国际资讯

我们该从Facebook史上最大数据泄露事件中明白什么？

人们对这家社交巨头最新的态度可从其最近两天的股价上一览无遗：美东时间3月19日，Facebook因受数据泄露一事影响，股价跌去近6.8%;美东时间3月20日，Facebook股价又再次下跌，盘中最大跌幅高达5.8%，最终以跌幅2.56%收盘，市值跌破5000亿美元Facebook高管尽管给出了他们眼中的事实，现实却往严峻的那一面发展。数据泄露曝光后，剑桥分析(Cambridge Analytica)公司的CEO Alexander Nix被董事会宣布停职接受调查、Facebook的首席信息安全官Alex Stamos也就此提出了离职。

此外，美FTC开始跟进Facebook数据泄露一事，调查Facebook是否违反了2011年的和解令。据悉，和解令每违反一次，可判处40000美元罚款。有媒体指出，这意味着，如果确实有5000万Facebook用户的数据被泄露的话，Facebook理论上可能会被判处2万亿美元的罚款。除了美国本土进行的调查之外，英国的国会议员也已经正式要求扎克伯格针对此事来国会接受质询;而欧洲议会主席塔亚尼表示，欧盟议员将调查逾5000万名Facebook用户的数据是否被不当使用。

Facebook信息泄露的根源是什么?

美著名分析师Ben Thompson给出了自己的答案，他在《THE FACEBOOK BRAND》一文中指出，Facebook数据泄露的根源归结于2010年的那场F8大会。在2010年F8开发者大会上，Facebook推出了Open Graph。为什么要推出这个产品呢?究竟有何用?我们首先从Facebook的当时处境谈起。Facebook虽然是社交公司，但本质却和谷歌一样，是一家广告公司，然而相对于谷歌而言，那时Facebook的体量小的很多——只有4亿用户，而且还没上市。作为一家广告公司，数据和用户非常重要，那如何获取呢?Facebook开始效仿谷歌——因为连接的关系，谷歌可以从Web任意获取数据，因此Facebook推出了Social Graph，构建了庞大的数字化关系网获取更多用户。

我们该明白什么?

从笔者角度来看，尽管把数据泄露这件事的锅甩给Facebook并不完全合适，因为这是一个用户数据信息使用边界的问题。

但Facebook能否在数据安全上做的更多，比如说：

①平台是不是应该进一步让用户认识到数据隐私的重要性?

②平台开放的API接口给到的数据应该是什么样的一个度?是否不同背景、不同信用等级的开发商给到的数据都有所不同?

①开发商应用数据的边界应该限制在什么样的一个范围内?

②技术层面，当有人大规模收集、扫描和调用数据时，是否也可以建立一些应急机制，调查是否合理……

参考链接：http://netsecurity.51cto.com/art/201803/569307.htm

安德玛运动品牌1.5亿用户数据泄露

E安全4月1日讯 美国功能性运动品牌 Under Armour （安德玛）3月25日发现，其为健身爱好者提供的手机应用 MyFitnessPal于2018年2月遭遇大规模数据泄露事件，1.5亿用户账号受影响，这可能是本年度最大规模的数据泄露事件。自披露后 Under Armour 股价下跌了3.8%。

泄露的数据包括用户名、电子邮箱和哈希密码（bcrypt）。尽管 bcrypt 被视为安全的加密方式，但为了确保安全性，3月29日，Under Armour 通过电邮和App消息提醒用户立刻更改密码，当晚其股票市值下跌了4.6%。

Under Armour 称目前正在与安全公司调查这起数据泄露事件，但仍在数据泄露通知中坚称，支付卡数据不会受到影响，因为这类数据是单独收集和处理的。

参考链接：https://www.easyaq.com/news/1825930556.shtml

GNOME Shell 内存泄露问题正在修复中，原因竟是忘记进行垃圾回收

GNOME Shell 被发现存在内存泄露的问题，现在官方开发团队已确认导致这个问题的原因 —— 忘记进行垃圾回收…… GNOME 称目前正在修复该问题。“触发垃圾回收能够将 GNOME Shell 使用的内存量减少到正常水平”  GNOME 开发者花了大约一周的时间来定位问题的根源，不过内存泄漏的原因（看起来）已经确定。GNOME 开发者 Georges Basile Stavracas 在仔细研究他在 GitLab 上关于 bug 的测试、检查和调查结果的过程中，似乎发现了导致这个 bug 的原因，“……有些问题伴随着垃圾回收器一起出现。”

Georges Basile Stavracas 表示，在他放弃寻找内存泄漏原因的所有希望之后，发现了一个非常有趣的行为，并且可以重现这个过程。他推断只有一系列相互依赖的对象的根对象被回收后，才能最终确定它的子对象/依赖对象会被标记为 GC 状态。通过运行 GJS（GNOME 的 JavaScript 绑定） 的垃圾回收器，Stavracas 称能够减少大约 250MB 的内存使用量（GNOME Shell 在启动时的消耗）。

不过目前关于这个 bug 的补丁尚未发布，依旧处于修复中的状态。所以不能确定下个月发布的 18.04 LTS 是否包含这个 bug 的修复，如果没有，只能期待后续的更新。

参考链接：http://hackernews.cc/archives/22165

黑客事件

捷克将被指控入侵 LinkedIn 的黑客引渡到美国

据外媒 CNET 报道，一名俄罗斯男子被指控在 2012 年策划入侵 LinkedIn、Dropbox 和 Springform 系统，现在捷克决定将这名黑客引渡到美国。美国司法部于 2016 年起诉 Yevgeniy Nikulin 非法入侵计算机等，盗取了数百万用户的账户和密码。Nikulin 于 2016年 10 月在布拉格被捕。

不久之后，他受到两项相互竞争的引渡命令。一个来自美国，另一个来自俄罗斯。尼古林周五出现在旧金山联邦法庭。据 CNN 报道，他否认所有指控。美国司法部长 Jeff Sessions 在一份声明中表示：“入侵计算机不仅仅是一种犯罪行为，它直接威胁到美国人民的安全和隐私。这是来自俄罗斯的又一次令人不安的行为。”

外媒指出，被指控在 2012 年入侵雅虎的俄罗斯黑客仍然在逃，尽管被指控与他们一起工作的一个人已被引渡到加拿大。今年3月，白宫宣布针对黑客活动对俄罗斯实施制裁。

参考链接：http://hackernews.cc/archives/22172

今日头条会被植入木马？风险有，但普通黑客做不到

对于今日头条窃取隐私的担忧，早已不是一天两天了。早在今年1月，雷锋网就曾对其麦克风获取隐私进行过报道（点这里），那时，关注隐私问题还局限于小部分网友的讨论。但随着最近央视曝光今日头条选择性推送广告的行为后（即有选择地避开一线城市，将虚假广告推送给二三线城市），对其窃取隐私的质疑开始成为越来越多人心中的问号。

昨日晚间，知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章，更是将今日头条的隐私获取推向了风口浪尖，文章直言，“随时对你进行定位，顺带记录和识别你和别人的谈话，外加无声拍照，今日头条都能做到。”难不成我们真的生活在一个“楚门的世界”？是不是有点言过其实？这位技术宅为了证明自己的判断，直接亮出了分析过程，对今日头条客户端的 APK（安卓安装包）进行分析。

刘一鸣认为，今日头条作为一个客户端，可以获取其他客户端梦寐以求的所有权限，并且，它的热补丁机制随时可以运行木马，由于今日头条的热补丁升级的HTTPS证书名优实现行业推荐的SSLpining，所以即使它自己不下发木马，在不安全的Wi-Fi下极有可能被黑客利用，用户安全存在巨大的隐患，尤其是一些涉密部门和设备。

针对这些尖锐的质疑，雷锋网(公众号：雷锋网)发现，31日晚间，今日头条做出回应，称对方利用普通用户不了解技术，把行业通用的正常产品功能污蔑为木马行为，对今日头条造成严重名誉损害。他们将拿起法律武器，起诉造谣行为。

今日头条认为，App获取手机部分权限是App 正常运行的前提条件（如位置信息是外卖、打车等APP功能的前提），获取对应权限后，用户才有可能正常使用产品，属于主流App的标配功能。对于文章中质疑的热补丁可能被黑客劫持的问题，今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题，用户正常使用的情况下并不会有安全问题。

参考链接：https://www.leiphone.com/news/201803/G0chbrxMYa733Qka.html

WiFi万能钥匙：逃不开的安全原罪

安全问题始终是WiFi万能钥匙逃不开的原罪，WiFi密码的共享在本质上已经对用户的信息安全造成了风险。WiFi万能钥匙是互联网圈中拥有顶级流量的App之一。你很少在新闻上看到它的消息，但它却是国内最大的工具类软件，常年霸占App下载排行榜的前三。它在全球拥有近9亿+的注册用户，覆盖223个国家及地区。

但围绕它的争议却始终不断。近日，央视《经济半小时》栏目发布报道，质疑其存在窃取他人WiFi密码情况，无论是个人的WiFi热点，还是商场、外交大楼及金融机构，均可轻松攻破。

这并不是第一篇质疑WiFi万能钥匙窃取用户信息的报道。这家公司从诞生之初就饱受争议，问题的焦点在于它是否存在窃取用户WiFi密码的行为，在网上能找到大量与此有关的质疑。

WiFi万能钥匙在随后的回应中称，WiFi万能钥匙的运行原理是热点共享，不是破解，是通过WiFi热点资源共享的方式，让用户便捷连接，安全上网。

这不足以打消人们的疑虑。多家媒体在随后跟进的报道中，当用户将自己WiFi分享出去时，会存在诸多的安全隐患，不法分子或利用WiFi进行网络攻击。

参考链接：https://www.cnbeta.com/articles/tech/712537.htm

（来源：云天安全搜集整理互联网安全资讯）