阳春三月眼看着就要结束了，周末将至，赶紧去抓住春天的尾巴~

各位 Buffer 早上好，今天是  2018 年 3  月30日星期五，农历二月十四。今天的BUF早餐铺内容有：WannaCry勒索病毒再袭，波音工厂中招；门罗币代码存漏洞，很容易被追踪；Facebook推出一系列新隐私措施，赋予用户更大控制权；仍有20%的VPN服务商未解决WebRTC漏洞问题；微软发布了在Windows 10上运行任何Linux操作系统的工具；男子开发麻将APP聚赌获利；我国首部快递业法规将施行，泄露寄件人隐私最高罚10万元。

【网络安全】

WannaCry勒索病毒卷土重来，波音工厂中招

当地时间3月27日，《西雅图时报》报道称，美国南卡罗来纳州查尔斯顿的一家波音飞机工厂遭到了销声匿迹已久的WannaCry勒索病毒袭击。据报道，波音公司的高管已对全公司发出了“紧急就位”的指示。

根据报道，昨日波音公司的商用飞机产品总工程师Mike VanderWel发出了紧急就位指示并补充道，事态正在迅速波及到北查尔斯顿以外的地区，据说还导致波音777的自动化翼梁组装工具宕机。VanderWel还担心，勒索病毒会通过测试用电脑转移到新生产的飞机上。

但是波音公司对外表现出了低调的态度。他们在官方推特上表示，一些报道夸大了此次事件的影响，属于失实报道。他们还表示，公司的网络安全中心发现只有少数设备系统遭到了入侵，并且没有导致生产或运输问题。[来源：IT之家]

仍有20%的VPN服务商未解决WebRTC漏洞问题

其实自 2015 年 1 月开始，大约有 20% 的 VPN 方案提供商会因为 WebRTC 漏洞泄漏用户 IP 。但这个问题几遍在今天，一些 VPN 厂商也并没有对此作出改进。

这个问题是由安全研究员 Paolo Stagno （VoidSec）发现，他对 83 款VPN应用程序进行了安全审计测试，发现了旧版本的 WebRTC IP 泄漏问题。

Stagno 表示在他的调查过程中有 17 款 VPN 会通过网页浏览器直接泄漏用户的IP地址。具体的研究成果已经公开在 Google Doc 在线文档中。但Stangno 表示，自己的工作并不是最完整的版本，因为他没有财力对所有的商用 VPN 服务进行测试。[来源：bleepingcomputer]

Facebook推出一系列新隐私措施 赋予用户更大控制权

Facebook今日公布了一系列用户隐私方面的新措施，允许用户轻松地查看和访问Facebook所拥有的个人数据，在需要时还可以做出调整。此举正值Facebook因信息泄露事件而遭到用户、业界和监管部门强烈指责之际。Facebook近日承认，英国数据分析公司Cambridge Analytica在2016年美国总统大选前违规获得了5000万Facebook用户的信息，并成功地帮助特朗普赢得了美国总统大选。

Facebook称，已对设置菜单进行了重新设计，让用户轻松地找到各项内容。同时，Facebook还增加了一个隐私快捷菜单。登录后，用户可以利用该快捷菜单进行额外的安全设置。例如，查看和删除共享内容，管理账户信息，查看哪些人阅读你发布的内容等。

此外，Facebook还推出了一款名为“查看你的信息”(Access Your Information)的工具，允许用户查看自己发表过的评论，共享过的内容，并删除它们。将来，Facebook还将允许用户更方便地下载个人数据，如照片和联系人信息，并导入其他服务中。另外，Facebook还将对服务条款进行修改，更新数据政策，从而进一步规范数据的收集和使用。

Facebook最后表示，上述一系列调整事实上早在酝酿之中，只是近期的信息泄露事件曝光后，才进一步凸显了它们的重要性。[来源：cnBeta]

【区块链安全】

门罗币代码存漏洞，很容易被追踪

门罗币（Monero）是一个创建于2014年4月开源加密货币，它着重于隐私、分权和可扩展性。

与自比特币衍生的许多加密货币不同，Monero基于CryptoNote协议，并在区块链模糊化方面有显著的算法差异。Monero的模块化代码结构还曾得到过比特币核心维护者之一的Wladimir J. van der Laan的赞赏。

然而，来自普林斯顿、卡内基梅隆、波士顿和MIT的研究人员发现，在2017年2月门罗币修改代码前，这一货币存在隐私漏洞，相关交易很容易被识别身份。即使在代码修改之后，在交易中识别身份也比用户以为的要简单。这一设计缺陷让不法分子在交易中提取出用户信息成为可能。[来源：IT之家]

【工具】

微软发布了在Windows 10上运行任何Linux操作系统的工具

微软周一发布了一款工具，有助于 Linux 爱好者将 Linux 发行版移植到一个 Windows 10 组件（Linux 子系统 WSL）中，进而在现行版的 Windows 10 PC 上装载 Linux 系统。

之前，微软已经发布过 Ubuntu、SUSE、Kali Linux 和 Debian 的官方镜像，在 Windows 商店中都可以获取到。不过，虽然微软尽力表现出开放的态度，但由于 Linux 发行版太多，其中大部分是为特定目的创建的小众发行版，所以并非所有的 Linux 发行版都能移植到微软的 WSL 实现中。

因此，微软决定开源一个名为“WSL DistroLauncher Sample”的项目，其中包含一个参考，向 Linux 系统项目（或者普通 Linux 用户）演示如何将 Linux 发行版移植到 Windows 10 WSL 组件中。

WSL DistroLauncher Sample 实质上相当于一个 UWP 应用程序，通过 Windows 10 的 WSL 组件负载所需的Linux发行版。[来源：FreeBuf]

【国内新闻】

男子开发麻将APP聚赌获利 自首时公司正运作上市

在上海某公司上班的万某某辞职后创业，开发出“镇江全民麻将”APP，然后召集22名人员当群主，组建30个群在手机上打“镇江麻将”，万某某从中“卖钻”分成。半年多时间，扣税后万某某竟然获利高达550多万元！更为惊人的是，其老板吴某获利超千万，当吴某到镇江警方自首时，其运营的公司正在运作上市！

万某某启用以陈某为首的班底组建代理团队，很快，22名代理搭建了30个“全民麻将”微信群并分别任群主，万某某则负责“镇江全民麻将”的所有事宜。

22名群主，开始带领各自少则数十人、多则数百人的“麻将迷”群友，开始了没日没夜的“镇江全民麻将”盛宴。

根据游戏规则，进群的群友可以随时随机组合不同群友，在群内打麻将。但前提是，发起者要从群主处购买“钻石”。购买成功后，群主就会给其一个链接。购买者只要将链接发至群中，群友点击链接就可加入战团，凑成四人即可开战。

侦办民警贺望告诉记者，该程序经过精心设计，参与者抓到的牌色尤其整齐、漂亮，让每人都觉得赢面很大，故此一两把下来就有人能和牌。所以，最快3分钟一局就结束了。因为十分刺激，一些赌客沉迷其中不能自拔，有的人一天能打30多局。

1月24日，吴某从无锡赶至镇江自首。至此，“镇江全民麻将”手机APP微信赌博案，暂时告一段落。目前，涉案的30个赌博群，已全部被警方解散。[来源：中新网]

我国首部快递业法规将施行，泄露寄件人隐私最高罚10万元

3月27日，我国第一部专门针对快递业的行政法规《快递暂行条例》（以下简称《条例》）出台，于2018年5月1日起施行。《条例》针对用户电子数据信息保护、快件丢失后如何索赔等问题进行了明确规定。《条例》的出台填补了自2009年邮政法修订以来的法律空缺。

除了对快递行业发展的制度支持，《条例》进一步明确了快递行业存在的“用户隐私信息泄露”、“私自开拆他人快件”等违法违规行为，并提高了处罚力度。

《条例》规定，除有关部门依照法律对快件进行检查外，任何单位或者个人不得非法检查他人快件。任何单位或者个人不得私自开拆、隐匿、毁弃、倒卖他人快件。经营快递业务的企业及其从业人员出售、泄露或者非法提供快递服务过程中知悉的用户信息，情节严重的最高处10万元罚款。[来源：新浪]

*本文由Andy编译整理，转载请注明来自FreeBuf.COM