各位 Buffer 早上好，今天是 2018 年 11 月 23日星期五，农历十月十六。今天的早餐铺内容有：工信部开展网络安全技术应用试点示范项目推荐工作；美国邮政服务网站漏洞可暴露6000万用户数据，现已修复；Facebook大幅提升漏洞赏金计划金额，最高可拿4万美元；重庆警方打掉一DDoS团伙：自学黑客技术 攻击境外博彩网站日进万元；亚马逊技术故障导致部分用户数据暴露。

工信部开展网络安全技术应用试点示范项目推荐工作

11月21日，工信部办公厅印发关于开展网络安全技术应用试点示范项目推荐工作的通知，示范项目重点引导方向包括但不限于网络安全防护、网络安全监测预警、网络安全应急处置、网络安全检测评估，以及包括用于保障云计算、大数据、人工智能、区块链、下一代网络（5G和IPv6）、物联网、车联网等新技术新应用安全的平台或系统。工业和信息化部组织对申报项目进行评审，遴选符合要求的项目开展试点示范，原则上试点示范入选项目数量不超过申报项目总数的30%。试点示范期为3年。具体方法与流程可在工信部官网查看。[来源：工信部]

美国邮政服务网站漏洞可暴露6000万用户数据，现已修复

美国邮政服务系统刚刚修复了一个严重的网站漏洞，该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。该漏洞源于USPS Web组件中的身份验证API，根据USPS的说法，基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力，以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外，还允许任何登录usps.com的用户向系统查询其他用户的帐户详情，例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。通过“通知可见”API获得对帐户相关数据库条目的修改能力，可能会给USPS的大客户带来问题，试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户，要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户，中间损失的费用怎么算。此外，这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机，很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。[来源：krebsonsecurity]

Facebook大幅提升漏洞赏金计划金额，最高可拿4万美元

Facebook于美国当地时间周二宣布提高对发现和上报帐户接管漏洞的奖励金额，以鼓励安全研究人员和“威胁猎人”帮助Facebook能够先于网络犯罪分子修复高影响问题。该公告称网络安全研究人员在Facebook旗下任何产品中发现帐户接管安全漏洞，包括Instagram、WhatsApp和Oculus，可获得以下奖励：

如果完全不需要用户互动：4万美元

如果需要用户少量互动：2.5万美元

[来源：thehackernews]

重庆警方打掉一DDoS团伙：自学黑客技术 攻击境外博彩网站日进万元

周三上午，巴南警方通报了一起网络犯罪案件——巴南区28岁小伙徐某，因在网络赌博时赢了一万多元无法提款，怒而自学DDOS黑客技术，并组建黑客团伙，从去年开始专门黑赌博网站、游戏私服的服务器赚钱。据侦办此案的巴南区公安分局网络安全支队马警官透露：一年半以来徐某“生意兴隆”日进万金，现在徐某及其团伙因涉嫌非法控制计算机信息系统罪被捕。

据马警官介绍，他们在调查了徐某的银行卡、支付宝和微信支付记录后，发现徐某在短短一年半的时间内就非法获利100多万，可谓“生意兴隆”日进万金。不过，大部分的非法所得已经被徐某及其团伙成员挥霍一空。[来源：重庆晨报]

亚马逊技术故障导致部分用户数据暴露

当地时间周三上午，亚马逊通过电子邮件告知一些客户，由于“技术故障”，这些用户的姓名和电子邮件地址被亚马逊在其网站上被“无意公开”。周三上午，部分用户在社交媒体上分享了他们从亚马逊收到邮件图片。一名用户对亚马逊在邮件中没有提供更多相关信息的做法提出质疑，并补充说自己现在“很可能成为钓鱼欺诈的受害者”。目前尚不清楚哪个地区、多少用户受到了影响，来自美国和欧洲的一些用户，纷纷在Twitter上分享了他们所收到的、来自亚马逊的电邮图片。

一名用户在Twitter上留言称，“这封敷衍的邮件称用户不需要做任何事情，但他们忽视了这样的事实，那就是我们的电子邮件和名字都被泄露了，我们很可能成为网络钓鱼诈骗的受害者，并最终出现在垃圾邮件列表中。亚马逊做的还远远不够好。”[来源：cnbeta]

*Freddy编译整理，转载请注明来自 FreeBuf