分类: 数据泄露

安全专家发现链接预览会泄漏敏感数据

链接预览几乎是主流聊天和即时信息应用中标配的功能,它能预览链接中关联的图像和文本,从而让在线对话更加轻松。但遗憾的是,它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池,甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究,目前 Facebook,Instagram,LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息,应用可能会显示该链接随附的文本(通常是标题)和图像,通常看起来会是下面这样的: 为此,应用程序本身(或由应用程序指定的代理)必须要先访问该链接,打开文件,并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件,以至于导致应用崩溃,耗尽电池或消耗有限的带宽。而且,如果链接指向私人材料(例如,将报税表发布到私人OneDrive或DropBox帐户),则应用服务器可以无限期查看和存储它。 本周一,安全研究人员塔拉尔·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现,Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示,两个应用程序都会下载并复制整个链接文件,即使文件大小为千兆字节也是如此。同样,如果文件是用户希望保密的文件,则可能会引起关注。 即使链接的文件容量高达 2.6 GB,在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现,该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说,其服务器仅下载图像的缩小版本,而不下载原始文件,并且该公司不存储该数据。 但是 Mysk 表示,该视频演示了 Instagram 全部下载了 2.6GB 文件(Ubuntu ISO,文件重命名为ubuntu.png )。他还指出,大多数其他 Messenger 会剥离 JavaScript,而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是,它没有复制任何大小的文件,而是仅复制了前50兆字节。 同时,当 Line 应用程序打开加密消息并找到链接时,它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道:“我们认为这违反了端到端加密的目的,因为LINE服务器知道通过应用程序发送的所有链接,以及谁与谁共享链接。” Discord,Google Hangouts,Slack,Twitter和Zoom也会复制文件,但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     (消息来源:cnBeta;封面来自网络)  

谷歌聘请的律师事务所 Fragomen 确认一起数据泄露事件

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务,以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案,以确保他们拥有合法的工作许可,并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息,包括护照、身份证和驾照等政府文件,以及其他个人身份数据,这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示,上个月发现,未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中,Fragomen没有说明被访问的数据是什么样的,也没有说明有多少谷歌员工受到影响。根据州法律规定,受违规事件影响的加州居民超过500人的公司,必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     (消息来源:cnbeta;封面来自网络)

英国航空公司因数据泄露被罚款 2000 万英镑

2018 年,英国航空公司泄露了 40 万用户数据。近日,信息专员办公室(ICO)对英国航空公司除以 2000 万英镑(约合 2585 万美元)的罚款。 罚款是迄今为止 ICO 开除的最高记录,因为该航空公司违反数据保护法,在处理大量个人数据时没有采取适当的安全措施。 ICO 表示,英国航空公司未能发现并解决这些安全漏洞,最终导致了 2018 年的攻击。攻击者在两周内窃取了将近 43 万名用户的数据,泄露的数据包括使用英国航空公司网站和 App 预定机票的付款信息、姓名、地址和密码信息。 ICO 批评英国航空公司在两个多月的时间内都未能发现网络攻击。Elizabeth Denham 表示:“人们将个人详细信息交给英国航空公司,英航应该采取足够的措施保证这些信息的安全”。ICO 认为这样的不作为是不可接受的,这样规模的数据泄露影响了很多很多人。 组织管理的个人数据泄露时,可能会对人们的生活产生影响。现在,法律为我们提供了要求企业做好信息安全防护的保障。 尽管 2000 万英镑已经是创纪录的罚款金额,但这已远低于 ICO 在 2019 年 6 月提出的 1.83 亿英镑的罚款金额,这在当时是自《通用数据保护法》(GDPR)实施以来最大的一笔罚款。ICO 表示,这考量了英国航空公司的的请求以及 COVID-19 对航空业产生的巨大影响。监管机构同时指出,2018 年后,英国航空公司的 IT 安全性进行了相当大的改进。 英国航空公司表示:“2018 年,一发现我们的系统被攻击,我们就立刻向用户发出的提醒。但是很遗憾,我们未能达到用户的预期”,“我们很高兴监管机构能够肯定我们为系统安全性做出的改进,我们也积极配合相关调查工作”。     (消息及图片来源:Forbes;译文来自FreeBuf.COM。)

监狱视频探视服务 HomeWAV 暴露了囚犯与律师之间的私下通话

据外媒TechCrunch报道,由于担心新冠病毒的传播,美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人,迫使朋友和家人使用昂贵的视频探视服务,但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后,一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞,暴露了数千名囚犯和他们的家人之间的电话,但也有他们与律师的通话,这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务,它的一个数据库在没有密码的情况下暴露在互联网上,允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞,他说,这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题,HomeWAV在几个小时后关闭了系统。 在一封电子邮件中,HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch:“我们的一个第三方供应商已经证实,他们意外地取下了密码,从而允许访问服务器。”Best没有点名第三方供应商的名字,他表示,公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch:“我们一次又一次看到的是,当系统失败时,被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往,有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说:”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎,它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉,检察官和调查人员会回听录音,以防囚犯在通话中自证其罪。然而,由于律师与当事人的特权,囚犯与其律师之间的通话不应该被监控,这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此,已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年,美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且,今年早些时候,缅因州的辩护律师表示,他们经常被几个县级监狱录音,他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说:“除非来访者之前已经登记为神职人员,或者是犯人有权与之进行特权交流的法律代表,否则会告知来访者,访问可能会被记录,并且可以被监控。” 但当被问及时,HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示,律师明确宣布他们的通话受律师-当事人特权保护,有效地告诉任何听进去的人,通话是禁区。 TechCrunch与两位律师进行了交谈,他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录,但要求不要说出他们或他们的客户的名字,因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示,他们在通话中口头主张律师与当事人的特权,而另一位律师也认为他们的通话受到律师与当事人特权的保护,但拒绝进一步评论,直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实,他9月份与监狱中的一位客户的一次通话被记录、转录,随后被曝光,但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息,”Repka说。“任何时候,我都有一个客户从监狱给我打电话,我非常意识到并意识到不仅有可能出现安全漏洞,而且还有可能被县检察官办公室访问这些电话。” Repka称:“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道:“律师的最佳做法是,总是亲自去监狱探望你的客户,在那里,你在一个房间里,你有更多的隐私,而不是通过电话线,你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难,或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说,由于冠状病毒带来的威胁,几个州已经暂停了亲自探视,包括合法探视。甚至在大流行之前,一些监狱就结束了亲自探视,改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业,像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年,Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露,并与The Intercept分享。据该出版物报道,缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月,Diachenko报告说,另一家监狱探视服务机构TelMate也出现了类似的安全漏洞,由于无密码数据库,数百万条囚犯信息被泄露。     (稿源:cnBeta,封面源自网络。)

微软表示将调查 Windows XP 与 Server 2003 源代码泄露一事

微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周,这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露,尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实,微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持,不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现,但源码并不是被严格保存的,微软曾经启动了一个特殊的政府安全计划(GSP),允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露,微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上,就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码,但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是,这些文件中还提到了比尔·盖茨的阴谋论,显然是想传播错误信息。     (稿源:cnBeta,封面源自网络。)

推特向开发者警示:私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)

Microsoft Bing Server 暴露用户搜索查询和位置信息

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据,包括搜索查询、设备详细信息和GPS坐标等。 然而,日志数据库不包括任何个人信息,如姓名或地址。 9月12日,WizCase的Ata Hakcil发现了这一数据泄露,它是一个6.5TB的海量日志文件缓存,任何人都可以在没有任何密码的情况下访问这些文件,这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称,服务器在9月10日之前一直受到密码保护,此后,身份验证似乎被无意中删除了。 微软安全响应中心知悉后,Windows制造商于9月16日解决了这一错误配置。 近年来,配置不当的服务器一直是数据泄露的持续来源,它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说:“基于绝对的数据量,可以安全地推测,任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站,以及“与枪支相关的查询,包括购买枪支的搜索历史记录,以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外,这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符,如ADID(Microsoft广告分配给广告的数字ID)、“deviceID”和“devicehash”。 此外,该服务器还遭受了至少两次所谓的“meow attack”,这是一次自动网络攻击,自7月以来,该攻击已从14000多个不安全的数据库实例中抹去数据,且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息,但WizCase警告说,这些数据可能被用于其他目的。此外,这还会让犯罪分子定位用户的行踪,用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点,还是人们在必应上搜索的数百件令人尴尬的事情,”该公司表示一旦黑客掌握了搜索查询信息,他们可以根据服务器上提供的详细信息查出受害者的身份,从而使受害者容易成为敲诈的目标。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

动视发生严重个人资料泄漏事件:超 50 万账号被曝光

援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏,并邀请更多玩家加入。 上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。 截至目前,还不知道黑客攻击是否还在进行中,也不知道受影响的账号情况如何,因为动视还没有就此事发表任何形式的声明,而最初透露事情经过的人也没有透露任何新的信息。 更新:在 1 个小时之前,动视发布公告,并提供了确认用户账号是否安全的指南。     (稿源:cnBeta,封面源自网络。)

“微信清粉”软件存风险 有用户中毒或被盗取个人信息

微信已经成了很多人的主要联系方式,很多场合下人们已经从留电话变为加好友。微信通讯录越来越长,但里面一些人却很少联系,于是,一种所谓“微信清粉”的服务应运而生,相信很多人都收到、看到过这样的信息,甚至是使用过这样的服务。然而您不知道的是,这种方式可能威胁到您的信息安全。 年恒是一位医务工作者,今年9月的一天,他突然收到一条令他意外的微信信息。 年恒:“我点开看了之后发现,是有一段时间没联系的一个老师,她发了一条微信朋友圈,说她最近使用了一个微信清粉的服务,非常好用,底下有一条链接。当时我看到这个消息的时候我也是非常奇怪,因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委,对方回复说她是在一个微信群中看到了一个清粉二维码,考虑到自己微信中的好友人数非常多,确实想清理好友,于是进行了尝试。 年恒:“当时(老师)摁了一下二维码识别了之后,在她自己都不知道的情况下,就往朋友圈里面发了一些消息,同时还往群里面散布了这些消息,给她自己带来非常多的麻烦。那一天下午没有做别的,就一直在解释,说自己受骗了,是扫描二维码后自动发出的。” 采访中,不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接,不仅会自动在朋友圈发送广告,还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映,今年5月她在使用“清粉”服务后,很快发现微信中有一笔自己并不知情的交易,对方是某网络游戏。继而她发现,在这款从未接触过的网游中,竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的,又会给用户带来哪些信息安全隐患? 专家表示,“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户,让该账户自动向其所有好友群发消息,再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群,都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后,潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧:“第一个因为你授权给他,相当于他接管了你的账户,这样他就可以调取你的个人资料,包括微信的通讯录、聊天记录,还有你手机的通讯录、聊天资料、通讯录和你的一些资料,都有可能会泄露出去;第二个他通过占有你的一个账户,他去注册一些其他的账户去做一些事情,如果这些事情是违法的,就会对你个人的一个征信带来影响;第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日,江苏南通市公安局对外披露,他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,5名涉案犯罪嫌疑人全部落网,这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中,江苏南通市公安局网安支队的民警发现,围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华:“犯罪嫌疑人在取得微信账号的控制权限后,借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上。” 随后,犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间,该犯罪团伙共非法获取用户微信群聊二维码2000余万个,均出售给了福建龙岩等地的诈骗赌博犯罪团伙,同时还为他人批量关注微信公众号和刷阅读量、刷赞,先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉:“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪,相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前,5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕,案件在进一步办理中。律师表示,“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点,而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示,基于“清粉”软件所潜在的巨大风险,不建议使用此类“服务”,提升防范意识,保护好个人信息;不要轻易点击不明来源的链接、二维码;在对外转账时,提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任,想办法从源头堵住这类行为,避免用户遭受损失。     (稿源:央视,封面源自网络。)

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)