【普普每周安全資訊】【7月第三周】
北京鼎普

作者:

時(shí)間:
2019-07-14

微軟帳戶兩年內(nèi)不活躍將被刪除,不會(huì)發(fā)送警告郵件

2019.07.15 周一

微軟公司更新了Microsoft帳戶的支持頁面,變更了賬戶的活動(dòng)策略。如果兩年以上未使用(處于非活躍狀態(tài)),賬戶將被刪除,所有擁有Microsoft帳戶的用戶都應(yīng)遵循這些規(guī)則,以確保其帳戶不會(huì)被波及。根據(jù)支持頁面信息,微軟將刪除兩年以上未使用的Microsoft帳戶。用戶必須每兩年至少登錄一次Microsoft帳戶,否則微軟將刪除帳戶而不發(fā)出任何警告通知。這個(gè)新政策將于2019年8月30日生效。

普普評(píng)述:

減少僵尸賬戶,也相應(yīng)減少部分隱患。



英國互聯(lián)網(wǎng)服務(wù)提供商協(xié)會(huì)反對(duì)Mozilla為Firefox提供DNS隱私功能

2019.07.16 周二?

英國互聯(lián)網(wǎng)服務(wù)提供商協(xié)會(huì)對(duì)Mozilla在其Firefox瀏覽器中提供DNS-over-HTTPS(DoH)協(xié)議發(fā)表了看法。該技術(shù)可以加密DNS連接并將其隱藏在常見的HTTPS流量中,這將使ISP很難窺探用戶的互聯(lián)網(wǎng)流量,從而難以知曉用戶正在訪問哪些網(wǎng)站。而目前,大部分的DNS請(qǐng)求通過純文本UDP連接發(fā)送。據(jù)IPSAUK稱,這將“繞過英國過濾義務(wù)和家長控制,破壞英國的互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。”

普普評(píng)述:

如果DNS加密,可能會(huì)給不法份子提供了便利。



優(yōu)酷聲明:收回被黑灰產(chǎn)冒領(lǐng)VIP

2019.07.17 周三?

此前網(wǎng)上流出一條免費(fèi)領(lǐng)取優(yōu)酷VIP一年權(quán)益的鏈接,該鏈接被分享到社交網(wǎng)站后,大量用戶涌入領(lǐng)取優(yōu)酷VIP會(huì)員(目前Bug已經(jīng)修復(fù))。對(duì)此優(yōu)酷會(huì)員官方微博發(fā)布聲明,為保障運(yùn)營秩序以及正常領(lǐng)用會(huì)員的權(quán)益,第一時(shí)間停止該權(quán)益活動(dòng),并且按照《會(huì)員協(xié)議》和《用戶協(xié)議》規(guī)則,取消黑灰產(chǎn)惡意領(lǐng)用及轉(zhuǎn)售等違約違規(guī)行為所涉權(quán)益。優(yōu)酷方面表示,我們對(duì)黑灰產(chǎn)表示強(qiáng)烈譴責(zé),目前已經(jīng)向公安機(jī)關(guān)反映情況。同時(shí)對(duì)于通過正當(dāng)途徑已領(lǐng)取權(quán)益的用戶,平臺(tái)予以保留會(huì)員權(quán)益,不作取消。

普普評(píng)述:

“免費(fèi)”的時(shí)代就這樣沒有了。



谷歌再爆隱私問題:清空Gmail你的購物記錄依然存在

2019.07.18 周四?

谷歌和其他科技公司最近因各種問題飽受批評(píng),其中包括未能保護(hù)用戶數(shù)據(jù),未能披露其收集和使用的數(shù)據(jù),以及未能管理其所提供服務(wù)上發(fā)布的內(nèi)容。近日有用戶在谷歌的賬戶管理頁面上發(fā)現(xiàn)一些奇怪的東西,如果在交易的任何部分使用了Gmail或Gmail地址,谷歌會(huì)使用Gmail來保存一份清單,記錄你購買的一切東西。包括再清空Gmail之后,依舊可以看到我?guī)啄昵暗馁徫锸論?jù)。谷歌似乎是將這些個(gè)人信息緩存或保存在其他位置,而這個(gè)位置不只是與用戶Gmail賬戶綁定。

普普評(píng)述:

關(guān)聯(lián)性的弊端就是不能完全清除。



阿里、騰訊等11家企業(yè)簽訂防范治理電信網(wǎng)絡(luò)詐騙責(zé)任書

2019.07.19 周五??

在中國互聯(lián)網(wǎng)大會(huì)“2019防范治理電信網(wǎng)絡(luò)詐騙論壇”上,工信部組織阿里巴巴、騰訊、百度、京東、字節(jié)跳動(dòng)、拼多多、新浪微博、58同城、美團(tuán)、世紀(jì)佳緣、網(wǎng)宿科技11家單位,簽訂“重點(diǎn)互聯(lián)網(wǎng)企業(yè)防范治理電信網(wǎng)絡(luò)詐騙責(zé)任書”,進(jìn)一步壓實(shí)企業(yè)主體責(zé)任,切實(shí)加強(qiáng)社會(huì)監(jiān)督和行業(yè)自律,積極凈化網(wǎng)絡(luò)通信環(huán)境,以優(yōu)異的成績迎接中華人民共和國成立70周年。

普普評(píng)述:

壓實(shí)主體責(zé)任,凈化網(wǎng)絡(luò)空間。



點(diǎn)開網(wǎng)頁瞬間被竊取隱私,訪客手機(jī)號(hào)碼被賣1元1條

2019.07.20 周六

新京報(bào)記者親測(cè)了網(wǎng)絡(luò)售賣的“最新抓取技術(shù)”,用4臺(tái)不同號(hào)碼的智能手機(jī)瀏覽“做了手腳”的網(wǎng)站,其中2臺(tái)手機(jī)的號(hào)碼被成功抓取。記者用手機(jī)訪問了測(cè)試網(wǎng)站,手機(jī)號(hào)立即被系統(tǒng)抓取,抓取系統(tǒng)后臺(tái),可看到訪客搜索的關(guān)鍵詞、手機(jī)號(hào)等隱私信息,這項(xiàng)測(cè)試源自今年6月的一次經(jīng)歷,新京報(bào)記者用手機(jī)4G網(wǎng)絡(luò)瀏覽一個(gè)教育項(xiàng)目網(wǎng)站后,接到了該項(xiàng)目招商人員的電話,但記者并未向其透露自己的手機(jī)號(hào)。經(jīng)過檢索發(fā)現(xiàn),多個(gè)博客、論壇有關(guān)于抓取技術(shù)的售賣網(wǎng)帖。網(wǎng)絡(luò)安全專家告訴記者,用戶手機(jī)號(hào)碼泄露可能是訪問的網(wǎng)站使用了手機(jī)訪客抓取技術(shù),這是一種網(wǎng)絡(luò)黑產(chǎn),受警方打擊。

普普評(píng)述:

黑產(chǎn)技術(shù)月月新,隱私保護(hù)處處防。



影響超過四百萬網(wǎng)絡(luò)攝像頭:Zoom客戶端存在0 day漏洞可能導(dǎo)致代碼執(zhí)行

2019.07.21 周日

近期,我們發(fā)現(xiàn)Zoom客戶端存在兩個(gè)安全漏洞。其中的一個(gè)漏洞允許任何網(wǎng)站在未經(jīng)用戶允許的情況下,強(qiáng)行將用戶加入到Zoom呼叫中,并激活其攝像頭。另外一個(gè)漏洞可以通過多次將用戶加入到無效的呼叫中,從而導(dǎo)致拒絕服務(wù)(DoS)。

除此之外,如果用戶曾經(jīng)安裝過Zoom客戶端,即使將客戶端卸載,計(jì)算機(jī)上也會(huì)保留一個(gè)localhost的Web服務(wù)器,只需訪問特定網(wǎng)頁,無需其他任何交互,就可以重新安裝Zoom客戶端。這種重新安裝的“功能”在目前最新版本中仍然存在。

普普評(píng)述:

0day不可避免,防護(hù)任重道遠(yuǎn)。