【全球动态】

1.教育部将发起教育 App 专项清理行动

教育部、网信办和工信部等公布了《关于引导规范教育移动互联网应用有序健康发展的意见》，宣布将发起教育 App 专项清理行动：首先是备案，然后是专项治理，到 2020 年底健全教育移动应用管理制度。[阅读原文]

2.600000个GPS跟踪器在线曝光，默认密码为“123456”

捷克网络安全公司Avast的安全研究人员今天透露，一家中国公司生产的至少600,000台GPS追踪器正在使用相同的默认密码“123456”。黑客可以滥用这个密码劫持用户的帐户，他们可以监视GPS跟踪器附近的对话，欺骗跟踪器的真实位置，或者获取跟踪器附加的SIM卡电话号码，以便通过GSM频道进行跟踪。[外刊-阅读原文]

3.企业级 VPN 服务成为黑客攻击的目标

黑客组织 APT5 aka Manganese 正以 Fortinet 和 Pulse Secure 的企业级 VPN 服务为攻击目标。根据 FireEye 的报告，APT5 的活动可以追溯到 2007 年，它被认为有多个小组构成，有着不同的策略和基础设施，主要攻击目标是电信公司和科技攻击，对卫星通信公司有着特殊兴趣。[阅读原文]

4.微软建议Chromium中的白名单改为Allowlist黑名单改为Blocklist

微软在切换到 Chromium 之后递交 bug 报告提议净化代码库，移除会冒犯人的词语比如 whitelist（白名单）和 blacklist（黑名单），建议分别改为 allowlist 和 blacklist。对于微软开发者的提议，Google 工程师表达了谨慎的欢迎，称他们也不希望 Chromium 的代码库会具有潜在的冒犯性，同时表示 Chrome 团队可能不会将净化代码库作为优先考虑事项。[阅读原文]

5.从Web蔓延到内网，BuleHero最新变种来袭

监测到大量设备请求恶意域名cb.fuckingmy.life，该域名注册于今年8月，经安全研究人员排查，确认为BuleHero木马最新变种的C&C服务器。安全专家对捕获到的木马文件进行了详细分析，该变种行为与今年6月份的变种行为相似：去掉了LNK模块，更换了C&C域名和一些攻击组件的名字，但比较特别的是，该变种开始通过Web自动化攻击工具进行传播。[阅读原文]

6.谷歌宣布开源创新隐私保护技术 面向所有开发者

9月6日早间消息，谷歌希望让其他公司更方便地保护用户隐私。谷歌周四在官方博客中宣布，将发布差分隐私库的开源版本。差分隐私仍是一种相对较新的数据科学形式。使用这种技术，科技公司可以在不侵犯用户个人隐私的情况下挖掘大量用户数据。[阅读原文]

7.漏洞预警 | Fastjson远程拒绝服务漏洞

经斗安全人员分析Fastjson多个版本存在远程拒绝服务漏洞，Fastjson 1.2.60版本以下存在字符串解析异常，可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击，可导致服务器宕机。[阅读原文]

【安全事件】

1.Facebook 数亿用户电话号码泄漏

储存数亿 Facebook 用户关联电话号码的服务器被发现没有任何密码保护就能访问。暴露的服务器包含了超过 4.19 亿条记录，其中包括 1.33 亿美国用户，1800 万英国用户，5000 多万越南用户。每一条记录包含了用户唯一的 Facebook ID 和电话号码。一些记录还包含了用户的姓名、性别和国别。GDI Foundation 的安全研究员 Sanyam Jain 发现了无密码保护的数据库，因无法识别所有者而联络了 TechCrunch，在联络了托管商之后数据库已经下线。[阅读原文]

2.Google因违反儿童隐私保护法被罚1.7亿美元

联邦贸易委员会 (FTC)宣布，Google/YouTube 因违反儿童在线隐私保护法（Children's Online Privacy Protection Act，OPPA）被罚 1.7 亿美元。这是 FTC 至今开出的最大民事罚单。COPPA 对收集和使用 12 岁以下儿童的信息施加了限制，根据 COPPA，网站和应用等在收集儿童信息时需要征得父母的同意或给予父母选项退出与第三方的儿童信息分享，以及允许父母查看收集的儿童数据。[外刊-阅读原文]

3.谷歌被指控向数千名广告客户泄露个人数据

Brave是一家基于Chromium的谷歌浏览器竞争对手的制造商，该公司表示，它有新的证据表明谷歌正在向广告商泄露个人信息，并违反欧洲有关数据控制和透明度的隐私法律。 [外刊-阅读原文]

4.西瓜视频等42款App违规：超范围收集用户信息

日前，广东省公安机关持续开展超范围收集用户信息App清理整治专项行动，2019年8月份共监测发现250余款APP存在超范围收集用户信息行为。其中“西瓜视频”“贝壳找房”等42款APP，存在超范围读取用户通话记录、短信或彩信，收集用户通讯录、用户设备上已知账号，超权限使用用户设备麦克风等突出安全问题。[阅读原文]

5.ZAO更新用户协议 删除可免费使用用户肖像权条款

日前，在用户协议条款引发大量争议后，AI换脸App“ZAO”更新了隐私协议以及用户协议。在新版协议中，此前颇受争议的“您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”，以及“如果您把用户内容中的人脸换成您或其他人的脸，您同意或确保肖像权利人同意授予ZAO及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”两段表述已经删去。 [阅读原文]

6.攻击者通过RIG漏洞利用套件分发Nemty勒索软件

被Nemty加密后的勒索赎金大约是1000美元，并且目前没有可用的免费解密工具，恶意软件确保删除Windows创建的卷影副本。安全研究人员Mol69注意到，文件加密恶意软件现在是RIG漏洞利用工具套件（EK）恶意广告活动的有效载荷。[阅读原文]

7.超12万台电脑遭到攻击！究竟谁在“祸乱”网络

安全研究人员监测到“祸乱”僵尸网络利用十多款流氓软件，下发流量暗刷、挖矿、和静默软件推广三个病毒模块，攻击了多达12万台电脑，导致不少用户在使用电脑期间，出现运行卡慢甚至自动安装QQ音乐、简压压缩、旋风PDF等多达20种软件的情况，严重影响了用户的使用体验。[阅读原文]

【优质文章】

1.“震网”十年谜底终浮水面, 伊朗核计划流产源于内鬼“间谍行动”

除美国以色列两个国家外，“摧毁伊朗核计划”行动还得到了荷兰、德国、法国三个国家的支持，故而“震网武器”行动又名“奥林匹克”行动，五国分别代表了奥林匹克上的五环。他们一起合作、通过线上线下情报、物理和网络的完美结合，步步紧逼，完成了长达六年的渗透、入侵行动，把伊朗重新拉回了谈判桌。[阅读原文]

2.三步构造零信任安全网络

随着移动设备涌入企业，物联网（IoT）的扩张，以及网络罪犯数量和复杂程度的增长，许多安全专家认为零信任是抵御不断变化网络和数据安全威胁的最好方法。[阅读原文]

3.揭秘地下黑客论坛最流行的恶意软件和黑客工具

地下黑客论坛是网络犯罪分子宣传各种恶意软件变种和黑客工具的市场，Insikt Group通过分析从2018年5月至2019年5月期间各种地址黑客论坛超过390万个帖子，确定了一些与实际攻击相关的最流行的顶级恶意软件变种。[阅读原文]

4.报告：人工智能数据安全风险与治理

《报告》对当前人工智能发展带来的数据安全风险进行了全面分析，并分别在政策法规和技术层面对目前国内外的相关应对举措进行了梳理。在此基础上，《报告》提出了人工智能数据安全治理的目标、框架及治理措施，总结国内外优秀实践案例，致力于为有效解决人工智能中的数据安全问题提供建议和思路。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。