一周安全头条（20181216-1222）

作者：aqniu 日期：2018年12月22日阅：10,654

1. 数据泄露国家安全

近日，一位Twitter用户贴出了暗网的链接，透露其中包含FBI以及法国警方的成员清单，20000+名FBI警员信息，包含姓名、职务、电话、邮箱等信息。

2. 国家安全钓鱼邮件

迈克菲近日发现新一轮针对美国或英语国家的企业和机构的黑客攻击——“神枪手”行动。本次攻击通过向目标公司关键人物发送针对性的含有带毒Word文档网络钓鱼邮件，监视网络并加密发送加密数据来实现。此次攻击的重点目标是核能、国防机构、能源及金融企业在内的关键基础设施。据悉，背后黑手可能是朝鲜。

3. 数据泄露特殊权限

近日，纽约时报一份报道指出，Facebook给与了150多家企业特殊权限，其中包括微软、苹果和亚马逊。这些企业各有不同的特殊权限，包括了不需要用户同意即可直接查看用户的姓名、联系方式，甚至部分企业（比如Netflix和Spotify）能直接阅读用户的私人信息。在这件事件被曝出后，相关联的企业都不同程度地对此进行了否认。

http://t.cn/E4GFC10

4. 数据泄露 API漏洞

Facebook再次发生信息泄露事件。近日，Facebook宣布，由于他们相册API的一个漏洞，使得超过6,800万用户的照片被泄露给了第三方开发者。该泄露事件发生在9月13日到9月25日之间，总共大约有876名开发者开发的总共1,500多个应用可以访问到用户的相册。尽管Facebook已经修复了漏洞，但是他们依然在和开发者联系让他们删除所有相关信息。

http://t.cn/E4GrpvO

5. 政策法规漏洞管理

美国众议院能源和商业委员会发布报告，指出网络安全事件预防与缓解策略。作为众议院监督与调查委员会工作的一项总结，该报告囊括了来自众多简报、听证会、信件、报告和圆桌会议的结论，提出了改善漏洞防护的6项重点工作。

6. 漏洞悬赏

美国国防部与漏洞悬赏平台HackerOne周四宣布了Hack the Air Force 3.0活动的结果。该活动由美国空军组织，同时HackerOne协助，在10月19日于11月22日之间进行。近30名白帽子参加了挑战，共发现超过120个漏洞，总共获得奖金13万美元。

http://t.cn/E4IEADB

7. 路由器挖矿

近日，研究人员发现，全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示，针对该品牌的一系列加密攻击始于今年8月，当时安全专家发现有20多万台设备被感染。从那以后，这个数字又增加一倍多。

8. 漏洞浏览器

近日，SQLite 被曝存在一个影响数千应用的漏洞，该漏洞涉及所有底层支持 SQLite 和 Web SQL API的浏览器，包括Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响，甚至嵌入SQLite的物联网设备、桌面软件、Android 与 iOS 应用都会受其影响。据 ZDNet 报导，该漏洞允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。

9. 安全态势网络犯罪

近日，Cybersecurity Ventures 预测：到2021年，网络犯罪将给世界造成6万亿美元损失，比2015年的3万亿翻一倍； 2017-2021年全球网络安全开支将超1万亿美元；到2019年，每14秒就会有一家公司沦为勒索软件攻击受害者，2021年时这一间隔将缩短至每11秒；IoT设备是2018年最大的技术犯罪驱动器，且所有迹象表明这一状态在2019年仍将持续。最后，Cybersecurity Ventures还指出，未来通过培训员工如何识别和防御网络攻击是网络安全行业最值得投资一个领域。