在深入调查后卡巴斯基表示，华硕并非是 影锤 （ ShadowHammer ） 攻击行动的唯一受害者，至少还有6家其他组织被攻击者渗透。除了华硕之外，卡巴斯基表示还有来自泰国的游戏发行商 Electronics Extreme、网页&IT 基础服务公司 Innovative Extremist、韩国游戏公司 Zepetto，另外还有来自韩国的一家视频游戏开发商、一家综合控股公司和一家制药公司。

影锤攻击行动在最初是在华硕的升级服务中发现的新型供应链攻击方式。华硕电脑一般都默认预装了华硕的 Live Update Utility 软件，用于更新华硕电脑专用的驱动、软件、BIOS 和补丁等，用户在使用该软件更新时可能会安装植入后门程序的软件更新包。黑客疑似入侵控制了华硕的更新服务，篡改使用合法证书签署的安装包，在官方给用户推送的升级软件包中加入了恶意代码。

来源：cnBeta.COM

更多资讯

GitHub 公开 Bilibili 寄来的 DMCA 删除通知

根据 GitHub 的透明政策，当一个代码库应版权所有者的要求移除，它会公开对方发来的 DMCA 删除通知。本周早些时候，匿名人士公布了Bilibili 网站后台工程源代码，Bilibili 迅速发出 DMCA 通知删除该代码库。现在，GitHub 公开了 Bilibili 寄来的 DMCA 删除通知。

这个通知引人注目之处在于它非常的不正式。Bilibili 是一个在美国上市的中国知名网站，但它的通知一点不像是一个正式的法律文件，它的开头是“Hello Dear Github:”，然后是“We Are:”，最后一句是“求求你们帮助我们吧，还加了三个感叹号（Please help us!!!）”，就像它的源代码一样，它的通知也在社交网络上引发了广泛热议。

来源： solidot.org

详情： http://t.cn/EajnbX6

腾讯安全提醒：暴风影音等数千款 APP 遭恶意 SDK 嵌入

4 月 24 日消息，公众号“腾讯安全联合实验室”称，近日，腾讯安全反诈骗实验室追踪到一款恶意 SDK 子包，该恶意子包已“潜伏”在掌通家园、暴风影音、天天看、塔读文学等数千款移动应用中，潜在可能影响上千万用户。

来源： 快科技

详情： http://t.cn/EajnfU3

这个黑客靠猜测私钥 成功窃取了 4.5 万个 ETH

4 月 23 日，分析机构 Independent Security Evaluators 发布的一份报告称，一名“区块链强盗”通过成功猜测安全性较弱的私钥，成功窃取了近 4.5 万个 ETH。

来源： 新浪财经综合

详情： http://t.cn/EajnJgS

日媒：日本企业至少 268 万份客户信息可能外泄

中新网 4 月 24 日电，据日本共同社 24 日统计报道，由于遭受网络攻击，2018 年日本企业发生外泄或可能外泄的个人信息至少达到268万份。据悉，日本酒店和大学的信息外泄情况严重。

来源： 中国新闻网

详情： http://t.cn/EajnS0N

（信息来源于网络，安华金和搜集整理）

一款流行的 Android 热点（WiFi）搜寻 App“WiFi Finder”暴露了 200 多万个网络的 WiFi 密码。目前已有数千人下载了这款 WiFi Finder 应用，它允许用户搜索附近的 WiFi 网络。但同时，这款应用也允许用户将 WiFi 密码从自己的设备上传到数据库，供其他人使用。

这个包含了 200 多万个网络密码的数据库并未受到任何保护，允许任何人访问，并批量下载这些内容。

网络安全研究人员萨亚姆·杰恩率先发现了这个数据库，并将其发现报告给了 TechCrunch。

TechCrunch 试图联系开发商，但无济于事。最后，TechCrunch 联系上了数据库托管商 DigitalOcean，后者在一天内就关闭了该数据库。

据悉，数据库中的每条记录都包含了 WiFi 网络名称、精确的地理位置、基本服务集标识符（BSSID）和明文存储的网络密码。

来源：新浪科技

更多资讯

手机是否需要安装杀毒软件 看完你就知道答案

虽然我们都已经习惯了要在电脑上安装反病毒软件，但是这种习惯在手机上就不那么常见了，很少有人会在手机上安装反病毒软件，那么手机是否会受到病毒的侵扰呢？到底是否需要给手机也安装反病毒软件呢？

来源： 环球科技

详情： http://t.cn/Ea9tTgH

俄罗斯黑客瞄准了各国驻欧洲大使馆和相关官员

根据 CheckPoint Research 的一份新报告，俄罗斯黑客最近通过向官员发送伪装成美国国务院官方文件的恶意附件，攻击了欧洲的一些大使馆。黑客攻击的目标是尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大和黎巴嫩等国的欧洲大使馆。

来源： cnBeta.COM

详情： http://t.cn/Ea9tnP8

收集使用未成年人个人信息应征得监护人同意

互联网时代该如何保护个人信息？4 月 20 日，民法典人格权编草案再次提请全国人大常委会会议审议。其中，有关个人信息保护的规定是此次二审稿的重要修改内容之一，引起广泛关注。

来源： 新华网

详情： http://t.cn/Ea9td6H

全国人大常委会组成人员建议：对企业泄露个人信息的情况做专门规定

日前，民法典人格权编草案二审稿正式提请十三届全国人大常委会第十次会议审议。《每日经济新闻》记者注意到，在草案二审稿中，就用专章对隐私权和个人信息保护作出专门规定。

来源： 每日经济新闻

详情： http://t.cn/Ea9tFaC

（信息来源于网络，安华金和搜集整理）

英国国家网络安全中心（NCSC）发布了一份列表，列出了数据泄露中出现的 100000 个最常见的密码，以鼓励用户选择强密码。到目前为止，数据泄露中显示的最常用密码是 “123456”，有 2320 万个帐户使用此密码。另外，全世界有 770 万用户选择使用 “123456789” 作为密码。

紧接着排名靠前的三个密码均被超过 300 万用户使用：“qwerty” 出现 3.8 万次，“password” 出现 3.6 万次，“111111” 出现 310 万次。

许多常用的密码都是由一系列简单的数字构成，或将相同数字重复六到七次。

“iloveyou”、“monkey” 和 “dragon” 也排在最常用密码的前 20 位。

此外，成千上万的用户只使用一个名称作为密码。每年有超过 400,000 名用户使用 “ashley”、“michael” 和 “daniel”；“jessica” 和 “charlie” 各被使用超过 300,000 次。

这些可能是用户自己的名字，这意味着如果黑客获取了一个电子邮件地址而没有密码，那么使用受害者的名字来破解它可能会令人大开眼界。

当用户选择简单密码时，乐队也是一个常见的主题。密码列表详细说明 285,706 用户选择 “blink182” 作为他们的密码——这使得 pop-punk 乐队成为最常用的音乐相关密码。“50cent”、“enimem”、“metallica” 和 “slipknot” 都被使用了超过 140,000 次。

球队也是一大密码主题。“Liverpool” 在密码中赢得了最常用的英超足球队冠军头衔。其余最常遭泄露的此类密码分别为 “chelsea”、“arsenal”、“manutd” 和 “everton”。

使用自己喜欢的球队作为密码的人很容易发现自己是黑客攻击的受害者——许多体育迷会在社交媒体上谈论他们最喜欢的球队，因此对于网络犯罪分子来说，在社交媒体上寻找这些信息以破解帐户可能相对简单。

对此，NCSC 技术总监 Ian Levy 博士给出建议：

密码重用是一个可以避免的主要风险，没有人应该用可以猜到的东西保护敏感数据，比如他们的名字、当地足球队或最喜欢的乐队。

使用难以猜测的密码是一个强有力的第一步。我们建议结合三个随机但令人难忘的单词，这样人们就无法猜出你的密码。

来源：开源中国

更多资讯

AV-TEST 反病毒测试表明：Google Play Protect让人失望

近日，知名安全评测机构 AV-TEST 对 19 款面向移动平台的防病毒解决方案进行了测试。结果发现，谷歌官方的 Google Play Protect，无法做到完全让人信赖。本轮测试对 19 款 Android 安全软件的防护、可用性、功能性进行了综合评估，满分分别为 6 分、6 分、以及 1 分。

来源： cnBeta.COM

详情： http://t.cn/EaxuJCK

Google 故意破坏竞争对手的浏览器？

前 Firefox 副总裁 Johnathan Nightingale 早些时候公开指责 Google 通过各种动作破坏 Firefox。他的故事引起了很多人的共鸣。Nightingale 不是第一个提出此类指控的 Firefox 团队成员。去年 Mozilla 的技术项目经理 Chris Peterson 指责 Google 让 YouTube 在 Edge 和 Firefox 上加载缓慢。

来源： solidot.org

详情： http://t.cn/EaxuaZV

B 站网站后台工程源码疑似泄露 内含部分用户名密码

4 月 22 日消息，据微博@互联网的那点事 爆料称，哔哩哔哩（B 站）整个网站后台工程源码泄露，并且“不少用户名密码被硬编码在代码里面，谁都可以用。”新浪科技在 GitHub 上查询后发现，平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时，该项目已获得 6597 个星标和 6050 个代码库分支。

来源： 新浪科技

详情： http://t.cn/EaxuKYB

（信息来源于网络，安华金和搜集整理）

法国政府正式发布了它开发的替代 Telegram、WhatsApp 等的端对端加密消息应用 Tchap，支持 iOS 和 Android。Tchap 由法国数字部 DINSIC 开发，基于端对端加密、去中心化实时通讯系统 Matrix 的开源客户端 Riot。Tchap 也是开源的，源代码发布在 Github 上，任何感兴趣的机构可以部署自己的 Tchap 版本供内部使用。

来源：solidot.org

更多资讯

甲骨文例行更新又来了，这次修复了 297 个漏洞

甲骨文（Oracle）发布了每季一次的 Critical Patch Update 安全更新，总计修复了 297 个产品漏洞，当中有 53 个漏洞的 CVSS（Common Vulnerability Scoring System）评分高达 9 或以上，被视为应优先修复的对象。

来源： 开源中国

详情： http://t.cn/Eaqv88D

Mozilla Firefox 将默认启用点击跟踪

上周，Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“ 链接审计 （ hyperlink auditing ） ”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。

来源： solidot.org

详情： http://t.cn/EaqvuaC

微软工程师希望独立 impl 进程改进 Chromium 的滚动效果

在拥抱 Chromium 之后，微软正积极为这款开源网页浏览器做贡献。目前谷歌的 Chrome 浏览器拥有自己的平滑滚动功能，而微软希望进一步优化来增强使用体验。在今年早些时候分享了对 Chromium 鼠标行为的看法之后，微软正计划改善 Windows 平台 Chromium 的滚动效果。

来源： cnBeta.COM

详情： http://t.cn/Eaqvgy5

法治政府蓝皮书建议：将行政赔偿扩至个人数据保护领域

《法治政府蓝皮书——中国法治政府发展报告（2018）》21 日在中国政法大学发布。针对备受关注的个人数据保护问题，报告建议，将行政赔偿等行政救济方法扩展到个人数据保护领域，促使行政机关加强个人数据的储存安全与保密力度。

来源： 新京报

详情： http://t.cn/EaqPwss

（信息来源于网络，安华金和搜集整理）

英国安全研究员 Marcus Hutchins（MalwareTech），2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。

来源：solidot.org

更多资讯

勒索软件攻击致使 The Weather Channel 停播

根据《华尔街日报》报道，周四 The Weather Channel（天气频道）遭勒索软件攻击，导致其一个现场直播的电视节目停播。停播持续大约一个多小时，攻击发生时美国东南部天气十分恶劣。美国联邦调查局告诉《华尔街日报》，勒索软件攻击是问题的根源，该机构正在进行调查。

来源： solidot.org

详情： http://www.dbsec.cn/zx/20190421-2.html

印度支付卡欺诈发案率快速上升 名列全球第二

根据网络安全公司Gemini Advisory发布的网络犯罪统计数据，2018年，超过320万张印度支付卡记录被泄露，并在网上发布供出售，这与去年相比有了很大的飞跃，当时只有80万张印度支付卡的详细信息被发布在网络犯罪论坛上。

来源： cnBeta.COM

详情： http://t.cn/EaActwV

计算机故障被指延误了巴黎圣母院的灭火

巴黎圣母院周一晚上六点左右失火，最有可能的失火原因是电梯的电气短路，但一个计算机 bug 被指耽搁了灭火行动，导致了火势的快速蔓延。法国媒体报道称，在晚上六点后不久火警响起，但计算机 bug 在错误的地点显示了起火的位置。

来源： solidot.org

详情： http://t.cn/EaAcxIJ

薅羊毛薅到犯罪 有人非法套取信用卡积分获利被判刑

获取积分，兑换礼品，这是不少消费者，尤其是年轻群体熟悉的生活方式，有人把这种赚取优惠的行为戏称为“薅羊毛”。但是，“羊毛”薅得太狠，也会违法犯罪，山东、上海等地最近先后有人因为通过虚假交易等方式获取信用卡积分和礼品，被判诈骗罪。

来源： 央广网

详情： http://t.cn/EaAco6w

（信息来源于网络，安华金和搜集整理）

768k 日即将临近，它有可能会导致部分网络发生故障，但不用恐慌，你也可能会很幸运的体验不到任何问题。768k 日发源于 512k 日，512k 日是指路由器耗尽了储存全球 BGP 路由表的内存，它于 2014 年 8 月 12 日到来，导致了全世界数以百计的 ISP 发生网络故障。

在 512k 日来临之际，许多旧的路由器收到了紧急更新，分配了更多内存去储存 BGP 路由表，而新分配的值是 768k 或 768,000。现在 768k 的限制又要突破了。根据最新的数据，全球路由表已经达到了 767,392，无限接近 768k。

网络工程师和专家预测，768k 日将会在下个月到来，但这一次应该不会发生像 2014 年那样严重的网络问题，不过小型的地区 ISP 可能会遇到问题。

来源：solidot.org

更多资讯

car2go 汽车共享 App 遭黑客入侵，100 多辆豪华汽车被窃

据 TheDrive 网站报道，黑客近日入侵 car2go 汽车共享应用 APP，并在芝加哥窃取了 100 多辆高端豪华汽车。

来源： 盖世汽车

详情： http://t.cn/EXkMHek

穆勒报告披露更多俄罗斯如何攻击 DNC 及希拉里竞选团队的信息

据外媒报道，穆勒报告带来了俄罗斯政府如何入侵希拉里·克林顿总统竞选团队以及美国民主党全国委员会(DNC)文件和电子邮件的新信息。该份报告证实，俄罗斯曾一度使用位于美国的服务器展开大规模数据渗漏行动。

来源： cnBeta.COM

详情： http://t.cn/EXkMEgM

Facebook 承认员工可获取数百万 Instagram 用户的明文密码

Facebook 周四称，该公司员工可在一个内部数据库中看到数以百万计的 Instagram 用户密码，这些密码以可搜索的格式存储在数据库中。Facebook 此次宣布的这一消息是对上个月发表的一篇博文的更新，当时该公司披露信息称，公司员工可以看到数百万 Facebook 用户密码。

来源： 新浪科技

详情： http://t.cn/EXkxvOH

（信息来源于网络，安华金和搜集整理）