*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位 Buffer 早上好，今天是 2019 年 02 月 21 日星期四。今天的早餐铺内容有：部分用户路由器被黑客攻击 或造成访问延迟或失败；微软：黑客攻击目标转向欧洲智库和非营利组织；Google 称 Nest 没有披露内置麦克风不是为了保密；独立安全评估公司在流行的密码管理器中发现重大安全漏洞；GitHub扩大BUG悬赏项目规模 且不再设置赏金上限。

部分用户路由器被黑客攻击 或造成访问延迟或失败

近日，部分网友反馈路由器信号不好、网速不快。对此，域名解析服务商DNSPod发布公告解释称，近日监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题，经过与第三方的合作分析排查确认，这是一起大规模的黑产攻击事件。DNSPod称，该事件将影响部分家用路由器用户，访问所有网络服务时DNS解析被调度到江苏电信或周边线路，因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。[来源：新浪科技]

微软：黑客攻击目标转向欧洲智库和非营利组织

微软公司今日表示，黑客已将其入侵目标瞄向了经常与政府官员打交道的欧洲智库和一些非营利机构。微软今日在一篇博客文章中称，已检测出针对“德国对外关系委员会”(GCFR)、非赢利机构“阿斯彭研究所”(The Aspen Institute)和“德国马歇尔基金会”(The German Marshall Fund)欧洲办事处员工的攻击。这些攻击大多发生在2018年9月至12月期间，主要是通过恶意和看似合法的伪造电子邮件地址而展开，旨在窃取其员工的各种凭证，并传播恶意软件。[来源：cnBeta]

Google 称 Nest 没有披露内置麦克风不是为了保密

Google 本月早些时候宣布 Nest Secure 可以用它的语音助手 Google Assistant 激活。但问题是用户此前并不知道 Nest Secure 内置了麦克风，Google 也没有在产品规格里披露。这一消息引发了隐私方面的广泛争议。本周，Google 发言人表示他们犯了一个错误，称这从来不是为了保密。Google 称麦克风没有激活，只有用户设定了特定选项之后才会激活。Nest Guard 最初包含麦克风是为了以后加入新的安全特性，比如探测碎玻璃。[来源：Solidot]

独立安全评估公司在流行的密码管理器中发现重大安全漏洞

独立安全评估公司(ISE)在Windows 10上对1Password，Dashlane，KeePass和LastPass 进行了安全审计，结果令人担忧。所有这些都将主密码以明文形式保存在PC内存中，这意味着有权访问计算机的黑客可以轻松读取，然后访问存储在密码管理器中的所有数据。主密码是密码管理器用来保护应用程序的密钥，用户在解锁时需要提供密码。

安全研究人员发现，只要密码管理器本身处于锁定状态，该主密码就会以明文形式保留在设备的内存中。这意味着密码管理器已经启动，解锁，然后出于安全原因自动锁定。[来源：cnBeta]

GitHub扩大BUG悬赏项目规模 且不再设置赏金上限

GitHub近日宣布扩大BUG悬赏项目的规模，并且不再设置赏金上限。这家隶属于微软的代码托管网站宣布增加奖励金额，并且在策略中新增了Legal Safe Harbor（法律安全港）条款。GitHub还透露在2018通过公开的赏金计划、研究专项拨款、私有赏金计划和live-hacking活动总共支付了超过25万美元的奖金，其中通过公开赏金计划向安全研究专家支付了16.5万美元。[来源：NoSec]