FreeBuf早报，安全人值得关注的每日大事件

【全球动态】

1. 2019年全球物联网支出预计将达到7260亿美元【外刊-阅读原文】

国际数据公司（IDC）根据2019年上半年物联网相关支出统计得出，2019-2023年内物联网支出年增长率（CAGR）将达12.6%，预计全球物联网相关行业支出在2022年将超过1.0万亿美元，2023年这一数字将达到1.1万亿美元。统计显示，当前在IoT行业投入最大的三个行业分别是离散制造、流程制造和运输行业，占据总支出约三分之一。消费者市场将成为第二大支出源，以智能家居和车联网为主，二者是所有行业中增长率最高的（16.8%），并且在2023年将成为全球最大的物联网支出项目。

2. 三星为其智能电视添加恶意软件扫描程序【阅读原文】

三星正在为其智能电视添加恶意软件扫描程序。其Twitte官方账户演示了这一功能，一段演示视频展示用户如何利用这一工具扫描智能电视中的病毒和恶意软件。虽然计算机病毒对基于Android的设备用户来说早已不是一个新问题，但三星官方在智能电视上标配恶意软件扫描程序可能看起来还是有点奇怪。

3. 新深度伪造算法让你可以用文本方式编辑视频讲话者的话【阅读原文】

现在一项新的技术可以让你添加、删除或编辑视频里说话者所说的文字，而这一切就像在文字处理器上编辑文本那么简单。由来自斯坦福大学、马克斯普朗克信息学研究所、普林斯顿大学以及Adobe研究所的研究人员组成的研究团队开发了这样一套算法。该算法可通过接受训练视频和说话者文字记录，并计算出受试者为原始脚本中的每个语音音节做出的脸型，再通过一种叫做神经渲染(Neural Rendering)的机器学习技术可以用真实感纹理绘制出3D模型，使其看起来与真实物体基本没有区别。获悉，这种新的深度伪造(deepfake)算法可以将音频和视频处理成一个新文件。

4. 黑客组织瞄准美国电网【阅读原文】

名为Xenotime并1已两次攻击工业基础设施的黑客组织目前正在对美国和其它地区的电网公司进行网络扫描和侦查活动。目前还没有证据显示这些电力公司已经遭到了入侵。Xenotime被认为与俄罗斯有关联，安全公司FireEye此前发表报告称攻击者部署的恶意程序包含的信息指向了俄罗斯政府研究机构化学和力学中央科学研究院(CNIIHM)。

5. 平安保险利用AI鉴定客户【阅读原文】

中国最大的保险公司平安保险开始使用人工智能识别不值得信任和无利可图的客户。通过面部识别软件去搜索脸上的“微表情”，判断他们是否可信是否可以投保，以及确定服务条款。软件还会测量人的BMI和福利去确定健康保险费。目前，AI或算法的可靠性仍旧令人质疑，但这种AI应用有可能会推广到更多国家。

6. 网信办整治网络突出问题，已清理有害信息逾亿条【阅读原文】

今年1月以来，为回应社会关切，国家网信办在全国范围内开展网络生态治理专项行动，持续整治网络生态各类突出问题。截至6月12日，累计清理淫秽色情、赌博诈骗等有害信息1.1亿余条，注销各类平台中传播色情低俗、虚假谣言等信息的违法违规账号118万余个，关闭、取消备案网站4644家，并及时向公安机关移交一批涉黄赌毒案件线索。

7. Instagram正在测试恢复被黑客窃取的帐户的新方法【阅读原文】

Instagram上的网络钓鱼和帐户被盗已成为一个问题，当Instagram无法快速帮助用户时，一些Instagram受害者通常会求助于白帽黑客。现在Instagram正在尝试新的安全技术，这些技术可以让用户更容易重新获得已被黑客攻击的帐户，并且更难以让恶意行为者开始使用帐户。此功能目前仅适用于Android用户，但即将在iOS上推出。

8. 人民日报：我国发布《治理原则》 发展负责任的人工智能【阅读原文】

国家新一代人工智能治理专业委员会发布《新一代人工智能治理原则——发展负责任的人工智能》，提出了人工智能治理的框架和行动指南。这是我国促进新一代人工智能健康发展，加强人工智能法律、伦理、社会问题研究，积极推动人工智能全球治理的一项重要成果。以“发展负责任的人工智能”为主题，《治理原则》旨在更好协调人工智能发展与治理的关系，确保人工智能安全可控可靠，推动经济、社会及生态可持续发展，共建人类命运共同体。

【安全事件】

1. 微软发布警告称Azure上的蠕虫正在攻击Exim服务器【外刊-阅读原文】

Exim是一种流行的邮件传输代理（MTA），用于收发电子邮件。最近在Exim 4.87-4.91版本中发现了编号为CVE-2019-10149的漏洞，可导致远程命令执行。微软发布了针对最近Linux Exim邮件服务器漏洞的蠕虫警告，并表示虽然现有的防护措施能够阻止该蠕虫的感染功能，但微软仍提醒用户Azure服务器可能会通过该漏洞被感染或入侵。

2. 演员贝拉·索恩遭到黑客裸照威胁【外刊-阅读原文】

美国知名演员贝拉·索恩（Bella Thorne）称遭到黑客威胁，对方表示拥有其裸照和短信信息，并以此所要赎金。贝拉·索恩选择拒绝该黑客并在收到威胁的24小时后主动在其Twitter上发布自己裸照，此举与前几日同样遭到勒索的Radiohead乐队相同。

3. 基于网络的DNA测序仪仍然受到老旧未修复漏洞影响【外刊-阅读原文】

安全研究员Ankit Anubhav检测到了一种针对DNALIMS（一种基于Web的生物信息学实验室信息管理系统）的攻击，攻击者通过该系统存在的漏洞将shell植入底层的Web服务器。该漏洞编号为CVE-2017-6526，攻击者可通过该漏洞绕过系统的身份验证机制从而建立永久的后门。目前DNALIMS系统广泛的被各种学术、医疗机构使用。

4. 阿根廷遭遇全国大停电波及拉美四邻国【阅读原文】

当地时间星期天早上7时左右，阿根廷电力互联系统全面瘫痪，首都布宜诺斯艾利斯的交通信号灯停止运作，地铁、城际铁路、公交车等公共交通全部停运，供水系统无法正常运行。邻国乌拉圭、智利、巴西和巴拉圭部分地区的电力也中断。这是阿根廷历史上最严重的一次停电，至少4800万居民受到影响。除南部火地岛地区以外的整个国家受到影响。阿根廷半数地区的电力在当天下午2时30分恢复，停电起因仍在调查，阿根廷政府称不排除网络攻击。

5. 欧盟遭黑客攻击，外交密电发生泄密事故【阅读原文】

欧盟正准备应对网络安全方面的失误。此前已发生多起泄露事件，包括欧盟驻莫斯科使团的大量外交电文泄密和疑似遭黑客攻击。人们对欧盟机构未能跟上愈演愈烈的信息安全威胁而感到担心，作为一个由28个主权国家组成的网络，欧盟存在的广泛安全漏洞。同时，本月曝光了一起发生在莫斯科的侵入事件，引发有关欧盟电子 “安全文化” 的 “严肃问题”。一位官员认为，一个欧盟或其成员国在网络空间不断受到攻击，需要提高安全保障水平。”

6. 大学社团“拉赞助”成为个人隐私泄露的重灾区【阅读原文】

如今大学校园的食堂外、校园主干道上往往遍布各种赞助商活动，包括话费充值、食品买卖、办信用卡、讲座沙龙、App注册刷单等。能够获得学生姓名、电话、身份证号等多种信息，并可通过增加获取信息数量来增加相应人员的业绩。虽无确凿证据表明商家将这些信息二次乃至多次贩卖，但确实有很多同学发现：自己的号码和其他信息被此前没有接触过的商家获得。并且多数学生交出自己的个人信息，并非出于完全的个人意愿，而是由于“工作任务需要”不得不做。因此，由于商家众多，且学生群体涉世未深又具有财务支配权，其对个人隐私保护的理解就非常浅显，使得学生群体信息泄露风险居高不下。

7. Akamai表示黑客在17个月内对全球游戏网站进行了120亿次攻击【阅读原文】

根据互联网交付和云服务公司Akamai的最新报告，黑客在截至2019年3月的17个月内对全球游戏网站进行了120亿次凭证填充攻击，这使得游戏社区成为凭证填充攻击中增长最快的目标。在这些攻击当中，黑客利用窃取的凭据来接管帐户，并且寻求快速获利。在同一时间段内，Akamai在所有行业中，共遭遇550亿次凭据填充攻击。报告还显示，SQL注入攻击现在占所有Web应用程序攻击的65.1%，本地文件包含（LFI）攻击占24.7%。

8. 盘点过去15年中影响最恶劣的15起用户隐私泄露事件【阅读原文】

HostingTribunal网站整理了一个信息图，盘点了过去15年中影响最恶劣的15起安全事件。自2013年以来，由于数据泄露超过14,717,618,286条记录丢失或被盗，仅2018年上半年就有3,353,178,708条记录遭到窃取。在2017年全球86％的泄露事件发生在北美，2018年美国45.9％的数据泄露事件发生在商业领域。其中严重泄漏事件包括：2015年1月，一家自称为“Peace”的俄罗斯黑客组织窃取了1.17亿个LinkedIn电子邮件和密码凭证。2014年至2018年期间，网络犯罪分子收集了万豪国际连锁酒店超过5亿客人的个人数据，并于2018年9月成功攻击Facebook，窃取了5000万用户账户等，详情请见原文。

【优质文章】

1. 堡垒机哲学史：从哪里来？到哪里去？是什么？【阅读原文】

运维部门深知，误操作问题的出现是无法杜绝的。那么，何时出现？看风险概率。而风险概率=运维部门人数 * 服务器规模 * 业务复杂度。由于不能保证没有误操作，所以只能在出现误操作事故后，快速定位问题，快速恢复网站可用，也算是“曲线救国”。运维部门由此产生了一个需求：有没有一种技术手段在出现误操作后，第一时间知道是谁做的，怎么做的？

2. 揭密全球最大勒索病毒GandCrab的接班人【阅读原文】

从6月1号GandCrab勒索病毒运营团队宣布停止更新之后，过去了快半个月，确实没有再发现GandCrab新的版本出现，然而有一款跟GandCrab使用相同的传播渠道的勒索病毒却在最近一段时间非常活跃，那就是Sodinokibi。

3. 曾夺世界破解大师的360后悔了，老周：出去秀便宜了美国人【阅读原文】

在“强网论坛”上，很多公司的大佬“表明了一下观点”，有意思的是，曾经在很多国际黑客大赛上夺冠的360 却改变了立场。周鸿祎放话说，国内的安全从业人员不要出去打比赛。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。