各位Buffer早上好，今天是2019年6月14日星期五。今天的早餐铺内容主要有：印象笔记扩展被曝严重漏洞，可泄露数百万用户的敏感信息；Telegram服务器遭DDoS攻击，服务中断；Have I Been Pwned正在寻找买家；Facebook研究App收集近19万用户数据，已被苹果封杀；国家网信办：《个人信息出境安全评估办法（征求意见稿）》。

印象笔记扩展被曝严重漏洞，可泄露数百万用户的敏感信息

印象笔记Web Clipper Chrome扩展中被曝存在一个严重缺陷，可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。发现该漏洞的安全公司Guardio表示，“由于印象笔记广为流行，该问题可能影响使用该扩展的客户和企业，在发现之时它的用户量为460万左右。”

该问题是一个全局跨站点脚本(UXSS)漏洞，编号为CVE-2019-12592，源自一个印象笔记Web Clipper逻辑编程错误，使其可能“绕过浏览器的同源策略，导致攻击者能够在印象笔记域名以外的内联框架中获得代码执行权限。”一旦Chrome的站点隔离安全功能崩溃，其它网站账户的用户数据就无法受到保护，从而导致恶意人员能够访问第三方网站上的敏感的用户信息，“包括社交媒体、个人邮件等中的认证、金融、私密会话。”目标被重定向至受黑客控制的且加载目标第三方网站内联框架的网站，并触发旨在强迫印象笔记将恶意payload注入所有加载内联框架的利用，而该payload将“窃取cookies、凭证、私人信息并以用户身份执行动作等。”[来源：奇安信代码卫士]

Telegram服务器遭DDoS攻击，服务中断

周三，Telegram服务器遭到针对性的分布式拒绝服务攻击导致服务中断，主要影响南美和北美的用户，其他地区也出现了连接缓慢的情况。在Twitter的一则声明中，Telegram表示僵尸网络向Telegram服务器发送了庞大无用流量，服务器无法再处理来自合法用户的请求，从而导致连接不稳定。根据Downdetector（一个实时跟踪影响各种数字服务的中断的网站）的数据，DDoS攻击影响的热点是美洲东海岸、英国、荷兰、德国、乌克兰、俄罗斯和中国。[来源：bleepingcomputer]

Have I Been Pwned正在寻找买家

Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站，储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的，不存在 HIBP 团队之说，他一个人做了所有的事情。现在是时候壮大 HIBP，从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。他表示已经与部分有意收购的组织进行了非正式对话。Hunt 公布了部分 HIBP 服务的数据：80 亿泄露记录，300 万人订阅通知，发送了 700 万次邮件通知，每天独立访客 15 万，特殊情况下一天的访客数量会增加到 1000 万。对于收购，他希望搜索功能仍然免费，希望能继续参与该项目。[来源：troyhunt]

Facebook研究App收集近19万用户数据，已被苹果封杀

Facebook从目前已停用的Research应用中收集了18.7万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。Facebook在提供给参议员理查德·布卢门塔尔（Richard Blumenthal）办公室的邮件中表示，该公司收集了3.1万名美国用户的数据，其中包括4300名年轻人。收集的其它数据来自印度用户。

今年早些时候，美国媒体调查发现，Facebook和谷歌都在滥用苹果的企业开发者证书，这种证书主要用于开发仅供企业员工使用的iPhone和iPad应用。调查发现，这些公司违反了苹果的规定，在苹果App Store之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据，了解他们的使用习惯，同时向用户支付报酬。苹果为此先后撤销了Facebook和谷歌的企业开发者证书，封禁了这些应用。不过在回答议员的问题时，苹果表示，该公司不清楚有多少设备安装了Facebook的违规应用。[来源：sina]

国家网信办：《个人信息出境安全评估办法（征求意见稿）》

为保障个人信息安全，维护网络空间主权、国家安全、社会公共利益，保护公民、法人的合法权益，依据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法（征求意见稿）》，现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前，通过以下方式提出意见：

1.登录中国政府法制信息网(网址：http://www.chinalaw.gov.cn)，进入首页的“立法意见征集”提出意见。

2.通过电子邮件方式发送至：security@cac.gov.cn

3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“个人信息出境安全评估办法征求意见”。[来源：网信中国]