iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod，不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的，他分享了一张macOS终端窗口的截图，似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明，相关设备是2018年的原始HomePod型号（标识符为AudioAccessory 1,1），而不是苹果新的HomePod mini（AudioAccessory 5,1）。原版HomePod运行在苹果设计的A8芯片上，这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展，但越狱HomePod的实际效用在很大程度上是未知的，尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止，能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         （消息来源：cnBeta；封面来源于网络）

在网络黑市上，有些黑客真的是什么都能搞到，什么资料都敢卖，现在有2400多名艾滋病患者的资料被盗，网上打包只要5100多块就能买下。据俄罗斯媒体报道，有黑客在网上叫卖艾滋病患者的数据信息，据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的，总计有2400多人。 被盗取的信息非常丰富，有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址，还有详细的医疗信息。 为了证明自己所售资料的真实性，这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高，打包只要6万卢布，约合5100多元，100人的信息则要3000卢布，不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣，不过很大可能这是逼迫被盗机构来赎回这些信息，毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售，这个黑客的行为怎么看都有点缺德，不过这也不是他第一次这么干了，本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         （消息及封面来源：cnBeta）

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷，并在公开披露前给他们90天的时间来修复。根据情况的严重程度，这一期限可能会根据该集团的标准准则被延长或拉近。 11月初，谷歌公开披露了GitHub中的一个 “高”严重性安全问题，此前后者无法在104天内修复–超过了标准时限。不过，GitHub用户现在会很高兴地知道，这个安全漏洞终于被填补了。 该安全漏洞源自GitHub Actions中的工作流命令，它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞，他表示工作流命令的实现方式 “从根本上来说是不安全的”。短期的解决方案是废止命令语法，而长期的修复方法是将工作流命令转移到一些外链通道，但这也很棘手，因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后，谷歌于11月2日公开披露了该问题。 显然，这给该公司带来了一定的压力，目前该漏洞已经被修复。补丁说明显示，该修复方法与Wilhelm提出的短期解决方案一致。 停用add-path和set-env runner命令(#779) 更新了dotnet安装脚本(#779) 几天前，GitHub已经修复了这个问题，但现在已经被谷歌Project Zero团队验证，并在问题库中标记。这样一来，安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关，但这一 “中等”严重性缺陷的状态自2016年9月以来一直处于开放状态。         （消息及封面来源：cnBeta）

在本周发布的 Firefox 83 稳定版更新中，Mozilla 为其引入了仅 HTTPS 模式。在选项描述中写道：“HTTPS 可在 Firefox 和您访问的网站之间提供安全、加密的连接。现今，大多数网站都支持 HTTPS，若选择启用 HTTPS-Only 模式，Firefox 将会升级所有连接为 HTTPS”。 虽然不是默认启用但用户可以在设置应用中启用。这个安全增强功能可以确保你访问的都是 HTTPS 网站。如果在该模式启用之后你访问 HTTP 网站，那么就会自动升级为 HTTPS 网站。如果你访问的站点并不支持 HTTPS，那么就会显示“Secure Connection Not Available”错误信息。 在启用该模式之后，能够让你所有的连接都是加密且安全的。因此，你放心，没有人可以窥探你的网页内容，或者侵入你网站的连接来窃取密码，信用卡信息或其他个人信息。当你使用公共 WiFi 这种无法确定互联网连接完整性的连接时，这一点非常有用。       （消息来源：cnBeta；封面来自网络）

经过两年漫长时间，现在全球每一个Android用户，都可以使用取代短信的下一代短信标准。谷歌通过其Android Messages应用直接向任何安装它并将其作为默认短信应用的人提供RCS聊天服务，而无需移动运营商参与。同样重要的是，谷歌宣布终于开始启用一项关键的隐私功能：端到端加密，这意味着运营商和谷歌都无法读取这些信息的内容。 尽管加密功能只是开始向注册Android Messages公测版的用户推出，但为RCS开启加密功能是一件非常重要的事情。这是一个巨大的隐私胜利，因为这意味着在全球绝大多数人使用的智能手机平台上，短信的事实上的替代者默认情况下将是私密的。至于iPhone，我们还没有听说苹果是否打算采用RCS标准。 自从最初宣布计划过渡到RCS作为安卓系统的主要短信平台后，该标准的推广就陷入了混乱之中。去年，谷歌开始自己动手，慢慢地让不同国家的用户直接从谷歌那里获得RCS服务，而不是等待运营商开启。今天，该公司宣布这一进程已经完成，在谷歌提供服务的所有地方，都可以通过Android Messages获得RCS服务。在某些地区和某些运营商，如果他们选择，谷歌将继续允许这些运营商运行你的RCS服务。 如前所述，谷歌将在本月推出测试版，而谷歌并没有加密聊天何时能毕业进入主应用的时间表。而对于愿意注册Android Messages公测版的人来说，要知道，和往常一样，谷歌将逐步推出该功能，所以你可能不会马上得到这项加密功能。只有当双方用户都在使用Android Messages并已收到更新时，端到端加密才会在一对一的聊天中发挥作用。在群组聊天中启用端到端加密是一个更棘手的问题，所以谷歌不会承诺扩展该功能的时间表。         （消息来源：cnBeta；封面来自网络）

英国政府透露，一支由间谍、网络专家和军方成员组成的新进攻部队已经在进行网络行动，以破坏敌对国家活动、恐怖分子和犯罪分子。这个新的组织被称为国家网络部队（National Cyber Force ）–旨在应对对英国国家安全的威胁，如打击恐怖阴谋，以及针对英国的军事行动等。 英国首相鲍里斯·约翰逊告诉议会，这个新组织已经成立并开始运作。他说：“我可以宣布，我们已经成立了一支国家网络部队，结合我们的情报机构和服务人员，它已经在网络空间开展行动，打击恐怖主义，有组织犯罪和敌对国家活动。” 国家网络部队汇集了来自情报机构GCHQ、国防部、国防科技实验室和秘密情报局–军情六处的专家，他们将提供其“招募和运行特工的专业知识，同时提供秘密行动技术的独特能力”。 GCHQ表示，网络行动的例子可能包括干扰手机，以防止恐怖分子能够与他们的联系人沟通，帮助防止互联网被用作严重犯罪的平台，或者保持英国军用飞机的安全，以免被敌对武器系统瞄准。 GCHQ主任杰里米-弗莱明说，国家网络部队 “汇集了情报和防御能力，以改变英国在网络空间与对手竞争的能力，保护国家、民众和我们的生活方式。” GCHQ表示，这支新部队建立在英国目前的国家进攻性网络计划基础上，包括GCHQ与军方合作开展网络行动。国家网络部队其实今年已经被政府提过几次了，早在2018年就有报道称，新部队将有2000人，预算将达到2.5亿英镑。 英国至少已经有过一些使用网络攻击或 “进攻性网络行动”的情况：2016年，政府表示对Daesh进行了网络行动；2018年，英国还被曝出对ISIS宣传网络使用了网络攻击。英国还曾向北约提供网络能力。 英国首相表示，关于国家网络部队的消息是更广泛的国防审查公告的一部分，旨在增加武装部队对技术的使用，创建一个“单一网络”来战胜敌人。 “在敌对领土上的士兵将通过卫星或无人机上的传感器对远处的埋伏发出警报，即时发出警告，利用人工智能设计最佳反应，并提供一系列选择，从召唤空中打击到命令群攻，由无人机或用网络武器麻痹敌人，”约翰逊说。 不过，如此强调网络行动并非没有批评者。由于对于什么是对网络攻击的适当反应并没有明确的规则，有人担心，由于不同的国家可能会按照不同的规则进行游戏，增加使用进攻性网络战能力可能会导致冲突时期的快速和难以控制的升级。 而有些人认为，宣传网络能力可以对潜在的攻击者起到威慑作用，但并不是所有的人都相信。直到最近NCSC的负责人Ciaran Martin在最近的一次演讲中说。“在我所有的行动经验中，我完全没有看到任何迹象表明，西方网络能力的存在，或我们使用它们的意愿，会阻止攻击者。” “我们有可能接受获取和使用更高端的网络能力是一个优先事项，而不测试这对我们自己的数字环境意味着什么的问题。我们还没有进行这种根本性的辩论，因为国家安全界和技术界并没有真正地相互交流，”他说。       （消息来源：cnBeta；封面来自网络）

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

交友网站Bumble暴露了用户的政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 在仔细查看了Bumble（通常由女性发起对话）的代码后，安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款，而且还能够访问近1亿用户个人信息。 该公司回应，Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示，此类服务与黑客颇有渊源。 漏洞详情 Sarda通过电子邮件告诉Threatpost：“我花了大约两天的时间找到了最初的漏洞，又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知，但这些问题可能会造成重大破坏。” 她对Bumble漏洞进行了反向工程，并发现了多个端点，这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。 Bumble Boost的另一项高级服务被称为The Beeline，它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说，她使用开发者控制台来找到一个端点，该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。 但是，除了高级服务之外，该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据，从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段，其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 黑客还可以判断用户是否安装了移动应用程序，以及他们的定位。 漏洞报告 Sarda说，ISE团队向Bumble报告了该发现，试图在公开进行研究之前缓解漏洞。 “在公司沉默了225天之后，我们着手进行了发表研究的计划，”萨达通过电子邮件告诉Threatpost，“只有当我们开始谈论公布时，我们才会在20/11/11收到HackerOne的电子邮件，内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。 Sarda解释说，她在11月1日进行了重新测试，所有问题仍然存在。截至11月11日，“某些问题已得到部分缓解。” 她补充说，这表明Bumble对他们的漏洞披露程序（VDP）的反应不够。 根据HackerOne的说法，并非如此。 “漏洞披露是任何组织安全状况的重要组成部分，” HackerOne在一封电子邮件中告诉Threatpost，“确保漏洞可以由人们自己解决，这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题，但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作，以确保迅速解决所有与安全相关的问题，并确认没有用户数据受 漏洞管理 Cequence Security常驻黑客Jason Kent认为，API是一种被忽视的攻击媒介，并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。           消息及封面来源：threatpost，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/RSKXqrIjesBr6qcIOXT5OA   一、概述 腾讯主机安全（云镜）捕获一个新的挖矿木马LoggerMiner，该木马在云上主机中攻击传播，会利用当前主机上的ssh账号信息对其他主机发起攻击，以控制更多系统。并且，LoggerMiner还会尝试对当前主机上的docker容器进行感染。 该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等。腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。该木马存在多个模块具备以下恶意行为： 利用ssh爆破感染其他云主机、修改ssh配置，关闭安全设置，留置后门，方便攻击者远程登录；向docker容器发送恶意命令，进行感染；木马的部分攻击代码尚未完工。 木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置，删除其他竞品挖矿木马创建的帐户、添加自己的新帐号，安装定时任务实现持久化等功能。 腾讯安全系列产品应对LoggerMiner挖矿木马的响应清单如下： 应用 场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）LoggerMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）LoggerMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload  Protection，CWP） 已支持检测： LoggerMiner挖矿木马相关文件查杀 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀LoggerMiner挖矿木马相关文件； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 该木马的代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等，腾讯安全团队据此将其命名为“LoggerMiner“。 LoggerMiner挖矿木马感染主机后会通过cron定时任务实现持久化，从定时任务里可以看到，LoggerMiner挖矿木马会执行3个恶意脚本，我们把这3个脚本定义为3个模块：xanthe、xesa、fczyo，然后逐个分析。 xanthe模块 首先看下xanthe模块，该模块有14个函数，大体功能如下： 具体函数执行步骤如下：   总结起来，xanthe模块大体执行流程如下： xanthe模块首先会检查感染标识文件/tmp/.firstrun-update_ivan1.pid是否存在，如果不存在则进行感染，下载并执行xesa和fczyo模块； 尝试下载挖矿程序java_c、进程隐藏模块libprocesshider.so、以及配置文件config.json并启动java_c挖矿程序； 尝试重新挂载/var/tmp、/tmp目录； 修改ssh配置文件，启用22和33768端口进行连接，允许root账号通过密码登录，允许密钥登录，关闭GSSAPI 认证等； 重启ssh服务； 尝试搜索当前主机的known_hosts、bash_history等配置文件，从里面获取用户名、主机地址、ssh密码/密钥信息，然后利用ssh执行感染模块xanthe。 部分功能代码片段如下： 1.感染判断： 2.利用当前主机上保存的ssh账号信息尝试感染其他机器：   除了以上功能外，该模块代码里有几个函数正在编写中，在此并未启用，从代码上看，该代码功能如下： 尝试搜索当前主机上的known_hosts文件，利用里面保存的ssh登录信息尝试登录并执行恶意代码； 安装masscan后，尝试扫描当前主机上开启2375端口的docker容器，然后利用命令行向容器内部发送恶意命令，实现docker容器感染； 还会尝试下载zgrab扫描器，下载后并未有其他动作，应该是代码没有完成。   相关代码片段如下： 1.利用当前主机上保存的ssh账号信息进行横向感染： 2.利用masscan扫描docker容器，并尝试感染docker容器： 3.下载zgrab扫描器 xesa模块 接下来分析xesa模块，该模块的8个函数功能大致如下： 从以上函数功能可以看出，xesa模块主要负责安全对抗，大致功能总结如下： 卸载阿里云等安全监控服务； 停止系统常用的日志监控服务syslog等； 结束其他挖矿木马进程； 修改系统安全设置等。 部分功能代码片段如下： fczyo模块 最后我们分析下fczyo模块，该模块函数功能大致如下： 从上面函数功能可以看到，该模块功能主要集中在持久化安装方面，大致功能如下： 通过cron安装定时任务，实现恶意代码执行； 通过/etc/rc.d/rc.local 实现开机自启动，实现恶意代码执行； 修改防火墙策略； 修改ssh配置文件，添加ssh密钥，实现免密码登录：         /opt/autoupdater/.ssh/authorized_keys         /opt/system/.ssh/authorized_keys         /opt/logger/.ssh/authorized_keys 添加后门账号，删除其他挖矿木马的后门账号： 添加的账号列表：sysall、system、logger、autoupdater；  删除的账号列表：darmok、cokkokotre1、akay、o、phishl00t、opsecx12   部分功能代码片段如下： 1.修改防火墙配置 2.ssh配置文件修改 3.系统账号添加及修改 IOCs URL hxxp://34.92.166.158:8080/files/xanthe hxxp://34.92.166.158:8080/files/fczyo hxxp://34.92.166.158:8080/files/xesa.txt hxxp://34.92.166.158:8080/files/java_c hxxp://34.92.166.158:8080/files/config.json hxxp://34.92.166.158:8080/files/libprocesshider.so hxxp://139.162.124.27:8080/files/xanthe hxxp://139.162.124.27:8080/files/fczyo hxxp://139.162.124.27:8080/files/xesa.txt hxxp://139.162.124.27:8080/files/java_c hxxp://139.162.124.27:8080/files/config.json hxxp://139.162.124.27:8080/files/libprocesshider.so hxxps://iplogger.org/11sxm hxxps://iplogger.org/17Cph7   Domain iplogger.org   IP 34.92.166.158 139.162.124.27   MD5 776227b07b2f1b82ffcc3aa38c3fae09 70b3ad8f1ce58203c18b322b1d00dd9a 7309b0f891a0487b4762d67fe44be94a 7633912d6e1b62292189b756e895cdae 025685efeb19a7ad403f15126e7ffb5a 83acf5a32d84330bbb0103f2169e10bb   钱包地址 47TmDBB14HuY7xw55RqU27EfYyzfQGp6qKmfg6f445eihemFMn3xPhs8e1qM726pVj6XKtyQ1zqC24kqtv8fXkPZ7bvgSPU   47E4c2oGb92V2pzMZAivmNT2MJXVBj4TCJHad4QFs2KRjFhQ44Q81DPAjPCVc1KwoKQEp1YHdRMjGLUe6YdHPx5WEvAha1u   ssh密钥 AAAAB3NzaC1yc2EAAAADAQABAAABAQDLVZNrAJ1uzR7d2bm1iUQPAgjuBlyLQQNaEHVmACWtGwwiOKMPiFBfBjuNJIyZFnGkkF gJP5fi8v1eqliaBgqERUDDtW/RZDDIz8DovDrA4/MGlxpCHLeViN+F62W/jgeufiQ7NiPTlPB3Fuh7E7QXXpXqQ6EmVlV0iWdzqRvSiDIB3 cIL6E2CrK47pY6Rp6rY2YKYzUhiZRqAMHViMR+2MARL2jERfF3CsG6ZXo/7UVVx+tqoKQDHPmz21mrulOF6RW5hh04dE2q1+/w6xm X8AxUSGmPdpwQa8GuV7NHHZmYO26ndTVi2ES472tJdkXVHmLX8B9Un42JLNVXwPU/Hlinux@linux.com

据路透社消息，在监管威胁加剧和严重安全漏洞的困扰下，社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko（因其黑客账号Mudge而广为人知）担任新的安全主管一职，赋予他广泛的授权，对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责，预计在经过45到60天的审查后，他将接管关键安全职能的管理。 Zatko在接受专访时表示，他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。 Zatko最近在电子支付独角兽Stripe负责安全工作。在此之前，他曾在谷歌从事特殊项目的工作，并在五角大楼著名的国防高级研究与计划局（DARPA）监督发放网络安全项目的拨款。Zatko多姿多彩的职业生涯始于20世纪90年代，当时他同时为一家政府承包商进行机密工作，并且是Cult of the Dead Cow（一个因发布Windows黑客工具而臭名昭著的黑客组织）的领导人之一，以激励微软改善安全状况。 “我不知道是否有人能解决Twitter的安全问题，但他会是我的首选。”Dan Kaufman说，他曾在DARPA监督Zatko，现在是谷歌高级产品组的负责人。 Twitter面临众多安全挑战。一年前，美国政府指控两名男子多年前在Twitter工作时为沙特从事间谍活动，称他们传递了有关沙特王国批评者的私人信息。 7月，一群年轻的黑客欺骗了员工，并赢得了对内部工具的访问权，这让他们改变了账户设置，然后从当时的总统候选人乔·拜登，微软创始人比尔·盖茨和特斯拉首席执行官埃隆·马斯克的账户中发推文。 “今年夏天的数据泄露事件是一个重要的提醒，提醒人们在建立一些必要的基本安全功能方面，Twitter需要走多远，以运行一个被对手瞄准的服务，比因该事件被捕的青少年更熟练，”前Facebook首席安全官、现任斯坦福大学研究员Alex Stamos说，他曾帮助领导打击选举虚假信息的努力。 曾经在Zatko的安全咨询公司工作过的Stamos称，对于一家缺乏Facebook和谷歌财力的公司来说，他是一个非常合适的人选。“他们将不得不为这些问题找到创造性的解决方案，如果说Mudge在安全领域有什么出名的地方，那就是有创造性。” Zatko表示，他致力于改善Twitter上的公共对话。他称赞了最近的一项举措，即通过提示用户发表评论而不是简单的转发来增加“摩擦力”；他说，下一步可能是强迫人们在参与长对话之前理解对话内容。 Zatko说，他赞赏Twitter对非常规安全方法的开放态度，比如他提出的通过操纵从Twitter收到的关于人们如何与他们的帖子进行互动的数据来迷惑坏人。“他们愿意承担一些风险，”Zatko谈到他的新雇主时说。“在算法和算法偏差的挑战下，他们不会袖手旁观，等待别人解决这个问题。”       （消息及封面来源：cnBeta）