重点网站平台，清理有害信息8000余条、处置违规账号134个；京东、淘宝、闲鱼等电商平台，下架违规宣传或违规售卖摄像设备1600余件、处置违规账号3700余个、清理违规信息1.2万余条。对存在隐私视频信息泄露隐患的14家视频监控App厂商进行了约谈，并督促其完成整改。【阅读原文】

3、浏览器迎来“千年虫”考验：Mozilla已测试Firefox 100的兼容性影响

包括 Firefox、Chrome 和 Edge 等主流浏览器在内，开发团队都选择了缩短开发周期以加快版本更迭。如果按照现有的更迭速度，这些浏览器有望在明年 3 月达到三位数，突破 100。Mozilla 担心带有三位数的 Firefox 版本号在 User-Agent 字符串可能会破坏许多网站。

为此该公司准备在 Firefox Nightly 92 版本更新中进行实验，在 UA 字符串中使用 100 这个数字进行测试，看看这样是否会对网站造成兼容性问题。【阅读原文】

2021年8月9日 星期一

今日资讯速览：

1、搞瘫美国最大燃油管道的黑客软件卷土重来

2、每秒 8 人升级鸿蒙系统，华为 HarmonyOS 用户已超 5000 万

3、我国第三方应用商店在架应用分发总量达 18674 亿次，游戏类下载量第一

1、搞瘫美国最大燃油管道的黑客软件卷土重来

在今年5月，黑客团队“黑暗面”（DarkSide ransomware group）导致美国“输油大动脉”一度瘫痪，甚至让宣布进入国家紧急状态，也因此声名大噪。在成功获得了赎金后，迫于多方压力最终DarkSide宣布解散。

据外媒报道，日前，网络安全公司声称一个新的危险黑客组织已经成立，该组织融合了DarkSide和另外两种著名勒索软件的功能。

根据网络安全公司Recorded Future的说法，新成立的黑客团队名为黑物质集团（BlackMatter Group），该组织声称其已经成功融合了DarkSide和勒索软件“REvil”和“Lockbit”的最佳功能。【阅读原文】

2、每秒 8 人升级鸿蒙系统，华为 HarmonyOS 用户已超 5000 万

今年 7 月 29 日的华为发布会上，余承东表示华为 HarmonyOS 2.0 用户已超 4000 万，是一个里程碑式的记录，平均每秒就有 8 个用户升级。

据央视报道，最新数据显示，截至 8 月 6 日，华为鸿蒙系统的升级用户，已经超过 5000 万。

IT之家了解到，目前全球操作系统在 PC 操作系统领域中微软和苹果仍占主要位置，而手机操作系统领域则撒苹果和谷歌瓜分了全球大部分的市场。

央视援引业内人士观点表示，现在开发新操作系统的关键，主要是建立操作系统的生态系统。能否进入良性循环，是一个操作系统能否真正拥有市场生命力的核心因素。

他认为，面对鸿蒙系统如此猛烈的发展势头，华为将此前年底达到 3 亿台设备升级的目标提高到了 4 亿台。鸿蒙操作系统的诞生，不仅是为了应对其他系统的挑战，更是面向万物互联的时代。【阅读原文】

3、我国第三方应用商店在架应用分发总量达 18674 亿次，游戏类下载量第一

工业和信息化部运行监测协调局披露的数据显示，截止到 6 月底，我国第三方应用商店在架应用分发总量达到 18674 亿次。

其中，游戏类下载量排第一位，下载量达 2837 亿次；日常工具类、社交通信类、音乐视频类、生活服务类分别以 2593 亿次、2434 亿次、1978 亿次、1723 亿次排名第二至五位。

新闻阅读类下载量达 1443 亿次，系统工具类下载量达 1347 亿次，电子商务类下载量达 1175 亿次，其中电子商务类和新闻阅读类下载量比上月增长较多。

在其余各类应用中，下载总量超过 500 亿次的应用还有金融类（930 亿次）、教育类（833 亿次）和拍照摄影类（686 亿次）。【阅读原文】

2021年8月6日 星期五

今日资讯速览：

1、vpnMentor报告显示6300万美国用户的信息遭泄露

2、亚马逊/谷歌DNS托管服务爆严重漏洞，可窃取企业内网敏感信息

3、以隐私的名义，一场数据的战争打响了

1、vpnMentor报告显示6300万美国用户的信息遭泄露

据外媒报道，VPNMentor近日发现了一起重大数据泄露事件，估计有6300万美国公民的信息被泄露。这个数据库属于OneMoreLead，它被指控将用户信息（工作地点、电子邮件地址和姓名）储存在一个没有保护的数据库中。

据报道，好消息是，网络犯罪分子没有发现这个数据库，因为如果他们发现了，这将是一个网络犯罪活动的“金矿”，包括但不限于身份信息盗窃、金融欺诈，甚至针对美国机构和企业的大规模网络钓鱼行动。

vpnMentor在4月16日注意到这起数据泄漏事件，并在四天后通知OneMoreLead。由于他们未能保证这个数据库的安全，至少有6300万人可能被诈骗，他们的身份信息被盗，甚至更糟。【阅读原文】

2、亚马逊/谷歌DNS托管服务爆严重漏洞，可窃取企业内网敏感信息

持续收集敏感信息的托管DNS平台，很可能成为恶意人士理想的网络间谍与情报数据收集目标。

• 研究发现，亚马逊、谷歌等多款DNS托管服务存在问题，攻击者可以劫持平台解析节点，拦截部分传入的DNS流量，并据此映射出企业的内部网络；

• 这次事件再次引发担忧，持续收集敏感信息的托管DNS平台，很可能成为恶意人士理想的网络间谍与情报数据收集目标。

在日前召开的美国黑帽安全大会（Black Hat USA 2021）上，云安全厂商Wiz公司两位安全研究员Shir Tamari与Ami Luttwak披露一项影响托管DNS服务商的新问题。利用这个bug，攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。

这项漏洞也让人们再次意识到，持续收集敏感信息的托管DNS平台，很可能成为恶意人士理想的网络间谍与情报数据收集目标。【阅读原文】

3、以隐私的名义，一场数据的战争打响了

在旧金山的“新硅谷”SOMA 区，通往海湾大桥的高速公路旁，伫立着一块鸭子广告牌，上面写着：“谷歌在追踪你。我们不会。”说这话的鸭子来自 DuckDuckGo，一家主打隐私保护的搜索引擎公司。在美国，DuckDuckGo 有 2245 块广告牌，在欧洲是 2261 块。这对于一家科技公司来说并不寻常。

DuckDuckGo 在旧金山“新硅谷”SOMA 地区的广告牌｜图片来源：WIRED

通常，科技公司更倾向于在线上投放广告。根据用户数据生成的定向广告可以让公司更高效地找到他们的目标用户。DuckDuckGo 选择了广告牌这种老派的方式——这是为了以行动树立这家企业的价值观：不追踪用户。

去年，DuckDuckGo 的应用下载量超过了 5000 万次，比之前所有年份的总和还多，年收入也相应突破了 1 亿美元（约合 6.5 亿元人民币）。要知道，这家成立于 2008 年的公司，在上一轮融资过后，估值也就 7480 万美元（约合 4.86 亿元人民币）。看起来，它主打隐私的价值观奏效了。【阅读原文】

2021年8月5日 星期四

今日资讯速览：

1、谷歌发布八月Android安全补丁 共计修复33个漏洞

2、谷歌过去3年开除80多名员工：偷看用户数据还暗中监视同事

3、安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

1、谷歌发布八月Android安全补丁 共计修复33个漏洞

本周一，Google发布了适用于 Android 系统的新一轮安全补丁，共计修复了 33 个漏洞。根据Google官方公告，最大的威胁来自于 Media Framework 漏洞，可能允许本地恶意应用程序控制隔离的应用程序数据，完全绕过操作系统防御。受影响的设备不会因漏洞而无法使用，只是如果漏洞被利用，它们的完整性会受到损害。

本周初发布的新安全补丁 （2021-08-01） 解决了 Framework 中三个高危垂直提权漏洞、两个提权问题和三个 System 信息泄露漏洞。2021 年 8 月 Android 安全公告修复了多个影响各种硬件组件和软件问题的安全漏洞。【阅读原文】

2、谷歌过去3年开除80多名员工：偷看用户数据还暗中监视同事

一份内部文件显示，谷歌在过去的三年中开除了80多名员工，主要因为滥用公司内部工具来访问用户数据。这份文件显示，在某些情况下，谷歌的一些员工还利用这些工具，来暗中监视其他员工，这违反了谷歌的政策。

文件称，谷歌去年解雇了36名员工，其中大多数人是因为不适当地处理了机密信息，比如与公司外部人士分享这些信息。此外，由于数据安全相关的原因，谷歌在2018年解雇了18人，在2019年解雇了26人。【阅读原文】

3、安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

英国网络安全公司 Pen Test Partners，刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞。随着 IoT 即将在人们的家庭与车辆中无处不在，本次调查给出了物联网设备监管不力的最新实例，且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。

问题还涉及 Chargepoint 公共充电网络的 API（资料图 via Mitsubishi）

安全研究人员 Vangelis Stykas 指出，这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击，还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。【阅读原文】

2021年8月4日 星期三

今日资讯速览：

1、三年收集 621 万部废旧手机：东京奥运会金牌由电子垃圾制造，成本约 5000 元

2、苹果官网 Apple Store 开始维护

3、苹果将在加拿大 Apple Store 推出「先买后付」分期付款服务

1、三年收集 621 万部废旧手机：东京奥运会金牌由电子垃圾制造，成本约 5000 元

据央视，本次 2020 东京奥运会的所有奖牌都是用回收的电子垃圾制造的。这在奥运历史上是首次。单纯以成本计算，此次奥运会每块金牌包含 550 克银和 6 克镀金，价值约合人民币 5000 多元。

也就是说，在不考虑工艺的前提下，单纯从材质上给本届东京奥运奖牌估个价就值这么多，但很显然不能这么算。

IT之家了解到，国际奥委会对此有相关规定，奥运会所颁发的金牌并非纯金的材质，而是表面镀金的银牌，镀金量至少要达到 6 克纯金。

此外，银牌则是纯银组成，至少包含 550 克的纯银材质，按照目前的银价约合人民币 3000 元；而铜牌重约 450 克，材质为 95% 的铜和 5% 的锌组成的合金，目前价值约合人民币 30 元。【阅读原文】

2、苹果官网 Apple Store 开始维护

苹果官网 Apple Store 目前显示正在更新中，预计是为接下来的某些产品做准备。此外，美国等地区的 Apple Store 同样进入了维护状态。

据悉，该公司今天早些时候推出了带有 Touch ID 的新妙控键盘，以及升级显卡的英特尔 Mac Pro。

目前来看，苹果最近的一次发布会将会是 9 月发布会，理论上来说不会在 8 月更新，猜测是上架某些配件或下架某些产品的更新。

从此前爆料来看，苹果将于今年秋季发布一系列设备，包括配备 M1 芯片的 14 和 16 英寸 MacBook Pro、重新设计的 iPad mini、改款 10.2 英寸 iPad 和下一代 AirPods、全新的“ iPhone 13 ”和“Apple Watch Series 7”等，但肯定是在多次发布会中发布。【阅读原文】

3、苹果将在加拿大 Apple Store 推出「先买后付」分期付款服务

据9to5mac报道，苹果公司正与流行的「先买后付」服务 Affirm 合作，为加拿大的 iPhone、iPad 和 Mac 买家扩大购买产品的支付选择。根据彭博社的一份新报告，苹果公司将于本月某个时候在加拿大的网上和实体零售店推出这一计划。

在美国，苹果购物者可以使用 Apple Card 进行付款，但这在美国以外的地方是不存在的。然而，通过这种 Affirm 合作关系，苹果将能够为新购买的 iPhone、iPad 和 Mac 提供12个月或24个月的分期付款服务。【阅读原文】

2021年8月3日 星期二

今日资讯速览：

1、英国政府宣布“数字身份框架”的下一步计划

2、PwnedPiper安全漏洞影响了北美80%大医院的气动管道系统

3、即日起微软停止支持Skype for Business Online 企业需迁移到Teams平台

1、英国政府宣布“数字身份框架”的下一步计划

英国政府已经宣布了数字身份框架下一步计划。该框架旨在让人们以数字方式证明自己的身份。该框架于2月份首次概述，经过咨询和收集在线调查的反馈意见，现已更新。

英国政府通过制定这个框架，希望相关公司或者组织能够通过独立认证机构的评估，获得认证，以提供安全的数字身份服务。该框架描述了公司或者组织必须如何处理数据以及允许何种共享。在它得到更广泛的应用之前，英国政府表示将与服务提供商合作测试该框架。

随着该框架在测试过程中变得更加成熟，英国政府将开始起草一项新的法律，将该框架编入法典，使人们更容易使用数字服务来验证自己。英国数字基础设施部长马特-沃曼在评论该框架时表示，无论某人在开始工作、搬家或网上购物时想证明自己是谁，他们都应该有工具来快速和安全地进行证明。英国政府正在开发一个新的数字身份框架，这样人们就可以自信地使用现代技术来验证自己。

随着该项目的成熟，它可能会招致公民自由组织的批评，这可能会破坏该项目。如果该框架真的成为法律，它将使英国人更容易、更便宜地获得身份验证，而不是购买85英镑的护照或43英镑的驾照。【阅读原文】

2、PwnedPiper安全漏洞影响了北美80%大医院的气动管道系统

物联网安全公司Armis今天公布了被称为PwnedPiper的9个漏洞详细信息，这些漏洞影响到北美大约80%医院所安装的一种常见医疗设备-TransLogic气动管道系统。来自Swisslog Healthcare公司的TransLogic气动管道系统（PTS）是一个复杂系统，使用压缩空气来移动医疗用品（实验室样品、药品、血液制品等），这些管道连接着大型医院的不同部门。

TransLogic系统安装在3000多家医院当中，有效地发挥了作用，因为它们允许敏感医疗材料的移动，同时让护士自由地提供病人护理。

物联网安全公司Armis在今天发表的研究报告中表示，它在PTS 控制软件 - Nexus控制面板中发现了9个漏洞，该软件让医生和护士控制医疗材料在医院各科之间的移动。这些漏洞可以使未经认证的攻击者接管TransLogic气动管道系统，并从本质上完全控制目标医院PTS网络。【阅读原文】

3、即日起微软停止支持Skype for Business Online 企业需迁移到Teams平台

两年前微软就宣布将会停止支持Skype for Business Online，在2021年7月31日Skype for Business Online抵达生命周期终点彻底停止支持。微软表示Microsoft Teams是Skype for Business Online的继任者，因此企业应该尽快迁移到Teams平台继续获得支持。微软还称停用Skype for Business Online也是表达自己对Teams的信心，目前该平台用户已经达到10亿名。

近期微软正在大力推广Teams商业和消费者使用，例如Teams已经被集成到Windows 11里，用户只需要点击任务栏的聊天按钮即可自动下载Teams然后发起会话。商业方面微软自2017年开始准备将Skype for Business Online迁移到Teams平台，到2018年8月也实现了功能对等。

微软表示自从该公司决定退役Skype for Business Online后，已经与客户进行数百次的研讨和数百万次的迁移，尚未进行迁移的企业会获得微软的辅助升级，辅助升级将从2021年8月开始。在升级完成前企业仍然可以使用Skype for Business Online，但在升级完成后就只能使用Teams。

另外Skype for Business Online即日起无法访问、消费者版的Skype服务以及Skype for Business Server不受影响。

最后，在中国大陆由世纪互联运营的Skype for Business Online特殊版本将继续运行不会被强制升级Teams（但企业亦可选择主动迁移到Teams）【阅读原文】

2021年8月2日 星期一

今日资讯速览：

1、就隐私相关诉讼Zoom愿意支付8500万美元和解金 并承诺改善平台政策

2、微软推出Windows 365，云电脑到底是不是鸡肋？

3、美司法部：SolarWinds黑客去年曾入侵了联邦检察官办公室

1、就隐私相关诉讼Zoom愿意支付8500万美元和解金 并承诺改善平台政策

在涉及安全和隐私的诉讼中，Zoom 今天宣布愿意支付 8500 万美元和解金，并承诺改善相关的平台政策。该视频聊天服务一直是美国加州北区地方法院诉讼的焦点，指控 Zoom 在没有向用户明确说明的情况下向第三方提供个人用户信息。与 Facebook 共享数据和防止诸如“Zoombombings”之类的黑客行为发生是同类问题。

在一次更新中，似乎 Zoom 公司可能会通过支付赔偿金和坚持将改变的方式来摆脱法律斗争。据彭博社报道，拟议的协议要求 Zoom 公司支付高达 8500 万美元的赔偿。这包括向集体诉讼所涉及的 Zoom 付费用户支付高达 25 美元的和解金，以及向无法提交付费订阅要求的个人支付高达 15 美元的和解金。

Zoom 公司还将被要求改进其隐私保护措施，但没有报告这些变化的确切细节。该解决方案还不是最终的，因为它仍然需要美国地区法官 Lucy Koh 的批准才能进行。【阅读原文】

2、微软推出Windows 365，云电脑到底是不是鸡肋？

我们希望科技可以让我们的生活越来越便捷，但是每一项可以让人们接纳并可熟练操作的科技技术，无不是要经过一段从出生到成熟的漫长的成长期。最近有关云电脑发生了两件大事——几乎在同时，华为宣布将下线云电脑业务，而微软则将推出Windows 365云电脑.....what？？这节点接的也太妙了，这也让云电脑再度成为当下热门的话题。

当初云电脑被推出面向大众之时，大家纷纷对云上电脑充满了期待——我们可以在任何场合，通过各种设备，不受局限的打开并使用各种电脑应用。

或许是科幻电影的情节让大家的构想过于丰富，也过于超前。而现实中，云电脑的“地基”还并未打牢，致使很多用户在体验云电脑时，得出了“理想很丰满，现实很骨感”的结论。

而不久前，华为宣布云电脑停运的事情来看，在部分用户眼里似乎实锤了云电脑就是鸡肋这一说法。但，果真如此吗？【阅读原文】

3、美司法部：SolarWinds黑客去年曾入侵了联邦检察官办公室

据外媒报道，美国司法部(DOJ)周五表示，去年12月，黑客入侵了美国全国范围内最高联邦检察官的办公室并侵入了电子邮件账户。作为SolarWinds黑客攻击的一部分，该攻击者被指侵入了近30个美国律师办公室的账户--其中包括华盛顿特区、纽约和加利福尼亚的办公室。

DOJ曾在1月份披露，其微软O365电子邮件环境遭到入侵，但它没有提供有关美国检察官的信息。

当地时间周五，该部门发布的一份声明中表示：“司法部明白，当受害者将他们所遭受的计算机入侵的性质和范围公之于众时，其他人就可以利用这些信息来准备应对下一个威胁。为了鼓励透明度和增强本土抵御能力，今天我们将提供关于在2020年12月SolarWinds入侵的更多细节。”

DOJ表示，从西海岸到东海岸的27个办公室中，至少有一个员工账户被侵入。报告称，在纽约东区、北区、南区和西区的联邦检察官办公室，至少有80%的员工的账户被攻破，其他地区受到的影响较小。【阅读原文】

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界