*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是2019年5月27日星期一。今天的早餐铺内容主要有：易到用车服务器遭连续攻击：攻击者索要巨额比特币；安全人员发现macOS Gatekeeper认证漏洞，可获取系统shell；后院失火：报告显示NSA被盗黑客工具现正危及美国多座城镇；Chrome等移动浏览器曾有1年多空窗期，没有警告钓鱼网站；Canva 1.39亿用户数据泄露。

安全资讯早知道，两分钟听完最新安全快讯~

易到用车服务器遭连续攻击：攻击者索要巨额比特币

据易到用车官微消息，2019年5月26日凌晨，易到用车服务器遭到连续攻击，因此给用户使用带来严重的影响。据悉，攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。相关技术人员正在努力抢修。

易到表示，我们严厉谴责这种不法行为，并已向北京网警中心报案，并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案，希望广大用户能够理解和保持耐心等待。

5月22日，针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示，在紧急调试全新模式的用户充返活动时，技术工作发生了故障与失误，导致部分用户的账户余额受到影响。

易到表示“已及时的进行了系统修复，此次受影响的用户账户将在7个工作日内陆续恢复。”[cnbeta]

安全人员发现macOS Gatekeeper认证漏洞，可获取系统shell

安全研究人员filippo cavallarin近日发现了在macOS 10.14.5上的一个安全的漏洞，可以忽略掉系统安全的第一个屏障Gatekeeper来直接运行不安全的应用，并且从而获得了系统的Shell权限。

Gatekeeper是Mac App Store的一个很关键的防御措施，当你的应用没有被安全签名，系统是无法运行这个应用的。这个漏洞可以让不太了解的用户，通过获取恶意邮件等方式在不知情的情况下运行此应用而给系统带来一定的风险。但是获取Shell是需要系统打开ssh登录等后门。这个对于一般用户来说影响不大。因为一般用户不会激活共享设置里的远程访问功能。

此问题已经提交给苹果。预计很快会进行修复。[fcvl]

后院失火：报告显示NSA被盗黑客工具现正危及美国多座城镇

据报道，由美国国安局(NSA)开发的一种网络攻击工具现正在被用来危害美国各城镇。代号为EternalBlue的黑客工具中含有恶意软件，其于2017年被一个叫做Shadow Brokers的组织泄露。

而就在同年，有黑客使用了该工具在全球范围内发起了WannaCry勒索网络攻击。该年针对乌克兰展开的NotPetya攻击也用到了这种工具，据悉，该场网络公司被称为是有史以来最具破坏力的网络攻击之一。更糟糕的是，现在EternalBlue机构总部被发现登陆了NSA自己的后院：巴尔的摩。据悉，自5月7日开始的一起勒索软件攻击之后这座城市的政府电脑就陷入了混乱，这使得其市政服务变得步履蹒跚。巴尔的摩的IT部门现只能慢慢地让系统重新启动并运行。

多年来，美国执法部门和情报机构一直主张应该在加密系统中设置后门，进而使他们可以访问嫌疑人的电脑。而NSA就经常开发入侵机器和网络来收集数据的工具。对此，批评人士长期以来一直认为，任何这样的后门都将不可避免地被黑客发现，届时，间谍机构的努力将可能会失控。赛门铁克安全响应主管Vikram Thakur表示，情报部门曾经使用过的一种工具现在居然可以公开使用，而且被使用得如此广泛，这着实令人难以置信。一位不愿透露姓名的官员则表示，NSA需要承担更多的责任。针对此事，NSA拒绝置评。[cnbeta]

Chrome等移动浏览器曾有1年多空窗期，没有警告钓鱼网站

根据本周发布的研究报告，在过去一年多时间里包括Google Chrome、Mozilla Firefox和Safari在内的浏览器均没有及时更新钓鱼网站黑名单，无法在用户上网过程中提供妥善的保护。

研究小组表示：“我们发现主流移动浏览器在保护措施方面存在巨大漏洞。令人震惊的是，移动端Chrome、Firefox和Safari尽管在安全设置中启用黑名单保护，但是无法对2017年年中至2018年末的钓鱼网站发出提醒。”这个问题只有使用Google Safe Browsing link blacklisting技术的移动端浏览器受到影响。

该研究小组由亚利桑那州立大学的学者和PayPal工作人员组成，随后他们向谷歌通报了这个问题，直到2018年年底才正式修复。在调查期间，研究人员创建并部署了2,380个模仿PayPal登录页面的网络钓鱼页面。研究人员没有测量他们的网址在网址黑名单上的速度，而是使用使用“隐藏技术”部署网络钓鱼页面，旨在欺骗URL黑名单技术，然后记录这些“隐形”网络钓鱼页面落在“危险网站”列表上所花费的时间。[cnbeta]

Canva 1.39亿用户数据泄露

自称GnosticPlayers的黑客声称窃取了澳大利亚网站Canva的1.39亿用户数据。Canva是一个非常受欢迎的平面设计服务，Alexa排名在200以内。黑客窃取的数据包括了用户名字、真名 、电邮地址、城市国家信息，其中6100万用户有哈希密码，其他用户的信息还有用于登陆的Google令牌。有7800万用户使用了Gmail地址。Canva证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。[solidot]