援引 India Today 报道，印度政府宣布封杀互联网档案网站 Wayback Machine。印度地区用户如果尝试访问该网站，会收到已经遭到印度电信部门屏蔽的提示信息。 Wayback Machine 是非常实用的网站工具，在过去 20 多年来已经存储了超过 3020 亿个页面。India Today 在报道中表示印度政府此举可能是为了从根本上铲除资料讹误、谣传，并从一定程度上降低一些政府机构的责任。不过在报道中也表示本次封杀并未完全覆盖印度全境，部分地区依然能够访问该页面。 在印度，政府加大了对色情、种子网站以及文件共享网站的打击力度，而在此前印度政府从未将 Wayback Machine 划分到这些类目中。网站方面表示已经和印度电信部门、电子和信息技术工业部等部门进行多次磋商，但截至目前仍没有得到回复。在声明中表示：“ 显然，对于这项举措我们表示失望并会继续关注后续发展，我们也非常渴望地想知道此举背后的原因。” 稿源：cnBeta，封面源自网络；

步 Apple、Google 和 Mozilla 后尘，微软（ Microsoft ）决定取消信任来自中国的 CA 机构沃通（ WoSign ）和它的子公司 StartCom。来自中国的证书颁发机构沃通（WoSign）和 StartCom（ StartCom 已于 2015 年底被 WoSign 秘密收购）被微软认定未能达到受信任根证书的标准。 微软发现沃通、StartCom 有不可接受的安全风险，如倒签发 SHA1 证书、错误签发证书、意外的证书吊销、签发有相同序号的不同证书、多次违反 CA/Browser Forum 基线要求。 因此，微软决定循序渐进，不再信任沃通和 StartCom 证书有效起始日期晚于 2017 年 9 月 26 日的证书，这也就意味着当前已签发的证书将仍然有效，直至证书过期。2017 年 9 月后，Windows 10 将不再信任任何来自于沃通和 StartCom 签发的新证书。 稿源：cnBeta、易可米，封面源自网络；

今年早些时候，美国各地发生了一系列针对 100 个犹太人活动中心的炸弹威胁事件，造成当地组织日常混乱，并引发对美国反犹太暴力事件的新担忧。随后美国警方逮捕了 19 岁的以色列公民 Michael Kadar，克服了各种匿名措施追踪电话。但新证据表明，Kadar 可能代表第三方拨打这些电话，作为在暗网上运作的更大的炸弹威胁租赁业务的一部分。 在最近公布的搜索令（首先由研究员 Seamus Hughes 发布）之后，警方试图访问 Kadar 的 AlphaBay 帐户，他似乎在经营业务。调查人员在 Kadar 电脑的文本文件中发现了该服务的公开说明。该信息包括威胁的详细定价信息，可选择将虚假名字作为电子邮件的一部分，以及如果由于威胁导致课程未被取消，还可以退款。 AlphaBay 的调查人员也发现了同样的文字，在 2 月 8 号由一位名叫 “ DarkNetLegend ” 的用户发布。ProPublica 的追踪记录在 8 日之前针对犹太中心多达 65 次的炸弹威胁，尽管大多数威胁是在 2 月和 3 月进行的。Kadar 的文字说明仅涉及向学校发送的电子邮件威胁，尽管后续文件也引用了电话服务。 来自 Kadar 的 Google Voice 帐户的证据表明，他的威胁不仅仅是针对犹太人活动中心，还包括对佛罗里达州一所中学以及对从联合航空公司一架航班的炸弹威胁。调查人员通过追踪攻击中使用的 Google Voice 号码找到 Kadar，但仍然没有迹象表明谁可能雇用他来首先瞄准犹太人活动中心。如果使用 AlphaBay 的标准匿名功能进行交易，则可能无法追溯到客户。 稿源：cnBeta，封面源自网络；

研究显示，大多数主要网站都通过密码保持基本安全性，但同时他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性，结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略，而企业网站则有 36％ 的未能提升其密码的安全性，包括亚马逊网络服务。 网站排名从零到五，零分是最差的得分，五分是最好的得分，三分是及格成绩。在排名评测当中，DashLane 考察了五个不同的东西： 密码长度：网站是否要求所有密码超过八个字符？ 密码复杂度：该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码？令人震惊的是，研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估：网站告诉用户密码的强度（或其他）是通过仪表还是彩色条形码？ 暴力：经过十次失败的尝试后，网站是否采取行动来停止暴力攻击，要么通过锁定帐户或提交人机识别系统？ 因素身份验证：网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份？ 在针对消费者的网站当中，只有一个网站获得了满分，那就是 GoDaddy，一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是，Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源：cnBeta，封面源自网络；

美国隐私倡导组织 Center for Democracy & Technology （CDT）向美国联邦贸易委员会（FTC）投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷，开发了受欢迎的免费 VPN 服务 Hotspot Shield（也有付费版本）。起诉书指控 AnchorFree 破坏了对用户的承诺，与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告，用户对此做法知情，CDT 没有指控 AnchorFree 秘密植入广告，而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源：solidot奇客，封面源自网络

微软存在多种方式帮助用户远离钓鱼邮件诈骗，因为该公司在 Microsoft Exchange Online Protection（EOP）for Office 365 和 Outlook.com 等产品或服务中内置反垃圾邮件过滤措施。然而新攻击和欺骗形式总会不断涌现，除了通过 “ 技术支持诈骗 ” 手段访问他人计算机和个人信息的老套路，其最新的形式是在网站中嵌入声称 “ 可清理和保护您的计算机 ” 的消息。 微软发现攻击者在邮件中会利用看起来没有任何问题的链接引诱用户点击，一旦受害者点击进入技术支持的恶意网站后，就会使用弹窗或者恐吓战术诱使受害者拨打屏幕上方预留的电话并且支付不必要的 “ 维修服务 ” 费用。为预防这种类型的威胁，微软特地在 TechNet 上的 Windows Security 博客中强调了一番： ● 许多这类诈骗都起源于可疑网页中的恶意广告 —— 主要是下载盗版软件和媒体的那些地方 —— 它会将用户自动重定向到 ‘ 技术支持 ’ 诈骗站点，以引诱受害人去拨打所谓的 ‘ 热线电话 ’ 。 ● 也有些技术支持诈骗者会借助 Hicurdismos 等恶意软件当帮凶，它会显示假的 ‘ 蓝屏死机 ’ 画面；或者 Monitnev 这种可以记录日志，以及在每次应用程序崩溃时显示虚假 ‘ 错误通知 ’ 的恶意软件。 ● 当然也有冷不丁给你打电话推销的，诈骗者会向潜在的受害人打电话，假装自己来自某软件公司，要求受害者安装远程访问设备的应用程序，然后将正常的系统搞出有毛病的样子，以忽悠用户支付一次性或长期的订阅费用。 当然，Windows 10 已自带多种帮助用户远离电子邮件和技术支持诈骗的措施，比如在 Microsoft Edge 浏览器、以及 Outlook 邮件客户端中。微软表示，用户可在长期使用自家产品和服务的过程中得到妥善保护。 稿源：cnBeta，封面源自网络；

HBO 网络上月遭黑客入侵，内部泄露 1.5 TB 资料的消息不胫而走，甚至有人在线看到还未播出的热门剧集《 权利的游戏 》第七季内容。由于 HBO 旗下包括该剧在内多部热播影视剧泄露，所以事件逐步升温，引发全球关注。 据美联社报道，该黑客组织于 8 月 8 日再次公布约 3.4 GB 的 HBO 数据文件，其中部分数据还具有潜在破坏性。知情人士透露，此次遭受泄露的内容包括一部分技术数据、《权力的游戏》剧集剧本，甚至还有属于 HBO 电影节目副总裁 Leslie Cohen 收件箱中近一个月的电子邮件内容。 此外，HBO 电视网的 50 份内部机密文件也包括在内，其中包含 HBO 首席执行官 Richard Plepler 的电子邮件联系人列表（拥有将近 40000 个联系人）数据，以及《权力的游戏》演员电话号码、地址和电子邮件地址等。与此同时，化名为 Smith 的黑客向 Plepler 发送一段 5 分钟视频索要赎金，要求 HBO  “ 用比特币支付给我们 6 个月的薪水 ” ，这意味着 HBO 需要向黑客组织支付约 600 万 – 750 万美元。 稿源：cnBeta，封面源自网络；

美国国家标准和技术协会（ NIST ）今年 6 月提供的最新数字身份指南的新版草案中，指出不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度，NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过，对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章，其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟，后来也被证实不是太奏效，当然也有媒体的一些误导总结，导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63，媒体总结为专家建议大家采用混合大写字母、字符和数字，构成一个常用词组的方式（比如 P@ssW0rd123!）。事实证明，这种密码对于破解密码工具来说，只需要增加一些代码，根据这种规则的密码强度几乎与弱密码的破解相差无几，倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则，形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解，而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解，而这组词语很容易形成独特的画面，对于人类来说非常容易形成记忆，但对于计算机来说堪比天书，随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出，NIST 此前的密码安全建议都是在摸索中前进，没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字，因为研究显示此类的要求并不能带来强密码。NIST 认为，如果用户想要使用绘文字作为密码，那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源：cnBeta，封面源自图片；

据外媒报道，虚假新闻已经成为当今互联网的一大毒瘤，为此，各大科技公司都已加大对恶意信息的打击力度。不过为了真正达到遏制该种现象的目的，人们首先要搞明白的是这些假新闻究竟是怎么传播的。为此，来自美国布卢明顿印第安纳大学的科学家们就在 Twitter 上展开了系统性研究。 研究人员在 Twitter 上对来自 122 个主要虚假新闻网站的 40 万条消息进行监控。在这些网站中，许多都是独立的事实核查网站，如 snopes.com、politifact.com、factcheck.org 等，另外还有像 theonion.com 等这样的讽刺网站–它们通常都是用反讽的手法指责虚假新闻，但很多时候人们可能无法辨别这点，于是将假新闻当成了真新闻。此外，该研究团队还监控了来自事实核查网站撰写的 1.5 万篇文章以及上百万条提及这些网站的推文。 为了这项研究，科学家们开创建了两个平台，一个是用于分析假新闻的平台叫 Hoaxy，一个是用于分析当前 Twitter 上究竟是人还是机器人运行的 Bolometer。根据这些研究结果发现，积极传播错误信息的账号更可能是机器人。而这种机器人账号有一个非常有意思的行为方式，那就是在假消息传播的早前尤为活跃，并且更倾向于针对有影响力的用户。最后，科学家们指出，限制社交机器人可能是减少网络错误信息传播的有效手段。然而不幸的是，由于互联网的非中心性，想要实施该类型策略是极为困难的。 稿源：cnBeta；封面源自网络；

互联网催收模式于今年迅速发展，平台试图通过云计算、大数据和智能化清收策略解决不良资产清收的最后一道难题，传统银行也开始试水这类互联网模式下的欠款催收与转让，委外信用卡逾期业务。调查发现，大商机背后蕴含大风险，使用虚假身份信息便可成功注册成为催收共享平台上的一名催客，而银行信用卡逾期用户和亲人的信息在层层转包中被轻易泄露。 数据显示，2016 年不良资产的市场化投放规模达 1.5 万亿左右，而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。传统的资产清收存在地域限制、催收时间长、人工成本高、效率低、投入产出比低等挑战，庞大的市场规模催生了一批催收共享平台，希望催收能由专业团队过渡到普通民众，人人做催收，于是催催宝、人人追、债无忧、火眼催收等十余种平台纷纷上线。 催收不是银行的强项，出于对用户数据安全的考虑，多会选择有律师资质的大公司合作，并要求公司签署保密协议，员工只能在内网查看资料，但外包公司的后期操作中，这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示，信用卡用户信息泄露在行业内司空见惯，但银行不说、外包公司不说、逾期用户更不说。 根据中国银监会《关于进一步规范信用卡业务的通知》，明确要求银行业金融机构应审慎实施催收外包行为。实施催收外包行为的银行业务金融机构，应建立相应的业务管理制度，明确催收外包机构选用标准、业务培训、法律责任和经济责任等，选用的催收外包机构应经由本机构境内总部高级管理层审核批准，并签订管理完善、职责清晰的催收外包合同，不得单纯按欠款回收金额提成的方式支付佣金。 转包行为本身没什么问题，但银行对本身的数据安全负责，就要间接对使用他数据的供应商负责。银行对供应商的选择，针对信息安全（数据来源、传输、存储）应该有一套规则，选择时应按这个规则来选择厂商，所以问题不在转包，在于银行选择的厂商是否具备足够的信息安全规格与技术来确保信息安全。 出于各方利益，生活中很难碰到此类案件，欠款人只想躲债，催款公司也不会主动站出来直指银行及催收外包机构泄露用户信息。不过，对因催收外包管理不力，造成催收外包机构损害欠款人或其他相关人合法权益的，银行业金融机构承担相应的外包风险管理责任，情节严重的甚至可采取责令限期整改，限制、暂停或停止其信用卡新发卡业务。 如果欠款真实，银行完全可以按照法律程序主张权利去追讨，但欠钱还是和隐私泄露是两码事件，公民的隐私个人信息应受法律保护。即使银行要披露欠款人信息，也是有选择的披露，身份证号码、住址属于敏感信息，这些信息被公示，意味着金融机构不当泄露个人信息，欠款人及担保人可以向银行管理部门和公安部门寻求帮助。 稿源：，有删减；稿件以及封面源自网络；