FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.美国代码托管网站GitLab拒绝为中国和俄罗斯人提供offer

近日，美国代码托管网站 GitLab在其官网上发表了一篇 issue，称他们将启用一份“职位国家封锁”令，停止招聘居住在中国和俄罗斯的人担任网络可靠性工程师及支持职位，并禁止担任这两个职位的员工移居中国或俄罗斯。该公司称，在当前的地缘政治环境下，“这是最为人道的解决方案”。更新的招聘流程里明确规定：GitLab不会给中国/俄罗斯公民提供offer。 [阅读原文]

2.Proofpoint以2.25亿美元收购内部威胁情报公司ObserveIT

上周六，这家总部位于加利福尼亚州桑尼维尔的公司表示，已以2.25亿美元的全现金协议收购了该公司。ObserveIT成立于2006年，专门从事端点安全和内部威胁检测。 ObserveIT为87个国家地区的1900名客户提供服务，为实时企业网络管理提供解决方案，在检测到可疑行为时发出警报，并从网络安全法律层面协助公司。[外刊-阅读原文]

3.佛罗里达州奥卡拉市遭受BEC袭击，损失了742000美元

近期，佛罗里达州的奥卡拉市遭遇了企业电子邮件泄密骗局（BEC），诈骗者从中骗取了超过742000美元，转至自己控制的银行帐户。本次事件发生在9月，当时欺诈者冒充建筑公司Ausley Construction的雇员向城市高级会计专家发送了一封电子邮件，通知他将未来的付款发送到新的银行帐户。该公司为城市提供服务，在Ocala国际机场建设新航站楼。[外刊-阅读原文]

4.AI换脸鉴别率超99.6%，微软技术破除DeepFake虚假信息

微软亚洲研究院在人脸识别、图像生成等方向都拥有业界领先的算法和模型。在CVPR 2018上，微软亚洲研究院视觉计算组发表了论文“Towards Open-Set Identity Preserving Face Synthesis”，其中的技术能够利用开放数据集中的数据，逼真地合成保留图中人脸身份信息的图像。深厚的技术积累让研究员们对“进攻方”的技术原理有着更深刻的理解，进而能够更有针对性地研发换脸鉴别算法。[阅读原文]

5.腾讯携手银行、银联打造符合金融行业标准的刷脸支付产品

据11月4日消息，人民银行科技司李伟司长一行前往腾讯公司开展人工智能技术安全应用专题调研。腾讯公司表示目前正与银行、银联携手打造符合金融行业标准的刷脸支付产品，下一步将与产业各方加大金融科技应用力度，筑牢支付结算安全防线。 [阅读原文]

6.研究估计五成 WebAssembly 网站将其用于恶意目的

德国 Braunschweig 科技大学应用及系统安全研究院委托的一项研究（PDF）分析了 Alexa 排名前一百万的网站，发现使用 WebAssembly 代码（Wasm）的网站比例约为六百分之一，但其中一半是将其用于恶意目的，如挖掘数字货币或混淆恶意代码。[阅读原文]

【安全事件】

1.工信部专项整治App侵权行为，12月20日是大限

11月4日下午，工业和信息化部信息通信管理局组织召开App侵害用户权益行为专项整治工作启动部署会，将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍四个方面的8类问题开展规范整治工作。工信部相关通知文件显示，专项整治时间为即日起至2019年12月20日，分三个阶段实施。[阅读原文]

2.rConfig中公开了两个未修补的严重RCE漏洞

一位网络安全研究人员最近发布了rConfig实用程序中的两个未修补的严重远程代码执行漏洞的详细信息和概念验证漏洞，其中至少一个漏洞可能使未经身份验证的远程攻击者破坏目标服务器和连接的网络设备。rConfig用本机PHP编写，是一个免费的开源网络设备配置管理实用程序，它使网络工程师可以配置和获取其网络设备的频繁配置快照。[外刊-阅读原文]

3.信通院评测了13万个金融类App，70%存高危漏洞

近日，中国信息通信研究院发布《2019年金融行业移动App安全观测报告》（简称《报告》）。《报告》对133327款金融类App进行了测评，涉及消费金融类、彩票类、P2P金融类等13类。在所有App中，共检测出近200万条漏洞记录，逾七成存在高危漏洞。平均每款App存在20.3个安全漏洞，包括6.7个高危漏洞。[阅读原文]

4.一款软件“畅享”多款共享单车 便宜的背后风险重重

近日推出的号称“聚合一切共享单车”且价格优惠的“全能车”App近日被上海警方查处。据上海闵行警方介绍，这款名叫“全能车”的App软件，实则为侵入共享单车服务器的黑客软件，影响了很多共享单车企业的正常服务，造成共享单车公司损失约3亿元。而“全能车”全能的背后，实则隐藏着诸多风险，消费者可能捡了便宜吃大亏。[阅读原文]

5.QSnatch恶意软件已经感染了数千台QNAP NAS设备

安全专家警告说，一种名为QSnatch的新恶意软件已经感染了全球数千台QNAP NAS设备，波及多个国家和地区。根据德国计算机紧急响应小组（CERT-Bund）的数据，仅在德国，就有7000多种设备被感染。然而，此次攻击媒介仍然不清楚，一旦恶意软件访问了易受攻击的设备，恶意代码就会注入固件中以获得重新启动的持久性。[外刊-阅读原文]

6.微信回应升级iOS 13.2被“杀”进程：已基本修复

针对此前网友反映的升级 iOS 13.2后，微信进程频繁被“杀”的情况，微信最新回应称该问题已基本修复。据悉，除了微信，包括美团外卖、微博等App也有同类问题。网友反馈升级iOS 13.2前并未出现此类问题，由此判断可能是iOS 13.2推出后，App和系统的不适配导致。[阅读原文]

7.Office 365防止恶意文档感染Windows

Windows 10的Microsoft Edge包含一项称为Windows Defender Application Guard的功能，该功能使用户可以将浏览器选项卡启动到特殊的沙盒环境中。由于此浏览环境处于沙盒状态，因此任何试图利用漏洞、下载恶意软件或表现出恶意行为的恶意网站，在影响计算机之前都会被阻止。[外刊-阅读原文]

【优质文章】

1.Think CMF X任意内容包含漏洞分析复现

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务，也可通过系统调用其他应用进行协同工作。[阅读原文]

2.云计算安全架构及防护机制研究

云计算技术作为当前信息领域影响最大的技术 之一，其发展应用给社会生产和生活带来了显著影响。云计算本质是一种新的IT资源组织和应用技术, 引入了资源弹性共享、数据动态迁移以及多租户资 源共享等新的应用架构和管理模式，在最大限度发 挥IT资源集约化应用效益的同时，也为云上应用 带来了潜在的安全隐患。[阅读原文]

3.谈谈互联网的删除和被遗忘权

在大数据和AI时代，互联网产业迅猛发展，先进的网络技术使得数据的收集和处理变得异常容易，个人数据安全面临前所未有的威胁。部分个人数据被长期保存在网络中而脱离数据主体的控制，有些合法公开的网络数据也面临着公开不充分、不相关和超出数据使用目的困境，上述问题可能给数据主体带来负面评价，本文探讨网民的被删除权和遗忘权，进而阐述对个人安全服务缺失的担忧。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。