12 月 10 日有媒体散布“京东 12G 数据泄露，涉及千万账户”消息，宣称被泄露的数据包含用户名、密码、QQ号、邮箱、电话、身份证诸多个人信息。京东官方 10 日晚间发布公告表示，初步判断被泄露数据源自 2013 年 Struts 2 的漏洞问题。 京东官方称内部初步调查显示，2013 年 Struts 2 漏洞爆发时安全部门就已迅速完成了系统修复，同时针对可能存在风险的用户进行了安全升级提示，当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。” Struts 为 Apache 基金会赞助的一个开源项目，Struts 框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用。2013 年 7 月 17 日，Apache Struts2 发布漏洞公告，称其 Struts2 Web 应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道，包括电商、银行、政府等诸多网站均受影响。 商场如战场，双 12 前夕“正巧”爆出数据泄露事件实在是耐人寻味。 稿源：据 cnbeta 整理，有改动； 封面：百度搜索

近日，广州市民张颖（化名）通过二手物品交易软件“闲鱼”，以 5000 元的价格挂售自己的一张健身卡。11 月 13 日上午，一“网友”通过平台向张颖购买健身卡，且请求她把售价改为 19600 元，原因是“需要较高的金额向公司报销”。 该“网友”解释，他会先通过支付宝向张颖转账 19600 元，扣除 20 元手续费，张颖再将 14580 元差价补给他即可。张颖接受了请求。 十分钟后，她收到了一封发件人为“支付宝”的邮件，邮件显示“支付宝提示买家已确认收货，因您未开通大额支付，您有笔交易 19600 元将在 2016 年 11 月 13 日晚上 20 点到账您的支付宝。” 信以为真的张颖在对方的催促下于十几分钟后将差额打到了对方提供的银行卡账户中。随后该网友多次以“开通大额支付需一定数额转账凭证”为由让张颖转账。为了获取张颖信任，该网友先后向张颖转账 46459 元。最终，张颖共向对方转账 10 次，扣除对方转入的 4 万余元，她共转出 74451 元。 支付宝：涉事邮箱系假冒 12 月 5 日下午支付宝客服对此作出解释，给张颖发邮件的“支付宝邮箱” 为 zhifubaoxianyuee@yeah.net，并不是支付宝的官方邮箱账号。支付宝官方一般不会给买卖双方发送邮件，买卖信息一般是通过短信通知。在网购中，若是收到以官方名义发来的短信、邮件、电话等，要通过域名等细节信息核实其真实性，并向官方求证。 稿源：cnbeta.com 有删改，封面：百度搜索  

据外媒报道，美国国家安全及反恐顾问 Lisa Monaco 在当地时间周五表示，美国总统奥巴马已下令全面调查针对 2016 年美国总统大选发起的黑客活动。美国情报机构在今年早些时候曾表示，俄罗斯政府曾授权黑客入侵美国政治组织的网络系统，试图对总统大选进行干扰。 另外，白宫发言人 Eric Schultz 也表示：“在本周早些时候，总统已指示情报部门对总统竞选周期的恶意网络活动进行全面评估。 这份报告将进一步挖掘试图影响我们选举的恶意网络活动类型、评估我们的防御能力，并吸取经验教训。 ” 美国国土安全部今年 10 月 11 日曾在一份报告中指出：“到今天为止，已有 33 州、11 县及地方选举机构与国土安全部探讨我们的网络安全服务。现在距离 11 月 8 日选举日还有 29 天时间，我们鼓励其他的选举机构完成同样的事情。” Schultz 还表示，此次调查将涵盖自 2008 年起与美国大选有关的一切恶意网络攻击。 稿源：cnBeta.com，封面：百度搜索

微软为 Windows 10 推出的 PowerShell 是一个非常强大的工具，但是网络犯罪分子也越来越多地使用它来传播恶意软件。安全公司赛门铁克分析了恶意 PowerShell 脚本，并表示这种威胁的数量正在快速上升，特别是在 shel l框架被企业更广泛使用的情况下。赛门铁克表示，包括 Office 宏在内，大多数恶意 PowerShell 脚本被用作下载恶意软件的工具，最终目标是在目标电脑上执行代码，然后在整个网络中传播恶意软件。 根据赛门铁克表示，目前有三个常见的恶意软件系列正在使用 PowerShell 脚本，分别是 W97M.Downloader（在分析样本当中占比9.4%），Trojan.Kotver（占比4.5%）和 JS.Downloader（占比4.0%）。在过去六个月中，赛门铁克每天平均拦截了 466028 封含有恶意 JavaScript 的电子邮件，而且这种趋势在增长。 网络犯罪分子还创建了更复杂的 PowerShell 脚本，它们分阶段工作，因此它们实际上链接到最终会部署恶意软件的不同脚本，而不是直接危及目标电脑。防止此类威胁的最佳方法是运行完全最新的安全软件以及最新版本的 PowerShell 。此外，由于大多数脚本通过电子邮件传递，因此请避免打开来自不受信任来源的脚本、文件或链接。 稿源：cnbeta.com 有删改，封面：百度搜索

据外媒报道，近日美国乔治亚洲州长根据溯源结果指责国土安全部非法入侵包含国家选民登记数据库在内的州选举系统。 本周四( 12 月 8 日)美国乔治亚洲州长 布莱恩·坎普在他的 Facebook  页面上质问国土安全部部长 约翰逊 并要求解释入侵原因。布莱恩·坎普 在信中提到，11 月 15 日曾发生一起“不成功的防火墙入侵事件”，溯源结果显示了国土安全部的 IP 地址。 遭到入侵的防火墙背后是该州选民登记数据库，其中包含 650 万乔治亚洲居民个人信息和成千上万的官员、国有企业信息。 “试图访问或超授权访问受保护的计算机系统是非法行为”，约翰逊坎普 在信中表示：“国土安全部进行的渗透测试或安全扫描并未获得乔治亚洲政府授权”，而且国土安全部并未就攻击事件作出过提醒。 稿源：本站翻译整理， 封面：百度搜索

上周，冰岛总统授权海盗党领导人 Birgitta Jonsdottir 去组建一个联合政府。如果她完成这一任务，冰岛将被海盗党及其 4 个盟友党派统治。 海盗党的成员包括了无政府主义者、黑客、自由意志主义者和极客。它宣传政治透明，免费医疗和隐私保护。在 10 月 29 日举行的冰岛议会选举中，成立 4 年的反建制政党海盗党获得了 10 个席位，成为议会第三大党。 鉴于它缺乏政治经验和激进主义的起源，对于它是否能治理冰岛还存在一些疑问。Jonsdottir 本人就是一位从无政府主义者转变而来的政客， 她曾呼吁授予 NSA 泄密者 Edward Snowden 冰岛国籍，认为这比向他提供政治庇护更好，因为庇护并不能提供足够的保护。 Jonsdottir 曾经帮助过 Wikileaks （维基解密）但很快又切断了联系。对于大规模监视的信息收集可能被误用、以及社交媒体公司对用户的影响，Jonsdottir 也表达了担忧。 稿源：solidot奇客 有改动，封面：百度搜索

根据斯诺登泄露的资料，英美情报机构对民航客机上的手机通话也进行过追踪和拦截。NSA 讯号情报局（SID）在 2010 年的一份“最高机密”报告中提到，尚未对一个领域展开探索，即拦截民航客机上的电话呼叫。而在一年前的内部文档中，NSA 提到：2008 年 12 月，有 5 万人在飞机上用过手机。2009 年 2 月的时候，这个数字增长到了 10 万。 NSA 将这种增势归结于“越来越多的航班配备了机上 GSM 功能，大家不怎么担心因为接打电话导致的航班事故，且认为通讯费用不算太昂贵”。 在 2012 年的一次演讲期间，英国政府通讯总部（GCHQ）披露了一个名叫“ Southwinds ”的项目（英国最高的机密等级），其主要目的是收集商业航班上的手机活动、语音/数据通讯，但仅适用于该国运营商 Inmarsat 的海事卫星所覆盖的区域（欧洲、中东和非洲）。 数据可以“近乎实时”地收集，且每趟航班可以被每隔2分钟追踪一次。监听一部手机，需要飞机位于超过 10000 英尺（ 3000 m+）的高空，地面站可以秘密截获与卫星之间的信号。需要指出的是，只要手机处于开机状态，就足够获取使用者的诸多信息，比如航班号、航空公司代码、甚至智能机登记用户的姓名。 稿源：cnbeta.com， 封面：百度搜索  

由多家消费者利益机构组成的联盟近日提出诉讼称：连接到互联网上的聊天玩具可能会在用户不知情或者未经允许的情况下上传隐私。本周二，美国联邦贸易委员会（FTC）收到针对 Genesis Toys 公司和语音识别公司 Nuance Communications 的指控( PDF )，称旗下的 My Friend Cayla 娃娃和 i-Que 智能机器人收集和使用儿童个人信息的行为违反了“禁止不公平和欺诈行为条例”。 联盟称欧洲消费者组织( BEUC )已经向法国、荷兰、比利时、爱尔兰和挪威等国家的消费者监管机构提出了诉讼。电子数据保密中心和美国其他监督机构在申诉书上表示：“从目的和设计来看，这些玩具会记录和搜集孩童的私下对话，并在没有限制的情况下搜集、使用或公开个人信息。”他们说：“玩具有从事间谍行为的疑虑。” 稿源：cnbeta.com 节选，封面：百度搜索  

收购了三星的打印业务，惠普在这一领域的话语权愈发高涨。现在，惠普宣布了一项新的决定，停用商用打印产品的远程访问支持，包括FTP、Telnet等。惠普在听了美国国家标准委员会的安全建议后认为，FTP 和 Telnet 极易让黑客入侵。 据悉，惠普这项决定暂时针对准备上市的新品，他们也担心引发上次停用三方墨盒时外界的一片愤怒，表示默认关闭，用户真心需要的话，依然可以激活（预计隐藏很深或者需要专门驱动）。 同时，对于现有产品，惠普也宣布了固件升级，加强了通讯协议的口令密码和安全认证。惠普最后强调，他们正在将无线打印机的易用性扩展，以便替换掉传统的 FTP和 Telnet。 稿源：cnbeta.com 节选，封面：百度搜索  

近日，任天堂在漏洞众测平台 HackerOne 上挂上了 3DS的漏洞悬赏任务，提交漏洞的用户可获得任天堂评估给出的 100 到20000 美金不等的报酬。 　　HackerOne 是一家传奇的漏洞众测平台，很多世界知名的公司都使用它来排除漏洞，例如：Yahoo、Twitter、Adobe、Facebook 等，甚至美国国防部也与其合作参与 “Hack the Pentagon” 的漏洞奖励计划。在HackerOne 有来自 150 多个国家 3000 多名黑客，同时 HackerOne 也是最早接受并利用黑客开展商业模式的公司之一。 此次任天堂在 HackerOne 上公布的任务仅针对 3DS 平台。简而言之，任天堂将对第一位上报合格的漏洞的用户奖励 100 至 20000 不等美元的报酬，具体的奖励金额由任天堂自行评估给出，并且保密。任天堂或者公众已知的漏洞不符合奖励的条件，同时奖励不会发放给处于制裁名单上的人与处于制裁国家名单上的人。 稿源：游民星空，封面：游民星空