Cloudflare 疑因为恐怖组织网站提供 DDoS 保护服务遭抨击

据外媒报道，就在网络言论自由和温和政策比以往任何时候都更具争议期间，Cloudflare 因为恐怖组织提供网络安全保护而面临指控。据悉，该机构被指至少有在为 7 个恐怖组织提供网络安全服务，对此一些法律专家认为这种情况可能会使其面临法律风险。

Cloudflare 面向市场提供了一系列对运营现代网站的重要服务，比如 DDoS 保护。这是一家宣称可以处理 10% 互联网请求的庞大组织，据称它还准备进行 35 亿美元的 IPO。

然而在周五，《赫芬顿邮报》指出，通过对大量有恐怖组织运营网络的审查以及与四名国家安全与反极端主义专家的合作，他们发现这些网站受到了来自 Cloudflare 的网络安全服务保护。

据了解，虽然像 Facebook 等这样的私营公司在其服务条款中会对言论设有一定的限制，但 Cloudflare 更倾向于保持沉默。成为一名 Facebook 用户是任何人都可以为自己做出的选择，然而进入 Facebook 的代价之一就是要遵守他们的规则。但是像托管、域名注册以及 Cloudflare 提供的那种保护等服务则是互联网基础设施的核心。早在 2012 年的时候，Cloudflare CEO Matthew Prince 就曾反对过公司监督言论的观点，如今它的政策则严格遵守法律义务。

参考链接：http://hackernews.cc/archives/24625

双重认证并非 100% 安全：新技术证实可成功入侵 Gmail 账号

安全专家上周四表示，近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗，并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统（2FA）。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险，尤其是通过SMS短信发送至用户手机的情况。

安全公司Certfa Lab的研究人员在一篇博客文章中表示，有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息，并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片，在攻击目标浏览该信息的时候就会自动激活。

用户在虚假的Gmail或者Yahoo安全页面输入密码之后，攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护，则攻击者会将目标重定向到请求一次性密码的新页面。

参考链接：http://hackernews.cc/archives/24627

腾讯团队发现 SQLite 漏洞：或影响 Chrome 等数千款应用

据美国科技媒体 ZDNet 报道，腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码，还会导致程序内存泄露或程序崩溃。由于 SQLite 被嵌入到数千款应用中，因此这个漏洞会影响许多软件，范围涵盖物联网设备和桌面软件，甚至包括网络浏览器到 Android 和 iOS 应用。

并且只要浏览器支持 SQLite 和 Web SQL API，从而将破解代码转变成常规的 SQL 语法，黑客便可在用户访问网页时对其加以利用。

火狐和 Edge 并不支持这种 API，但基于 Chromium 的开源浏览器都支持这种 API。也就是说，谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。

参考链接：http://hackernews.cc/archives/24618

FBI 数万名特工信息遭披露，英美法多国情报机构均受影响

近日，一朋友表示有一个“大新闻”——FBI 两万多名警员数据被泄露出来了。看到“FBI”的字眼，惺忪一上午的睡眼立马亮起来了，顺着他提供的一些线索，我发现不只是FBI，连英国、法国的情报机构也受到影响……

Anonymous 已经成为众多黑客事件的万能背锅侠，笔者已经对这个身份没太大兴趣了。显然这条推特的内容会更加劲爆。该用户直接贴出了暗网的链接，透露其中包含 FBI以及法国警方的成员清单。

而“Part 1”，显然意味着后续还有更多的数据被曝光，其主要针对目标就是美国、英国、法国等情报机构。

参考链接：https://www.freebuf.com/news/192180.html

“脸书”涉泄680万用户照片 或面临16亿美元罚款

12月16日消息，据外媒报道，美国社交网站“脸书”(Facebook)又出现安全漏洞，导致第三方应用软件获取用户未公开的私人照片，初步估计，有多达680万用户受影响。目前，欧洲隐私管制机构爱尔兰数据保护委员会已着手调查，“脸书”或因此被罚款超过16亿美元。

14日，“脸书”公司发表声明说，“脸书”系统出现程序漏洞，导致大约1500个应用软件在今年9月13日至25日期间，能够获取用户未分享的照片。“脸书”表示，如果用户曾使用“脸书”账号登录第三方应用软件，并授权软件存取照片，那用户的私人照片可能已经外泄，其中包括没有公开分享的照片。

据“脸书”工程总监巴尔指出，用户使用第三方应用软件上传到“脸书”，但未完成分享程序的照片，其副本被保留在应用内，因此被有关应用取得。

他为此向“脸书”用户道歉：“我们很抱歉发生了这样的事。下周我们将和应用软件开发商合作，让他们找出受影响的用户，并尽快删除泄露的照片。”

参考链接：http://www.youxia.org/2018/12/43422.html

“驱动人生”升级现木马病毒 半天感染数万台电脑 

火绒安全等国内网络安全机构的安全团队监测发现，驱动人生旗下多款软件携带后门病毒DTStealer，14日病毒服务器只开放了不到10个小时即关闭，但是已经感染数万台电脑。据火绒威胁情报系统监测，该病毒于14日下午14点前后开始传播，之后逐步加大传播速度，被感染电脑数量迅速上升，到晚间病毒服务器关闭，停止传播。15日凌晨，驱动人生官方微博回应称，驱动人生产品少部分未更新的老版本升级组件漏洞被恶意利用攻击。请老版本用户手动更新升级版本，新版驱动人生产品已启用全新升级组件，可放心使用。驱动人生在随后发布的一份正式声明中表示，已第一时间请求火绒安全、360、腾讯电脑管家、金山等安全厂商进行协助查杀拦截处理。相关材料转交国家警务机关，并与安全软件厂商通力配合，坚决查清幕后黑手。

参考链接：https://www.cnbeta.com/topics/157.htm