Facebook 数亿用户密码被发现在内部数据库明文保存

KrebsOnSecurity 援引匿名消息来源披露，Facebook 有数亿用户的密码被发现明文保存，允许公司雇员搜索和访问。社交巨人随后发表声明证实确有此事。Facebook 称今年一月它在例行安全检查中发现部分用户密码以可读模式保存在内部的存储系统。它已经修复了问题并将会通知受影响的用户。Facebook 声称这些明文保存的密码对外部人员是不可见的，它没有发现有证据显示公司内部人士滥用或不恰当的访问了这些密码。受到影响的用户包括了数亿 Facebook Lite 用户，数千万 Facebook 用户，数万 Instagram 用户。Facebook Lite 是为网络连接状况不佳的地区用户提供的 Facebook 版本。

参考链接：https://www.solidot.org/story?sid=59989

诺基亚7 Plus被曝向中国服务器传送数据，芬兰介入调查

挪威公共广播公司NRK报道称，未明确数量的诺基亚7 Plus手机向中国服务器发送数据。据路透社消息，芬兰已经就此展开调查。先前的报道称，一些诺基亚7 Plus在打开时向中国服务器发送了未加密的信息，包括位置、SIM卡号和手机的序列号等敏感数据，这些服务器在“vnet.cn”的域名之下，而该域名由中国电信管理。

对此，芬兰的数据保护监察官Reijo Aarnio表示，他将评估此事是否存在涉及“个人信息以及是否存在法律理由的违规行为”。他还说，此事可能违反GDPR法规。

参考链接：https://www.ithome.com/0/415/597.htm

中国破解特斯拉第一人刘健皓揭秘：360智能网联汽车安全项目怎么赚钱

找洞一时爽，还有特斯拉奖。这个目标终于被黑客达到了。

前两天，全世界最酷的黑客比赛之一的Pwn2Own 又开张了。今年这个比赛最引人注目的规则是，如能演示针对特斯拉调制解调器或调谐器、WiFi 或蓝牙组件、车载系统、网关、自动驾驶仪、安全系统和密钥卡（包括用作钥匙的电话）的利用代码，则可获得 5 万美元至 25 万美元不等的奖励。如成功入侵某些目标组件且实现持久性和 CAN 总线攻击，则可分别获得 5 万美元或 10 万美元的额外奖励。

参考链接：https://www.leiphone.com/news/201903/YGAL9smMV5Uw2G8k.html

超 10 万个 GitHub 仓库可泄漏 API 令牌及密钥

北卡罗来纳州立大学（NCSU）学者的一项研究表明，某些 GitHub 仓库会泄漏 API 令牌和加密密钥。研究人员分析了超过 10 亿个 GitHub 文件，这些文件分布在数百万个存储库中。

研究人员用 GitHub 搜索 API 捕获并分析 681784 个库的 4394476 个文件，另有 3374973 个库的 2312763353 份文件记录在 Google 的 BigQuery 数据库中。研究人员在这些文件中寻找具有特定 API 令牌或加密密钥格式的文本字符串，结果发现 575456 个 API 和加密密钥，其中 201642 个是唯一的，所有这些密钥分布在 100000 多个 GitHub 项目中，而且使用 Google Search API 找到的密钥和通过 Google BigQuery 数据集找到的密钥是几乎没有重叠。研究人员表示，他们跟踪的 API 和加密密钥中有 6％ 在泄漏后一小时内被删除，超过 12％ 的密钥在一天后被删除，而 19％ 的密钥暴露了 16 天。

参考链接：https://www.leiphone.com/news/201903/ldMgoULZ4j28yyHP.html

太缺德！黑客居然操控飓风警报半夜惊醒两城居民

黑客的脑洞是无穷的，前不久雷锋网报道过一起玩坏机载娱乐系统事件，昨天外媒就又报道了恶作剧搞乱飓风警报事件。

今年 3 月 12 日凌晨两点半，德州两个城镇的居民突然被惊醒了，突如其来的飓风警报让他们陷入恐慌。更可怕的是，飓风警报一会儿起一会儿消，就这样循环往复持续了一个半小时，凌晨 4 点才真正消停下来（还是被相关职能部门强行关掉的），弄得居民们一脸懵，都不知道该不该收拾金银细软跑路了。

如果真有飓风来也就算了，这次的警报完全是误报，背后的“恶作剧”操纵者居然是黑客。

受警报影响的 DeSoto 和 Lancaster 一直是飓风重灾区，当地政府建立飓风警报系统也是为了减少风灾带来的损失。一旦警报响起，当地居民就得采取必要措施保护自己。

据悉，当地的飓风警报系统这次彻底被黑客攻破，他们共设置了 30 次警报，其中 Lancaster 响了 20 次，而剩下的 10 次则打破了 DeSoto 居民的清梦。让人郁闷的是，这次误报之前，当地的紧急预警系统从来没被黑客光顾过。

眼下，当地警方正在着手调查这次的误报事件。警方称他们一定会抓到幕后黑手并将他们绳之以法，因为对这种关键系统的破坏是犯罪行为。至于黑客的动机，现在还不清楚。

参考链接：https://www.leiphone.com/news/201903/Rq88B6lhhmrzUoxK.html

智能汽车报警器漏洞影响300万车主，曾宣传“不可破解”

据外媒报道，Viper（在英国被称为Clifford）和Pandora的汽车报警系统最近成为Pen Test Partners研究人员关注的焦点。上周五，网络安全研究人员公布了这些所谓的智能警报的安全状况，它们与供应商的说法严重不符。

研究人员在产品API中发现了不安全的直接对象引用（IDORs），可篡改车辆参数、重置用户凭证、劫持帐户等等。

破坏智能警报系统不仅会导致车辆和车主的详细信息被盗，还会导致汽车解锁、警报关闭、车辆被跟踪、麦克风受损，以及防盗控制系统被劫持。

在某些情况下，网络攻击还可能导致汽车引擎在使用过程中失灵，这可能导致严重的交通事故。Pandora汽车报警系统至少为300万客户提供服务。

两家公司都声称他们的产品是“智能的”。Pandora甚至说它的智能报警系统是“不可破解的”，而如今该声明已从Pandora网站上删除。

参考链接：https://www.t00ls.net/articles-50220.html