2017年9月19日 星期二
馬哥教育新聞快報(bào)

導(dǎo)讀：黑客再度制造多起信息泄漏事件，Python官方平臺(tái)現(xiàn)惡意庫(kù)

每日一句

美麗屬于自信者，從容屬于有備者，奇跡屬于執(zhí)著者，成功屬于頑強(qiáng)者。

早報(bào)內(nèi)容

0.Equifax事件發(fā)酵：高管提前退休，檢察院介入調(diào)查
Equifax 上周通知用戶，黑客在5月中旬和7月下旬入侵了他們的系統(tǒng)。這次的信息泄露影響到了大約1.43億的美國(guó)消費(fèi)者，泄露的信息包括姓名，社保號(hào)碼，出生日期，地址，還有一些駕駛證的信息。該公司聘請(qǐng)了FireEye所屬的事故調(diào)查公司Mandiant進(jìn)行調(diào)查，并表示，Equifax對(duì)這一事件的內(nèi)部調(diào)查仍在進(jìn)行中，公司繼續(xù)與聯(lián)邦調(diào)查局密切合作進(jìn)行調(diào)查。
在今年九月 Equifax 爆出大規(guī)模數(shù)據(jù)泄露之后，上周五 Equifax 宣布，首席安全官員Susan Mauldin和首席信息官David Webb將立刻退出公司。

1.OurMine 泄露 Vevo 公司內(nèi)網(wǎng)文件
近期，黑客組織 OurMine 又將目標(biāo)對(duì)準(zhǔn)了 Vevo，Vevo是一個(gè)提供視頻服務(wù)的網(wǎng)站，這次黑客將其公司內(nèi)部網(wǎng)絡(luò)的文件都泄露出來(lái)了。
此前，該黑客組織以破壞網(wǎng)站和社交媒體賬戶而聞名。對(duì)于這次OurMine的攻擊原因，OurMine表示，在領(lǐng)英上,Vevo 的一名員工對(duì)OurMine的一名成員表示出了不尊重。

2.用戶如果兩周沒有使用他們的手機(jī)，Google將會(huì)刪除他們的安卓備份
近期，reddit用戶發(fā)現(xiàn)了Google的自動(dòng)刪除功能，當(dāng)時(shí)他正在為出現(xiàn)故障的Nexus 6P進(jìn)行備份，用戶在等手機(jī)維修的過(guò)程中，他發(fā)現(xiàn)他的Nexus 6P備份文件已被標(biāo)記為刪除。這表示如果用戶兩周沒使用他們的手機(jī)，Google將會(huì)自動(dòng)刪除那些存儲(chǔ)在 Google Drive 賬戶中的備份文件。Google在檢測(cè)到這段不活躍時(shí)間后，它將為舊的安卓備份文件劃定一個(gè)為期60天的倒計(jì)時(shí)，當(dāng)?shù)褂?jì)時(shí)結(jié)束時(shí)，Google將會(huì)自動(dòng)從用戶的云端硬盤中刪除備份文件。而對(duì)于此事，google的幫助頁(yè)面并沒有說(shuō)明太多的相關(guān)信息。

3.Python 官方平臺(tái) PyPI 中發(fā)現(xiàn)了10個(gè)惡意庫(kù)
近日，斯洛伐克國(guó)家安全局（NBU）在PyPi中發(fā)現(xiàn)了10個(gè)惡意的Python庫(kù)，PyPi（Python Package Index）是管理第三方庫(kù)的官方平臺(tái)。專家表示攻擊者是使用了“拼寫錯(cuò)誤”的方法來(lái)上傳這些惡意的第三方庫(kù)，比如將”urlib” 寫成 “urllib”。當(dāng)開發(fā)者上傳自己的庫(kù)到 PyPi 時(shí)，平臺(tái)不會(huì)做任何的安全性檢查或?qū)徲?jì)，所以攻擊者可以輕松的上傳那些惡意的第三方庫(kù)。故意填寫錯(cuò)誤名字的開發(fā)人員將其惡意庫(kù)加載到軟件的安裝腳本中。
專家表示這些惡意軟件會(huì)收集被感染主機(jī)的信息，比如這些虛假庫(kù)的名字，安裝這些庫(kù)的用戶的用戶名，還有用戶的計(jì)算機(jī)主機(jī)名。NBU 官員上周聯(lián)系了 PyPI 管理員，PyPI已經(jīng)將這些有問(wèn)題的第三方庫(kù)在平臺(tái)上下架了。

4.谷歌將FTP協(xié)議標(biāo)記為“不安全”
谷歌上周宣布，未來(lái)版本的 chrome 將對(duì)FTP傳輸協(xié)議標(biāo)注為不安全。谷歌將會(huì)在今年12月發(fā)布的 chrome 63 中正式實(shí)施此計(jì)劃，此舉是Google 長(zhǎng)期計(jì)劃的一部分，旨在標(biāo)記所有不安全的鏈接，用來(lái)提醒用戶，并鼓勵(lì)網(wǎng)站所有者和管理員盡快使用 HTTPS。Google軟件工程師Mike West解釋說(shuō)：“我們?cè)瓉?lái)的計(jì)劃中并沒有包含F(xiàn)TP，但不幸的是，其安全屬性實(shí)際上比HTTP稍微差一些。“
Google 鼓勵(lì)網(wǎng)站開發(fā)人員將他們提供的可下載文件（特別是可執(zhí)行文件）盡快從 FTP 遷移到 HTTPS 上。

5.阿拉斯加選民數(shù)據(jù)泄漏
研究人員近日發(fā)現(xiàn)，有將近50萬(wàn)的美國(guó)選民信息被泄露到網(wǎng)上，而導(dǎo)致事情發(fā)生的原因卻是數(shù)據(jù)庫(kù)配置出現(xiàn)了問(wèn)題。遭到泄露的是一個(gè)CouchDB數(shù)據(jù)庫(kù)，其中包含593,328個(gè)阿拉斯加選民記錄，包括姓名，地址，出生日期，投票偏好，家庭收入等等。
TargetSmart首席執(zhí)行官Tom Bonier解釋說(shuō)，事件是由Equals3配置錯(cuò)誤的結(jié)果，Equals3是一家AI軟件公司，它向TargetSmart授權(quán)了一些數(shù)據(jù)。他補(bǔ)充道，這個(gè)大約有59.3萬(wàn)阿拉斯加選民的數(shù)據(jù)庫(kù)的信息是無(wú)意間暴露出來(lái)的，除了管理團(tuán)隊(duì)和安全研究人員之后，沒有人可以訪問(wèn)到這個(gè)數(shù)據(jù)庫(kù)。

6.系統(tǒng)清理工具CCleaner被植入后門，上百萬(wàn)用戶或受感染
2017年9月18日，有情報(bào)披露，著名的系統(tǒng)優(yōu)化工具CCleaner的某個(gè)版本被發(fā)現(xiàn)植入后門，大量使用該工具的用戶恐將面臨泄密風(fēng)險(xiǎn)。這是繼Xshell后門事件后，又一起嚴(yán)重的軟件供應(yīng)鏈來(lái)源攻擊事件。
CCleaner是一款免費(fèi)的系統(tǒng)優(yōu)化和隱私保護(hù)工具。主要用來(lái)清除Windows系統(tǒng)不再使用的垃圾文件，以騰出更多硬盤空間，并且還具有清除上網(wǎng)記錄等功能。被植入后門的版本為8月15日上線的5.33版本。
目前我們發(fā)現(xiàn)部分國(guó)內(nèi)下載站點(diǎn)仍在分發(fā)存在后門的版本。金睛安全研究團(tuán)隊(duì)在此提醒廣大使用該工具的用戶，及時(shí)卸載有問(wèn)題的版本，避免隱私泄露的風(fēng)險(xiǎn)。

7.民航局：飛機(jī)上能否用手機(jī)由航司自行決定
9月18日，在中國(guó)民航局的例行新聞發(fā)布會(huì)上，中國(guó)民航局飛標(biāo)司副司長(zhǎng)朱濤透露，日前，《大型飛機(jī)公共航空運(yùn)輸承運(yùn)人運(yùn)行合格審定規(guī)則》（CCAR—121部，以下簡(jiǎn)稱《規(guī)則》）第五次修訂發(fā)布，將于2017年10月起實(shí)施。
這次修訂放寬了對(duì)于機(jī)上便攜式電子設(shè)備（PED）的管理規(guī)定，允許航空公司為主體對(duì)便攜式電子設(shè)備的影響進(jìn)行評(píng)估，并制定相應(yīng)的管理和使用政策。
對(duì)此，朱濤表示，航空公司可以根據(jù)評(píng)估的結(jié)果，來(lái)決定在飛機(jī)上使用何種便攜式電子設(shè)備，原來(lái)政府是禁止的，現(xiàn)在政府把這個(gè)權(quán)力交給航空公司來(lái)評(píng)估。

8.亞馬遜云服務(wù)將按秒計(jì)費(fèi)：降低價(jià)格打擊谷歌微軟
9月19日消息，亞馬遜公有云服務(wù)Amazon Web Services宣布，從10月2日開始，該公司將向使用其EC2虛擬服務(wù)器的客戶按秒收取費(fèi)用。
此舉將產(chǎn)生重要影響，因?yàn)樽詮腁WS 2006年推出以來(lái)，始終按小時(shí)計(jì)費(fèi)。2013年，Alphabet旗下子公司谷歌宣布AWS的直接競(jìng)爭(zhēng)對(duì)手按分鐘計(jì)費(fèi)。微軟的Azure也緊隨其后。現(xiàn)在，亞馬遜發(fā)動(dòng)反擊，更加細(xì)致地調(diào)整了人們使用計(jì)算資源的方式。

9.賈躍亭履責(zé)：樂視再償一億元債務(wù)，供應(yīng)商稱其有擔(dān)當(dāng)
據(jù)證券時(shí)報(bào)報(bào)道，賈躍亭香港籌款之行取得了不錯(cuò)的效果，日前樂視控股和供應(yīng)商達(dá)成的債務(wù)解決額度已經(jīng)超過(guò)了一億元。
在樂視系發(fā)生資金危機(jī)后，便遭遇了大批供應(yīng)商上門討債，更有部分討債者長(zhǎng)期在樂視大廈駐守，等待樂視還債。7月份的時(shí)候，賈躍亭曾經(jīng)表示，會(huì)“盡責(zé)到底”，一定會(huì)還債，希望供應(yīng)商能給些時(shí)間。

今日花絮

“共享女友”項(xiàng)目發(fā)表致歉聲明：暫停運(yùn)營(yíng)，雙倍賠償違約金
一家名叫“他趣”的情趣電商推出了“共享女友”服務(wù)，即提供充氣娃娃的共享服務(wù)，該項(xiàng)目一經(jīng)推出，便吸引了不少關(guān)注。然而，該項(xiàng)目推出不久即被叫停，派出所還對(duì)該項(xiàng)目的地推人員進(jìn)行了罰款。
今天，該項(xiàng)目背后的公司“廈門海豹他趣信息技術(shù)股份有限公司”發(fā)表了致歉聲明，宣布暫停“共享女友”項(xiàng)目的運(yùn)營(yíng)。