各位 Buffer 早上好，今天是 2018 年 11 月 20 日星期二，农历十月十三。今天的早餐铺内容有：Instagram出现漏洞：用户密码可能泄露；谷歌安卓应用防护增强：号称一个应用也不漏过；Protonmail被“黑”了；蓝牙再出漏洞，数百万辆汽车可能会受黑客影响；国家邮政局发布紧急通知，要求严格落实实名收寄等。

Instagram出现漏洞：用户密码可能泄露

Facebook旗下的Instagram可能出现用户密码泄露事件，原因与帮助用户下载数据副本的工具有关。Facebook称，Instagram用户如果有意利用相关工具下载数据副本，帐号密码可能会以明码形式在URL中出现。出于某种原因，密码同时会存储到Facebook服务器。但Facebook告知用户，相关数据已经删除，工具也已经更新，不会再出现类似问题。

对此，Facebook新闻发言人表示，只有少数用户受到影响，如果用户在共享电脑上使用服务，或者网络存在缺陷，帐号信息可能会泄露。如果用户没有收到通知，那就说明用户没有受到影响。但这一安全漏洞仍然让人担忧，毕竟密码相当重要。且在不久之前，Facebook才刚刚因为“View As”工具又一次出现泄密事故。[securityaffairs]

谷歌安卓应用防护增强：号称一个应用也不漏过

谷歌表示，用于扫描用户手机所安装应用的服务Google Play Protect已经大大增强。这一服务已经不止于能扫描用户从Play商店安装的应用。

谷歌官方博客中介绍称，Play Protect已经可以分析它能在互联网上找到的每一个应用程序。Google Play Protect会在互联网上搜寻Google Play商店外的所有安卓应用。之后会扫描这些第三方应用程序的恶意行为，然后在其数据库中对其进行分类和索引，这补充了谷歌的恶意指标数据库与其他数据集。

也就是说，在用户安装每一个非Play应用的时候，Google Play Protect就已经了解它了。这样就可以立即提醒用户，设备上是否安装了恶意软件。

此前在2017年度的安全报告上，谷歌称Google Play Protect已可自动禁用大约100万台设备的PHA（Potentially Harmful Application，潜在恶意应用），并且可以通过日常扫描，更快地识别、删除大约3900万个PHA。[ithome]

Protonmail被“黑”了

近日，名为moniker AmFearLiathMor的黑客（也可能是黑客组织）号称他们成功黑掉了时下最受欢迎的端对端加密电子邮件服务Protonmail，并窃取了大量的企业数据。现在黑客已将赎金需求发布在了pastebin上，表示他们已经破坏了Protonmail的电子邮件系统，如不支付赎金则会将用户数据面向全世界发布或出售。同时他们也指责了该邮件服务将解密的用户数据发送到美国服务器的行为，认为这一举动侵犯了用户的权力。

对此，Protonmail回应称该黑客所说完全是“Buxxsxxt”，并否认了遭到攻击，并补充说此举只是黑客的骗局，用户不必感到恐慌。[securityaffairs]

蓝牙再出漏洞，数百万辆汽车可能会受黑客影响

Privacy4Cars研究人员近日发现一种新式的攻击，名为CarsBlues，能够通过蓝牙获得车主手机信息并进入到车载娱乐系统获得权限，对用户隐私以及车辆安全具有极高的威胁性。全球范围内受到该漏洞影响的汽车可达数百万辆，主要出现在将手机同步在租用、退回的车辆中。据了解，目前Privacy4Cars公司公布了一款同名app，用于清除车辆PII（Process Inspection Instruction），同时专家提醒用户，驾驶人员最好适时清理同步信息以避免类似问题的发生。[darkreading]

国家邮政局发布紧急通知 要求严格落实实名收寄等

近日，国家邮政局发布《关于进一步加强当前邮政业安全生产工作的紧急通知》（以下简称《通知》），就邮政业安全生产工作进行再强调再部署。

《通知》就当前安全生产工作提出4点要求：

一是切实增强做好当前安全生产工作的责任感和紧迫感。全行业要清醒认识当前安全生产工作面临的严峻形势，进一步强化红线意识和底线思维，切实增强责任感和紧迫感，坚持“党政同责、一岗双责、失职追责”，按照“三个必须”要求，严格落实安全监管责任和安全生产主体责任，认真落实全员安全生产责任制规定，依法加强安全管理和岗位隐患排查治理，严防各类事故发生。各级领导干部要率先垂范、务实戒虚，带头深入一线督促检查，推动各项工作责任措施落实到位。

二是强化安全生产措施，坚决防范遏制重特大事故发生。全行业要进一步采取有针对性措施，全面排查整治各类安全生产隐患，坚决防范遏制重特大安全生产事故发生。各企业要严守安全底线，严禁为抢时限赶速度制定不切实际的生产目标，超负荷安排生产任务；要加强对员工的关爱和待遇保障，确保从业人员人身安全；要严防车辆安全事故、火灾事故、机械伤害事故，并切实做好业务旺季期间维护网络稳定工作，及时排查化解内部矛盾纠纷。各级邮政管理部门要密切服务网络稳定运行监测，重点加强对中西部重要节点处理中心和企业末端服务运行情况的动态掌握，一旦发现问题，要采取果断措施、及时妥善处置，确保行业安全平稳运行。

三是严格寄递安全风险管控，确保寄递渠道安全畅通。全行业要按照国家邮政局业务旺季有关安全工作部署，严格落实各项寄递安全风险管控责任措施。各企业要严格落实收寄验视、实名收寄、过机安检等安全检查措施；强化枪爆物品寄递风险管控，重点防范危险化学品违规寄递行为，突出抓好寄递渠道非洲猪瘟疫情防控工作，加强电商协议服务安全管理，认真验视协议用户交寄物品，对不能出具相关部门安全证明的可疑物品，坚决不予收寄。各寄递企业总部要严格落实对全网安全保障的统一管理责任。各级邮政管理部门要严格监督管理，加大执法检查力度，配合有关部门依法严厉打击利用寄递渠道从事的各类违法犯罪活动，确保寄递渠道安全万无一失。

四是加强值班值守，强化应急响应和处置工作。各级邮政管理部门要制定完善事故应急预案、工作手册和保障机制，会同有关部门建立健全应急响应联动机制，形成整体合力。要督促指导企业完善应急预案和处置方案，强化应急演练，储备应急物资装备，确保一旦发生突发事件，能够及时应对，有效处置。要加强应急值守，严格执行领导带班、重要岗位24小时值班和信息报告制度。[cnbeta]