俄罗斯最近正设法阻止一系列针对本土银行的网络攻击事件。据法新社报道，俄罗斯国有银行 VTB 网站近日遭到网络 DDoS 攻击，官方称 IT 基础设施仍然在正常工作、用户的账户不受攻击影响。 12 月 2 日俄罗斯联邦安全局(FSS)表示国外情报机构正策划一系列的网络攻击计划针对俄罗斯银行系统。俄罗斯联邦安全局已经成功挫败了一起拟于 12 月 5 日发动的攻击计划，攻击者的服务器属于乌克兰公司 BlazingFast、物理位置在荷兰。 12 月 2 日俄罗斯央行也对外宣称遭到重大网络攻击，黑客窃取了 20 亿卢布(超过 3100 万美元)。 看来，真的存在一系类针对俄罗斯金融机构的袭击，会不会是来自美国的“报复计划”呢？ 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，流行的视频共享平台 DailyMotion 遭黑客入侵，数千万用户的信息被盗。数据泄露索引服务公司 LeakedSource 周一宣布，已发现 Dailymotion 公司泄露的 8520 万条用户记录。 Dailymotion 是仅次于 YouTube 的全球第二大视频网站。截至 2010 年 10 月，该网站获得每月超过 9300 万的访问者，alexa 排名第 32。 根据 LeakedSource 透露，DailyMotion 数据泄露事件可能发生在 2016 年 10 月 20 日，这意味着黑客可能已经在地下论坛转售了一个多月的数据，泄露的数据包括 8520 万账户的的电子邮件地址和用户名。其中约 20％ 的帐户（超过 1800 万用户）包含有密码，密码使用 Bcrypt 散列算法保护，且被反复用 Bcrypt 算法进行了十轮，在一定程度上黑客很难去破解。 目前，视频共享平台 Dailymotion 未对该事件发表任何评论，尚不清楚黑客通过何种方法入侵数据库。 用户可以登录 LeakedSource 查看自己的邮箱是否被收录，如果存在，请建议您尽快更改您的密码。 稿源：本站翻译整理，封面来源：百度搜索

当地时间 12 月 5日，苏格兰足协证实第三方电子邮件数据库遭黑客入侵，黑客访问了数据库并向订阅用户发送包含恶意软件的垃圾邮件。 电子邮件以“尊敬的客户”为标题，要求用户在 48 小时内支付账单。当点击账单后，系统会提示用户下载了一个文件，该秘密格式文件包含恶意软件可感染用户电脑。 苏格兰足协在 Twitter 上发表申明，提醒用户不要点击邮件并尽快删除电子邮件。此外，苏格兰足协也在其官方网站中发表声明陈述了入侵事件，并表示用户的银行或信用卡详细信息没有遭黑客窃取。 目前，调查正在进行，但苏格兰足球支持者协会在 Twitter 上声称攻击服务器来自中国。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，加拿大新政府正在寻求更大的监管能力，未来它将要求所有服务商都要具备解密功能、强制储存电话和网络纪录、允许用于拦截的后门以及无需搜查令的基本用户信息访问。 虽然强制解密和加密后门在美国没能成功，但在英国《Snoopers’ Charter》监控法 却获得了通过。如今加拿大也开始为尝试推行监控法进行意见收集。 除了通信拦截之外，加拿大政府还希望能获取其他一些服务上的拦截功能。由于端到端的加密服务，连服务供应商自己都没法看到实际内容，执法部门当然也不行。最佳的解决办法就是要求这些公司在通信服务中加入后门。但如果这样的现象得到普及，也就意味着将会有越来越多的客户避免使用这些服务。这也成为了西方许多国家尝试想要通过监控法案的原因所在，这将让民众不得不接受使用存在后门的服务。此外，加拿大新政府还认为应当拥有无需搜查令也能访问用户信息的权力。 稿源：cnbeta.com 节选有删改，封面来源：百度搜索

欧盟委员会周日表示，Facebook、Twitter、谷歌旗下 YouTube 以及微软等美国科技巨头必须加快速度打击网络仇恨言论，否则欧盟将借助法律强制他们这么做。 早在这一警告 6 个月前，这些科技巨头就已经签署了一项自愿行为准则，同意 24 个小时之内在欧洲采取措施打击仇恨言论。这些措施包括在必要情况下移除或者禁止访问相关仇恨言论内容，加强与公民社会组织的合作，针对仇恨言论提出“相反的论述”(counter-narratives)。然而，欧盟委员会称，美国科技巨头对于行为准则的遵守情况很难令人满意。在前 24 小时内，他们只审核了 40% 的已记录案例”欧盟委员会官员称，“ 48 小时后，审核的案例比重上升到 80% 以上。这表明，我们制定的目标是切实可行的，但是这需要IT公司做出更大努力。” 欧盟委员会称，他们可能会制定法律来迫使 IT 公司加快打击仇恨言论。除非，科技公司加快行动，证明非立法措施也可以奏效。 稿源：cnbeta.com节选，封面来源：百度搜索

据外媒报道，Hacker House 研究员发现朝鲜红星操作系统 RedStar OS 3.0 存在远程任意命令注入漏洞，只需要单击超链接，即可让攻击者远程访问用户的计算机、装恶意软件，。 红星（Red Star）操作系统是朝鲜在 Linux 操作系统的基础上自行研发、改进的电脑操作系统。最新的 3.0 系统界面与苹果 OS X 操作系统相似。 由于朝鲜使用独立的区域网络，而不使用万维网，浏览器是基于 Firefox 浏览器改版而成，被称为“我的国家”（Naenara）。 研究员注意到系统中 /usr/bin/nnrurlshow 为特定命令行应用程序并可处理 URI 请求的特性。黑客还发现浏览器存在漏洞 Naenara 执行注册时不擦除应用程序的命令代码请求，将格式错误的 URI 传递到 nnrurlshow 命令行应用中，触发执行命令代码 。 黑客可以诱使用户在浏览器上点击一个链接，之后将启动电子邮件客户端并调用命令行指向“ mailto:`cmd` ”，此后黑客就可以获得权限执行任意代码，操纵电脑、安装恶意软件等。 稿源：本站翻译整理，封面来源：百度搜索

上周四，谷歌发布 Chrome 55.0.2883.75 版本更新，本次更新修复了 36 项安全问题并提升稳定性，其中包括 12 个高严重漏洞。此外，同时将 HTML5 作为网页的默认支持选项。 本次更新修复的 36 个漏洞，有 26 个来自漏洞赏金项目，总计支付研究人员 70,000 美元的奖励，另外 10 个安全补丁是谷歌自己发现并解决的。漏洞中存在 12 个高严重漏洞，涉及跨站点脚本 bug、默认 PDF 查看器“ PDFium ”漏洞、V8 JavaScript 引擎漏洞等。 谷歌过去曾宣布，逐步对 Flash 页面进行“限制”并替换成 HTML5 页面。这次 Chrome 浏览器将将网页的默认支持选项转变为 HTML5 ，但也没有完全禁止 Flash 的运行，用户可通过手动加载 Flash 或设置白名单加载 Flash 。 稿源：本站翻译整理，封面来源：百度搜索

今年 2 月，美国总统奥巴马成立了的国家网络安全强化委员会旨在通过一系列长期与短期举措改善美国的网络安全态势。 12 月 1 日，国家网络安全强化委员出台了一份 PDF 报告讲述如何保护和发展数字经济（即网络安全防御办法 ），其中含有对奥巴马政府和即将当选总统的特朗普的 16 条网络安全建议。美国政府发布报告指出：“技术进步远远超过现行的安全防御，我们必须改变现行处理和实施网络安全战略和实践的方式。 该报告详细说明了奥巴马对网络安全的愿景、对网络威胁的演变表示了极大的关注，并提出了确保国家基础设施的建议。 此前欧盟网络与信息安全机构也出台医院物联网安全指导方针，保障网络安全。 稿源：本站翻译整理，封面来源：百度搜索

漏洞实验室安全分析师 Benjamin Kunz Mejri 发现利用缓冲区溢出漏洞和 ipad 某些特有 bug 可绕过开启激活锁功能的 iOS 10.1.1 设备。 苹果公司 Find My iPhone 服务允许用户在设备丢失或失窃时激活 iPhone、iPad 或 iPad 的“丢失模式”（ Lost Mode ），这种模式启动后会自动启用“激活锁”功能， 激活锁在开启之后，iOS 设备便会拒绝其他人进行操作，除非使用用户的 iCloud 密码，即便是抹去或者重置系统也不会让该功能失效。这一功能在了 iOS 7 系统中开始启用。这使得偷来的苹果设备失去了“价值”很难转售出去，只能拆成零件。 启动激活锁，设备开机后，第一步需点击“选择另一个网络”连接无线网络，选择安全类型，然后输入一个非常非常长的字符串填写网络名称和网络密码。之后，iPad 开始卡，这时你可以合上 Smart Cover （保护套），然后重新打开，屏幕将故障片刻并绕过激活锁进入主显示屏。 研究员将视屏上传到 Youtube ，视频中运行 iOS 10.1.1 的 iPad Mini 2 设备受到影响，但运行 iOS 10.1.1 的 iPhone 5 无法复现，此外运行 iOS 9 的 iPad 也不受影响。 稿源：本站翻译整理，封面来源：百度搜索

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法，只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞，自动生成不同的信用卡数据并在多个网站交易，通过交易回复信息判断信用卡数据是否正确。 研究人员推测，这种方法可能被用于最近针对乐购银行的网络攻击，导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》，讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能，以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷，但是一起使用会对整个支付系统造成严重的威胁。 首先，目前的在线支付系统无法检测出，来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测，每个网站通常可以进行 10 到 20 次尝试。 其次，不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样，把卡片各数据字段拼凑出来。 具体步骤： 首先，黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期，信用卡的有效期为 60 月，所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障，理论上只有卡持有人知道该号码，但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈： 1、限制在线支付金额 2、银行卡不要存大量的钱，资金已到位立刻转出 3、保持警惕、注意交易记录 稿源：本站翻译整理，封面来源：百度搜索