各位Buffer早上好，今天是2019年3月25日星期一。今天的早餐铺内容主要有：Facebook 数亿用户密码被发现在内部数据库明文保存；勒索软件 PewCrypt 旨在为 PewDiePie 涨粉；诺基亚7 Plus被曝向中国服务器传送数据，芬兰介入调查；特斯拉借黑客大赛找漏洞，Model 3作为奖品被送出；Chrome 存在数据泄漏问题，谷歌更新说明却没提。

Facebook 数亿用户密码被发现在内部数据库明文保存

KrebsOnSecurity 援引匿名消息来源披露，Facebook 有数亿用户的密码被发现明文保存，允许公司雇员搜索和访问。社交巨人随后发表声明证实确有此事。Facebook 称今年一月它在例行安全检查中发现部分用户密码以可读模式保存在内部的存储系统。它已经修复了问题并将会通知受影响的用户。Facebook 声称这些明文保存的密码对外部人员是不可见的，它没有发现有证据显示公司内部人士滥用或不恰当的访问了这些密码。受到影响的用户包括了数亿 Facebook Lite 用户，数千万 Facebook 用户，数万 Instagram 用户。Facebook Lite 是为网络连接状况不佳的地区用户提供的 Facebook 版本。[来源：Solidot]

诺基亚7 Plus被曝向中国服务器传送数据，芬兰介入调查

挪威公共广播公司NRK报道称，未明确数量的诺基亚7 Plus手机向中国服务器发送数据。据路透社消息，芬兰已经就此展开调查。先前的报道称，一些诺基亚7 Plus在打开时向中国服务器发送了未加密的信息，包括位置、SIM卡号和手机的序列号等敏感数据，这些服务器在“vnet.cn”的域名之下，而该域名由中国电信管理。

对此，芬兰的数据保护监察官Reijo Aarnio表示，他将评估此事是否存在涉及“个人信息以及是否存在法律理由的违规行为”。他还说，此事可能违反GDPR法规。[来源：IT之家]

勒索软件 PewCrypt 旨在为 PewDiePie 涨粉

来自瑞典的 PewDiePie 和来自印度的 T-Series 正在争 YouTube 频道订阅数最多的王座。PewDiePie 粉丝众多，而 T-Series 则有庞大的印度网民为后盾，双方的订阅数都在 9000 万左右，目前 PewDiePie 占优，但优势在不断缩小，以至于他的粉丝通过各种方法呼吁人们订阅 PewDiePie，如入侵打印机，以及利用勒索软件，但不是勒索比特币而是为 PewDiePie 涨粉。最新的勒索软件叫 PewCrypt，用 Java 开发，在加密用户文件之后没有提供购买解密密钥的方法，而是要求受害者等待 PewDiePie 的订阅数突破一亿，这意味着受害者将需要等待很长时间。更糟糕的是，如果 T-Series 抢先突破一亿，那么 PewCrypt 将会删除密钥，受害者将无法恢复数据。[来源：Solidot]

特斯拉借黑客大赛找漏洞，Model 3作为奖品被送出

一个黑客团队在一场黑客大赛中成功入侵了一辆特斯拉的Model 3汽车，而特斯拉则因为他们发现的漏洞奖励了他们一辆汽车。今年年初的时候，特斯拉成为首个参与Pwn2Own黑客大赛的汽车制造商。为了让黑客们查找汽车系统的漏洞和缺陷，特斯拉为黑客准备了一辆Model 3汽车。

这场黑客大赛本周在加拿大的温哥华开赛，一个由两位黑客组成的黑客团队“Fluoroacetate”成功在比赛的最后一天发现了Model 3系统的漏洞。

该团队的Amat Cama和Richard Zhu把Model 3汽车的信息系统作为突破点，并且借助雷达系统中的一个JIT漏洞成功操控了汽车系统。因为他们暴露出安全漏洞并且让特斯拉有机会进行改善，因此特斯拉把Model 3奖励给他们。除此之外Fluoroacetate团队还在大赛中赢得了其它的奖项。[来源：cnBeta]

Chrome 存在数据泄漏问题，谷歌更新说明却没提

Google Chromium 曝出一个可以读取安卓用户个人数据的漏洞。该漏洞由 Positive Technologies 的研究员 Sergey Toshin 于去年 12 月发现，在今年 1 月其向谷歌报告之后，谷歌已经为安卓版本 Chrome 的用户提供了相应补丁。该漏洞已被收录为 CVE-2019-5765，等级为高危。

Sergey 指出，该漏洞影响的是 WebView 这样通用的安卓组件，因此 4.4 版以来的任何安卓版本、使用相同引擎的其它浏览器都可能存在该数据泄露问题，如果不进行组件更新黑客很容易进行利用。然而，根据 softpedia 的报导，谷歌在更新说明中并没有正面提到修复了该漏洞，只是将其描述为浏览器中的策略执行不足。[来源：OSChina]