据外媒报道，当用户在网上进行的日常交易越多，他们留在互联网上的信息量就越大。这意味着越来越多数据可能存在泄露或被盗的风险存在，然而情况更加糟糕的是，IT 猎头公司 Modis 最新的一项研究显示，用户仍旧没有在认真地对待他们的隐私。 数据显示，如果有人愿意提供 1000 美元，超过 41% 的受访者表示愿意泄露他们的私照，近 39% 的受访者愿意泄露他们的浏览器浏览历史记录。不过看起来大部分对自己的财务信息更有保护意识，只要 10.9% 愿意为这笔钱出卖自己的财务信息。当被问及为避免遭到黑客攻击愿意放弃什么的时候，42.4% 的受访者表示愿意放弃酒精、30% 愿意放弃社交媒体、29.1% 愿意放弃巧克力、17.4% 愿意放弃肉类，甚至有 3.1% 愿意放弃另一半。然而 67.5% 的受访者表示不会为恢复数据支付任何东西，仅有 18.9% 的受访者称愿意支付 100 美元到 999 美元之间拿回数据。 那么这些发现是否意味着人们在网络上分享太多信息呢？Modis 创意合作伙伴 Matt Davis 称，“有些时候人们忘记社交媒体是可以公开的。即便是最安全的设置也不一定能阻止那些被认可关注者分享你的信息。一个好的经验法则是，如果你不想公开某些东西，那么就不要发布到网上。” 然而现实情况却是已经有相当一部分用户的信息落入了不受欢迎的群体手中。数据统计显示，30% 的女性和近 21% 的男性表示他们正在遭受数据泄露的痛苦。不过这些不受欢迎群体究竟是谁呢？当谈到女性时，大多数说的都是熟人（ 30% ），至于男性最多的基本都是他们最重要的人（近 39% ）。 稿源：cnBeta，封面源自网络；

据英媒报道，中国监管机构开始打击基于加密货币的筹款方案 “ 首次代币发售 ”（ 简称 ICO ）的销售，因为各方担忧它们在助燃金融风险与欺诈。英国《 金融时报 》网站 9 月 1 日称，中国把 “ 金融安全 ” 列为今年头号政策优先事项。监管机构担心，ICO 像磁铁一样吸引骗子，让他们利用中国投资者的投机狂热。 官方中国互联网金融协会（National Internet Finance Association of China）8 月 30 日晚间警告投资者在投资这些方案之前提高警惕。该协会表示，ICO 的迅速崛起 “ 扰乱了社会经济秩序并形成了较大风险隐患 ”。此外，一些 ICO 采用各类误导性宣传手段 ，其中包括涉嫌诈骗。 据官方的《上海证券报》8 月 31 日报道，中国监管机构已经对目前不受监管的 ICO 展开了调查。该报从各个 ICO 平台汇编的数据显示，ICO 仅在 8 月份的筹款额就达到约 50 亿元人民币。同样在 8 月 30 日，ICO 项目的领先平台 ICOINFO 宣布 “ 为防范风险 ” 暂停其业务。 ICO 是一种筹款方案，初创企业向投资者发行基于区块链的代币，以换取比特币。该企业（通常是一家科技企业，有意开发一种新的基于区块链的应用）利用比特币筹资所得发展业务。然而，新发行的硬币往往被称为 “ 代币 ”，因为它们不一定意在成为货币。在某些情况下，代币就像新公司的股权，让持有者有资格获得红利。在其他情况下，它们为企业正在开发的基于区块链的新网络执行某种功能。 8 月 28 日，美国证券交易委员会（SEC）也警告称，“ 存在一些潜在的骗局，涉及一些公司自称与 ICO 相关，或者声称他们正在从事 ICO ”。ICO 的很大一部分人气源于 “ 以太坊 ”（Ethereum）成功的鼓舞，后者是一个面向软件开发者的基于区块链的平台，第一个进行了 ICO。总部位于上海的金融科技咨询公司 Kapronasia 的负责人曾农·考普龙表示：“目前的情况很不明朗，大家都在等待监管机构发布指引。这就是为什么我们现在看到这么多的 ICO，与其同一只风险投资基金打交道或者做 IPO，这些项目需要花费的功夫小得多。你只需要一张白纸和一个创意，然后你就可以进入市场。” 稿源：cnBeta、参考消息网，内容有删减；封面源自网络。

据外媒报道，美国政府近日成立了一个专门打击哈维飓风相关的网络犯罪行为的组织。在这个特别时期，网络盗窃和欺诈犯罪分子正利用这场自然灾害窃取人们的网络账号登录名和密码甚至信用卡信息。此外， 部分非法分子还在 Facebook 和 Twitter 上建立了假的慈善网页。 美国联邦贸易委员会（FTC）发布了一份警告，提醒人们网络攻击往往会在自然灾害时期爆发。8 月 31 日，美检察官 Abe Martinez 表示：“ 政府正在组建一个专门打击网络骗子的组织，他们还将跟 FBI、国土安全局、IRS、FTC、ATF 以及地方和联邦执法部门展开合作。这场灾难带给我们社区前所未有的人员和经济损失并且它还将持续下去，这一事件的受害者们已经遭受了巨大的破坏。所以这场灾害的受害者最不应该经历的是再次受害。” Martinez 指出，其部门已经收到了几个跟哈维飓风相关的欺诈举报电话。美国证券交易委员会也将协助该组织的打击欺诈行动。司法部建议，人们可以将任何与哈维飓风相关的欺诈行为上报给在国家灾难欺诈中心。另外，该部门还将对这些网络诈骗和钓鱼诈骗、虚假保险索赔、身份盗窃等犯罪行为展开追踪。 稿源：cnBeta，封面源自网络；

据外媒近日报道，朝鲜似乎开始瞄准比特币交易所展开网络攻击活动，旨在增加经济财政收入，以便应对国际制裁日益增加的影响。据东亚通讯社 Radio Free Asia（RFA）报道称，欧洲与韩国已有多家比特币交易所遭受黑客攻击。虽然目前包括时间表在内的具体细节极少，但外媒推测 7 月韩国最大交易所 Bithumb 遭黑客入侵或与朝鲜有关。 Bithumb 不仅是全球首家以太坊交易所，还是世界知名比特币交易所之一，占全球以太坊交易量 20％、占全球比特币交易量 10％。 7 月初，该交易所因遭受黑客入侵导致大量客户个人信息严重泄露，损失数十亿韩元。 韩国 CWIC 网络战研究中心发表声明称国内比特币交易系统已然成为黑客主要攻击目标。黑客使用网络钓鱼邮件展开攻击的目标不仅仅只是比特币交易所，更是那些使用区块链的金融机构。此外，CWIC 还声称，电子邮件附带的恶意代码与朝鲜散布的网络病毒极其相似。 目前尚不清楚 RFA 与 CWIC 报道是否属实，此前由美国联合新闻社通讯社 发布的一份调查报告也显示“ 朝鲜拥有这样的动机与技术手段，因为在盗窃比特币的同时，陷入困境的国家可以由此增加经济财政，以获取西方政府无法拦截的「外币」收入”。但这仅仅只是猜测，目前还不清楚在这些报告的真实性，而外界对于朝鲜网络军队的政策也知之甚少。 网络安全情报机构高级主管 Ross Rustici 在一篇博客中曾表示，好消息是此类攻击活动意味着朝鲜网络安全的威胁将会通过货币的收入降低，而坏消息则是银行、金融机构和外汇交易所遭遇恶意且复杂的入侵行动的概率将会有所增长。这些攻击活动在未来或更侧重于韩国、美国与日本等关键组织机构，以实现政治反击与经济创收的双重目的。 本文据 securityweek 报道编译整理，原作者：Kevin Townsend，译者：青楚 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 近日报道，数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼（Daniel Svartman）今年 5 月发现开源系统 GitLab 存在一处高危漏洞，能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三，GitLab 官方才确认已彻底解决这一问题。 研究人员指出，如果攻击者通过该漏洞成功破解某一帐户，那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外，攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时，由于 GitLab 使用的永久性私有会话令牌永远不会过期，因此当攻击者获取该令牌后受害账户随时可能遭受入侵。另外，值得注意的是，该令牌仅由 20 个字符组成，这使目标账户遭受暴力攻击的几率显著增加。 研究人员表示尚不清楚该漏洞已出现多久，而 GitLab 方面则澄清截止目前并没有用户遭受恶意攻击的案例。GitLab 安全主管 Brian Neel 强调：“ GitLab 现使用的私有令牌只能在与跨站点脚本或其他漏洞相结合时，才会对用户构成威胁。对此，GitLab 官方正积极采取更安全的措施以避免账户会话数据泄露 ”。 原作者：Chris Brook，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 31 日报道，维基解密（ Wikileaks ）近期最新曝光一批 Vault7 文档，旨在揭露美国中央情报局（ CIA ）使用黑客工具 AngelFire 感染 Windows 计算机操作系统。 AngelFire 是一款恶意软件，主要通过修改 Windows 计算机上的分区引导扇区后植入持久性后门程序。不过，根据维基解密泄露的 CIA 用户手册得知，AngelFire 仅在获取目标系统的管理权限后才能下载安装。调查显示，黑客工具 AngelFire 主要包括以下五大组件： 1、Solartime：该组件主要在目标系统启动时，修改分区引导扇区以加载运行 Wolfcreek（内核代码）。 2、 Wolfcreek：它是一款自加载驱动程序（ Solartime 执行的内核代码 ），主要用于加载其他驱动与用户模式应用。 3、Keystone：该组件利用了 DLL 注入技术将恶意应用直接植入系统内存，而并非文件系统。它是 Wolfcreek 植入内容的一部分，其主要负责启动恶意应用程序。 4、BadMFS：它是一款被用作 Wolfcreek 开启驱动与植入程序的储存库 ，其主要在活动分区（或更高版本的磁盘文件）末尾创建隐藏文件系统。另外，所有文件都将被加密与混淆，以避免字符串扫描。 5、Windows Transitory File system：允许 CIA 黑客为特定操作创建临时文件，而并非将其存储在隐藏磁盘中。 研究人员表示，目前 32 位的 AngelFire 工具影响主要影响 Windows XP 与 Windows 7，而 64 位的工具则会影响 Server 2008 R2 与 Windows 7 系统。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，苹果等科技巨头在 “ 恢复互联网自由 ” 评论阶段向联邦通信委员会（FCC）提交的信件中表示，希望该委员会不要撤销对 “ 付费快速通道 ” 的禁令。该公司指出，付费快速通道将可能会导致网络的非正常竞争，因为网络服务供应商将可以通过客户支付的金钱决定向他们提供对应的网络服务。反之，一些 “ 没有能力 ” 的客户则不得不使用 “ 慢速通道 ”。 今年 5 月，在前 FCC 主席 Ajit Pai 领导下提议推翻由奥巴马政府根据 1934 年《 通信法 》Title II 推行 “ 网络中立 ” 计划。除苹果之外，包括谷歌、亚马逊、Twitter、Netflix 在内的多家科技公司都对 FCC 的这一决定表示反对，他们一同举办了一场拯救网络中立的活动。而就在 8 月 31 日，FCC 正式关闭民众对 “ 网络中立 ” 评论通道，该机构破天荒地总共收到 2200 万条留言。接下来，FCC 将就这一提案展开修改和投票。 另外，美国共和党此前人为定于 9 月 7 日举行的 “ 网络中立 ” 讨论会的计划目前也踩下了刹车，原因是各大科技公司和网络服务供应商（ISP）需要进一步参与。知情人士获悉，美众议院能源与商业委员会曾要求包括 Facebook、谷歌在内的多家科技公司 CEO 出席一场网络中立特别听证会，但他们当中没有人对此公开表示愿意前来参加。为此，这场听证会不得不取消。 眼下，网络中立问题俨然成为国会党派问题。据报道，民主党不愿意就这一问题作出让步，他们认为现行的法规不应该被废除。如果网络中立最终被废除，那么这也就意味着 ISP 将可以挑选、选择用户在互联网观看的内容，这一切将有赖于各家公司支付的金钱。目前还不清楚接下来将会发生什么，相信等到 9 月 7 日听证会的到来一定会带来新的消息。 稿源：cnBeta，封面源自网络；

据外媒报道，部分通讯社区成员早在多年前就知晓严重的 SS7 协议漏洞，允许追踪全球手机、拦截呼叫和文本短信，但运营商却一直没有采取行动。The Daily Beast 指出，业内人士知晓 SS7 漏洞问题已有 20 年，相关信息在 1998 年的欧洲通讯标准协会（ETSI）文档中即有披露：“ SS7 中缺乏足够的安全性，移动运营商需要保护自己不被黑客攻击。如有疏忽，可能导致网络停止或无法正常运行”。 目前，SS7 系统中的这一问题，是信息可在某种未受控的方式下被修改和注入全球 SS7 网络中。 在美国，联邦通讯委员会（FCC）一直鼓励通讯运营商自行部署安全措施，以防止针对 SS7 协议的漏洞攻击。 但批评人士指出，这种自我监管的措施相当失败，过去 20 年里的 SS7 防护进展甚微。 稿源：cnBeta，封面源自网络；

据路透社报道，美国一位法官称，雅虎必须面对一起全球范围内的诉讼，该起诉讼代表其 10 亿以上的用户，他们称他们的个人信息在三起大规模的数据泄露事件中遭泄露。 美国加州圣何塞地区法院法官露西·科赫（Lucy Koh）于本周三晚做出这项裁决，对 Verizon 通信公司限制雅虎潜在负债规模的努力是个挫折。 今年 6 月份，该公司斥资 47.6 亿美元收购雅虎互联网业务。这些数据泄露事件发生于 2013 年至 2016 年之间，但雅虎却迟迟没有向外披露，一直到三年后才披露了第一起事件。有关雅虎遭到网络攻击的范围被曝光后，Verizon通 信降低了对该公司的收购价格。 在一份长达 93 页的判决书中，科赫拒绝了雅虎有关数据泄露受害者没有资格起诉的辩解，并表示他们还可以提起有关违反合同和不公平竞争的指控。科赫在判决书中写道：“ 所有原告均声称存在未来身份被盗窃的风险，除此之外，他们个人身份信息的价值遭受了损失 ”。目前，一些原告还声称他们花了钱，以阻止未来身份被盗窃，或者诈骗者滥用他们的数据。与此同时，如果雅虎没有推迟披露这些泄露事件，其他一些人可能早就修改密码，或取消账户，从而减少损失。尽管许多指控被驳回，但科赫表示，原告可以修改他们的起诉。 负责监督此案的一个执行委员会的主席、原告律师 John Yanchunis 在接受采访时表示：“我们认为这对消费者来说是一个重大的胜利，同时我们将解决法庭指出的我们起诉所存在的不足之处。这是世界历史上规模最大的数据泄露事件 ”。Verizon 通信发言人鲍勃·瓦雷托尼表示，该公司拒绝就未决诉讼发表评论。现在，雅虎是 Verizon 通信旗下名为 “ Oath ” 的新媒体部门的一部分。 稿源：cnBeta、网易科技，封面源自网络；

据外媒报道，美国税局（IRS）近期向该国公民发布警告，警惕使用其机构以及 FBI 名字的诈骗邮件。据披露，这些邮件的发布者利用国税法的调整向网络用户发出一份问卷调查，而为了制造紧迫感，他们被要求在 10 天内填好并发回这份调查。然而当用户点击链接之后，他们的设备将开始下载加密其文件的勒索软件。 IRS 局长 John Koskinen 表示，人们应当警惕这些试图利用 IRS 和其他政府机构诱骗点击链接或打开某个附件的诈骗邮件，如果人们有税务问题，IRS 是不会直接用一封邮件或一个电话警告他们。目前，IRS 建议受害者不要向网络犯罪分子支付赎金，另外它还强调，该机构是绝对不会使用电子邮件、短信或社交媒体这些途径来跟人们讨论税务问题。 这种利用政府机构身份传播勒索软件的现象存在的时间实际上已经有很长一段时间。这些所谓的 “ 警察勒索软件 ” 指控无辜的用户做了一些他们未曾做过的事情并利用勒索软件要求他们支付赎金以此换回对其设备的控制。 稿源：cnBeta，封面源自网络；