步 Apple、Google 和 Mozilla 后尘，微软（ Microsoft ）决定取消信任来自中国的 CA 机构沃通（ WoSign ）和它的子公司 StartCom。来自中国的证书颁发机构沃通（WoSign）和 StartCom（ StartCom 已于 2015 年底被 WoSign 秘密收购）被微软认定未能达到受信任根证书的标准。 微软发现沃通、StartCom 有不可接受的安全风险，如倒签发 SHA1 证书、错误签发证书、意外的证书吊销、签发有相同序号的不同证书、多次违反 CA/Browser Forum 基线要求。 因此，微软决定循序渐进，不再信任沃通和 StartCom 证书有效起始日期晚于 2017 年 9 月 26 日的证书，这也就意味着当前已签发的证书将仍然有效，直至证书过期。2017 年 9 月后，Windows 10 将不再信任任何来自于沃通和 StartCom 签发的新证书。 稿源：cnBeta、易可米，封面源自网络；

研究显示，大多数主要网站都通过密码保持基本安全性，但同时他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性，结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略，而企业网站则有 36％ 的未能提升其密码的安全性，包括亚马逊网络服务。 网站排名从零到五，零分是最差的得分，五分是最好的得分，三分是及格成绩。在排名评测当中，DashLane 考察了五个不同的东西： 密码长度：网站是否要求所有密码超过八个字符？ 密码复杂度：该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码？令人震惊的是，研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估：网站告诉用户密码的强度（或其他）是通过仪表还是彩色条形码？ 暴力：经过十次失败的尝试后，网站是否采取行动来停止暴力攻击，要么通过锁定帐户或提交人机识别系统？ 因素身份验证：网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份？ 在针对消费者的网站当中，只有一个网站获得了满分，那就是 GoDaddy，一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是，Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源：cnBeta，封面源自网络；

美国隐私倡导组织 Center for Democracy & Technology （CDT）向美国联邦贸易委员会（FTC）投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷，开发了受欢迎的免费 VPN 服务 Hotspot Shield（也有付费版本）。起诉书指控 AnchorFree 破坏了对用户的承诺，与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告，用户对此做法知情，CDT 没有指控 AnchorFree 秘密植入广告，而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源：solidot奇客，封面源自网络

美国国家标准和技术协会（ NIST ）今年 6 月提供的最新数字身份指南的新版草案中，指出不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度，NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过，对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章，其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟，后来也被证实不是太奏效，当然也有媒体的一些误导总结，导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63，媒体总结为专家建议大家采用混合大写字母、字符和数字，构成一个常用词组的方式（比如 P@ssW0rd123!）。事实证明，这种密码对于破解密码工具来说，只需要增加一些代码，根据这种规则的密码强度几乎与弱密码的破解相差无几，倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则，形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解，而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解，而这组词语很容易形成独特的画面，对于人类来说非常容易形成记忆，但对于计算机来说堪比天书，随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出，NIST 此前的密码安全建议都是在摸索中前进，没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字，因为研究显示此类的要求并不能带来强密码。NIST 认为，如果用户想要使用绘文字作为密码，那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源：cnBeta，封面源自图片；

据外媒报道，虚假新闻已经成为当今互联网的一大毒瘤，为此，各大科技公司都已加大对恶意信息的打击力度。不过为了真正达到遏制该种现象的目的，人们首先要搞明白的是这些假新闻究竟是怎么传播的。为此，来自美国布卢明顿印第安纳大学的科学家们就在 Twitter 上展开了系统性研究。 研究人员在 Twitter 上对来自 122 个主要虚假新闻网站的 40 万条消息进行监控。在这些网站中，许多都是独立的事实核查网站，如 snopes.com、politifact.com、factcheck.org 等，另外还有像 theonion.com 等这样的讽刺网站–它们通常都是用反讽的手法指责虚假新闻，但很多时候人们可能无法辨别这点，于是将假新闻当成了真新闻。此外，该研究团队还监控了来自事实核查网站撰写的 1.5 万篇文章以及上百万条提及这些网站的推文。 为了这项研究，科学家们开创建了两个平台，一个是用于分析假新闻的平台叫 Hoaxy，一个是用于分析当前 Twitter 上究竟是人还是机器人运行的 Bolometer。根据这些研究结果发现，积极传播错误信息的账号更可能是机器人。而这种机器人账号有一个非常有意思的行为方式，那就是在假消息传播的早前尤为活跃，并且更倾向于针对有影响力的用户。最后，科学家们指出，限制社交机器人可能是减少网络错误信息传播的有效手段。然而不幸的是，由于互联网的非中心性，想要实施该类型策略是极为困难的。 稿源：cnBeta；封面源自网络；

互联网催收模式于今年迅速发展，平台试图通过云计算、大数据和智能化清收策略解决不良资产清收的最后一道难题，传统银行也开始试水这类互联网模式下的欠款催收与转让，委外信用卡逾期业务。调查发现，大商机背后蕴含大风险，使用虚假身份信息便可成功注册成为催收共享平台上的一名催客，而银行信用卡逾期用户和亲人的信息在层层转包中被轻易泄露。 数据显示，2016 年不良资产的市场化投放规模达 1.5 万亿左右，而目前仅网贷行业预估的不良资产规模就达到 2000 亿元。传统的资产清收存在地域限制、催收时间长、人工成本高、效率低、投入产出比低等挑战，庞大的市场规模催生了一批催收共享平台，希望催收能由专业团队过渡到普通民众，人人做催收，于是催催宝、人人追、债无忧、火眼催收等十余种平台纷纷上线。 催收不是银行的强项，出于对用户数据安全的考虑，多会选择有律师资质的大公司合作，并要求公司签署保密协议，员工只能在内网查看资料，但外包公司的后期操作中，这一点并没有被坚持。一家成功拿到银行信用卡催收业务的企业负责人曾在公开场合表示，信用卡用户信息泄露在行业内司空见惯，但银行不说、外包公司不说、逾期用户更不说。 根据中国银监会《关于进一步规范信用卡业务的通知》，明确要求银行业金融机构应审慎实施催收外包行为。实施催收外包行为的银行业务金融机构，应建立相应的业务管理制度，明确催收外包机构选用标准、业务培训、法律责任和经济责任等，选用的催收外包机构应经由本机构境内总部高级管理层审核批准，并签订管理完善、职责清晰的催收外包合同，不得单纯按欠款回收金额提成的方式支付佣金。 转包行为本身没什么问题，但银行对本身的数据安全负责，就要间接对使用他数据的供应商负责。银行对供应商的选择，针对信息安全（数据来源、传输、存储）应该有一套规则，选择时应按这个规则来选择厂商，所以问题不在转包，在于银行选择的厂商是否具备足够的信息安全规格与技术来确保信息安全。 出于各方利益，生活中很难碰到此类案件，欠款人只想躲债，催款公司也不会主动站出来直指银行及催收外包机构泄露用户信息。不过，对因催收外包管理不力，造成催收外包机构损害欠款人或其他相关人合法权益的，银行业金融机构承担相应的外包风险管理责任，情节严重的甚至可采取责令限期整改，限制、暂停或停止其信用卡新发卡业务。 如果欠款真实，银行完全可以按照法律程序主张权利去追讨，但欠钱还是和隐私泄露是两码事件，公民的隐私个人信息应受法律保护。即使银行要披露欠款人信息，也是有选择的披露，身份证号码、住址属于敏感信息，这些信息被公示，意味着金融机构不当泄露个人信息，欠款人及担保人可以向银行管理部门和公安部门寻求帮助。 稿源：，有删减；稿件以及封面源自网络；

据外媒报道，安全研究人员和浏览器开发商正致力于推动 HPPTS 的普及，如 Let’s Encrypt CA 项目已经签发了超过 1 亿个证书。但普及 HPPTS 的进展究竟如何了呢？ Google、Mozilla 和思科的研究人员发表了一份研究报告（PDF），指出根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web 服务器的扫描，发现 HTTPS 在过去几年的增长显著，仅 2016 年一年 HTTPS 占桌面浏览的比重增加了 10 个百分点。 调查显示，主要网站默认启用 HTTPS 的数量在 2017 年初到 2016 年初之间翻了一番，但最受欢迎的网站中默认启用 HTTP 的仍然占一半，移动浏览则落在了桌面浏览后面，而东亚国家的 HTTPS 普及度显著低于世界其它地方。 东亚的中国、韩国和日本有着非常低的 HTTPS 使用率，世界其它地方只有伊朗的 HTTPS 使用率与东亚类似。这一情况令人费解，是文化方面（比如不关心隐私），还是技术方面，或者是遗留基础设施或法律方面的问题？研究人员认为为了促进该地区的 HPPTS 普及首先需要弄清楚这一现象的原因。 稿源：solidot奇客，封面源自网络；

据路透社消息，英国政府发布新指导方针后于 8 月 7 日出台一套全新指南《 面向联网和自动驾驶汽车的网络安全关键原则 》，要求联网汽车制造商实施严格网络保护措施，以确保更好地抵御黑客攻击。英国政府表示，他们担心智能汽车可能遭到黑客攻击，以获取个人数据，盗走使用无钥匙进入系统的汽车，或出于恶意的原因控制汽车。 据悉，该套指南细分为 8 个原则： ● 组织上应确保在董事会层面将安全重视起来； ● 制造商应该评估潜在的风险（尤其是第三方承包商）； ● 汽车安全需要在整个生命周期内持续存在； ● 组织与分包商必须携手认证它们的安全流程和产品； ● 安全系统应该有冗余； ● 制造商应在系统制造周期内对软件进行管理； ● 数据的存储必须是安全的； ● 车辆或系统应能够承受攻击并继续工作。 交通大臣卡兰南勋爵（Lord Callanan）表示，随着该国道路上自动驾驶和联网汽车的增长，制造商理应为消费者提供最基础的防护，比如抵御网络攻击、控制个人资料、甚至远程控制车辆。英国运输部负责人马丁·卡拉南（Martin Callanan）在一份声明中称:“ 无论我们是把汽车变成连接 wi-fi 热点，还是利用数百万行代码让它们完全自动化，它们能否防范网络攻击很重要。然而，我们制定的指导方针主要原则是提出建议，相关组织从董事会层面下来应该做些什么，以及技术设计和开发方面应该考虑什么。” 新的指导方针要求智能汽车系统能够承受收到错误、无效或恶意数据或命令的情况，并允许用户删除在汽车系统上保存的个人数据。英国政府表示，联网汽车制造商必须制定计划，如何在汽车的生命周期内维护其安全和提供安全支持，以及产品安全个人负责制如何在董事会层面上得到落实。除此之外，英国政府还表示，它正计划通过立法解决无人驾驶汽车的保险问题。 由于保险公司和立法者正在努力确定谁最终为无人驾驶汽车的事故负责，无人驾驶汽车的部署在一些国家遇到法律障碍。英国政府称:“ 在议会通过立法之前采取的措施意味着，如果技术失败，将确保联网或无人驾驶汽车将为消费者提供保护。” 稿源：根据 cnBeta、网易科技 整理，封面源自网络；

勒索软件 WannaCry 背后的操作者将其勒索到的比特币从钱包转出，兑换成无法跟踪的门罗币。比特币是去中心化数字货币，但并不匿名，所有交易都记录在案，可公开查询和跟踪。 门罗币（Monero，代号 XMR）诞生于 2014 年，着重于隐私、匿名性和不可跟踪。安全研究人员发现，WannaCry 勒索到的 52.2 比特币经过多笔交易转到了与门罗币相关联的钱包。门罗币也得到了神秘黑客组织 Shadowbrokers 的青睐，它的付费订阅服务接受门罗币。 稿源：solidot奇客，封面源自网络

在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。Blu 为自己辩护，称自己是无辜的，其产品目前在亚马逊恢复上架。 Blu 称自己并没有违反隐私政策，因此没有做错任何事。它的隐私条款声明，设备收集的个人身份信息可能会传输到美国之外的第三方。也就是说如果用户同意使用 Blu 设备，那么你就同意将个人身份数据传输给第三方。 据悉，上海广升收集的数据并不比其它手机厂商收集的多，比如中兴和华为的手机也会将收集的用户数据发送到中国的服务器上。唯一真正监视用户的是中国厂商的 Cubot X16S 的手机，它收集了用户的浏览历史。 稿源：solidot奇客，封面源自网络；