欧盟启动15个免费开源软件项目的漏洞奖励计划
2019 年 1 月,欧盟将启动其针对开源软件项目的 FOSSA 漏洞奖励计划。据报道,FOSSA 计划涵盖欧盟所使用的 15 个免费开源产品, 共设立 14 个具体的漏洞奖励项目,包括 Filezilla、Apache Kafka、Notepad++、PuTTY 以及 VLC Media Player 等。项目主要在知名漏洞众测平台 HackerOne 和 Intigriti/Deloitte 进行。FOSSA 项目最早设立于 2014 年,到 2017 年延长了 3 年。本次漏洞奖励计划的最高单项奖金达到 90.000,00 英镑。
参考链接:https://securityaffairs.co/wordpress/79355/security/eu-commission-bug-bounty.html
FaceBook 通过 Android 应用追踪用户数据
国际隐私组织(Privacy International)近日披露,一些非常流行的Android智能手机应用程序,包括Skyscanner、TripAdvisor和MyFitnessPal,在未经用户同意的情况下,将他们的数据发送给了社交网络Facebook。这种做法可能违反了欧盟的规定。在对34款非常流行的Android应用程序研究后发现,至少有20个应用程序在手机上被打开之后,在未获得用户允许的情况下,就直接将他们的某些数据发送给了Facebook。发送的信息包括应用程序的名称、用户的谷歌ID,以及应用程序自下载安装以来被打开和关闭的次数。有些网站,如旅游网站Kayak,还将人们搜索航班的详细信息也发送给了Facebook,包括旅行日期、用户是否有孩子以及他们搜索的航班和目的地。
参考链接:https://securityaffairs.co/wordpress/79313/digital-id/facebook-tracking-android-apps.html
越南网络安全新法生效,责令互联网公司删除“有毒”内容
据法新社1月1日报道,越南网络安全新法于1月1日正式生效。该法规定,互联网公司必须删除被政府认定为“有毒”的网上内容,越南互联网用户也不得在互联网上散布反政府信息或歪曲历史。此外,脸书、谷歌等国际科技巨头要在越南开展业务必须在越南国内设立代表处,而且在越南政府要求下必须将用户数据提交给政府。
越南公安部两个月前发布法令草案,说明如何实施这项法律,且给予在越南提供网络服务的公司12个月的宽限期。
参考链接:http://news.sina.com.cn/o/2019-01-02/doc-ihqfskcn3334073.shtml
Twitter对推广内容监管不力,让假PayPal账号大肆行骗
近日,外媒TNW 编辑 Matthew Hughes 不幸刷出了一条来自诈骗账号 @PaypalChristm 的推广内容。诈骗者宣称自己是个合法的 PayPal 官方账号,忽悠用户参加年中抽奖。虽然没有明确说明这些奖品是啥,但配图已经赤裸裸地晒出了 iPhone 和玛莎拉蒂。想要参与,就必须“验证”用户信息。尽管骗局漏洞百出,但是对于专业技能欠缺的普通网友来说,它的杀伤力还是不容小觑的。外媒 TNW 已经向 PayPal 和 Twitter 发去置评请求,不过截至发稿时,暂未收到回复。
参考链接:https://www.cnbeta.com/articles/tech/804133.htm
携程因“泄露用户信息”被罚
据《北京晚报》报道,申女士通过携程手机APP替同事订机票后却收到航班取消的诈骗短信,在按对方提示操作退款的过程中,申女士被骗子累计骗走12万元。日前,朝阳法院对此案作出一审判决,审理后认定,携程公司在信息安全管理的落实方面存在漏洞,未尽个人信息的保管及防止泄露义务,判决携程公司赔偿申女士经济损失5万元并赔礼道歉。
参考链接:https://news.qudong.com/article/541637.shtml
智能门锁还安全吗? 黑客用假手破解静脉识
自从智能手机开始火爆全球以来,各种加密解锁手机的方式也不断推陈出新,从基础的指纹识别到声纹识别眼纹识别,直到现在最火的3D人脸识别解锁。很快这些解锁方式的应用范围也逐渐扩大,很多智能门锁也用上了指纹,甚至据说更加安全的静脉解锁。但是这些解锁方式真的是无比安全的吗?近期就有黑客用假手成功破解了静脉识别认证。
静脉识别是生物识别的一种它是根据静脉血液中脱氧血色素吸收近红外线或人体辐射远红外线的特性,用特殊的技术手段提取特征,再与预先存储特征数据进行匹配以确定个人身份。由于每个人的静脉分布图具备类似于指纹的唯一性且成年后持久不变的特点,所以它能够唯一确定一个人的身份。此外,它具有其他生物特征识别技术所不具备的优点,因而具有广泛的应用前景,得到广泛关注。
国外的两名黑客Jan Krissler(starbug)和Julian Albrecht在德国召开的混沌通信大会上演示了他们是如何绕过日立和富士通制造的扫描仪的,这两种扫描仪覆盖了大约95%的静脉认证市场。