北京时间3月15日上午消息，美国科技科技媒体TechCrunch报道，一名安全研究人员发现，中国环球易购（Globalegrow）旗下自营网站Gearbest泄露了数百万用户资料和购物订单。 研究人员诺姆·罗特姆（Roam Rotem）发现，一个Elasticsearch服务器每周都会泄露数百万条记录，包括客户数据、订单和支付记录。该服务器并没有用密码保护，所有人都可以搜索到这些数据。 Gearbest排名全球前250位，为华硕、华为、英特尔和联想等品牌提供服务。...

据外媒New Atlas报道，我们已经习惯了有人侵入我们的计算机、平板电脑和智能手机所带来的安全风险，但是心脏起搏器和其他植入式医疗设备呢？为了帮助防止可能的黑客攻击，普渡大学的工程师们提出了一种类似手表的设备，将人体变成自己的网络，以此来保护个人技术的私密性。 自从在15年前变得司空见惯以来，Wi-Fi和蓝牙等无线技术一直是一种解放的体验。这些使得在没有电缆或电线的情况下登录互联网变得正常，并且还使无线耳机，耳塞和智能家居成为可能。此外这还使得出现非常个人化的技术，如健身追踪器、智能手表、高级心脏起搏器、胰岛素泵、机器人假肢和其他医疗设备等。...

攻击图例（来自：CheckPoint） 疑似命令与控制服务器的相关代码（来自：CheckPoint） 隐藏图标代码，删除谈何容易？（图自：CheckPoint）...

在病毒肆虐的Android平台上，很多消费者可能希望下载和安装防病毒产品来提供更妥善的保护。然而在对250款Android防病毒软件进行测试之后，发现这些所谓的安全APP功能含糊，不够安全甚至完全没有防护能力。独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试， AV-Comparatives测试了2000款恶意APP，结果发现只有不到十分之一的APP能够完全检测出这些恶意程序，而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作自动测试程序，...

Check Point 最新发布的全球恶意软件报告显示，加密货币挖矿类恶意软件，仍然是互联网上最为活跃的一大威胁，前十里面有五个都是它。其主要借助浏览器的 JavaScript 脚本来作妖，当网友不慎访问到恶意网站时，其 CPU 资源占用就会迅速飙升。除了被黑客攻击的站点， 好消息是，随着加密货币价格的暴跌，这类恶意软件的驱动力也有所下滑。甚至主打“正经挖矿”功能的 Coinhive ，都在上周宣布了正式停止运营的消息。
与此同时，GandCrab 之类的勒索软件和网银木马正在崛起，并衍生出了逃避反病毒软件追踪的新手段。
需要指出的是，尽管与 PC 相比， （稿源：cnBeta，封面源自网络。）...

讯 北京时间3月12日上午消息，据美国科技媒体TechCrunch报道，网络安全公司Adversis发现，有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接，而无意间泄露了敏感的企业和客户数据。 虽然存储在Box企业帐号内的数据默认设置称私密状态，但用户可以与任何人分享文件或文件夹，因而只需要一个链接就可以公开接触这些文件。但Adversis表示，这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式，Adversis发现有90多家公司的文件夹都可以公开访问。 Box自己的员工也未能幸免。...

Mimecast研究实验室的一组研究人员发现了一个影响Microsoft Word的新漏洞，它不仅仅影响这个办公应用，同时还对整个操作系统都形成了威胁：允许黑客绕过目标系统上的反恶意软件等所有安全措施。该漏洞的目标是微软处理OLE文件格式时的整数溢出错误，一群来自叙利亚的黑客发现了这一重大问题。 利用这个漏洞能绕过许多旨在保护数据免受侵扰的安全解决方案，包括领先的沙盒和反恶意软件技术。 恶意软件代码显示它能够访问URL，创建文件和/或文件夹，运行shell命令以及执行和结束程序，它还可以通过记录击键和鼠标事件来窃取信息。...

预计到 2020 年，联网设备的数量会增加到 204 亿台，但它们的安全水平却不尽相同。那些没有内置安全特性的物联网设备，成为了黑客眼中的一道脆弱防线。在默认的密码和无法修复的漏洞等问题面前，形势显得非常严峻。去年的参议院听证会上，国防情报局长罗伯特·阿什利中将（Lt. 有鉴于此，美参众两院议员在本周一提出了一项《物联网网络安全改进法案》，希望能够对缺乏国家标准的新兴技术展开立法。
除了要求每家企业都提升其制造的联网设备的安全性，该法案还希望对联邦政府使用的任何物联网设备设定最低的安全标准。 （稿源：cnBeta，封面源自网络。）...

援引外媒Daily Beast报道，Facebook于上周五向两位乌克兰公民提起诉讼，指控后者利用一系列问答游戏秘密窃取用户的数据。根据起诉书显示，Gleb Sluchevsky和Andrey Gorbachov为一家名为Web Sun Group的公司工作， 根据Facebook的起诉书显示，这些恶意扩展程序主要发生在2016至2018年间，主要受害者为俄罗斯用户，已经影响了6.3万个浏览器用户。与此前剑桥分析的策略不同，Sluchevsky和Gorbachov所创建的问答应用是通过浏览器扩展方式完成，会要求受害者下载恶意工具。...

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者，导致国际黑客窃取了大量的数据。公司表示美国联邦调查局（FBI）已经就此事和公司取得联系，并警告称本次网络攻击行为极有可能是伊朗黑客组织所为，窃取了6TB至10TB的商业文件。 针对本次安全事件，Citrix已经采取积极措施。公司表示：“我们已经全面配合FBI开展调查，并且聘请了一家专业领先的网络安全公司提供协助，巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害，但也承认并不清楚有多少或者哪些文件被访问过。...