近日，Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用，Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出，攻击者可利用聊天模块的漏洞， 发送聊天消息时，所有发送的 URL 都将经过转换，以便群内其他成员点击，继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现，Zoom 客户端竟然还将 Windows 网络 UNC 路径，也转换成了聊天消息中可单击的链接。...

据外媒报道，当地时间周二，一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问”，内容是关于该公司的新冠筛查网站相关的隐私问题。据悉，该网站于两周前上线，让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。 该套工具目前只对加州四个县的人开放，其由Verily的Project Baseline负责。 议员们对该网站是否符合《医疗保险可携性与责任法案(HIPAA)》提出了担忧。HIPAA是监管某些医疗信息的安全和隐私的联邦法律。参议员们还对该网站要求只有拥有谷歌账户才能进行筛查的规定提出了异议，实际上这一举动已经引起了隐私倡导者的密切关注。...

本周二，万豪（Marriott）披露了旗下连锁酒店的又一起客户数据泄露事件。报道称事件发生于今年 1 月中旬，但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关，事件导致 520 万客户信息泄露。在堵上安全漏洞之后，万豪声称入侵者已被禁止访问。 在周二的公告中，万豪表示其发现了使用上述两个被盗的员工登陆凭据的“意外数量的来宾信息访问”。在封堵漏洞和禁用相关登陆凭据的同时，该公司声称还将增强监测能力。...

在冠状病毒爆发期间，视频会议应用程序和服务使用率增加，导致安全人员在Zoom当中发现更多安全问题。据报道，视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装，并且还宣传其具有端到端加密功能，但显然没有。 之前它已将用户数据发送到Facebook（据称已修复），现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_（恶意软件跟踪器VMRay的技术负责人）报告说，Zoom的Mac应用安装程序使用了预安装脚本，并据称显示了伪造的macOS系统消息。...

外媒ZDNet从一位读者那里了解到，黑客已经劫持了微软公司的一些YouTube帐户，并向该公司的订阅用户广播了一种加密货币庞氏骗局。根据消息来源，这些黑客入侵似乎发生在当地时间周一。尽管向YouTube工作人员报告了这些情况，但截至外媒记者发稿前，被劫持的帐户仍在直播。 这位黑客目前正在直播前微软首席执行官比尔·盖茨（Bill Gates）在2019年6月在Village Global向听众提供有关创业公司建议的旧演讲。黑客正在直播演示文稿的变更版本，同时还要求观众参加经典的“加密货币赠品”活动-受骗者可能发送少量加密货币以使收入翻倍，但从未获得任何回报。...

上周六，某黑客论坛公布了包含 493 万 4863 乔治亚州居民的详细个人信息的数据库。在大小为 1.04 GB 的 Microsoft Access 数据库文件中，可查看到包括全名、家庭住址、出生日期、身份证编号、手机号码之类的隐私内容，甚至连已故公民的信息也没放过。 周末的时候，数据泄露监视和预防服务公司 Under The Breach 曝光了本次泄漏事件，并向外媒 ZDNet 分享了一些细节。 由快照可知，数据库包含了超过 490 万条记录，其中包含了数百万已故公民。根据 2019 年的人口普查，该州目前预估人口在 370 万左右。...

知情人士表示，移动广告公司（而非手机运营商本身）始终在通过CDC向美国政府机构转发“某些地理上感兴趣的用户”的信息。显然，此举旨在帮助创建全国性的政府门户网站，并将使用多达500个城市的地理位置数据来监控疫情。

官员们辩称，这些信息已经被匿名化和汇总，...

立法者和安全专家不断发出警告：全球蜂窝网络存在诸多安全隐患。近日一位告密者称，沙特政府在实施“systematic”监视活动中，利用这些漏洞可以追踪任意美国公民的信息。 systematic是沙特监视海外公民的大型活动，利用强大的移动间谍软件入侵持不同政见者和激进分子的电话以监视其活动。而其中就包括华盛顿邮报专栏作家贾马尔·卡舒吉（Jamal Khashoggi），后者于2018年在领事馆内被沙特特工团队杀害。...

最大的暗网托管商 Daniel's Hosting 再次被黑，数据库被删除，托管的7600个网站全部下线。它上一次被黑发生在 2018 年 11 月，这一次发生在 3 月 10 日，站长 Daniel Winzen 在一份声明中称，攻击者访问了服务的后端，删除了所有托管相关的数据库。 攻击者随后还删除了 Winzen 的数据库账号，创建了一个新的账号。Winzen 是在第二天发现入侵的，但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票，如果其托管的某个网站遭到调查的话——意味着数据无法恢复。 Winzen 表示他不知道黑客是如何入侵的，表示现在忙其它项目，没时间调查。...

根据安全公司Bitdefender研究人员本周三发布的博文，发现了通过DNS劫持将用户重定向到新冠病毒（COVID-19）信息APP的下载页面。用户访问页面之后并不会下载任何APP文件，会直接被恶意程序感染，并会获取诸如加密钱包凭证和其他私人敏感信息。 Bitdefender研究人员表示，黑客向存在漏洞的路由器发起攻击，并使用暴力破解的方式来猜测控制面板的密码。（这并不难做到，因为很多用户的帐号凭证均为默认设置，为admin和password）。一旦攻击者获得了路由器的控制权限，更改DNS设置就变得非常简单。...