美国联邦应急管理局泄露了230万灾难幸存者的个人信息

据外媒报道，美国国土安全部监察长办公室发布了一份报告，联邦应急管理局（FEMA）没有保护好约230万飓风幸存者的个人信息。

2017年，受哈维、玛利亚、厄玛飓风和加利福尼亚的野火和飓风影响的居民获得了政府提供的过渡性庇护援助（TSA）。但联邦应急管理局没有保证幸存者的信息安全，导致他们很容易遭受身份盗窃和欺诈。

据国土安全部监察长称，为了帮助幸存者寻找临时住房解决方案，联邦应急管理局非法向一家联邦承包商提供了230万幸存者的私人数据。

参考链接：http://h5ip.cn/RZZn

删除手机数据并不能让你远离网络罪犯

你从手机中删除了信息并不意味着这些信息被永远删除了。它会留在互联网上，可以被第三方网站使用，其中大学生的信息是最容易被网络罪犯利用。

消费者保护网络首席执行官Nadeem Iqbal表示，大学生是网络犯罪的主要目标，但有些时候，他们的信息并不总是用于犯罪目的。

一项调查显示，21岁至30岁的受访者被问及他们的信息是否可以与第三方共享时，大约70%的人回答说他们不希望这样。 

Nadeem Iqbal透露，电信运营商会与第三方共享消费者数据，而这些第三方是在消费者不知情的情况下通过协议条款达成协议的。由于很少会有消费者阅读详细的协议条款，使得每个人都处于风险之中。

IT专家Asim Ali博士表示，如果信息在网上，就不会是私人的。你在网上上传的任何图片或文件都不安全。即使没有联网，你手机上的任何信息都有可能被利用。因为不能确定是否有一个后台应用程序在收集信息。如果黑客想获取你的数据，他们很容易就可以做到。

Ali博士称，即使你关闭了设备，埋在几百英尺深的海底，它也仍然不安全。即使你用的是最贵的手机，无论是Android还是iOS，也都一样。

专家建议，尽量不要把自己的个人信息保存在手机上，尤其是那些不应该展示给别人的信息。可怕的是，在大多数情况下，将信息泄露的人是与受害者亲密的人。

参考链接：http://h5ip.cn/7O9U

一名立陶宛男子从谷歌和Facebook处诈骗获得1.23亿美元

据外媒报道，一名50岁的立陶宛男子在美国纽约南区地方法院认罪，他利用商业电子邮件（Business Email Compromise，简称BEC）诈骗从谷歌和Facebook处获益约1.23亿美元。Evaldas Rimasauskas于2016年12月被起诉，2017年3月在立陶宛被捕，并被引渡到美国。

起诉书称，Rimasauskas冒充电脑供应商向谷歌和Facebook这两家互联网巨头发送电脑设备发票。Rimasauskas在拉脱维亚注册了一家公司，公司名称与知名的台湾电脑研发设计制造公司广达电脑相同。广达是谷歌和Facebook的合法设备供应商。

诈骗从2013年一直持续到2015年，Rimasauskas以及他的同伙假扮成广达，发送假发票，要求两家公司付款。

起诉书中写道，伪造的发票、合同和信件帮助Evaldas Rimasauskas成功实现了欺诈。这些发票、合同和信件伪造成由受害公司的高管和代理人签署，上面还印有受害公司的伪造印章

谷歌和Facebook以及它们的一些子公司向Rimasauskas所有的拉脱维亚和塞浦路斯银行账户进行了电子支付。资金一旦到账，很快就被转移到了Rimasauskas世界各地的其他银行账户上。

根据认罪协议，Rimasauskas必须支付49,738,559.41美元的赔偿金，并将面临最高30年的监禁。

虽然Rimasauskas实施的并不是什么新型攻击，但它出奇的有效。Barracuda最近的一项研究发现，83%的鱼叉式网络钓鱼攻击都假冒品牌来迷惑和欺骗受害者。基于鱼叉式网络钓鱼的BEC攻击并没有被广泛使用，但自2013年以来，这种攻击带来了超过125亿美元的惊人利润。

参考链接：http://h5ip.cn/GdpP

如何确保现代世界的工业物联网安全

制造业在所有行业中的攻击面可以说是最大的，那么工厂应该如何应对网络安全问题，以确保安全运营，并为未来的威胁做好准备呢？保证IIoT安全的最佳方法是从部署开始就考虑安全性，在出现问题之前，就可以在测试中发现安全漏洞。了解与网络连接的内容对于开发可靠的安全态势至关重要。用户名和密码是不够的，还要考虑生物识别、基于令牌等双因素认证方法来加强安全性。成功的安全性应该设计为为尽可能多的设备提供保护，这意味着从边缘开始保护是最好的。避免常见的错误。

参考链接：http://h5ip.cn/qQQz

UC浏览器存在中间人攻击(MITM)漏洞，可能影响5亿用户

研究人员发现UC浏览器中存在易受攻击的功能模块，可被攻击者利用执行中间人攻击。

由于UC浏览器采用HTTP协议与服务器通信，传输的信息没有经过加密，所以会被攻击者hook来自应用程序的请求，并将命令和链接替换为恶意地址，导致从UC浏览器下载模块时，会下载来自恶意服务器的内容。而UC浏览器本身使用未签名的插件，因此没有任何验证就可能启动恶意模块。攻击者可以利用这种机制，使用UC浏览器分发、执行不同的恶意插件，甚至利用木马访问受保护的浏览器文件并窃取存储在程序目录中的密码。UC浏览器有5亿多用户，都可能暴露在风险之中。

参考链接：http://h5ip.cn/AEDV

华硕电脑曝Live Update软件漏洞，官方回应仅数百台受到影响

卡巴斯基实验室（Kaspersky Labs）的安全研究人员周一表示，他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机，向

100多万华硕电脑用户发送了恶意软件，导致这些电脑可能存在后门。据台湾地区媒体《中时电子报》报道，华硕今天下午表示，此事件已在华硕的管理及监控之中。华硕称，媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击，APT通常由第三世界国家主导，针对全世界特定机构用户进行攻击，甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证，目前受影响的数量是数百台，大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。

参考链接：http://h5ip.cn/AEDV