FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.德国黑森州禁止学校使用微软Office 365【阅读原文】

德国黑森州数据保护专员做出裁决，禁止学校使用微软的Office 365。这一裁决是过去几年关于学校或其它政府机构是否应该使用微软软件展开辩论得出的结果。用户在使用微软的Office 365平台，除了提供个人信息外，还会将遥测数据发回美国。遥测数据除了标准的软件诊断信息外还会包含用户内容，比如文档或邮件主题中的语句。这些做法违反了欧洲的数据保护规定GDPR。

2.报道称华为将解雇数百名美国员工【阅读原文】

据《华尔街日报》报道，华为计划在一家名为Futurewei Technologies的研究子公司裁员，该子公司经营着许多研究实验室。据报道，华为将允许一些中国员工重新安置回中国，留在公司内部。一些员工显然已经被告知他们将被要求离开，并计划在不久的将来进行其他裁员。

3.美向“脸书”开50亿美元罚单，遭批约束效力有限【阅读原文】

此前，社交媒体公司Facebook此前被曝光向政治咨询公司“剑桥分析”泄露8700万用户信息，近日其与美国联邦贸易委员会(FTC)达成和解协议，将支付50亿美元罚金。 然而，批评意见认为，这一罚款数额对“脸书”而言“不痛不痒”，呼吁制定更多措施，对“脸书”的数据采集进行约束。50亿美元，也将创下最高罚款纪录。

4.Apple Watch对讲机APP曝出窃听漏洞【阅读原文】

Apple Watch的对讲机APP——Walkie Talkie被曝出存在漏洞。苹果曾发出声明指出，其发现Apple Watch上的Walkie-Talkie APP出现了某项漏洞，或让恶意人士窃听他人iPhone上的通话。为此苹果已紧急关闭了上述功能。不过苹果指出，这个漏洞的利用难度较大，需要特定条件以及一系列代码触发。截至目前，苹果并未发现有任何用户遭到相关攻击。

5.特斯拉诉前员工窃取代码，辩称入职小鹏前已删除【阅读原文】

特斯拉与小鹏汽车高级工程师曹光植的诉讼有了最新进展。7月10日，曹光植向美国加州北区法院申诉的答复文件被公开，文件显示，曹光植承认在受雇于特斯拉期间，他把特斯拉的档案上传到他的个人iCloud账户，当时他将特斯拉自动驾驶相关的源代码进行压缩，但他否认这是离职前的行为。

6.即刻App暂停服务，此前曾因违规收集用户信息被通报【阅读原文】

即刻App官方发布消息称，为了提供更好的服务，即日起将进行技术升级。升级期间即刻App暂时无法使用。即刻CEO“瓦恁”也发布相关动态：“Thanks for being addicted，回见。”随后，即刻App官方发布消息，提醒用户开启App的通知权限，并关注即刻App官微、官博，及时获取最新消息，升级完成后会及时提醒用户。此前，即刻App曾因违规收集用户信息被广东网警通报。

7.工信部互联网信息服务投诉平台正式上线【阅读原文】

工信部官微宣布，互联网信息服务投诉平台正式上线运行。工信部表示，该平台是在工信部指导下，中国互联网协会建设运营的第三方投诉渠道，自2019年4月8日开始试运行。目前已有腾讯、百度、阿里巴巴、京东、美团、支付宝、字节跳动、唯品会、携程、新浪、新浪微博、爱奇艺、猎豹移动、苏宁易购、探探文化、中外法制网等16家企业接入平台。

【安全事件】

1.如此QQ盗号太鸡贼，官方域名都没法信【阅读原文】

7月12日起，腾讯QQ陆续接到多位用户举报，发现有部分非法链接伪造QQ空间登录页面，而且存在盗号风险。腾讯表示，这类链接疑似因为存在漏洞而被黑产利用，QQ安全团队已进行拦截处理。腾讯官方给出的被举报并核实的非法链接来自www.toutiao.com，也就是今日头条的官方域名。腾讯郑重提醒用户，切勿在非QQ域名网页输入QQ帐号密码，以防帐号密码及个人信息被非法盗用。

2.2020美国大选在即：多州选票机被爆运行过时操作系统和软件【阅读原文】

2016年美国总统大选之后，包括宾夕法尼亚州在内的多个州均承诺加大投票机方面的资金投入，尽可能地减少安全问题。不过根据美联社公布的最新报告，尽管美国各州都采购了新设备，但是这些设备都运行过时的软件，仍然容易受到黑客攻击。这些新设备的核心问题就是依然运行Windows 7系统。微软已经缩减了对Windows 7操作系统的支持，并且明年1月将正式结束对它的支持。

3.K12.com暴露了多达700万条涉及学生个人信息的数据库记录【阅读原文】

在线教育平台K12.com本周无意中暴露了近700万学生的个人信息。暴露的数据库包含全名，电子邮件地址，出生日期和性别身份，以及学生就读的学校，同时还可访问其帐户的身份验证密钥和其他内部数据。这些信息在线提供了一个多星期，目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称，该问题影响了K12.com的A+nyWhere学习系统（A + LS），该系统被美国1100多个学区使用。

4.日本交易所Bitpoint失窃3200万美元数字货币【外刊-阅读原文】

日本数字货币交易所Bitpoint宣布它失窃了35亿日元约3200万美元的数字资产。黑客攻击发生在7月11日，交易所随后暂停了数字货币的存取款。交易所的运营者RemixPoint公司称黑客从冷钱包和热钱包窃走了资金，这意味着交易所的网络遭到了彻底的入侵。冷钱包通常是保存在离线设备的钱包。黑客盗走了五种数字货币Bitcoin、Bitcoin Cash、Litecoin、Ripple和Ethereal的资产。

5.央行官员直言人脸支付风险：有技术也不能滥用【阅读原文】

央行科技司司长李伟7月13日在第四届全球金融科技（北京）峰会上强调，央行着力构建金融科技监管基本规则体系，主动营造有利于金融科技发展的良性政策环境，避免不法之徒动脑子、钻空子，引导科技应用不跑偏、不走样。研究制定云计算、人工智能、区块链等技术应用的监管规则，并在技术架构、安全管理、业务连续性等方面提出管理要求。引导信息技术在金融领域合理的运用，纠正部分机构，有技术就滥用，有技术就任性的乱像。

6.Pale Moon存档服务器被入侵和感染木马【外刊-阅读原文】

Firefox开源分支Pale Moon披露它的存档服务器archive.palemoon.org遭到入侵，而入侵时间很有可能发生在两年前，入侵者运行脚本感染了所有存档的Pale Moon可执行文件。根据文件修改的时间戳，感染发生在2017年12月27日下午3点半，入侵细节已经难以判断，原因是服务器在今年5月发生过一次数据损坏故障，导致系统日志丢失。

7.英特尔修复了两个新安全漏洞【外刊-阅读原文】

英特尔修复了两个新安全漏洞，一个高危一个中危。第一个漏洞位于处理器的诊断工具中，编号CVE-2019-11133，可以本地利用，允许用户通过本地访问进行提权或披露信息或拒绝服务，受影响的是4.1.2.24之前的版本。第二个漏洞位于用于数据中心的固态硬盘DC S4500/S460的固件中，SCV10150之前的版本受到影响，漏洞利用也需要进行本地物理访问，它潜在允许未经授权的用户进行提权。英特尔过去一个月披露了其产品的多个安全漏洞，其中多数是高危漏洞。

【优质文章】

1.美国五角大楼已研发通过心跳识别人的激光技术，为军事和监视组织使用【阅读原文】

五角大楼将在数据分析工作中引入人工智能，进一步增强战争规划和作战能力，提高美军的杀伤力，还可以为士兵执行任务期间提供实时数据，为美军提供最好的资源。而本次的新技术就是一种能够通过心跳识别人的激光技术。

2.等保2.0安全管理中心要求解读【阅读原文】

今年5月，随着《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）的公布，宣告等保2.0时代正式开启，并将于2019年12月1日正式实施。也就意味着，到今年年底，所有的信息系统，只要对外的，就要做定级备案，对于重要系统同时还要定为关键信息基础设施，在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中，也要满足《互联网个人信息安全保护指引》的要求，对于漏洞也应参考《网络安全漏洞管理规定》要求。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。