FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1. 以色列警方逮捕了一家移动监控技术供应商的数位高管

据当地媒体报道，以色列警方突击搜查了一家销售移动通信拦截工具的公司，并逮捕了几起高级执行人员。该公司向全球各地的执法机构销售移动黑客工具。目前，以色列警方没有透露有关此案的详细情况，也没有公布他们今天逮捕的能力管理人员的姓名。[外刊-阅读原文]

2. 由于数据库配置错误，包括670万儿童在内的厄瓜多尔公民数据泄露

两周前，VPNMentor安全研究人员Noam Rotem和Ran Locar发现了一个Elasticsearch数据库，总共包含大约2080万个用户记录。这些记录涵盖了一些重复的记录和死者的数据，数量甚至大于厄瓜多尔国家的总人口数。[外刊-阅读原文]

3. 汽车经销商营销公司Delaler Leads在线曝光了1.98亿条记录

研究员发现了一个在线曝光的无担保数据库，属于汽车经销商营销公司Dealer Leads，其中包含1.98亿条记录，总计413GB的数据，涵盖潜在购车者，车辆，贷款和财务查询的信息，以及访客IP地址的日志数据等。[外刊-阅读原文]

4. 法国和德国将阻止Facebook的Libra加密货币

法国和德国政府宣布将阻止Facebook的加密货币cryptocurrency ，“我们认为，任何私人实体都无法拥有货币权力，这是国家主权所固有的”。法国财政部长 Bruno Le Maire对主权主权和金融风险表达了担忧，认为 Facebook 的加密货币不应该被允许在欧洲运营。[外刊-阅读原文]

5. 美国政府要求苹果、谷歌提交万名枪支相关APP用户数据

美国联邦调查人员要求苹果和谷歌提供至少 1 万名枪支相关应用的用户的信息。据悉，该数据调查主要围绕着Obsidian4 应用上的用户信息，该应用已经在安卓系统上被下载了数千次。目前，尚不清楚可能涉及多少iOS用户。而如果苹果和谷歌提交了相关用户数据，可能有助于联邦特工发现与该软件相连的设备涉及非法获得枪支的海外用户。[外刊-阅读原文]

6. 黑客利用“Simjacker”漏洞窃取手机数据 或影响10亿人

据TNW报道，网络安全研究人员警告称，SIM卡存在一个严重的漏洞，使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示，这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间，不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。[阅读原文]

7. 反垄断升级？美国国会向科技巨头的客户征求信息

据国外媒体报道，美国会众议院针对大型科技公司可能存在的反垄断违规行为的一个调查小组，正在向亚马逊、苹果、谷歌和Facebook的客户寻求有关数字市场竞争状况和现有执法效力的信息。[阅读原文]

【安全事件】

1. 拍照比“剪刀手”泄露指纹信息？业内专家四点辟谣

这几天，一条新闻不胫而走。某行业协会专家称，拍照时如果镜头距离够近，“剪刀手”照片通过照片放大技术和人工智能增强技术，可以将照片中人物的指纹信息还原出来。针对此事，业内专家九滴水表示：“纯属谣言，无需担心。”[阅读原文]

2. 台湾民众党官网遭黑客入侵？党员注册系统被瘫痪

台北市长柯文哲日前成立台湾民众党，强调招收党员采云端作业，15日官网才刚刚上线，16日凌晨便遭到黑客入侵，通过简讯认证机制，瘫痪注册系统，逼得民众党只好先暂时关闭网页进行维护。[阅读原文]

3. 微软再次向Windows 7 和8.1用户推出隐藏的遥测应用

据theinquirer报道，本月，微软Windows 7 和Windows 8. 1 用户再次成为“仅安全”汇总更新的目标，该汇总实际上隐藏了一些遥测软件，目的是让微软可以检测用户的使用情况。据此前报道，在 7 月份推送的2019- 07 安全质量更新补丁KB4507456 中，微软将遥测组件KB2952664 伪装成了“兼容性评估程序”，用于监测可能阻止Windows 7 PC更新到Windows10 的问题。[阅读原文]

4. LastPass泄漏了以前站点的凭据

密码管理器LastPass上周发布了一个更新以修复一个安全漏洞，该漏洞暴露了以前网站访问中输入的凭据。最近，Ormandy公布了他发现的安全漏洞的细节。由于该漏洞依赖单独执行恶意JavaScript代码，而没有其他用户交互，因此被认为是高危可利用的。[外刊-阅读原文]

5. Astaroth Trojan利用Facebook和YouTube来避免被发现

Cofense的研究人员发现，针对巴西公民的网络钓鱼活动在感染过程中使用Facebook和YouTube传播Astaroth木马，在整个感染链中有许多阶段本可以通过电子邮件和网络安全堆栈上的正确分层防御来停止。然而，在感染的每一步，都利用了可信任的来源和用户帮助攻击进入下一个阶段，最终导致敏感信息最终外泄。[外刊-阅读原文]

6. App违规收集个人信息举报平台建立，收到举报信息近八千条

2019年国家网络安全宣传周在天津开幕，在活动中了解到，目前，针对App违法违规收集使用个人信息的举报平台已经建立完成，截至9月，已收到近8000条举报信息，其中近三分之一为实名举报。[阅读原文]

7. 过半网民近一年遭遇过个人信息泄露

近日，《2019年网民网络安全感满意度调查活动总报告》发布，报告显示，网民网络安全感满意度总体提升，但个人信息泄露情况仍然严峻。近一年来，有58.75%网民在日常生活中遇到过侵犯个人信息的行为。[阅读原文]

【优质文章】

1.华春莹：确保网络安全，要防的不是华为是思科苹果

据人民日报报道，9月16日，外交部发言人华春莹主持例行记者会，表示：如果想要确保网络安全，应当防备的不是中国的华为，而恰恰是美国的思科和苹果？华为负责人已经在各种场合多次就安全问题作出了公开澄清和承诺，那么，美方是否也可以做出同样的澄清和承诺呢？[阅读原文]

2. 习近平论网络安全十大金句

2019年国家网络安全宣传周于9月16日至22日举行。关于网络安全，习近平一向高度重视，多次发表重要讲话。如何保障网络安全？网络安全工作有何新进展？[阅读原文]

3. CISO到底要不要做：经验教训

确保企业免受网络威胁，同时让企业蓬勃发展，这是CISO的目标。但这项任务并不容易：CISO必须全方位考虑，同时接受日益复杂且不断变化的威胁环境的冲击。因此，不应低估优秀CISO的重要性。[外刊-阅读原文]

4.美国网络安全框架构建问题研究—风险管理理念的运用

美国“网络安全框架”的提出是为了增强关键基础设施的网络安全，其构建运用了风险管理理念。本文运用风险管理的方法流程于企业网络安全管理，提出了企业在风险环境下应该采取的基本网络安全策略。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。