分类: 国内要闻

B站网站后台工程源码疑似泄露 内含部分用户名密码

4月22日消息,据微博@互联网的那点事 爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。”新浪科技在GitHub上查询后发现,平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时,该项目已获得6597个标星和6050个代码库分支(fork)。    针对此事,B站做出回应,“经内部紧急核查,确认该部分代码属于较老的历史版本。”B站表示,已经执行了主动防御措施,确认此事件不会影响网站安全和用户数据安全。B站已第一时间报案,并将彻查源头。   (稿源:新浪科技,封面源自网络。)

研究人员发现中国企业简历信息泄露:涉5.9亿份简历

新浪科技讯 北京时间4月8日上午消息,据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。 在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。 例如,3月10日,简恩发现有一台ElasticSearch不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天之后数据库修正了问题。 3月13日,简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。 3月15日,简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。” 第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。 还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。 简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。 简单统计,中国企业在过去3个月泄露的简历达以5.90497亿份。   (稿源:新浪科技,封面源自网络。)

华为决定起诉美国政府 称其涉嫌入侵华为服务器

华为今天在深圳总部宣布,正起诉美国政府,并要求对禁止使用公司设备的政策进行合宪性审查,这是华为在美国市场持续战斗中的最新进展。该诉讼指控国会去年以国防开支计划的一部分违宪地捆绑对华为实施的惩罚。国会通过立法阻止中国制造的电信设备在联邦网络中使用的规定,阻止了主要政府承包商使用华为设备,该措施主要针对华为和中兴,以及其他一些中国公司。 华为本次起诉的对象是去年美国国会通过、并由白宫签署的“国防授权法案”中的一项条款。 华为表示,该措施违反了制定“剥夺公权法案”的法律标准,同时还指控政府侵犯了公司的正当程序权,因法案中的条款对华为构成了明显的 “未审先判”,而美国的宪法则禁止美国国会通过这样的法律。 华为在深圳总部发布会上同时向外界透露,有证据表明美国政府涉嫌入侵华为服务器。 美国官员多次将华为称为潜在的安全威胁,并称该公司可能被用作间谍工具。华为一直否认这种可能性,并称美国未能提供其担忧的证据。 近年来,总部设在俄罗斯的网络安全公司卡巴斯基实验室也美国政府认为其存在潜在的间谍活动为由而受到阻拦,该公司也曾提起了类似华为的诉讼,但尚未成功。不过华为要求法院裁定美国目前的政策违宪,这与卡巴斯基的案例并不相同。 作为全球最大的电信设备供应商,华为面临着立法者和情报官员对其运营的严格审查,这一切似乎没有尽头。特朗普政府一直在考虑一项进一步限制华为产品销售的订单,美国也一直在敦促盟国放弃该公司的设备。     (稿源:cnBeta,封面源自网络。)

郭平:华为绝没有也从没有后门漏洞 合规是责任

新浪科技讯 2月26日下午消息,华为副董事长、轮值董事长郭平在2019 MWC主题演讲时表示,华为绝对没有、也从没有所谓的后门漏洞,更不会让任何人在基础设施上找漏洞,这是华为的责任。 郭平表示,5G时代,企业、运营商、技术提供商以及政府都应承担责任。作为技术提供商的华为而言,最大的责任是合规。此外,要在运营商的层面注重安全性,承诺的必须兑现。 “华为绝对没有,也从没有后门漏洞,不会让任何人在我们的基础设施上找漏洞,这是我们的责任”,郭平说,5G网络应该存在边界,监管者应该保证所有供应商的安全使用环境。 不仅如此,作为政府也必须要统一标准,“华为一直以来都支持维护3GPP标准,但如果没有政府部门的支持,一切都不可能实现。政府部门真正有权利,让标准得到统一和实行”。所以,政府和运营商应该一起努力,让网络更加安全。 “华为在过去13年都有非常好的安全历史,还有最好的技术,请大家选择华为”,郭平说道。 早些时候,郭平曾公开表示,华为在全球5G领域已取得领导地位,领先竞争对手整整一年。     (稿源:新浪科技,封面源自网络。)

境外政治黑客发出攻击威胁 知道创宇云安全全力保障地方两会顺利召开

近日,疑似黑客组织“匿名者”在YouTube发布了一条带有明显政治意图的视频,并声称将针对中国政府网站发动攻击,号召全球成员共同加入。随后,该组织在Pastebin发布了目标网站列表,涉及100个中国政府网站,并提供了网站域名、源站IP、端口等详细信息。 黑客组织在Pastebin发帖的部分截图 消息一出便引起安全业界的重视,虽然随后便有安全研究人员发现该组织似乎是冒用“匿名者”的名号,且对该组织能发动如此大规模攻击的能力表示了怀疑,但安全无小事,任何一点危险信号都不容忽视! 近段时间,全国各地陆续召开地方两会,根据数据分析和以往经验,此类时期和节假日是网络攻击事件高发期。除上述攻击威胁事件外,创宇盾网站安全舆情监测平台近期也监测到大量其他境外带有明显政治意图的黑客的攻击威胁信息或攻击事件。 黑客在Twitter发布攻击威胁 对此,知道创宇云安全团队快速反应并已做好相应准备。为保障各地地方两会顺利召开,保证客户网站不受影响,知道创宇云防御平台进行了充足的服务资源准备,安全保障团队也将持续7*24小时在线为客户提供技术支持和安全服务。由创宇盾防护的网站不必担心。 最后,知道创宇云安全团队在此提示,正值地方两会和春节假期,网络运营者请提高安全防范意识,做好网站安全防护工作,如有防护需求可拨打我们的支持热线(4001610866)或登录我们的网站了解更多信息,我们也将持续关注安全舆情并提供最新的防护策略。 最后的最后,对妄图分裂祖国的行为表示唾弃!祖国万岁!   了解创宇盾详情:https://www.yunaq.com/cyd/

美媒:中国进一步抑制加密货币投机 但仍支持区块链

新浪科技讯 北京时间 9 月 4 日早间消息,据美国财经媒体 CNBC 报道,尽管在禁止首次代币发行(ICO)一年后,中国政府努力抑制加密货币投机行为,但中国仍在支持发展基础区块链技术。 区块链技术具有点对点交易、分布式记账、区块信息广播等技术特性,能够有效提升交易的效率性和经济性,一些投资者认为它能够像互联网一样改变世界,加密货币的交易价格一度大幅攀升,目前,包括中国在内的政府机构和大公司正在测试这项技术。 根据上周公布的估计数字,自 2016 年以来,中国政府对基础区块链技术的投资约为 35.7 亿美元。 杭州、上海和南京等一些地方政府已经宣布参与区块链投资。8 月 28 日据新闻网站 SupChina 上发布的统计数字,自 2016 年以来,各地政府的区块链投资总量约为 35.7 亿美元。 中国过去一直是比特币交易的“领头羊”,但是,随着监管审查的强化,尤其是随着比特币价格攀升,去年 9 月初,中国央行和其它金融机构宣布禁止通过所谓的国际投资组织销售新的加密货币,北京还有效禁止了国内比特币和人民币间的交易。 而在过去几周内,中国进一步限制国内加密货币活动。 8 月 17 日,北京市朝阳区发布了一项禁令,禁止在购物区、酒店和办公楼举办密码货币促销活动。据媒体上周报道,广州南部的一个经济特区也宣布了类似禁令。 8 月 24 日,中国多个政府机构联合发布了关于非法集资风险的警告。声明还对那些使用海外服务器瞄准中国投资者的人发出警示。 就在同一天,腾讯宣布,将禁止通过微信支付进行与加密货币相关的交易。腾讯在向 CNBC 发表的一份声明中称,该公司还封锁了一些官方微信账户,因为这些账户发布了有关 ICO 和加密货币交易的信息,违反了政府关于即时通讯服务的政策。 在此情况下,中国的一些区块链项目将公司总部迁往海外,而内地的发展仍在继续,比特币可以通过场外交易市场用人民币购买。 HCM Capital 董事总经理李仁杰(Jack Lee)表示,中国政府希望保持金融稳定,并将对面向普通民众的募集资金活动加以规范。该公司是许多区块链项目的投资者,也是中国最著名的苹果 iPhone 制造商富士康公司(Foxconn)的私募分支。 李仁杰指出,HCM 并不期望监管者放松对加密货币投资的限制,尽管政府已经接受区块链技术。 同时,在去年年底和今年年初的高峰期过后,加密货币价格大幅下降,但区块链领域的私人投资始终保持稳定,业内人士对前景依然乐观。 根据 CoinDesk 的比特币价格指数,比特币对美元的价格上个月下跌了 9%,纽约时间上周日晚间的价格接近 7300 美元,而在 8 月份曾一度跌至 6000 美元以下低点。       稿源:新浪科技,封面源自网络;

华住 1.3 亿用户数据泄露 华住:已报警正核实

更新: 华住集团声明 今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 特此声明 华住集团 二0一八年八月二十八日 据FreeBuf报道,8月28日早上6点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。而经过媒体报道之后,该发帖人称要减价至1比特币出售。 华住酒店集团旗下拥有“禧玥酒店”、“全季酒店”、“星程酒店”、“汉庭酒店”、“海友酒店”五个品牌,在全国200多个城市开设有1900多家门店。 数据包含汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。 售卖的酒店数据分为三个部分: 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53 G,大约1.23亿条记录;  酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3 G,约1.3亿人身份证信息; 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2 G,约2.4亿条记录。 紫豹科技风险监控平台情报专家通过技术手段验证了这批数据的真伪。据悉,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节。 据威胁猎人数据验证结果: 从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日。 从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。 基于此,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。 早在2013年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。此次数据被拖库的原因尚不清楚,华住官方暂无回应。     稿源:网易科技、环球旅讯,封面源自网络;

长生生物官网被黑客攻击:不搞你 对不起祖国的花朵

新浪财经讯 7月23日消息,长生生物(14.500, 0.00, 0.00%)科技股份有限公司官网首页被黑客攻击,并配图“不搞你,对不起祖国的花朵”。 新浪财经打开长生生物的官网,显示网站已无法打开,错误提示404,截止发稿,网站尚未恢复。 7月23日早间,深交所公告显示,长生生物拟披露重大事项,7月23日开市起临时停牌。 根据深交所《关于长生生物科技股份有限公司股票临时停牌的公告》,长生生物科技股份有限公司拟披露重大事项,根据该所《股票上市规则》和《中小企业板上市公司规范运作指引》的有关规定,经公司申请,长生生物于2018年7月23日开市起临时停牌,待公司通过指定媒体披露相关公告后复牌,敬请投资者密切关注。 7月16日,长生生物便因子公司生产疫苗存在记录造假等违法违规行为走出跌停走势,随后的4个交易日,该公司也连续跌停。在一周的5个交易日中连续5日一字跌停,停牌前收报14.50元/股。   稿源:新浪财经,封面源自网络;

中国黑客干扰柬埔寨大选?中方反驳:无端指责猜测不具建设性

环球时报驻柬埔寨特约记者 鲁特 李司坤报道,一家有中央情报局(CIA)背景的美国企业11日发表报告称,其追踪发现“中国政府支持的黑客”攻击了柬埔寨主要政府机构的电脑网络。不过蹊跷的是,据《环球时报》记者在柬埔寨了解,这么“重大”的新闻在柬埔寨几乎没有媒体关注,这一说法的背后逻辑也让人摸不着头脑。对于美国传出的这种说法,中国外交部发言人华春莹11日回应说,无端指责和猜测不具建设性。 发表该报告的是美国“火眼”(FireEye )公司。该公司称调查发现,柬埔寨国家选举委员会、议会、外交部、内务部以及经济和财政部的电脑网络近期都遭到攻击,受到攻击的还有当地外交官、媒体和反对派人士,“这明显针对的是月底的选举”。 该报告称,发起攻击的是“著名的中国黑客组织‘潜望镜’”,“我们认为,这一行动为中国政府提供了关于柬埔寨选举和政府运转情况的大量信息”。美国广播公司(ABC)11日称,7月29日,柬埔寨首相洪森预计将赢得一场几乎无竞争的选举,“近期,持亲华立场的洪森加强了反美调门”。报道引述“火眼”公司高级经理瑞德的话称,目前为止“只发现了中国黑客搜集柬埔寨大选信息的证据,而不是干涉选举”,“不过这些行动仍然算是干扰”。 香港《南华早报》11日称,针对“火眼”公司的这一报告,柬埔寨内政部发言人表示不知道有电脑被入侵的事。柬埔寨内阁发言人说,他对“中国政府支持这样的黑客行动”表示质疑。 报道同时点出了“火眼”公司的CIA背景:“火眼”公司CEO凯文·曼迪亚是美国空军前成员,CIA旗下的风险投资部门在该公司有股份。不过“火眼”公司否认其与CIA的联系,称CIA的投资股比“远不足1%”。该公司热衷于曝光所谓的“中国间谍组织”,其最广为人知的是在2013年曝光“解放军黑客部队”,直接导致美国司法部起诉了多名中国军官。 在11日的中国外交部例行记者会上,针对“火眼”公司的这一报告,华春莹表示不了解。她说,中方在网络安全问题上的立场是非常清楚的。中国坚决反对并打击任何形式的网络攻击,是网络安全的坚定维护者。她表示,在没有确凿事实证据的情况下,无端指责和猜测不具建设性。   稿源:环球网,封面源自网络;

央行:果断打击 ICO 冒头及各类变种形态

据记者了解,近期,人民银行在前期清理整顿境内虚拟货币交易场所和首次代币发行融资(ICO)活动取得初步成效的基础上,针对相关非法金融活动的新变种与新情况,会同相关部门采取了一系列针对性清理取缔措施,防范化解可能形成的金融风险与道德风险。 一是组织屏蔽“出海”虚拟货币交易平台。截至2018年5月,110个网站(包括媒体关注的火币网、币安网等交易平台)已被屏蔽。 二是从支付结算端入手持续加强清理整顿。多次约谈财付通、支付宝等非银行支付机构,要求其严格落实不得开展与比特币等虚拟货币相关业务的要求。目前支付宝排查并关闭了约3000个从事虚拟货币交易的账户。 三是果断打击ICO冒头及各类变种形态。密切监测、加强研判,打早打小、防患于未然,向市场传递更为明确的监管信号。 四是积极进行风险提示与舆论引导。会同中国互联网金融协会通过多种渠道和形式提示民众高度警惕虚拟货币相关活动的风险与危害。五是对于各类伪虚拟货币以及相关的非法集资、诈骗、传销等活动,积极支持配合公安机关依法严厉打击。据公安机关统计,近年来共立案侦办虚拟货币类违法犯罪案件近300余起。 为及时有效防范和化解虚拟货币领域风险,自2017年9月起,人民银行会同相关部门在互联网金融风险专项整治工作框架下,指导地方政府清理整顿比特币等虚拟货币交易场所和ICO活动。 “经过稳妥有序地组织推进,各地搜排出的国内88家虚拟货币交易平台和85家ICO交易平台基本实现无风险退出;以人民币交易的比特币从之前全球占比90%以上,下降至不足1%。”中钞区块链技术研究院院长张一锋表示。 张一锋称,我们有效阻隔了虚拟货币价格暴涨暴跌对我国的消极影响,避免了一场虚拟货币泡沫,得到社会各界高度认可,引领了国际监管趋势。   稿源:网易科技,封面源自网络;