在有权访问数据库的公司将其留在没有密码的服务器上之后，道琼斯所拥有的风险个人和公司实体的观察名单已被泄露。独立安全研究员Bob Diachenko发现亚马逊网络服务托管的Elasticsearch数据库暴露了240多万个人或商业实体的记录。 这些数据是金融巨头的观察名单，该公司将其作为风险和合规工作的一部分。汤森路透(Thomson Reuters)等其他金融公司拥有自己的高风险客户（例如政治风险人士和恐怖分子）数据库， - 但多年来也出现过安全漏洞。...

在最近推送的一个补丁中，亚马逊旗下的智能门铃企业 Ring，修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击，将虚假的图像内容注入到视频源中。需要指出的是，尽管 Ring 会定期发布修复固件，但那些使用旧版 Ring 应用程序的客户，仍有暴露于这方面的风险。 在今日公布的一份报告中，BullGuard at Dojo 的安全研究人员，披露了有关该漏洞的详细信息。其支出，借助适当的技术手段，任何有权访问传入数据包的人，都可以收听到实时的反馈。
问题在于，Ring 所采用的方案，并未引用强加密。那些能够访问目标 Wi-Fi 的黑客，...

Snyk 今天发布了2019年开源安全现状调查报告，这是一家针对开源项目提供安全服务的知名公司。
前言
为了更好地了解开源领域的安全现状，以及我们该如何让开源世界的安全性变得更好，Snyk 公司通过对大量的数据进行统计和分析，得到了2019年开源安全现状调查报告， 明显可以看到，开源项目的采用率正在持续加速增长。仅是2018年，Java 工具包翻了一番，而 npm 增加了大约 250000 个新的工具包。 PyPI 在2018年拥有超过140亿的下载量，较2017年增加了一倍，当时的下载次数约为63亿次。...

今天早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap，影响所有主要平台，包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备，并允许黑客通过插入数据线来黑入PC。 相关论文发表在加利福尼亚州圣地亚哥举行的网络和分布式系统安全研讨会上。它描述了macos、freebsd和linux中的一组漏洞，这些漏洞名义上利用iommus来抵御DMA攻击者。该问题与Thunderbolt启用的直接内存访问有关，现有IOMMU保护系统未正确阻止该问题。...

讯 北京时间2月27日早间消息，据美国科技媒体ZDNet援引一份报告内容显示，当裸金属（bare-metal）云服务器重新分配给其他客户之后，黑客依然可以通过修改固件来重新接入该服务器。 裸金属服务器是云计算行业使用的一个术语，指的是一次只租给一名客户的物理服务器（硬件）。 租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整，并将服务器用于各种目的，而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技术的云计算托管方案有所不同。...

讯 2月26日下午消息，华为副董事长、轮值董事长郭平在2019 MWC主题演讲时表示，华为绝对没有、也从没有所谓的后门漏洞，更不会让任何人在基础设施上找漏洞，这是华为的责任。 郭平表示，5G时代，企业、运营商、技术提供商以及政府都应承担责任。作为技术提供商的华为而言，最大的责任是合规。此外，要在运营商的层面注重安全性，承诺的必须兑现。 “华为绝对没有，也从没有后门漏洞，不会让任何人在我们的基础设施上找漏洞，这是我们的责任”，郭平说，5G网络应该存在边界，监管者应该保证所有供应商的安全使用环境。...

讯 北京时间2月25日早间消息，美国《华尔街日报》报道称，许多热门健康、健身应用已经停止向Facebook公司发送敏感的个人健康信息，其中包括用户的体重和月经周期。 《华尔街日报》上周五报道称，至少有11款热门健康、健身应用通过Facebook提供给App开发商的软件，将用户敏感数据传输至Facebook。而在上周日进行的新一轮测试显示，在《华尔街日报》确认并联系的App应用程序中，至少有四个发布了更新，以切断对Facebook的敏感数据传输。测试显示，...

多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞，可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示，这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护，并对窃听手机行为提供了更妥善的保护措施， 该论文的共同作者之一Syed Rafiul Hussain向外媒TechCrunch透露：“任何对蜂窝寻呼协议有所了解的人都可以发起此类攻击。”Hussain，以及来自于普渡大学的Ninghui Li和Elisa Bertino，...

网络域名管理者互联网名称与数字地址分配机构（ICANN）近日发布警告称，DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统（DNS）来监督管理全球的互联网通信地址，系统将用户在浏览器中输入的地址转换成为唯一的数字地址，从而让用户访问对应的网站。不过ICANN本周五发布公告称， 针对此类DNS攻击，ICANN呼吁全面部署“系统安全扩展”（DNSSEC）。 DNSSEC是一种对数据进行数字“签名”的有效技术，可以阻止受害者重定向至恶意。通过部署DNSSEC，可以有效阻止“中间人”攻击方式。通过这种攻击方式，欺诈者可以将受害者重定向至精心制作的虚假网站，...

讯 北京时间2月25日早间消息，据美国科技媒体Ars Technica报道，谷歌研究人员对“幽灵”（Spectre）攻击的范围和影响进行调查后，发表了一篇论文，认为类似于这样的漏洞可能会继续困扰处理器，而基于软件的防护技术会产生较高的性能成本。 他们还认为，无论如何，软件都不足以防御这种攻击——一些“幽灵”漏洞似乎并没有有效的软件防御措施。因此，“幽灵”将成为未来的一个重要安全隐患，并没有直接的解决方案。 “崩溃”（Meltdown）和“幽灵”攻击的发现无疑是2018年的重大安全事件。去年1月首次发现后，全年又出现了新的变种。这两种攻击都依靠处理器的理论架构行为与真实的事实行为之间的差异来发动。...