为什么61％的CIO认为员工会恶意泄露数据

据Opinion Matters / Egress的一份报告显示，五分之一的受访员工认为数据属于自己，而非公司。

绝大多数网络安全措施都侧重于阻止来自外部的恶意窥探公司数据的行为，但员工在不知不觉或故意的情况下也会造成内部数据泄露的风险。据Opinion Matters和Egress周一发布的《2019年内部数据泄露调查》显示，约79%的CIO表示，他们认为员工在过去12个月内意外将公司敏感数据置于危险境地。

同样，61%的CIO回应调查表明，公司数据存在被员工恶意泄露的风险，但只有30%的人表示员工泄露数据是专门为了损害公司。接受调查的IT决策者倾向于相信员工是无辜的，60%的人认为员工“匆忙行事而犯错”，44%的人认为缺乏意识是导致安全事故的原因。

参考链接：http://netsecurity.51cto.com/art/201903/594192.htm

“ji32k7au4a83”竟然是一个典型弱密码

我相信绝大多数人第一眼看到都觉得这应该是一个足够安全的密码，即便再让你多看几眼……毕竟这个密码看起来既没有规律可循、而且英文数字混杂，很符合一个安全密码的条件。

部分注册系统中会对用户设置的密码安全程度进行一个初步判定，笔者就利用这个密码去测试了一下微博的判断能力。在设置密码框输入“ji32k7au4a83”之后，结果反馈“您的密码很安全”。

然而，对于这个密码外媒有着意外发现。网络上存在一个数据泄露存储库Have I Been Pwned(HIBP)，而这个“ji32k7au4a83”显示的泄露频次超出了大家的预期。

在这份泄露密码数据库中查询到，这个看起来很安全的密码泄露了141次。然后取这个密码的后半部分“au4a83”去查询，显示泄露1495次。这个出人意料的结果告诉我们，这个密码应该存在某种特殊的规律，才会导致这么多人在无形中产生这样的高度默契。

在发现这个有趣的问题之后，硬件/软件工程师Robert Ou在Twitter上表达了自己的疑问。很快有来自台湾的网友给出了答案，“ji32k7au4a83”这个密码竟然是“我的密碼”的意思。

根据带有注音符号布局的台湾键盘上，键入字母J，然后I，将添加两个符号(ㄨ+ㄛ)，发音为u和o(显示在键的右上方)，以形成wo。然后用户必须输入字符的第三声音调，因此是3。 Ji3代表“wǒ”。以此类推：ji3 -> 我、2k7 -> 的、au4 -> 密、a83 -> 碼

由此，谜底终于揭开了。“ji32k7au4a83”这个看起来安全的密码在台湾网友的习惯中就是“我的密碼”的意思，在英文习惯中就是“my password”，只不过是在为切换输入法的情况下输入出来的结果。

参考链接：http://netsecurity.51cto.com/art/201903/592932.htm

GitHub 不让盗版 Windows 用户登录？纯属段子

近日 reddit 上不少网友讨论 GitHub 不允许在 Firefox 中使用 2FA 安全密钥登录的问题。其实这个问题在 Buzilla、GitHub 和 Twitter 上都有不少人提出来了，在 reddit 这个帖子下，一位 Firefox 工程师给出了解释。

他表示现在 2FA 安全密钥的情况有点混乱，大多数现有网站使用 U2F 方案，但这不是一个 Web 标准；另一个 2FA 方案是 WebAuthn，正如前几天我们报导的，它已经被 W3C 认证为 Web 标准。

Firefox 目前提供了对 U2F 的初步支持，并且默认情况下是关闭的，因为主要还是围绕标准 WebAuthn 在开发。而现在使用 U2F 登录 GitHub 出现了问题，“意味着我们的 U2F 支持无法被识别。”

参考链接：https://www.cnbeta.com/articles/tech/830211.htm

韩国"手机身份证"App被曝存在严重安全漏洞

随着智能手机越来越发达，人们出门不仅可以不带现金，交通卡、银行卡等各种卡和证件的功能也能通过智能手机实现了。不过涉及到个人信息等隐私时，还是要谨慎小心，不能盲目信任手机上的各种应用程序。最近韩国一款“手机身份证”应用程序就被曝出存在严重的安全漏洞。在这款“手机身份证”应用程序中，只要拍下身份证、驾驶证或学生证等证件的照片，就能保存在自己的账号中。由于登陆账号需要密码，因此比直接把证件照片保存在手机相册中，具有更高的保密性。

然而，这款应用程序在保存证件照片时，不需要经过“本人验证”这一步骤，也就意味着，用户可以擅自把别人的证件照片保存在自己的账号中。这一安全漏洞便成了一些未成年人购买烟酒、出入不适宜场所的道具。

商家并没有仔细核对，只是看到顾客持有身份证就认为是成年人而轻易放行了。

开发企业称，这款本意是为用户提供便捷的应用程序被如此“恶用”，完全在他们的意料之外。

而目前在网络上还能看到一些青少年大肆交流如何利用这个应用程序的“经验”，这让许多人忧心忡忡，并呼吁开发企业尽快解决安全漏洞。

参考链接：https://www.cnbeta.com/articles/tech/829281.htm

GoDaddy、苹果和Google错误签发了一百多万个63位序列号证书

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书，在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书，工程师发现 64 位中必须有一个定值才能确保序列号是正整数，这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。

63位 和 64 位虽然只相差一位，但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的，实际上几乎不可能被恶意利用。但这不符合行业规定的要求。

Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书，不过到目前只有 7000 个证书还有效。 

参考链接：https://www.cnbeta.com/articles/tech/826997.htm

日本拟对IT巨头收集个人信息追责

日媒称，日本公平交易委员会基本决定，在美国谷歌和脸书等IT巨头非法收集、使用个人信息时，对其适用《反垄断法》。据共同社3月6日报道，日本公平交易委员会考虑，把企业与个人之间的服务和信息交换看作交易，并视为触犯《反垄断法》中规定的“滥用优势地位”条款。

对IT巨头，日本此前一直以企业间交易为中心重点监视，今后将目光扩大至个人。

报道称，IT巨头有强势地位，在人们使用信息检索和社交网站时收集个人信息，日本公平交易委员会将认定这种行为属于触犯规定，加以管制。

参考链接：https://www.cnbeta.com/articles/tech/825781.htm