据外媒报道，亚马逊前不久取消了 “ 无限容量 ” 的云储存服务，部分用户将亚马逊的决定归因于一名叫做 beaston02 的网友：为了测试亚马逊云储存服务的 “ 无限容量 ” 究竟有多大，他上传了约 200 万 GB/1.8 PB 的色情视频。 知情人士透露，他用 Python 写了一个脚本，录下多个成人直播网站的公开直播视频，但并非使用家用电脑录下视频然后上传到亚马逊，而是通过 VPS 服务。他声称虽然对女性兴趣极大，但他试图通过这个项目学习 Python，SQL  数据库和如何处理大量数据。 该网友声称花了五到六个月时间收集了 1 PB 数据，直到 1.8 PB 后就停了下来。他声称亚马逊至今还没有就数据使用通知过他，这些色情视频仍留在亚马逊的服务器上。他开源了自己的脚本，感兴趣的人可以拿去继续收集色情。这些视频如果真的去看的话，需要连续花一百年（如果视频分辨率是 720p）的时间才能看完。 稿源：solidot奇客，封面源自网络；

研究显示，大多数主要网站都通过密码保持基本安全性，但同时他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性，结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略，而企业网站则有 36％ 的未能提升其密码的安全性，包括亚马逊网络服务。 网站排名从零到五，零分是最差的得分，五分是最好的得分，三分是及格成绩。在排名评测当中，DashLane 考察了五个不同的东西： 密码长度：网站是否要求所有密码超过八个字符？ 密码复杂度：该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码？令人震惊的是，研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估：网站告诉用户密码的强度（或其他）是通过仪表还是彩色条形码？ 暴力：经过十次失败的尝试后，网站是否采取行动来停止暴力攻击，要么通过锁定帐户或提交人机识别系统？ 因素身份验证：网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份？ 在针对消费者的网站当中，只有一个网站获得了满分，那就是 GoDaddy，一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是，Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源：cnBeta，封面源自网络；

援引 Wired 报道，国外破解达人已成功破解亚马逊 Echo，黑客可将其当作实时麦克风监听设备周围声音。整个破解过程需要进行拆机，并仅限于 2017 年发售的 Echo 设备，因此很难大规模推广。不过在成功破解之后，在没有说唤醒命令的情况下能实时执行用户下达的命令，此外还允许破解者远程恢复认证令牌和其他敏感数据。 专家 Mark Barnes 于 8 月 2 日在个人播客上公布详细破解过程。简单来说，Barnes 所使用的破解方式就是从插入的 SD 卡启动，类似于 LiveCD，然后访问并重写 Echo 固件。一旦固件被重新写入，已经成功破解的 Echo 就能发送所有麦克风捕捉到音频给第三方，随后即使移除 SD 卡也会保持破解状态。 亚马逊在声明中表示：“ 消费者的信任对于我们来说是至关重要的。为了确保最新的保障措施，我们一般都推荐用户从亚马逊官方网站或者可信赖的零售渠道进行购买，这样才能确保你的软件处于最新状态。” Barnes 的攻击目前仅适用于 2015 年和 2016 年款的 Echo，2017 年款的 Echo 的内部硬件做出调整已经阻止从 SD 卡进行启动。在没有移除纸 SPI 模式下，2017 年款 Echo 无法支持从 SD 卡进行启动，因此无法执行攻击。 稿源：cnBeta，封面源自网络；

安全公司 Kryptowire 研究人员于近期举行的 Black Hat 安全会议上报告，Blu 品牌手机固件仍在用户不知情下向位于中国公司的数据库上发送私人数据。随后，亚马逊以潜在安全隐患为由暂停 Blu 手机销售。 研究人员表示，上海广升信息技术有限公司的软件 Blu 在用户不知情下自动将设备数据发送到该公司位于上海的服务器上。亚马逊在声明中称，安全和隐私对客户至关重要，在问题解决前将停止所有 Blu 品牌手机销售。目前，Blu 正在进行评估。 稿源：solidot奇客，封面源自网络；

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告，指出网络管理员经常忽略亚马逊（ AWS ）访问控制列表（ ACL ）规则，导致服务器因错误配置导致大量数据在线泄露。     Detectify 公司认为，尽管服务器配置错误的原因各不相同，但在 AWS S3 存储设置访问控制时，多数漏洞服务器均由常见问题导致。随后，研究人员通过一系列不同错误配置原因证实，由于服务器与目标系统 ACL 的配置极其薄弱，导致黑客可以随时操控、监视与破坏高端网站。 据悉，在该份安全报告中，Rosén 指出 AWS 服务器中存在一处关键漏洞，允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确，攻击者便可访问 S3 列表并读取文件获取信息。此外，攻击者不仅可以将文件写入并上传至 S3 存储服务器中，还可更改用户访问权限。研究人员表示，由于 AWS S3 的访问控制列表配置错误，攻击者在获取访问权限后允许访问服务器敏感数据。 如果将访问控制设置为 “ AuthenticatedUsers ”，就意味着任何用户均拥有一套有效的 AWS 凭据，其基本由用户注册 AWS 账户获得。不过，用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误，那么攻击者唯一需要的就是服务器名称信息。 Detectify 表示，识别服务器名称信息及其所属公司的操作极其简单，存在多种不同方法强制 S3 存储服务器显示，包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示，他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现，目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。 日前，亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确，可能会导致泄漏数据，但他们无法防止用户操作无错误出现。目前，AWS 已提供一些工具，以便用户更改并锁定服务器访问权限。 原作者：Tom Spring，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

几天前，亚马逊 Web 服务遭遇了一场部分停摆的尴尬，许多互联网站点都受这波故障的影响而离线。而根据亚马逊刚刚发布的详情报告，事情可能需要归咎于某个员工从 S3 子系统中，向一台远程服务器输入了一个“常规命令”。 不幸的是，员工输入了一个比预想的要大得多的数字。命令影响到了另外两个 S3 子系统上的服务器，而后者分管着全区的存储和元数据 —— 事情就此变得一发而不可收拾。 报告解释到： 一名 S3 团队的授权成员，用一个既定的脚本执行了一个命令。 他原本是想将（通过 S3 计费处理的）一小部分服务器从某个 S3 子系统中移除，却不慎输入了一个不正确的指令，结果移除了一大票比预期更大数量的服务器。 无意中删除的服务器位于两个其它 S3 子系统中，其中一个是索引子系统，管理者元数据和全区所有 S3 对象的定位信息。 稿源：cnBeta；封面源自网络

据外媒报道，近日出于一起谋杀案调查的需求，美国检察官要求亚马逊能向他们提供来自嫌疑犯 Echo 上的数据。对此，亚马逊以《美国宪法第一修正案》为由拒绝了这一请求。该家公司代表律师在法院文件中写道：“此类可能需要内容下载的操作涉及了隐私问题和《第一修正案》（对公民）的保护作用。” 这起风波发生在阿肯色的本顿县。调查人员认为，嫌疑犯家中的 Echo 设备中在 2015 年的录音能为他们提供一些侦破 Victo Collins 命案的线索。据了解，Collins 被发生死在了嫌疑犯 James Bates 家中的热浴缸中，Beates 被控一级谋杀罪后来保释出狱。 从亚马逊提供给法院的文件显示，这家公司满足了法院于去年 2 月份出具的搜查令，但拒绝提交 Echo 的录音记录。不过要亚马逊交出这些数据也并非不可能，只要调查人员能给出更具说服力的需求。倘若最终法官选择站在亚马逊这边，那么这也将意味着调查人员需要作出更大的努力才行。 稿源：cnbeta，有删改，封面来源于网络

近日，安全专家 克雷格·阿伦特（@craig_arendt）发现基于 EPub 服务的各大电子阅读器漏洞，能够同时影响亚马逊、苹果、谷歌等厂商。开源的 Java 库 “EpubCheck”被用于将内容转换为通用电子书格式，专家在 EpubCheck 库中发现了 XXE 漏洞可影响主要的 EPub 服务，或可导致信息泄露和拒绝服务。 EPub（Electronic Publication的缩写，意为：电子出版），是一个自由的开放标准，其文字内容可以根据阅读设备的特性，以最适于阅读的方式显示。（百度百科） 此次漏洞会影响支持 EPub 的服务和阅读器，如： EpubCheck <= 4.0.1 （验证 EPub 的工具） Adobe Digital Editions <= 4.5.2 （电子书阅读器） 亚马逊 KDP （Kindle 在线出版服务） Apple Transporter 以及 Google电子书上传服务等 研究人员着重测试过 “EpubCheck” ，发现了 XML 外部实体注入（XXE）问题。“验证工具（EpubCheck）易受 XXE 攻击，因此任何依赖此版本工具来检查图书有效性的应用程序都容易受到这种类型的攻击。”阿伦特解释称，亚马逊的 Kindle 文件上传服务存在一个 XXE 漏洞，或可被攻击者利用来窃取书籍和资料；类似的漏洞也影响 Apple Transporter 服务，攻击者能将恶意制作的图书发送到 App Store，在 EPub 解析过程中可能导致用户信息泄露；Google Play 图书服务虽不受 XXE 漏洞的影响，但专家发现了触发 XML 实体扩展漏洞的可能性，攻击者能够利用漏洞通过爆炸式增长的数据解析请求来导致拒绝服务。 目前，以上所有供应商都已对易受攻击的 EPub 漏洞进行了修复。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。