瑞士威胁情报研究员发现可通过搜索引擎检索到 Box  云盘用户的机密文档数据。Box.com 认为这是用户无意中超额共享导致的。目前云盘已经改变了处理公开共享帐户和文件夹的方式，“修复”了这个问题。 Box 云盘是由美国 Box 公司提供的一个在线文件共享以及云内容管理服务平台，为企业、商务及个人用户提供个性化服务，包括无限制的存储空间、自定义与管理控制。 Box 允许帐户持有人发送“协作邀请” URL  链接，任何人可通过链接访问共享文件，并具有查看、下载、上传、编辑和重命名文件权限。在某些情况下，这些“协作邀请”链接可被 Google  、Bing 和其他搜索引擎爬取收录。 上周，瑞士电信威胁情报研究员 Markus Neis  发现 Box  云盘在处理云共享服务时存在漏洞，攻击者可以通过搜索引擎查询到 Box  云盘用户分享给特定用户的“协作邀请”链接。Neis 已经使用 Google  、Bing 和其他搜索引擎找到上万条“协作邀请”链接，这些 Box  云盘帐户或文档中大部分存储着“良性”数据，但部分账户中包含“机密”文件如敏感的金融和公司数据以及所有者不打算公开的隐私数据。研究员已经联系了戴尔科技公司、美国传媒和娱乐公司( Discovery Communications ）、生物技术公司 Illumina  ，告知其意外公开分享了部分敏感数据，这些公司也纷纷采取应急措施解决问题。 Box.com 称已重组了所有网页，确保“协作邀请”链接不会被 Google  搜索引擎收录。Box 已与 Google  联系，删除了已经收录的“公开”链接。Box.com 补充到，暴露给搜索引擎的“协作邀请”链接只是很小的一部分，公司将继续评估邀请链接的权限模型，确保此功能既方便使用又能保障安全性。 稿源：HackerNews.cc 独立翻译整理，封面来源：百度搜索。 转载或引用请注明 “转自 HackerNews.cc ” 并附上原文链接，违者必究。

五角大楼承包商 Protomac 意外发现泄露事件，军事特种作战司令部（ SOCOM ）医疗卫生专业人员的个人资料被大量曝光。泄露的数据库含 11 GB 明文、可公开访问的数据，如姓名、地址、社会安全号码和薪资，还包括至少两名经过绝密调查审核的特种部队数据分析师的姓名和家庭住址。 MacKeeper 研究员 Chris Vickery 发现了该漏洞并将情况报告给医疗解决方案公司 Protomac 。目前尚不清楚，为何可通过 Protomac 公司的 IP 地址访问不受保护的远程同步（ rsync ）服务。Vickery 先是电话联系了公司 CEO ，但似乎没有起作用，一小时后仍可访问数据库。于是，Vickery 联系了美国政府部门。半小时后，数据库被移除。 除了军方雇员信息，泄露的数据还包括 Protomac 公司的财务和会计信息。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

当选总统唐纳德·特朗普的发言人肖恩·斯派塞 2 日在福克斯新闻表示，目前没有确凿的证据表明俄罗斯黑客通过网络干预美国总统选举。 斯派塞当天还在接受美国有线电视新闻网采访时说，特朗普将在本周晚些时间收到美国情报界出具的调查俄罗斯是否通过网络袭击来影响美国选举的报告。斯派塞表示，在调查报告最终出台前就下结论，是不负责任的行为。 2016 年 10 月，美国国土安全部和国家情报总监办公室发表联合声明，指认俄罗斯授意并帮助黑客入侵美国网络，意在干扰美国总统选举。《华盛顿邮报》12 月援引中央情报局一份秘密评估报告称，这些网络袭击来自俄罗斯黑客，其目的是帮助共和党人特朗普赢得大选。 美国总统奥巴马 12 月 29 日宣布，因俄罗斯涉嫌通过网络袭击干预美国总统选举而对俄进行制裁。美国国务院同时宣布驱逐 35 名俄外交人员和关闭位于纽约和马里兰州的两处俄罗斯政府持有的房产。 对此，俄总统新闻秘书佩斯科夫表示，奥巴马对俄实施新制裁将损害俄美关系并对特朗普的对外政策造成打击，奥巴马政府欲将反俄行为模式强加给特朗普政府。 稿源：cnbeta，有删改，封面来源：百度搜索

根据 CVE Details 公布的最新报告，2016 年报告存在安全漏洞最多的软件产品是 Android 系统，共计为 523 处。去年，Mac OS X 以 444 处漏洞位居第一，今年该系统以 215 处位居第 11 位。Google 的 Android 系统以 523 处位居第一，其次是 Debian（ 319 ）和Ubuntu（ 278 ）。臭名昭著的 Flash Player 位居第四。 目前行业内通常使用 CVE 编号对漏洞进行追踪，一旦发现软件存在漏洞，发现者就可以请求 CVE 号码用于追踪该漏洞。CVE Details 网站则是追踪所有 CVE ，而且每年都会根据漏洞总数来报告前 50 名软件产品。 在桌面系统方面，Mac OS X 为 215 处，排在首位。其次是 Windows 10 系统，在 2016 年报告漏洞为 172 处。接下来是 Windows 8.1，为 154 处，Windows 8.1 RT，为 139 处，Windows 7 排在第五，为 134 处。 在浏览器方面，Chrome 排在首位，为 171 处，第二是 Edge 浏览器（ 135 ），其次是 Firefox（ 133 ）、IE 浏览器（ 129 ）和 Safari（ 56 ）。 稿源：cnbeta，有删改，封面来源：百度搜索

美国下任总统唐纳德·特朗普对“俄罗斯黑客的情报评估”持怀疑态度。特朗普表示，知道有关“俄罗斯黑客入侵事件”的内幕，并将于周二或周三向外界透露。 上月末，美国联邦调查局（ FBI ）、美国国土安全部（ DHS ）联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》的 13 页报告，阐述了有关俄罗斯涉嫌干预美国大选的技术细节。据纽约时报报道，上周六在佛罗里达州举办的跨年夜晚会上，唐纳德·特朗普表达了对“俄罗斯黑客及克里姆林宫干扰选举”情报评估的怀疑。特朗普表示知道不少“有针对性干扰总统选举称的黑客活动”的内幕，并将于周二或周三向外界公布。 特朗普称：我希望“他们”重新确认下情报评估报告，对俄罗斯方面的指控是相当严重的。如果情报是错误的，将会导致一场灾难！正如于 2003 年提供给布什政府的情报报告，报告中布什总统和政府高官夸大情报，不顾情报部门质疑，利用“ 9·11 ”事件后的公众情绪发动伊拉克战争。 此外，特朗普表示：黑客入侵是一件很难去证明的事情，因此可能是其他人干的，恰巧我知道些别人不知道是事情。另外，没有那个电脑是绝对安全的，最安全的信息交流方式就是“用笔写下来，用信封装好，给邮递员”。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

德国“安全研究实验室”研究员指出，旅客订票系统多年来一直未得到足够的保护。实际上，全球三大处理航班预定服务的“全球分布式系统”（ GDS ），可通过多个方面被别有用心的人所滥用获取旅客信息。 GDS 通过 6 位数字作为预定代码（ PNR Locator ），该 ID 被直接打印在了登机牌和行李标签上。 任意接近你行李（或看到旅客登机牌）的人，都可以轻松瞥到（或者用智能机拍张照）。 通过这一代码， 即可访问到完整的旅客信息：包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的 IP 地址等。更糟糕的是，黑客甚至无需特定的 ID 来验证上述信息。无论 GDS 和航空公司网站，通常都不会限制代码的访问/检查次数，因此理论上只要暴力攻击就能蒙对一次。此外，遍历所有旅客的信息也相当容易，因为该 ID 就是顺序排列的。对于攻击者来说，这也极大地减少了他们搜寻特定时间段内旅客信息的工作量。 想要解决这个问题，唯有提升系统的安全性，但方法其实非常简单。研究人员的建议是，在线服务应该限制每个 IP 访问旅客记录的次数，并且通过 Captchas 图形验证码来断绝暴力穷举攻击。 当然，直接替换掉传统的 6 位数字 ID 也是个好方法，只是实现需要的时间更长。 稿源：cnbeta，有删改，封面来源：百度搜索

2016 年 12 月 31 日增加了一闰秒，31 日 11 点 59 分 59 秒之后不是 2017 年，而是 59 分 60 秒。由于北京处于东八时区，1 号早上会出现 7 时 59 分 60 秒的特殊现象。增加闰秒在过去几年发生过多次，主要互联网公司都对此已有经验。但云计算公司 Cloudflare 报告，它的 DNS 查询服务由于闰秒 bug 而导致了 5xx 错误。 Cloudflare 称，闰秒 bug 影响了部分权威 DNS 和原点 DNS 查询。问题从 2017 月 1 月 1 日 00:00 UTC 开始出现，Cloudflare 在一个半小时后开始部署补丁。 稿源：solidot奇客，有删改，封面来源：百度搜索

彼尔德伯格集团官方网站遭匿名者黑客团体攻击，黑客在网站上发布了一则公开信，警告该集团未来将面临一系列的黑客攻击事件，除非集团成员开始为人类的共同利益工作而不是为了私人的利益。 彼尔德伯格集团是一个由欧美各国政要、企业巨头、银行家组成的精英团队，他们在“暗处”操纵着世界。这个秘密组织的诸次会议所讨论的问题包括全球化、国际金融、移民自由、国际警察力量的组建、取消关税壁垒实行产品自由流通、限制联合国和其它国际组织成员国的主权等等，往往被认为是西方重要国际会议召开前的预演。这个超国家游说团体，被形像地称为“彼尔德伯格俱乐部”。 该组织的官方网站被“ HackBack ”运动 & “ Anonymous ”匿名者黑客入侵。黑客留下了一封公开信解释了攻击行动的目的，黑客认为“彼尔德伯格俱乐部”的成员都是极具影响力的人，这些人应该为人类的共同利益而“奋斗”而不是为了自身的利益。黑客还向彼尔德伯格成员发布了最后通牒：亲爱的“彼尔德伯格俱乐部”成员，从现在开始，你们每个人都有一年（ 365 天）的时间去造福人类而不是自身利益，否则，我们将找到你并向你发起“攻击”。” 匿名者黑客集团表示，他们几乎可以入侵、破坏属于“彼尔德伯格俱乐部”成员的一切，包括银行帐户、智能汽车，笔记本电脑和手机。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

iOS 10.1.1 越狱不久前已经发布，在过去的几天时间里，一直有不少声音猜测著名黑客 Luca Todesco 将会为大家带来 iOS 10.2 越狱，因为当时这位黑客在推特上表示 iOS 10.2 依然存在着可以利用的漏洞，这也让不少越狱用户认为，Todesco 是会带来 iOS 10.2 越狱的人。然而事实并非如此。 近日黑客 Todesco 也多次强调，自己并无计划向公众推出 iOS 10.2 越狱。在随后的推文中，他进一步指出可以用于 iOS 10.2 越狱的漏洞是一个 0day 漏洞，他不打算发布公开越狱的原因是不想牺牲这个漏洞。即便他愿意牺牲这个漏洞，也无法保证这个漏洞能使所有设备都支持 iOS 10.2 越狱。想要越狱的用户 停留在 iOS 10.1.1 版本是个不错的选择。 稿源：cnbeta，有删改，封面来源：百度搜索

Firefox 52 将引入新的隐私保护功能，防止网站利用系统字体作为指纹跟踪用户。该隐私保护功能借鉴自 Tor 浏览器，基于 Firefox ESR 版的 Tor 浏览器利用类似的机制阻止网站利用设备上安装的字体识别用户。 Firefox 52 的 beta 版本已经激活了该功能，正式版预计将在 3 月释出。Firefox 52 利用白名单响应网站对系统字体的查询，每个操作系统将返回相同的默认字体列表，使得字体指纹跟踪对 Firefox 用户不再有意义。 Mozilla 在去年 7 月启动了 Tor Uplift 项目，利用 Tor 浏览器的隐私保护机制改进 Firefox 的隐私保护功能。 稿源：solidot奇客，有删改，封面来源：百度搜索