FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.谷歌上调Chrome漏洞赏金额度，最高达30000美元【外刊-阅读原文】

自2010年以来，谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据称，这将包括将最高基础赏金额度从5000美元增加到15000美元，并将“高质量报告”的最高赏金金额从15000美元增加到30000美元。

2.微软计划将Rust作为C和C++的安全替代品【外刊-阅读原文】

微软正在探索使用Rust编程语言作为C、C++和其他语言的替代方案，以此来改善应用程序的安全状况。自2004年以来，微软安全响应中心（MSRC）已对所有报告过的微软安全漏洞进行了分类。根据他们提供的数据，所有微软年度补丁中约有70%是针对内存安全漏洞的修复程序。这样高的百分比是因为Windows和大多数其他微软产品主要使用C和C++编写，这两种“内存不安全”（memory-unsafe）的编程语言允许开发人员对内存地址进行细粒度控制，并且可以执行代码。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误，攻击者可以利用这些错误带来危险和侵入性后果，例如远程代码执行或特权提升漏洞。

3.七国集团：要给予Facebook加密货币Libra最严厉监管【阅读原文】

七国集团（G7）的财政部长和中央银行今日表示，包括Facebook Libra在内的数字加密货币引发了人们的极大担忧，必须要给予最可能严厉的监管，以确保不影响全球的金融系统。G7主要担心，Facebook对数字货币的雄心，可能不仅会削弱他们对货币和银行政策的控制，还会带来安全风险。

4.滴滴顺风车公布产品方案向公众征求意见，上线仍无具体时间【阅读原文】

滴滴顺风车下线325天之后首次召开媒体开放日，公布了整改期间的阶段性安全产品方案。方案围绕回归顺风车“真正顺路“本质，“让顺风车更真实、更顺路、更安全”。此次顺风车还独家推出女性专属保护计划，并承诺将持续公开、透明地与外界沟通，在未来一段时间不断征求社会各界的意见和反馈，与用户共建顺风车安全。共建期间，顺风车暂无上线时间表。

5.首例比特币财产侵权纠纷案在杭州互联网法院开庭宣判【阅读原文】

据中证网消息，首例比特币财产侵权纠纷案在杭州互联网法院开庭宣判。本次庭审法院确认了比特币“虚拟财产”属性，这也是中国法院首次对于比特币等数字货币虚拟的财产属性进行认定。关于比特币虚拟财产的属性，杭州互联网法院认为，比特币具有财产作为权利客体需具备的价值性、稀缺性、可支配性，应认定其虚拟财产地位。这是我国法院首次对比特币的虚拟财产属性进行较为全面的论述。此次司法机关在判决当中的认定，对未来比特币等其他虚拟货币而引发的纠纷和争议的处理，具有非凡的意义。

6.国家互联网应急中心：我国云平台安全风险较为突出【阅读原文】

国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示，云平台成为发生网络攻击的重灾区，云服务商和云用户应加大对网络安全的重视和投入，分工协作提升网络安全防范能力。报告统计，在各类型网络安全事件中，云平台上的分布式拒绝服务攻击（DDoS攻击）次数、被植入后门的网站数量、被篡改的网站数量占比均超过50%。

【安全事件】

1.Instagram新政策将导致更多账户被封，但会先提醒用户【阅读原文】

据报道，Instagram已更新其帐户停用政策，可能导致更多帐户被封。Instagram在周四的一则公告中透露，这一变化是为了“更加一致地”执行公司的政策。根据新政策，如果用户在一段有限的时间内收到超过一定数量的违规行为的通知，他们将面临其帐户被封的问题。Instagram此前已经发布了一系列规则; 发布该平台禁止的内容将导致该内容被删除，并且违规将应用于该帐户。到目前为止，违反内容的百分比过高会导致帐户永久被封，从而导致用户丢失所有帖子、消息和关注者。Instagram周四宣布将开始删除在有限时间内获得一定数量违规行为通知的帐户。将此元素添加到公司的策略中可能会导致更多帐户被封，但可以改善其他人的体验。

2.举国无隐私！保加利亚遭黑客入侵，500万民众信息外泄【阅读原文】

近日，保加利亚国家税务局数据库被黑客攻破，高达500万国民的信息外泄——受害者总数相当于该国所有成年公民的总和，创下该国历史上最为严重的用户数据泄露事故。截至目前，一名年仅20岁的嫌犯已经落网，黑客团体及其作案动机正在进一步调查当中。保加利亚新闻媒体15日收到神秘电邮，自称是“俄罗斯黑客”的寄信人号称攻破了该国官方110个数据库，其中包含核心政府部门的高度涉密信息。作案团伙在信中大肆嘲弄保加利亚当局的“腐败无能”，挑衅称“贵国的网络安全就是个笑话”。他们号称为媒体提供的数据包约为11GB，他们手中还掌控着10GB左右的数据。保加利亚《24小时报》称，这份邮件中包含部分失窃数据的下载链接，点击后可查看到110万公民个人关键信息，包括身份证、社保号码、个人收入、缴税记录以及医疗信息等。

3.FaceApp可能面临FBI和FTC对其安全问题的调查【阅读原文】

病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。在给FBI主任Christopher Wray和FTC主席Joe Simons的公开信中，Chuck Schumer说他严重关切正在汇总数据的保护以及用户是否知道谁可以访问这些数据。Chuck Schumer要求联邦调查局评估上传到FaceApp的任何数据是否能够落入俄罗斯政府手中。他还要求联邦贸易委员会检查它是否有足够的保障措施来保护用户的隐私。

4.微软警告上万客户他们成为国家支持黑客的目标【外刊-阅读原文】

微软周三表示，过去一年它警告了上万客户他们的账号成为国家支持黑客的目标。部分用户的账号被成功入侵，大部分则只是被攻击。这些目标大部分是企业账号，只有少数是消费者账号。微软称，来自伊朗、朝鲜和俄罗斯的五个黑客组织最为活跃，其中一个伊朗的黑客组织被称为 Holmium aka APT33，该组织的目标主要是总部位于美国、沙特和韩国的国防、商业航空和石化领域的组织。

5.Firefox将在网站数据泄露后第一时间通知用户【外刊-阅读原文】

继Google Chrome之后，Mozilla Firefox也于近日更新了密码管理器。在Firefox 70版本中，用户可以见到一个全新开发的模块。此前，Firefox已经以附加组件（Add-ons）的形式，提供了名为Lockwise的密码管理器。但为了进一步提升浏览器的安全性，Mozilla将直接把该功能作为内置组件。Firefox开发团队称，若当前已保存登录状态的网站（比如Yahoo.com）发生了数据泄露（Pwned），浏览器会及时地发出“密码被泄露”或“网站被拖库”的警示，提醒用户及时修改密码，以保护其账户。

6.蓝牙BUG可能导致iOS与macOS设备被追踪与识别【外刊-阅读原文】

在一篇题为《追踪匿名蓝牙设备》的研究论文中，其宣称许多蓝牙设备都存在着MAC地址。即便有随机MAC地址的选项，但他们发现了可以绕过这一层的方法，以实现对特定设备的永久性监控。该漏洞影响包括 iPhone / iPad / Apple Watch / MacBook，以及微软平板与笔记本电脑在内的诸多设备。值得庆幸的是，Android 设备并未受到影响。

【优质文章】

1.贩卖个人信息的黑色生意：团伙开公司搞研发，涉案过亿【阅读原文】

通过企业化运营，在两年内，一个犯罪团伙将贩卖公民个人信息这门黑色生意做到了过亿的规模。他们有技术研发部门，骗取公民注册信息，并流转至网络售卖平台；有推广和销售部门负责吸引买家，只要在销售平台上注册充值，便可购买大量公民个人信息。

2.内行客户评估欺骗防御方案会问供应商的11个问题【阅读原文】

现在市场上不缺欺骗防御类产品，本文介绍能够对不同的欺骗防御方案作出初步评估和筛选的11个问题，避免用户在眼花缭乱的营销手段下，花大价钱买回了效果微乎其微的东西。同时，供应商也可以通过这11个角度产生新的思考。

3.5.62亿中国人未接入互联网，巨头如何抢食这块肥肉？【阅读原文】

百度、阿里巴巴、小米集团等中国科技公司正在大力开发智能音箱，他们到底图什么？《南华早报》刊文称，中国仍有40%的人口未接入互联网，主要原因是这部分人不懂电脑，不会拼音。

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。