各位Buffer早上好，今天是2019年1月11日星期五。今天的早餐铺内容有：美运营商被指将手机位置信息出售给第三方：4.95美元/个；航班信息被泄露！海口免税店员工盗用旅客身份证信息买免税商品；发给卡巴斯基实验室的Twitter消息帮助NSA进行数据泄露事件调查；Confluent修改开源许可证 限制云供应商滥用；Imperva：2018 Web应用漏洞数量比2017增加了21％。

美运营商被指将手机位置信息出售给第三方：4.95美元/个

去年，就有外媒报道有美国运营商因为向第三方公司出售用户手机的实时位置数据，而这些第三方公司将用户的数据进一步转卖其他公司进行获利。尽管这些行为受到民众的抨击，但是这并没有阻止运营商与第三方公司进行合作。

来自外媒Motherboard的最新报道证明，美运营商公司依旧在和第三方公司合作，出售用户的实时位置数据信息。报道指出，Microbilt向无数类型的企业销售电话数据，包括房东和汽车销售人员，手机定位数据价格为4.95美元/个，获取实时更新的位置数据的成本约为12.95美元。[ithome]

航班信息被泄露！海口免税店员工盗用旅客身份证信息买免税商品

近日，去海南旅游的杨女士在海口美兰机场免税店购买免税商品，却发现父亲杨先生的身份证信息被他人盗用、用于在网上购买免税商品，且免税商品已被他人从免税店提走。

此后，免税店多次联系杨先生方，重复表明盗用身份证信息是员工利用个人渠道和职务之便，网上购买身份证信息，然后购买免税商品。并且，免税店已经与该员工解除劳动合同，要求员工退还购买的免税商品，并交由海关处理。此外，免税店还表示会加强员工的思想教育，拒绝类似事情再发生。[secrss]

发给卡巴斯基实验室的Twitter消息帮助NSA进行数据泄露事件调查

Politico周三发布的一篇独家报道显示，总部位于莫斯科的安全公司卡巴斯基实验室移交了Harold T. Martin III于2016年发送的Twitter消息。Martin是NSA的承包商，可以从该机构的黑客小组获取最高机密文件。他被指控窃取了NSA黑客工具的宝库。之后那些NSA漏洞在大规模黑客攻击中被使用，包括WannaCry勒索软件攻击。

根据12月份提交的法庭文件，使用账号@ HAL_99999999的Martin在Twitter上联系了一个会议，写道，“有效期，三周”。

虽然法院文件被编辑以掩盖接收这些信息的人，但Politico报告称它们被发送给卡巴斯基实验室的研究人员，后者将这些信息交给了美国政府。根据法庭文件，联邦调查局特工在获得基于Twitter消息的逮捕令后，于2016年8月搜查 Martin的家。如果罪名成立， Martin将面临十多年的监禁。

卡巴斯基实验室拒绝就此案发表评论。美国司法部也没有回应置评请求。[cnbeta]

Confluent 修改开源许可证 限制云供应商滥用

Confluent CEO Jay Kreps近日宣布将Confluent Platform的部分组件从Apache 2.0更改为Confluent社区许可证（Confluent Community License），变更的主要原因和之前的Redis和MongoDB类似，是为了限制云供应商滥用。

Confluent是由前LinkedIn员工，同时也是Apache Kafka的创建者创办的公司，其产品也是围绕Apache Kafka而做的。Confluent Platform是一个流数据平台，能够组织管理来自不同数据源的数据。

据悉，新的社区许可证依然允许免费下载、修改和重新分发代码（类似于 Apache 2.0），但它不允许将软件作为SaaS产品提供，如KSQL-as-a-service 。[cnbeta]

Imperva：2018 Web应用漏洞数量比2017增加了21％

Imperva昨日发布了“ 2018 Web 应用漏洞现状 ”报告。数据显示，2018年发现的 Web应用新漏洞共17,142个，比2017年增加了21％ ，相比2016年增加了159％ 。其中有超过一半的漏洞可被黑客公开利用，有超过 1/3 的漏洞暂时还没有可用的解决方案。

CMS方面，WordPress的漏洞数量持续增加。Drupal虽然数量低于WordPress ，但造成的影响更大，被用于大规模攻击。此外，物联网、弱验证，以及PHP相关的漏洞数量有所下降。

对于2019年，Imperva预测：

注入漏洞数量将继续增长；

PHP 5.5、5.6和7.0已停止支持，这意味着这些版本将不再接收安全更新。像WordPress、Drupal和Joomla这样的主流CMS都是用PHP的，虽然会更新版本，但也仍然支持旧版本。这样可能造成的结果是，黑客在不受支持的PHP版本中发现更多新安全漏洞；

随着DevOps成为IT的关键因素，对API的需求不断增长，更多API相关漏洞将被发现。

[cnbeta]