今天是4月17日星期二，今天早餐铺的主要内容有：泰国最大的4G移动运营商TrueMove H遭遇数据泄露；微软工程师在Reveton勒索软件案中被起诉；Intel SPI闪存漏洞让攻击者能够改变或删除BIOS/UEFI固件Google Chrome通过改进Cookie处理来提升用户隐私保护；公民网络电子身份标识可“贴进”手机；新浪微博：本次游戏动漫清理不再针对同性恋内容。

安全资讯早知道，两分钟听完最新安全快讯~

【国际时事】

泰国最大的4G移动运营商TrueMove H遭遇数据泄露

泰国最大的4G移动运营商TrueMove H遭遇数据泄露，AWS上46000人数据被直接曝光在网上，包括驾驶执照和护照等信息。

运营商向在线客户公开存储在亚马逊AWS S3存储桶中的个人数据。泄露的数据还包括身份证件的扫描，数据一直保留至4月12日，当时该公司限制访问。

安全研究人员Niall Merrigan发现了大量数据，试图将此问题告知TrueMove H，但运营商没有回应。Merrigan透露，该AWS存储桶包含总计32GB的46,000条记录。

专家发表了一篇关于该案例的博客文章，他解释说，像bucket stream和bucket-finder这样的工具，可以扫描互联网上的开放S3 AWS buckers。 

当Merrigan 注意到属于TrueMove H的那个时，他使用bucket-finder工具找到开放的S3存储桶。

[Freebuf]

微软工程师在Reveton勒索软件案中被起诉

一名微软网络工程师在佛罗里达州面临联邦指控，他涉嫌帮助同伙从Reventon勒索软件的受害者那里洗钱。

被告是Raymond Uadiale，41岁，是尼日利亚血统的美国籍公民，他的LinkedIn页面写道，他自2014年以来一直在西雅图的微软公司工作。

佛罗里达州的调查人员表示，在2012年10月至2013年3月期间，Uadiale与一名绰号K!NG的英国公民在网上合作。后者使用Reveton勒索软件感染受害者，而Uadiale则收取款项并将款项汇至英国的K!NG。

Reveton勒索软件是最早的锁屏勒索软件之一，它所处的时代比特币尚处于起步阶段，在其他勒索软件出现之前选择了用加密货币作为付款方式。

[BleepingComputer]

【漏洞攻击】

Intel SPI闪存漏洞让攻击者能够改变或删除BIOS/UEFI固件

英特尔修复了几个CPU系列配置中的漏洞，漏洞能让攻击者更改芯片的SPI闪存。

联想部署了英特尔补丁：“系统固件设备（SPI闪存）的配置可能让攻击者阻止BIOS / UEFI更新，或选择性地擦除或损坏部分固件。”

联想工程师说：“这很可能会导致一些故障，但在极少数情况下可能导致任意代码执行。”

英特尔在4月3日发布针对此漏洞的补丁（CVE-2017-5703）。

该漏洞在CVSSv3上得到了10分中的7.9分。英特尔表示在内部发现了这个问题。

第8代英特尔®酷睿™处理器

第7代英特尔®酷睿™处理器

第6代英特尔®酷睿™处理器

第5代英特尔®酷睿™处理器

英特尔®奔腾®和赛扬®处理器N3520，N2920和N28XX

英特尔®凌动™处理器x7-Z8XXX，x5-8XXX处理器系列

英特尔®奔腾™处理器J3710和N37XX

英特尔®赛扬™处理器J3XXX

英特尔®凌动™x5-E8000处理器

英特尔®奔腾®处理器J4205和N4200

英特尔®赛扬®处理器J3455，J3355，N3350和N3450

英特尔®凌动™处理器x7-E39XX处理器

英特尔®至强®可扩展处理器

英特尔®至强®处理器E3 v6系列

英特尔®至强®处理器E3 v5系列

英特尔®至强®处理器E7 v4系列

英特尔®至强®处理器E7 v3系列

英特尔®至强®处理器E7 v2系列

英特尔®至强®Phi™处理器x200

英特尔®至强®处理器D系列

英特尔®凌动™处理器C系列

[BleepingComputer]

【行业动态】

Google Chrome通过改进Cookie处理来提升用户隐私保护机制

Google工程师计划通过缩短通过HTTP连接提供的cookie的有效期来提高用户隐私和安全性。

谷歌希望这一举措将迫使网站开发人员和广告商通过HTTPS发送cookie，“HTTPS”提供对[监控]攻击的重要保护。“

通过明文HTTP发送cookie被认为是用户隐私和安全风险，因为这些cookie可能被拦截，甚至被攻击者修改。

Chrome团队收集的数据表明，大量的HTTP传输cookie的使用寿命大于一年。

[BleepingComputer]

【国内新闻】

公民网络电子身份标识可“贴进”手机

全国首张公安部公民网络电子身份标识手机贴膜卡（SIMeID）在江西共青城发放。用户可以将SIMeID贴在原手机SIM卡上，在手机移动智能终端使用eID相关服务和应用。首批将发放5万张。本次发行的SIMeID贴膜卡是新型的eID载体，与手机SIM卡联合使用，适应移动端应用需求，解决了安全性和易用性的平衡问题，并且可以在不更换原有SIM卡的情况下，在手机移动智能终端便捷使用eID相关服务和应用。

为实现网络空间权威、安全、普适、私密的可靠身份认证和行为确权管理，公安部第三研究所以密码技术为基础，以智能安全芯片为载体，研发了公安部公民网络电子身份标识，具有身份认证和电子签名双重功能，为公民网上政务事务办理、线上交易、在线签约等应用场景提供安全保障。

[人民网]

新浪微博：本次游戏动漫清理不再针对同性恋内容

4月13日，微博社区发布公告称，为了进一步营造晴朗和谐的社区环境，微博根据《网络安全法》等法律法规的要求，严格履行企业主体责任，现开展为期三个月的针对违规漫画、游戏及短视频内容的集中清理行动。

本次行动主要的清查对象包括：

1、涉黄的、宣扬血腥暴力、同性恋题材的漫画及图文短视频内容，如包含以下特征的内容：“腐、基、耽美、本子”;

2、含有暴力内容的违法游戏(如：侠盗飞车、黑手党、雇佣兵)及相关的动图短视频内容;

4月16日，微博社区再发公告表示，本次游戏动漫清理不再针对同性恋内容，而主要是清理涉黄，暴力血腥题材内容。感谢大家的讨论和建议。

[人民网]