据外媒 29 日报道，安全专家 Chris Vickery 发现线上交易公司 AMP 数据泄露，暴露上万份文件信息，其中主要包括信用报告、护照扫描与客户聊天记录等。 线上交易公司 AMP 是全球互连系统首要供货商，其总部位于芝加哥，主要经营多家在线期货交易平台。
据悉，AMP 数据泄漏由第三方 IT 供应商管理的备份设备配置错误导致，暴露于网上的数据约 70 GB 包含 97,000  份文件，分别包含用户信用报告、护照扫描、公司内部邮件以及客户聊天记录等。...

近期，一群来自华盛顿大学网络安全实验室（ NSL ）的计算机专家发现，恶意攻击者可以欺骗 Google 的 CloudVision API ，这将导致 API 对用户提交的图片进行错误地分类。 近些年来，基于 AI 的图片分类系统变得越来越热门了，而这项研究针对的就是这种图片分类系统。现在，很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片，例如那些具有暴力性质或色情性质的图片，而基于 AI 的图片分类系统可以阻止用户提交并发布违禁图片。...

据外媒报道，美国国家安全局 28 日宣布将停止一项争议性做法，不再监控美国公民和海外对象任何提及国安局监视目标的电子邮件和短信往来。 美国国安局表示，该局虽有合法权力继续监控此类通讯，但将停止这项做法，保障美国公民的隐私。根据声明，美国国安局不再搜集仅提及一个海外情报目标的特定网络通讯。 根据外国情报监听法第 702 节，只要美国公民与海外对象联系的电邮和简讯提及一个国安局特定监听目标，即允许予以收集。...

据 haaretz 报道，以色列政府在严批新网络防御法案之后，成功破获一起针对 120 个目标的重大网络攻击案件。政府方面推测，该起攻击事件与境外政府存有潜在联系。
以色列总理办公室（ PMO ）于 26 日发布紧急公告：停止新网络防御法案立法并对其进行严格审查，以提出更完善法案。据悉， 原作者：Pierluigi Paganini， 译者：青楚，译审：狐狸酱
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接...

近日，纽约大学安全专家发现 GE MultilinSR 继电保护器存在关键漏洞， 可绕过认证机制控制设备随意切断电网，这一关键漏洞或对全球电网构成严重威胁。目前美国 ICS-CERT 已发布针对 CVE-2017-7095 的漏洞预警。 专家表示攻击者可通过暴力破解从前面板或 Modbus 命令获取用户密码，未经授权即可访问 GE MultilinSR 系列继电保护器产品。消息显示，专家将于拉斯维加斯即将举行的黑帽大会上进一步披露漏洞相关细节并进行现场演示，他们期待研究成果能对国家电网产生重大影响。...

2016 年 macOS 上的恶意软件增长了 744%，不过大部分都只是恶意广告。近期，CheckPoint 的安全研究人员发现了一款非常恶劣的 macOS 恶意软件，这款恶意软件可以监听所有的互联网通信，包括安全网站。
恶意软件的名称为 OSX/Dok，并且无法被苹果 Gatekeeper 发现。 OSX/Dok 采用钓鱼攻击，受害者会收到谎称来自税务局的邮件，并要求他们在附件中填入自己的详细信息。这款恶意软件会将自己加入启动项，名称为 AppStore，这意味着每次及其启动后，恶意软件都会自动运行。...

非营利组织（ISC）² 向白宫提出一项建议：呼吁特朗普总统发布网络安全行政命令的最终版本时，优先发展员工队伍，其主要目标是解决专业人员匮乏问题及业内不确定因素。 据悉，行业领袖与政府机构采取此项建议，旨在对抗限制网络安全发展投资的冻结招聘行政命令。考虑到新的威胁形式与网络安全领域已取得的进展及人力资源对于获取、招聘和保留的工作激励，整个行业缺乏新型网络安全专业人员、行业人才与退出市场的资深专业人士并不兼容。此外，其他建议还包括促进沟通者发展， 该项建议考虑到近期数据泄露与勒索软件、物联网等威胁迹象，从而强调安全并非在于合规，而是行业领袖纵深防范意识、了解相关人才匮乏与新技术使用风险。...

据外媒报道，美国空军近日宣布，它计划在下个月推出漏洞赏金计划，让黑客帮助寻找其网站的漏洞，并对发现漏洞者给予现金奖励。 在过去一年中，联邦政府开始慢慢接受漏洞赏金计划的概念。去年 4 月推出的 Hack the Pentagon 计划是联邦政府首次开始实施的漏洞赏金计划。这个计划的任务一开始是寻找五角大楼的漏洞，后来拓展到了查找美军网站的漏洞。...

图：Telnet 默认密码攻击 据悉，Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前，该僵尸网络可实现三种不同的攻击方式：TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外，卡巴斯基专家发现，...

如果你使用智能电表来监控你的用电情况，那么这也同时为黑客入侵预留了一个通道。根据堪培拉大学网络安全中心的 Nigel Phair 发表的论文（ PDF ），黑客完全能够入侵你家的智能电表，监控你家的用电情况已经确认你家多长时间处于闲置状态。 Phair 向 ABC 透露：“大部分电表在生产制造过程中并没有妥善的考虑安全问题，因此缺乏足够的密码保护以及固件更新机制，从而确保智能电表处于最新稳定状态。”...