各位 Buffer 早上好,今天是 2018 年 4 月 28 日星期六,农历三月十三。今天的 BUF 早餐铺内容主要有:Win10被指非法收集数据,微软恐面临287万美金罚款;Ubuntu 18.04 正式版发布,针对安全性优化;谷歌帐户获得新的验证功能 以防止网络钓鱼攻击;疑似与朝鲜相关的黑客盗取17个国家的数据;MongoDB 服务器漏洞泄漏加密货币用户信息;黑客盯上了茅台的防伪电子标签 伪造数量达几十万枚。
安全资讯早知道,两分钟听完最新安全快讯~
【系统安全】
Ubuntu 18.04 正式版发布,针对安全性优化
Canonical于伦敦时间26日正式发布了Ubuntu 18.04 LTS版,Canonical的CEO称,Ubuntu 18.04 LTS在云计算领域效率极高,特别适用于机器学习这样的存储密集型和计算密集型任务。
据了解,此次Ubuntu 18.04 LTS的代号为Bionic Beaver(仿生海狸),Canonical将会支持此款操作系统到2023年5月。Ubuntu 18.04 LTS采用4.15版本的Linux内核,支持一些全新的特性,如AMD安全内存加密,以及针对SATA Link电源管理的改进等。
此外,Ubuntu 18.04 LTS将gcc设为默认的编译应用程序,但是不在默认安装Python 2.x,Python 3的版本目前已经更新至3.6,不过如果需要安装Python 2可通过手动安装实现。
Canonical的CEO表示,Canonical在机器学习与人工智能领域为研究人员集成了专门的工具包——Canonical Kubernetes。能更好的利用计算机资源进行机器学习。[来源:Sohu]
【数据安全】
Win10被指非法收集数据,微软恐面临287万美金罚款
巴西联邦检察官星期三要求法院强制微软更改其Windows 10的默认安装过程,称其违反当地法律,未经“明确同意”收集用户数据。在欧盟和其他部分地区,微软也面临同样的质疑,原因是Windows 10的安装设置存在问题,用户也缺乏对数据处理的明确控制。目前为止,微软巴西方面暂时还没有对此予以回应。
联邦检察官在一份声明中表示,巴西客户安装Windows 10时的默认设置会自动批准该公司收集用户数据,例如浏览和搜索历史,电子邮件的内容及其位置。
“该程序违反了大量的宪法原则,如隐私保护,”圣保罗联邦检察官办公室声明。
它已经提起了针对微软的民事诉讼,阻止Windows 10在未经用户明确同意的情况下继续收集个人数据。“
检察官要求该公司在15天内停止其Windows 10的“自动收集数据”。他们还要求微软在安装该软件时加入对用户的警报,以便他们更好地理解“授权传输数据的后果”。如果微软不遵守要求,则将面临1000万巴西雷亚尔(约287万美金),并且每天额外增加10万雷亚尔的处罚。[来源:FreeBuf]
【Web安全】
谷歌帐户获得新的验证功能 以防止网络钓鱼攻击
在G Suite博客的更新的一篇博文中,谷歌宣布将为谷歌帐户持有者带来一项新的安全功能,这些帐户持有者也碰巧依靠Chrome浏览器进行其网页浏览活动。谷歌希望通过验证用户登录他们控制的谷歌帐户来提高安全性。
此举旨在防止任何人悄悄登录可能属于恶意第三方的谷歌帐户。但是,并非所有谷歌用户都会看到这个新界面,因为这专门针对的是第三方登录。谷歌表示,新的安全功能将于5月7日开始推出。
在SAML提供商上登录后,用户会从accounts.google.com中看到一个新界面,该界面会询问用户是否识别出他们要登录的谷歌帐户。如果谷歌帐户属于用户自己,那么他们可以继续登录。如果不是,那么用户可能需要对此事进行调查,因为这意味着有人可能试图欺骗用户登录另一个不应访问这些服务的谷歌帐户。
#p#分页标题#e#
此举旨在阻止钓鱼攻击,这些攻击可能以试图欺骗用户悄悄登录恶意帐户为目标。新界面将只在每台设备显示一次,以最大限度地减少对用户的干扰。未来,谷歌表示用户应该越来越少地看到它,因为系统获得了“上下文感知”功能。[来源:cnBeta]
疑似与朝鲜相关的黑客盗取17个国家的数据
与朝鲜有关的黑客组织与17个国家的一系列网络攻击有关,远远超出了最初的想象。
McAfee Advanced Threat Research发布的一份新报告发现,一项名为Operation GhostSecret的重大黑客活动旨在窃取包括关键基础设施,娱乐,金融,医疗保健和电信等广泛行业的敏感数据。
攻击者使用与朝鲜赞助的网络部队Hidden Cobra(也称为Lazarus)相关的工具和恶意软件程序来执行高度复杂的操作。
GhostSecret的行动被认为是在3月初发生在几个土耳其金融机构和政府组织的大规模网络攻击。据McAfee介绍,网络攻击随后开始针对17个国家的行业,并且仍然活跃。[来源:Businessinsider]
【区块链安全】
MongoDB 服务器漏洞泄漏加密货币用户信息
安全研究人员偶然发现了一个MongoDB数据库,其中包含超过25,000名投资或接收Bezop(加密货币)的用户的个人信息。
据网络安全公司Kromtech称,该数据库包含全名,家庭住址,电子邮件地址,加密密码,钱包信息以及扫描的护照,驾驶执照或身份证等信息。
数据库存储了与Bezop团队在年初开始运行的“ 赏金计划 ” 有关的信息,在此期间,它将Bezop代币分发给在其社交媒体帐户上宣传货币的用户。
Bezop发言人承认这一违规行为,声称数据库无意中在网上曝光,而开发团队在1月8日处理了DDoS攻击。
一位发言人今天告诉Bleeping Computer,曝光后没有用户资金被盗。[来源:BleepingComputer]
【国内新闻】
黑客盯上了茅台的防伪电子标签 伪造数量达几十万枚
4月26日,贵州省高级人民法院发布了一份《贵州法院知识产权司法保护典型案例(2017年)》。其中一个“李斌、徐守西假冒注册商标案”,其中介绍的案例恐怕要让大伙对茅台的防伪标签失望了!
2015年10月底,有两个叫林振业、玉鹏的黑客,破解了贵州茅台集团的防伪溯源系统,将自行编造的假冒防伪数据添加到茅台集团防伪溯源系统中,并将该假冒数据写入空白电子标签中,以使自己伪造的假冒茅台酒防伪电子标签能够通过贵州茅台集团的防伪溯源系统验证。[来源:cnBeta]