2019年5月26日凌晨，易到用车服务器遭到连续攻击，因此给用户使用带来严重的影响。 据悉，攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。我们的相关技术人员正在努力抢修。 易到表示，我们严厉谴责这种不法行为，并已向北京网警中心报案，并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案，希望广大用户能够理解和保持耐心等待。 5月22日，针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示，在紧急调试全新模式的用户充返活动时，技术工作发生了故障与失误，导致部分用户的账户余额受到影响。 易到表示“已及时的进行了系统修复！此次受影响的用户账户，将在7个工作日内陆续恢复。”   （稿源：快科技，封面源自网络。）

北京时间5月24日早间消息，Facebook已经加强了对虚假帐号的打击力度。据美国财经媒体CNBC报道，该公司本周四在其第三次定期发布的社区标准执行报告中表示，其在2019年第一季度处理的可疑虚假帐号数量几乎是2018年第四季度的两倍。 该公司表示，上升的原因在于“有不良行为试图通过自动攻击一次性创建大量帐号”。 在为讨论该报道而召开的电话会议上，Facebook CEO马克·扎克伯格（Mark Zuckerberg）回应了通过反垄断分拆该公司的说法，他认为这将损害Facebook为打击虚假新闻和违反其政策的其它内容所作的努力。 “我们的安全系统预算金额大于Twitter今年的全部收入。”扎克伯格周四在电话会议上说，“我们能够做一些我认为其他人无法做到的事情。” 具体而言，Facebook在2019年第一季度关闭的帐号数量为21.9亿，而2018年第四季度则为12亿。 由于Facebook 2019年第一季度的月活跃用户为23.8亿，所以这个数字堪称庞大。Facebook发言人表示，该公司禁用的帐号数量并未包含在其月活跃用户数字中，因为明显的虚假帐号通常会很快被删除。尽管如此，Facebook估计每月活跃用户中约有5％是虚假帐号。 最新报道发布之前，Facebook于3月份宣布了一项隐私计划，最终将通过Instagram、Messenger和WhatsApp的聊天功能将更多用户的通信转移到私人加密频道。扎克伯格周四表示，这一变化将使Facebook更难找到并删除周四报告中所涵盖的内容类型。 “我们将在缺少重要工具的情况下参与这场战斗” 扎克伯格说。(书聿)   （稿源：，稿件以及封面源自网络。）

北京时间5月24日早间消息，根据美国科技媒体Motherboard的报道，Snap的前员工表示，几年前有“多名”Snap员工通过不当方式访问用户数据。这意味着他们滥用了自己的权限，在合法理由之外监视用户。 Snap的员工拥有内部工具，让他们可以访问Snapchat用户的个人信息，包括位置数据、在应用上保存的照片，以及电子邮件地址。一名前员工表示，这样的数据滥用至少发生过几次。 这样的工具之一是SnapLion，其设计是为了满足司法部门获得用户数据的要求。然而，Snap的反垃圾邮件团队、客户运营团队和信息安全人员都可以使用该工具。一名前员工将该工具称作“王国的钥匙”。内部电子邮件显示，一名员工曾使用该工具去查找某用户的电子邮件地址。 Facebook和Uber此前也发生过类似问题。这两家公司的员工曾利用自己的权限去追踪女性用户。类似事件还曾发生在美国国家安全局（NSA），当时几名员工使用监控工具去监视名人。(李丽)   （稿源：cnBeta，封面源自网络。）

在获得美国商务部的临时许可后，华为将在未来三个月内继续向其手机发送软件更新，尽管此前的贸易禁令依旧有效。路透社报道称，该许可立即生效，并将于8月19日到期。美国商务部授权华为采取行动“向公众现有的华为手机提供服务和支持，包括软件更新或补丁。”该许可还将允许华为维护其现有的网络设备，并接收安全漏洞修补。 这意味着此前美国政府对华为的禁令被延迟90天实施，但是需要留意的是，美国商务部仍然禁止华为公司购买美国企业生产和销售的零部件以生产新产品。 上周，特朗普政府宣布国家紧急状态，允许其政府部门阻止被视为国家安全风险的技术交易。不久之后，政府将华为列入黑名单，禁止任何美国公司未经政府许可与中国电信巨头华为开展业务。 谷歌随后宣布将不再为华为设备提供Android服务，尽管他们表示该公司可以继续使用开源版本。谷歌补充说，这些服务也将在现有的华为设备上继续被支持。 “临时通用许可证允许运营商有时间作出其他安排，以确定目前依赖华为设备提供关键服务的美国和外国电信提供商的适当长期措施，”商务部长威尔·伯罗斯在一份声明中说。 “简而言之，这个许可将允许现有的华为移动电话用户和农村宽带网络继续运营。” 特朗普政府的打击行动对华为的全球业务造成了相当大的不确定性。但在收到Android停止支持的消息之后，该公司在一份声明中称，他们将继续为已经销售给客户手中的设备提供更新。 “我们将继续构建一个安全可持续的软件生态系统，以便为全球所有用户提供最佳体验。”   （稿源：cnBeta，封面源自网络。）

针对美国国土安全部发布的“中国制造的无人机可能正在向中国制造商发送敏感飞行数据，政府可以访问这些数据”警告。DJI大疆做了官方回应，回应中称：“我们技术的安全性已经在全球得到反复验证，其中也包括美国政府和美国领先企业的独立验证”。 根据CNN报道，美国国土安全部网络安全和基础设施安全局发出的警告称，无人机“对组织的信息构成潜在风险”。虽然报告没有指明具体的制造商，但根据一项行业分析，美国和加拿大使用的无人机近80%来自总部位于中国深圳的大疆。 具体DJI大疆声明如下： “DJI大疆创新一直以来高度重视信息安全问题，我们技术的安全性已经在全球得到反复验证，其中也包括美国政府和美国领先企业的独立验证。当用户使用DJI大疆创新的无人机或其他技术产品时，所生产、存储和传输的数据都完全由用户掌握。此外，DJI大疆创新还提供特殊的模式以满足不同客户的信息安全管理需要，比如断开网络连接的本地数据模式、私有云部署模式等等。全球大量机构每天都在使用DJI大疆创新的技术，以提高生产效率，保障生产安全，甚至是拯救生命。DJI大疆创新将持续与全球的客户及政府管理部门合作，确保我们能满足不同地区不同行业的技术规范以及信息安全需要。”   （稿源：，稿件以及封面源自网络。）

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示，大多数网上提供的黑客雇用服务都是诈骗或者无效的。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员通过伪装成有所需求的买家，直接与 27 个提供黑客服务的买家接触，并要求他们针对所选择的 Gmail 账户进行攻击。 这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐，用来进行此次研究，账号允许研究人员记录其与受害者的关键互动行为，以及为此次研究创建的角色的其它方面信息，如商业网络服务器、朋友或合作伙伴的电子邮件地址。 研究结果表明，在参与的 27 项黑客服务中，有 10 项从未回复过研究人员的请求，12 项做出了回复，但并没有真正尝试过发动攻击，只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中，有 9 人表示他们不再攻击 Gmail 帐户，而其他三人似乎是诈骗份子。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员表示，这些黑客攻击服务的收费通常在 100 美元到 500 美元之间，而且没有人使用自动化工具进行攻击，所有攻击都涉及社会工程，黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中，一些黑客询问了研究人员要攻击的受害者的详细信息，而其它人则不过问，并且选择使用可重复使用的电子邮件网络钓鱼模板。 研究人员的结论是，当前 Email 劫持服务出售尚未成熟到其它犯罪细分市场的水平。可以查看原报告，了解该研究的具体细节： Hack for Hire: Exploring the Emerging Market for Account Hijacking   （稿源：开源中国，封面源自网络。）

据 CNBC 报道，谷歌会通过旗下的 Gmail 邮件服务来追踪用户的历史购物记录，而且你很难将相关信息从 Gmail 中批量移除。上周，谷歌首席执行官 Sundar Pichai 在《纽约时报》上的一篇专栏文章中信誓旦旦地写道 ——“隐私不该成为奢侈品”。但是在幕后，这家科技巨头却在用户使用的服务中，收集了大量的个人信息。 资料图（来自：Google，via CNBC） Todd Haselton 指出，在一个“购买”页面中，其被记录了许多（但不是全部）购买过的商品，且最早可以追溯到 7 年以前。 其使用过亚马逊、DoorDash、Seamless 等在线服务或应用程序进行过购买，也去过梅西百货这样的零售门店，但从未直接通过谷歌进行过消费。 问题在于，Todd 选择了将数字购物凭证发送到自己的 Gmail 账户，才让该公司嗅探到了有关其购物习惯的信息列表。 如果你对被谷歌收集追踪的信息感兴趣，可移步至以下链接查看： http://myaccount.google.com/purchases 让人不放心的是，谷歌甚至知道你已经忘记了的事情： 比如在 2015 年 9 月 14 日的记录中，Todd 就在梅西百货商店买过礼服鞋。 2016 年 1 月 14 日，Todd 买过 Cheez Whiz、香蕉辣椒、费城奶酪牛排。 2014 年 11 月，Todd 又一次光顾了星巴克。 2013 年 12 月 18 日，Todd 通过亚马逊购买了新款 Kindle 电子书阅读器。 2018 年 9 月 14 日，Tood 从 iTunes 购买了《Solo：A Star Wars Story》等。 对于此事，谷歌发言人向 CNBC 表示： 为了帮助您轻松地查看和追踪在某个地方的购买、预定和订阅记录，我们创建了一个只有您自己才能看到的页面。 您可以随时删除这些信息。我司不会根据 Gmail 邮件中的任何信息来精准投放广告，其中就包括‘购买’页面上显示的电子邮件收据和订单确认信息。 眼尖的人们发现，谷歌在其隐私说明页面上表示： 订单信息可能与您在其它 Google 服务中的活动被一起保存，你可以在‘我的活动’页面上查看和删除此类信息。 然而当你真的想要清除这些历史记录的时候，就会发现根本没有一种简单的方法可以完成操作。 显然，用户难以作出清空 Gmail 收件箱和存档邮件的决定，毕竟日后保修或退换货的时候，还用得到这些凭证。 但是，如果没有在 Gmail 中删除邮件凭证，就无法从‘购买’页面中清理上述信息，此事点击‘删除’，也只能退回 Gmail 页面。 那么，我们该如何彻底关闭这项追踪服务呢？ 谷歌向 CNBC 表示，你必须转到另一个‘搜索偏好设置页面’。然而 CNBC 记者在尝试后发现，那里根本没有彻底关闭追踪的选项。 谷歌表示，他们不会利用 Gmail 信息来展示针对性的广告： 谷歌承诺不会出售隐私信息（包括 Gmail 和 Google 账户信息），并且不会在没有征得用户许可的情况下向广告客户分享。 但是，由于仍然不明确的原因，想要将这些信息从您的 Gmail 追踪选项中移除，还是相当困难的。 对此，谷歌表示其正在考虑简化这方面的设置，以使其更便于控制。   （稿源：cnBeta，封面源自网络。）

Stack Overflow 遭黑客入侵一事仍在调查中，官方博客披露了调查最新进展。 入侵实际发生在5月5日，当时部署到 stackoverflow.com 的开发层的构建包含一个错误，该错误允许攻击者登录到开发层，并在网站的生产版本上升级他们的访问权限。 黑客潜入系统并探索了至少5天都未被发现，直到5月11日，“入侵者对我们的系统进行了更改，以便为自己提供访问特权。这一变化很快被发现，我们撤销了他们在整个网络的访问，开始调查入侵，并采取修复措施。” 调查显示整体用户数据库没有受到损害，攻击者提出的特权 Web 请求已经确定，这些请求返回了约 250 位 Stack Exchange 用户的 IP 地址、名称或电子邮件。受影响用户将很快接到官方的通知。 Stack Overflow 团队表示会针对此次安全事件采取以下措施：  终止对系统的未授权访问  对所有日志和数据库进行广泛而详细的审查  修复导致未经授权访问和升级的原始问题，以及在调查期间发现的任何其他潜在问题载体  主动发表公开声明  聘请第三方取证和事件响应公司协助进行补救  采取预防措施，如重置公司密码、评估系统和安全级别等 此次事件调查仍未结束，官方将持续公布更多信息。   （稿源：开源中国，封面源自网络。）

美国联邦调查局（FBI）和全球执法合作伙伴周四上午称，一名策划了一项犯罪阴谋的网络黑客头目已被逮捕，该阴谋闯入了44000台电脑，可能窃取了数百万美元。欧洲警察组织和联邦调查局证实，亚历山大·科诺沃洛夫和他的同谋玛拉特·卡赞德吉因涉嫌参与所谓的Goznym犯罪网络而在格鲁吉亚受到起诉。 美国还公开了一项起诉，指控10名成员是科诺沃洛夫组建的网络罪犯队伍Goznym成员。，而卡赞德吉负责这项犯罪行动技术方面工作。Goznym犯罪组织的操作简单但非常成功，使用和Goznym同名的恶意软件入侵Windows PC，等待用户在浏览器中输入银行密码，然后将其抓取。然后他们会闯入用户的银行账户，试图将资金转移到自己的账户。他们试图窃取1亿美元，但还不清楚他们成功转移了多少资金。 IBM全球执行安全顾问LimorKessem告诉《福布斯》，在某些情况下，目标企业及其银行在资金被转移到黑客账户之前发现了欺诈性转账。欧洲刑警组织证实，在起诉书中提到名字的五名俄罗斯犯罪分子仍然在逃。其中包括所谓的GozNym恶意软件开发商Vladimir Gorin，他不仅编写了代码，而且还将其出租给其他犯罪分子。另一名俄罗斯人是被指控的垃圾邮件发送者，他们向目标发送网络钓鱼电子邮件，其中就包括包含恶意软件的附件。     （稿源：cnBeta，封面源自网络。）

Titan安全密钥是由谷歌推出的一款防范网上诱骗的双重身份验证 (2FA) 设备，内置硬件芯片，其中包含由 Google 设计的固件，用于验证密钥的完整性。它主要为IT管理员这样的高价值用户提供妥善的安全保护，并防范账号被盗用。不过近期谷歌发现Titan存在安全隐患，允许攻击者在物理接近的时候访问安全密钥或者和它配对的设备。 由于蓝牙低功耗（BLE）版本Titan安全密钥的无线配对协议中存在错误配置，导致谷歌宣布召回这批设备。当Titan安全密钥和配对的设备进行通信的时候，这个错误允许攻击者在大约30英尺范围内发起攻击。根据谷歌官方的概述： 当您尝试在设备上登录帐户时，通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下，如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件，则攻击者可以使用他们自己的设备登录您的帐户。 在使用安全密钥之前，必须将其与您的设备配对。配对后，与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥，并在您被要求按下密钥上的按钮时连接到您的设备。之后，他们可能会尝试将其设备更改为蓝牙键盘或鼠标，并可能会对您的设备执行操作。 如果你手头上就有一个Titan安全密钥，那么可以通过检查设备背面来确认是否受到影响。如果您看到“T1”或“T2”，那么您的密钥会受到影响，您有资格获得免费更换。由于该错误仅影响蓝牙配对，因此安全密钥的非蓝牙版本不受影响。   （稿源：cnBeta，封面源自网络。）