除了提供自己的身份证件和旅行证件，今后进入美国的外国游客将被要求提供 Twitter 和 Instagram 等社交账户账号。12 月 19 日，美国政府已经通过了国土安全部提交的新提案，要求旅客在进入美国的边境核查单上填写自己的社交媒体账户名称，但是不会要求提供密码。美国国土安全部识别和抓捕试图进入美国恐怖分子的最新尝试，主要用于反恐及安全考虑。 早在今年六月，美国国土安全部就提交了该提案，要求更新入境申请表。申请者需说明自己使用哪些社交媒体和社交媒体帐号，使用者名称等等。但此项目属于选填项( optional )，申请者可自行决定是否需要填写这些资料。此项规定将针对所有非美国公民，即使是那些通过免签证计划进入美国的游客。这些信息将连同指纹，面谈等数据被收集进入数据库检查。尽管这些信息是可自由选填，但赴美游客很难不填写这些资料，因为他们担心可能因此无法入境美国。这是美国国土安全部识别和抓捕试图进入美国恐怖分子的最新尝试。收集社交媒体数据将提升现有的调查过程，并为美国国土安全部提供关于恐怖活动更大的清晰度和能见度。 稿源：cnbeta 有删改，封面来源：百度搜索

安全研究员 Pedro Ribeiro 发现美国 Netgear 路由器 WNR2000 存在多个漏洞。如果路由器开启了远程管理功能，攻击者可利用漏洞获取管理员密码、完全控制受影响设备。 安全研究员在 11 月 29 日收到 CERT 回复称 NETGEAR 不理睬漏洞报告并建议公布漏洞信息。 专家表示， NETGEAR WNR2000 路由器允许管理员通过一个名为 apply.cgi 的 CGI 脚本在 Web 管理界面执行敏感操作。研究员逆向分析脚本发现，另外一个函数 apply_noauth.cgi 可允许未经身份验证的用户在设备上执行相同的敏感的操作，如重启路由器、恢复出厂设置。研究员还发现函数 URL 中可添加“时间戳”变量从而执行其他功能，如改变互联网无线局域网设置或检索管理员密码，攻击者再结合信息泄漏的相关漏洞，有很大可能恢复管理员密码。该密码可用来启用路由器的 telnet 功能，如果攻击者和设备在同一局域网内，攻击者可远程登录路由器并获得 root shell 。 重新启动路由器代码： ==== POST /apply_noauth.cgi?/reboot_waiting.htm HTTP/1.1 Host: 192.168.1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 26 submit_flag=reboot&yes=Yes ==== 最后研究员还发现了一个堆栈缓冲区溢出漏洞。最终未经认证的攻击者可结合利用栈缓冲区溢出漏洞、apply_noauth.cgi 问题以及时间戳识别攻击，获得该设备的完全控制权并在局域网或广域网中的远程执行代码。 开启远程管理功能后受影响的版本： WNR2000v5，所有固件版本（硬件确认） WNR2000v4，所有的固件版本（仅由静态分析确认） WNR2000v3，所有的固件版本（仅由静态分析确认） 此前，Netgear 路由器 R7000 和 R6400 型号也被报出存在任意命令注入漏洞。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道当地时间  21 日，近期活跃于各国大使馆网站的年轻黑客 Kapustkiy 再次出现，这次的目标是哥斯达黎加驻中国大使馆网站。 据报道，该大使馆网站（www.costaricaembassycn.com）搭建于 WordPress 平台上，黑客 Kapustkiy 通过多个 SQL 注入漏洞入侵大使馆网站，访问了包含 280 条登录凭证的数据库，并通过对外发布其中 50 条数据 作为网站已被入侵的证据。被泄露的信息包括用户名、电子邮件和加密密码。Kapustkiy 表示已将漏洞报告给 CNCERT /CC 和网站管理员。 本周一，黑客 Kapustkiy 就曾利用 SQL 注入漏洞入侵了斯洛伐克商务部网站（ www.scci.sk ）数据库，造成至少 4000 个用户数据泄露。 稿源：本站翻译整理，封面：百度搜索

当地时间 12 月 19日晚间，俄驻土耳其大使在土耳其首都参加艺术展开幕式时遭枪击后身亡。虽然随后刺客被击毙，但调查仍需要继续，刺客生前所使用的手机成为了重要的突破口。苹果现在就被拖入此案件当中，因为刺客使用的正是一部 iPhone 4S。根据 MacReports 的报道，案件发生之后当地官员就向苹果发出了解锁手机的要求，但目前苹果还没有回应。 当地媒体表示，从以往的办事风格来看，苹果很有可能会拒绝土耳其当局的要求。不过媒体也透露，如果苹果拒绝，那么俄罗斯当局将会插手解锁 iPhone 一事。报道称，一名土耳其官员已经证实，俄罗斯目前正在计划往土其耳派遣一支特别的技术团队，其目的就是解锁刺客所使用的 iPhone 4s。 稿源：cnbeta 节选，有删改；封面：百度搜索

据外媒报道，团购网站 Groupon 多个用户账户疑遭到黑客入侵，账户银行卡存款被盗取用来购买欧洲度假服务、高端电子设备、星巴克礼品卡等昂贵物品，单起盗窃金额最高达 2,420 英镑。用户纷纷指责 Groupon 未能保护好账户安全及时发现异常情况、阻止欺诈行为。 团购网站 Groupon 表示最近确实接到少部分用户投诉称遭到欺诈攻击、账户余额被盗用。目前已成立专案小组调查该问题，如果证实问题是平台导致的， Groupon 将立即赔偿用户损失的金额。Groupon 向公众澄清，网站系统用没有遭到黑客入侵、移动应用也不存在安全漏洞。犯罪分子很可能通过其他渠道的数据泄露获取了用户登录凭证，比如木马攻击、网络钓鱼邮件、恶意软件和间谍软件攻击，用户因避免密码重用。 稿源：本站翻译整理，封面来源：百度搜索

欧盟最高法院做出 裁决（ PDF ），政府只有在打击严重犯罪时才能强制收集计算机数据。这一裁决 直接挑战了英国的监视法律。英国最近通过的监视法律要求 ISP 提供不加筛选的用户记录，并储存所有英国居民的移动和桌面浏览历史最长一年时间。欧盟司法法院认为，如此大规模的收集用户数据将让公民感觉受到了持续的监视，允许政府得到个人私生活的精确结论。这种做法只有在打击严重犯罪时才能被认为是正当的，欧盟法院认为英国的监视法律超出了必要的限制，在民主社会中无法证明其合理性。英国政府将对裁决提起上诉，即使上诉失败了，退出欧盟也让大不列颠有机会无视这一裁决。英国内政部已对这一裁决表示失望。 稿源：solidot 有删改，封面来源：百度搜索

专门瞄准知名大佬推特帐号的黑客集团 OurMine 沉寂一个多月后，于近日再次行动，先后攻陷了在线影片租赁提供商 Netflix 、美国国家橄榄球联盟 NFL 、漫威娱乐公司以及“美国队长”等多个“美国英雄”官方 Twitter 账号。 据外媒 21 日报道，黑客接管了在线影片租赁提供商 Netflix 的官方 Twitter ，并向 250 万粉丝发送多则消息。黑客除了发表言论奚落 Netflix 的安全性差，还继续声称这只是安全测试。 昨日， OurMine 又再次行动接管了漫威娱乐（ @Marvel Entertainment ）和美国国家橄榄球联盟 NFL 的 Twitter 账号。通过漫威账号，黑客还接管了其他相关联的账户如复仇者、美国队长、钢铁侠等账号。 幸运的是，黑客集团 OurMine 只是为“安全测试”入侵账户并发表文字消息，如果消息中含恶意链接，那么将有众多粉丝因此而蒙受损失。尚不清楚黑客如何在一天之内入侵如此多账号。 此前，黑客 OurMine 还入侵过 Facebook 现任首席执行官马克·扎克伯格等众多大佬的社交账户。 稿源：本站翻译整理，封面来源：百度搜索

联邦德国内阁会议决定 扩大德国国内录像监视 。根据内政部长提交的一揽子法律草案，德国将允许尤其在体育场所和购物中心加强录像监视。自动识别面部的”智慧”监视也将扩大。此外，也将为联邦警察配备”随身摄像机”以及用于识别机动车牌照的阅读系统。 相关决定是对本周一导致 12 人丧生的柏林圣诞市场袭击案的直接反应。但德国左翼党怀疑扩大监控只能增加虚假的安全感，而柏林绿党则反对扩大监视。 稿源：solidot奇客，封面：百度搜索

据外媒报道，近日安全公司  CrowdStrike 发布研究报告称，俄罗斯黑客组织“梦幻熊”（Fancy Bear）通过安卓恶意软件成功入侵乌克兰炮兵部队的军事系统。 报告显示，恶意软件在 2014 – 2016 年间被用来跟踪乌克兰部队，如追踪苏联制造 D-30 榴弹炮单位，已有证据表明恶意软件已将乌克兰东部炮兵部队的地理信息等数据发送至俄罗斯军队。 被感染恶意软件的应用原本由乌克兰炮兵军官 Yaroslav Sherstuk 开发，能将火炮武器瞄准时间从数分钟缩短到 15 秒以内。 “奇幻熊”将恶意程序放置于乌克兰军事论坛中，成功感染多名乌克兰炮兵部队工作人员手机。统计结果显示，目前至少 9000 台安卓设备感染了含恶意软件的安卓应用。 稿源：本站翻译整理，封面：百度搜索

电信网络诈骗 3000元以上可判刑，超50万元最高可判无期，发布诈骗信息网页浏览量超 5000 次，可判 3-10 年；为诈骗分子制作、提供“剧本”，将以诈骗共同犯罪论处。最高法院、最高检察院、公安部 20 日联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《意见》)，规定诈骗致人自杀，诈骗残疾 人、老年人、未成年人、在校学生等将从重处罚，发送诈骗信息 5000 条以上、拨打诈骗电话 500 人次以上的，以诈骗罪(未遂)定罪处罚。 关注《意见》焦点： ① 如何定罪量刑：发布诈骗网页浏览量超 5000 次可获刑 ② 统一数额标准：3000 元以上为“数额较大” ③ 明确共犯从犯：为诈骗撰写提供“剧本”以同犯论处 ④ 尽力追赃挽损：骗得钱财用来还债也或将被追缴 今年 1 月至 11 月，全国共破获各类电信网络诈骗案件共 9 .3 万起，查处违法犯罪人员 5.2 万人。去年以来，全国共破获电信网络诈骗案件数量 11.5 万起，查处违法犯罪人员 5 .5 万人，并建立诈骗电话通报关停机制，关停诈骗电话 80 多万个，已返还 1 .3 亿元人民币给受害人。 稿源：根据 cnbeta 节选；封面：百度搜索