央视网消息(焦点访谈):今天是《中华人民共和国反间谍法实施细则》颁布一周年。实施《反间谍法》就是要为开展反间防谍工作、维护国家安全提供法律保障。在互联网技术高度发达和广泛应用的今天,网络与国家安全息息相关,没有网络安全,就没有国家安全。而在现实中,互联网这个看不见的战场并不平静,境外间谍情报机关通过各种手段窃取我国家机密,危害我国家安全的事件时有发生。

N网络科技公司是国内一家电子邮件系统安全产品提供商,主要负责客户单位内部电子邮件系统的设计、开发和维护。因为具有涉密邮件管理系统建设资质,这家公司来自全国29个省市的1500多家客户中,有很多是党政机关等涉密单位。这些单位每天都有大量的重要信息进出,渠道就是这家公司搭建的电子邮件系统。

然而,就是这样一家有着涉密邮件管理系统建设资质的公司,却发生了一起规模庞大的网络窃密事件,近千家单位的地理位置、邮件系统账号密码和网管人员的联系方式被窃取。

这些信息一旦落入境外间谍情报机关手中,他们就可以对这些重点单位实施更隐蔽、更有针对性的窃密活动,危害我国家安全。B市国家安全机关的办案人员对这家企业进行了调查。

调查发现,这家公司的相关服务器已被境外间谍情报机关远程攻击控制。让办案人员惊讶的是,该公司的核心应用服务器先后被三家境外间谍情报机关实施了多次网络攻击,窃取了大量敏感的数据资料。

这一切是如何发生的呢?原来,随着这家公司业务的发展,客户越来越多,为了方便员工查询,公司就把客户的地理位置、网管人员身份、远程登录方式和账号密码等敏感信息储存在内网服务器中。为了让出差在外的员工也能随时查询,他们还在内网和外网之间搭建了一个连接通道,这样即使不在公司,通过一个VPN账号就可以随时登录内网进行查询。他们自以为这样做毫无风险,不曾想,早已有人密切关注着他们的一举一动,随时寻找可乘之机。

N公司虽然不是核心要害单位,但是同样需要担负起保守国家秘密、维护网络安全的责任,而他们却缺乏保密意识,在为工作建立方便通道的同时,也为境外间谍情报机关网络窃密活动打开了方便之门。

N公司重建设轻管理,重应用轻安全,给相关单位带来了严重的损失。事件发生后,N公司被责令停业整改,并被有关部门依法进行了处罚,同时,国家安全机关要求N公司逐一对此次事件涉及的用户单位进行安全加固,消除危害影响。

国家安全机关干警表示,近年来境外间谍情报机关很重视通过网络对我们实施技术窃密和情报搜集活动,这种技术窃密活动有频次高、规模大、技术先进的特点,对我们国家秘密安全和网络安全造成严重危害。

当前,我国面临的网络攻击窃密敌情形势异常严峻复杂。国家安全机关工作发现,2018年以来,境外间谍情报机关对我党政机关、科研院所、军工单位等实施了多轮次大规模的网络攻击窃密活动,造成我境内数百台计算机设备被攻击控制,数十万份文档资料被窃取,涉及政治、经济、军事、外交、科技等多个领域。

敌情意识淡薄,没有意识到风险,往往是最大的风险。

王某是W市某局人事科的一名干部。2017年8月的一天,两位国家安全机关工作人员突然出现在王某的办公室,查封了他平时工作使用的电脑。

国家安全机关干警对王某的计算机进行了核查取证,发现里面除了日常办公文档,还有42份标注密级的地形图。经保密部门鉴定,42份地图全部属于国家涉密测绘图,其中31份为机密级,11份为秘密级。这些地图已经被隐藏的窃密木马程序全部发往境外。

国家安全机关干警告诉记者:“这个事情涉及到国防军工的重点单位,这一块的地形图泄露之后,对他们工厂的生产和安全都造成了很大的安全隐患。”

而这一切都是因为王某和肖某通过QQ邮箱传递资料造成的。

王某和肖某既是同事又是朋友。肖某的工作内容之一,就是每年都需要做全市的工程规划布局图。因为王某擅长使用一些电脑应用软件,不会电脑制图的肖某常常找王某帮忙绘制电子地形图。

作为政府机关的工作人员,“涉密不上网”是基本常识,但是肖某从档案室借出涉密的地形图后,却扫描成电子版,再通过QQ从互联网上将地图发送给王某。王某完成制图后,再通过QQ将这些图纸发送给肖某。如此往来,就使境外间谍情报机关伺机盗取国家秘密的图谋得以实现。国家安全机关技术人员发现,境外间谍情报机关将窃密木马程序隐藏在电子邮件中发送给了王某。

因案情重大,已对我国家安全构成严重危害,该市立即启动追责问责工作,肖某、王某因违反国家保密法律法规,造成大量国家秘密被境外间谍情报机关窃取,承担直接责任。相关单位13名领导干部,因落实反间防谍主体责任不到位,保密安全意识淡薄,在职责范围内不履行或者不正确履行职责,根据情节轻重不同,分别承担领导责任。肖某因过失泄露国家秘密罪,被该市检察机关立案查处,其他人员均受到不同程度的党纪政纪处分。

纵观上述案件的发生,既有各自的偶然,也有共同的必然。

国家安全机关干警认为:“主要是他们敌情意识比较淡薄,总认为网络攻击这种事情离自己很远,大部分是在电影电视这种影视作品里面会出现,远离自己的这种日常环境;第二个主要是防范能力不足,这个突出反映在他们对这种网络安全的知识不具备;第三点就是相关重点单位的防范体系不足,管理不到位。”

管理不到位,没有扎紧篱笆,是引狼入室的重要原因。Z市政府某局就是没有看管好电子邮箱的大门钥匙,给了境外间谍情报机关实施网络窃密活动以可乘之机。

Z市地处我国边陲,城市的北部,绵延上百公里的边境线上,驻扎着不少边防部队,而某局的工作与部队密切相关。国家安全机关工作发现,这个局的工作邮箱已经被境外间谍情报机关某IP地址远程控制。

电子邮箱是如何被境外控制的呢?国家安全机关技术人员在对该局计算机进行检查时发现,境外间谍情报机关是通过猜测破解等手段,掌握了该电子邮箱的密码,进而使用密码直接登录邮箱,窃取了文件。那么邮箱密码又是如何被轻易破解的呢?

Z市某局的电子邮箱密码就是办公室电话号码,漏洞恰恰出在这里。境外间谍情报机关了解到我国政府部门普遍存在多人合用一个电子邮箱,而且常将办公室电话作为邮箱密码等使用习惯,利用技术手段搜集到Z市某局电话号码和邮箱账号,成功猜解出密码,从而非法控制了该邮箱。办案人员发现邮箱中存储的近2000份文档资料全部被境外间谍情报机关窃取。这些被窃的文档中详细记载了Z市的驻军分布信息。

由于该单位违规使用互联网电子邮箱传输涉密文档资料,违反了保密安全相关规定,已构成危害国家安全的情形,有关单位对涉及此次网络窃密事件相关领导和干部进行追责问责处理,该局主管副局长孟某被调离工作岗位,多位相关工作人员被诫勉谈话、通报批评并调离工作岗位。

作为国家秘密的生产者、使用者、保管者,维护国家秘密安全,是涉密单位和涉密人员必须履行的责任。有责要担当,失责必追究。2018年以来,国家安全机关联合国家有关部门,累计围绕23起网络失泄密案件进行追责问责,其中多人被检察机关立案调查,93名直接负责人和责任单位领导受到党纪、政纪处分或组织处理。

维护网络安全和国家秘密安全,是各级涉密单位、涉密人员乃至全社会的共同责任。今年4月,十九届中央国家安全委员会第一次会议审议通过了《党委(党组)国家安全责任制规定》,明确了各级党委(党组)维护国家安全的主体责任。目前,国家安全机关已经与纪检监察机关建立了间谍窃密案件领导干部问责工作机制,国家安全机关对工作中发现的有关党政领导干部失职失责问题,按照干部管辖权限和相关程序,可提请纪检监察机关开展问责。对涉嫌违反《反间谍法》、《网络安全法》、《保密法》等法律法规,以及渎职犯罪的,国家安全机关还将联合检察机关等有关部门依法追究刑事责任。国家安全无小事,千万不能掉以轻心。

*本文转载自央视网,转载请注明原出处

周鸿祎是360的“大脑”,一定程度上也将个人鲜明的性格特征带给了360,也包括自己的家国情怀。而安全大脑,则是周鸿祎和360实现自己家国理想的精髓。

网络安全领域,本就是一片没有硝烟的战场。而以“战士”形象自居的周鸿祎在这个领域深耕十几年,总能比别人先嗅到不一样的东西。2017年,周鸿祎在ISC 上提出“大安全”的概念;2018年,周鸿祎在世界智能大会上提出“安全大脑”的概念,次日正式发布。在今天乌镇进行的世界互联网大会上,360安全大脑获评世界互联网领先科技成果。似乎早在几年前,周鸿祎就知道未来将会发生什么。

WechatIMG149.jpeg周鸿祎对360安全大脑寄予了很大的期待,他表示“360愿意把安全大脑的能力、资源和技术开放出来,与企业、科研院所、高校等深度合作,共同把安全大脑打造成为网络安全领域的核心技术,通过互信、共治的机制来服务于国家、服务于整个产业”。

安全很“大”

安全本就无小事。在以往普通消费者的认知里,网络安全是电脑中毒、QQ被盗、银行卡被盗刷等等;现如今,网络安全早已经远远超出了原有的概念范围。

近百万个摄像头被劫持,能够让美国东海岸网站集体瘫痪;

心脏起搏器也能够被入侵,杀人于无形;

Facebook 数据泄露,幕后黑手竟能间接操控美国大选;

新加坡150万人医疗信息泄露,主要目标是该国总理李显龙;

……

以上这些场景也只是我们现在所面临的“大”网络安全环境的冰山一角。几年前,当我们大肆宣扬“互联网+”的时候,不知道有多少人会意识到其中所存在的安全问题,又有多少人能想到今天的局面。

万物互联的进程仍在飞速推进,全球每天有数百万台新增设备接入网络。网络安全已经关系到个人、企业、社会以及国家安全,同时这几者之间的关系也变得越发密切,黑客可以通过个人渗透到企业甚至是国家。目前已经有很多企业因为某个人收到钓鱼邮件而被黑客入侵,企业机密信息泄露。同样也可能存在某种情况,张三的个人信息泄露之后,经历一系列操作之后最终能够影响到一个国家的安全。

1-1G026152431O0.png

新的网络安全形势,是一个全球性的问题,个人、企业以及国家都无法独善其身。2017年爆发的Wannacry勒索病毒事件就是最典型的例子,在这场全球性的灾难中,无论是个人、企业、医疗机构以及政企单位都收到了不同程度的影响,大量基础设施、公共服务瘫痪,严重危害社会持续稳定运行。

攻击面巨幅增大、对象之间的关联性增大,网络攻击的危害性增大,能够真正实现牵一发而动全身的效果,这就是周鸿祎所说的“大安全”。

安全大脑顺应时代而生

安全很“大”,圈子尚小。

大安全时代,首先面临的问题就是网络发展太快而相应的安全防护力量没能及时跟上所造成的影响。每年爆发的大规模 DDoS 攻击、APT威胁、勒索病毒、大型数据泄露等等,暴露出的是传统安防技术落后,响应迟缓,攻防严重失衡。随着网络安全逐渐上升到国家战略层面,安全圈的规模也还远远没有达到与之相匹配的程度。

随着万物互联、人工智能发展持续推进,未来的安全形势只会比今天更加严峻,充满无数未知的挑战。

WechatIMG148.jpeg

于是,安全大脑顺应“大安全”时代而生。严格意义上说,安全大脑一直都存在,因为它是360安全技术、安全大数据、人工智能计算平台以及庞大的安全人才储备等优势的集合体,只是重新赋予它新的概念,同时进行有意识的深度整合并实现生态开放。

2016年10月,美国东海岸大规模断网事件中,提前45天监测到网络异常,提前6天在全球发布预警报告,并配合FBI抓到3名利用摄像头漏洞实施攻击的犯罪元凶;

2016年3月全网发布NSA“永恒之蓝”危害预警,发布黑客武器的修复补丁与360文档卫士。17年5月12, 24小时之内全网针对操作系统推送修复补丁, 5月14日全球首发勒索病毒恢复工具-360解密大师和离线救灾包,360用户无一例中招。

2018年5月,率先发现EOS区块链一系列价值千亿美元的高危安全漏洞,并拦截此类木马超过5万次,帮助用户挽回超过4000万的财产损失。

……

这些便是安全大脑“孕育期”所完成的一些成就。从本质上说,360 安全大脑并非是一款具体产品,用生态来形容可能会更加贴切。你可以把安全大脑想象成玄幻小说中的男主人公,每一次遇到新的病毒都是在打怪升级,遇到的挑战越多,学习的招式就越多,安全大脑就会越强大,360的目标就是把安全大脑培养成“安全行业的顶级高手”。

360拥有顶级的安全漏洞挖掘能力、威胁监测溯源能力和网络攻击智能处置能力,能够做到对全球网络动态实时的掌控,探测异常流量、攻击行为,并执行主动拦截。而大多数人所熟知的360安全卫士,则可以看成是安全大脑的触角,类似人的眼睛、耳朵和鼻子一样,负责监测用户终端的病毒、攻击等情况。

进入360安全大脑的官网,你第一眼就能看到所展示的“感知异常行为”和“拦截网络攻击”数量的飞速上涨。如此大量的威胁情报数据,单靠人工去分析已经不现实,所以在云计算提供的强大存储和算力基础上,利用人工智能技术实现网络威胁的自动化、智能化响应和处置。

大数据对于安全大脑的进化至关重要,360拥有总样本数超过180亿的全球最大的程序文件样本库,这个样本库每天还在以900万个的速度递增。拥有总数达22万亿条全球最全的程序行为日志库,以每天380亿条的速度递增。

而目前人工智能技术发展有限,还不能做到完全智能化处理,例如在检测到异常行为系统自动判断时,人工智能是无法做出合适的响应的。此时就需要派上360的最强王牌——全球顶级安全专家团队,这些人才储备也是360在安全技术上实现突破的重要力量。

WX20181107-202453@2x.png

因此360 安全大脑具有生态感知系统、中枢神经系统、控制反馈系统、安全免疫系统四大部分, 正如人类一样,在接收到外界刺激时,刺激信号通过神经反馈到大脑,进而做出相应的身体反应。

360安全大脑在“Wannacry”勒索病毒、Mirai病毒攻击、在野0Day APT攻击、网页劫持挖矿木马、区块链平台EOS漏洞等重大网络安全事件的处置中,提供了卓越的漏洞挖掘、攻击防御和智能化处置能力,目前可以实现在1天内实现漏洞补丁、免疫工具、安全策略和威胁情报的推送,促使数以亿计的终端及网络设备成功地实现恶意程序、APT、DDoS攻击等大规模智能应急处置。

你会发现,安全大脑是依托于360所有的技术资源而存在,但安全大脑概念的推出并不只是一个简单的命名。360安全大脑将成为未来5到10年,解决网络安全问题的一种技术思路或技术方向,融合大数据、云计算、人工智能、IoT、移动通信、区块链等新技术。安全大脑还有一个重要的特征就是生态开放。

大部分开发人员是没有进行过安全培训的,因此在编写程序的时候并不会着重去考虑安全问题。360安全大脑将能力赋予第三方厂商,将安全直接在开发阶段就整合进去,还能对应用进行安全加固和安全评估。例如,360安全大脑与乐视视频APP、蜻蜓FM APP合作,提供防盗链、防破解技术支持,依靠360高精度入侵安全检测技术,基于流量、基于历史入侵过程的复盘,保障业务不受影响。对于360而言,赋能第三方厂商也能够采集更多终端的安全威胁数据样本。

除了以上提到的侦测网络安全威胁之外,360 安全大脑还应用到智能汽车、工业互联网、金融等诸多垂直产业领域,全面为产业安全发展赋能。目前已与70%的汽车厂商和90%的大型银行展开合作,另有100多家工业企业接入360“工业安全大脑”。

周鸿祎和360的家国情怀

周鸿祎曾经说过,安全从业者应该有家国情怀,有责任感。在第二届西商大会上,周鸿祎重新定义了360公司:希望通过努力,成为有家国情怀、有责任担当、有“杀手锏”核心技术的 “国家企业”。这个杀手锏就是360安全大脑。

虽然目前的网络安全环境有所好转,但大多数企业依然选择各自为战,对于漏洞等情况有所保留。2017年Wannacry事件,很大程度上是因为NSA对于微软Windows系统SMB漏洞知情不报,被黑客盗取之后才酿成大祸。放眼国内,各大安全公司之间更多的是存在着竞争关系。但同属于同一个网络环境下,这种趋势看起来并不健康。

WechatIMG149.jpeg

周鸿祎试图用安全大脑打破这一壁垒,他表示,360未来跟所有网络安全行业都不会是竞争对手,360会专心把安全大脑本身的核心技术和大数据打造好,跟很多安全公司合作。如果我们用这种心态,变成很多安全公司背后一个技术和数据的赋能者,这样360有可能在国内真正把一个大的生态做起来,让安全大脑成为国之重器”。

想到这里,我脑海中浮现出上次去360总部一进门瞅见的五个大字:为人民服务。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

各位 Buffer 早上好,今天是 2018 年 11 月 7 日星期三,农历九月三十。今天的早餐铺内容有:欧洲知名电影公司Twitter账户被黑,冒充马斯克诈骗;斯诺登作证一份有关 NSA 大规模监视的报告是真实的;印度少年因为比特币被盗,威胁要炸毁迈阿密机场;不安全的中情局 Web 系统导致其间谍被杀;英睿达/三星部分SSD存固件漏洞;研究人员实现在指纹里编码秘密信息。

16886300557_48728a3a2f_b.jpg

欧洲知名电影公司Twitter账户被黑,冒充马斯克诈骗

11月5日,世界上第二大经营电影公司Pathé和欧洲第二大工作室Pathé的官方Twitter账号被黑客攻陷,修改账户的头像和昵称与Elon Musk本人的账户一模一样,并且发布了一条加密货币诈骗推文。推文的内容与此前出现过的案例几乎一模一样,总结一话就是:“我是Elon Musk,你给我一部分比特币,我将还给你双倍的数额。”而等到Pathé官方反应过来的时候,就已经晚了。在24小时内,骗子贴出来的比特币钱包就已经收到了6个BTC,价值约26.3万元人民币。Pathé及时重新获取了该账户的所有权,及时删除了这条诈骗推文,而这条推文总共被转发了850次以及获得3700个喜欢。[来源:FreeBuf]

斯诺登作证一份有关 NSA 大规模监视的报告是真实的

2006 年 AT&T 技师 Mark Klein 曝光了 NSA 的监视活动,这家情报机构在 AT&T 的一个封闭房间 641A 内对美国国内外的通信进行监视。电子前哨基金会 EFF 在 10 年前提起了诉讼,试图挑战政府对美国人民的非法和违宪监视。NSA 告密者 Edward Snowden 上月底递交了证词,确认 EFF 使用的一份有关 NSA 大规模监视的文件是真实的。EFF 在此案中使用的这份文件是 Snowden 在 2013 年泄漏的,文件写于 2009 年,由当时的检察长撰写,对无搜查证的监视项目的合法性表达了担忧。NSA 拒绝证实或否认该文件的真实性。而 Snowden 是少数可以对此问题畅所欲言的人。[来源:Solidot]

印度少年因为比特币被盗,威胁要炸毁迈阿密机场

一名高中生被印度当局指控威胁要炸毁迈阿密机场。这名十八岁的男孩对美国调查机构FBI没有帮助他追回一笔被美国欺诈者骗走的比特币感到不满。这名尚未被公布姓名的男孩在过去一个月里至少给联邦调查局打了50次电话。他没有得到任何令人满意的回应,于是他打电话给迈阿密机场当局威胁要用AK-47突击步枪,手榴弹闯入机场并进行攻击。[来源:cnBeta]

不安全的中情局 Web 系统导致其间谍被杀

美国媒体报道称,中情局(CIA)使用了基于 Web 的简单系统与它在世界各地的间谍通信,易于使用意味着容易曝光。中国和伊朗使用该系统发现美国间谍,逮捕或处死了许多间谍。一旦你识别这个系统,反间谍只要简单使用 Google 去发现 CIA 的通信网站,然后使用标准的流量分析去发现谁访问了网站,就能识别出间谍网络。伊朗首先使用这一方法处死了数十名间谍,然后将这一信息提供给中国,中国随后也彻底消灭了本国境内的 CIA 间谍网,处死了 30 多名特工。伊朗还将它的间谍捕捉范围扩大到了中东。而早在 2008 年 CIA 的一名技术合同工就发现了漏洞,他报告了这个问题,但遭到了忽视,并因此遭到解雇。[来源:Solidot]

英睿达/三星部分SSD存固件漏洞:全盘硬件加密被秒破

荷兰Radboud大学的研究者测试发现,英睿达和三星的部分SSD产品,即便使用了硬件加密,也可以通过逆向编译固件骗得JTAG调试接口的信任,从而轻松绕过。受波及的SSD有英睿达MX 100/200/300,三星T3/T5/840 EV0/850 EVO等。由于SSD存在固件共享的做法,不排除其它品牌和型号的SSD同样中招的情况。

2018-11-05-image-33.jpg

研究者表示,他们发现部分超管密码直接为空或者验证机制失灵,导致无论你输哪种字段,都可以直接进目录读盘。当然,本次发现指出,微软的BitLocker某种程度上“助纣为虐”,因为BitLocker只是中间层,其默认接受的就是硬件加密,所以没有起到二次保护作用。对此,团队的建议是使用开源的VeraCrypt加密,而不是个性化的专有加密,包括BitLocker。不过,这些固盘用户不用太过担心,在公开漏洞前,荷兰团队先统治了英睿达和三星,英睿达全系和三星T3/T5已通过固件更新封堵漏洞,840/850 EVO的临时办法是优先选择软件加密。[来源:快科技]

研究人员实现在指纹里编码秘密信息

中国复旦大学的研究人员在《IEEE Transactions on Image Processing》上发表论文,描述了如何在指纹里编码秘密信息的方法。指纹中的某些特征如沟脊和分叉图案可以编码信息,研究人员首先将想要编码的秘密信息编码到多项式数学方程式,这些秘密信息可以是一个网址或“同一个地方上午十点见”,然后将秘密信息映射到指纹螺旋特征中的一系列 2D 点。所有数据点合并创建一个指纹的全息图,只有掌握密钥的人才能从指纹里重构多项式,解码信息。[来源:cnBeta]

*本文由Andy.i整理编译,转载请注明来自FreeBuf.COM

各位 Buffer 早上好,今天是 2018 年 10 月 24 日星期三,农历九月十六。今天的早餐铺内容有:沙特年度投资会议网站被黑,悬挂卡舒吉被害图像;MPlayer 和 VLC 使用的一个库曝出高危漏洞;亚马逊和超微要求彭博社撤回间谍芯片报道;Signal 升级时竟然把未加密信息留在了磁盘上;国家互联网应急中心或将成立区块链安全技术检测中心。

31975761_2173365142679301_3995431835780775936_n.jpg

沙特年度投资会议网站被黑,悬挂卡舒吉被害图像

沙特年度投资会议的官方网站Future Investment Initiative日前被黑,导致部分用户在访问后重定向至抗议声明,在受影响1天后该网站选择闭站。在跳转的抗议声明中写道:“为了全世界儿童的安全,我们敦促所有国家对沙特政权实施制裁。沙特政权,以及站在背后的美国,必须要对野蛮和不人道行径负责,例如在也门杀害自己的公民Jamal Khashoggi和成千上万无辜人民。”在这些文字的配图上,显示了王储穆罕默德·本·萨勒曼挥舞着一把剑,看起来似乎已经准备好杀死在他面前身着橙色连身衣跪在地上的Khashoggi。[来源:cnBeta]

MPlayer 和 VLC 使用的一个库曝出高危漏洞

MPlayer 和 VLC 等流行播放器使用的一个媒体串流库 LIVE555 曝出了远程代码执行的高危漏洞。LIVE555 支持 RTP/RTCP、RTSP 或 SIP 协议,能处理 MPEG、H.265、H.264、H.263 +、VP8、DV、JPEG、MPEG、AAC、AMR、AC-3 和 Vorbis 等各式的视频和音频,漏洞存在于它的 HTTP 包解析功能中。LIVE555 作者称,该漏洞只影响库的 RTSP 服务器端实现,不影响 RTSP 客户端实现。新版 LIVE555 已经释出修复了漏洞。[来源:Solidot]

亚马逊和超微要求彭博社撤回间谍芯片报道

据美国科技媒体The Verge报道,亚马逊和服务器厂商超微(Super Micro)的高管都要求彭博社撤回本月早些时候发表的关于间谍芯片的报道。当时那篇报道指控这些芯片会危害多达30家公司的电脑网络,其中也包括亚马逊的电脑网络。而苹果CEO蒂姆·库克(Tim Cook)已经在上周呼吁彭博社撤下这篇报道。[来源:IT之家]

Signal 升级时竟然把未加密信息留在了磁盘上

自诩为用户提供加密通讯服务的Signal这次食言了:在将Chrome扩展升级为桌面版本时,将用户信息导出为非加密的文本文件。升级过程要求用户选择保存信息数据(文本和附件)的位置以自动将其导入新版本中。升级后,黑客兼安全研究员 Matt Suiche 注意到 Signal 将信息在没有提前加密的情况下保存在了他选择的位置。他在推特上公布了这一发现并提交了一份漏洞报告。[来源:CodeSafe]

国家互联网应急中心或将成立区块链安全技术检测中心

据红网消息,该站记者从长沙市星沙区块链产业园获悉,10月24日,国家互联网应急中心将与长沙经开区签约成立全国首个区块链安全技术检测中心,打造区块链代码审计、区块链金融风控平台。[来源:Bianews]

前段时间的 Apple ID 盗刷事件想必大家均有所耳闻,而最终事发原因似乎也大多数归咎于用户账户密码被泄露,导致异地登陆消费,虽然有用户表示找苹果客服申请退款成功,但目测只是少数。这件事成功引起了中消协的注意,发文称:消费者有权选择是否开通免密支付。

iPhone-Emai-Scam-1200x675.jpg

由于Apple ID 的机制,不论是购买软件还是软件内购消费,全部都是通过App Store 付费渠道的,这种方式在苹果看来是比较安全的。因此如果是Apple ID相关的发生盗刷的话,只会是软件内购或者App Store购买软件消费,这次也不例外。

盗刷事件引多方回应

一旦发生盗刷,那么出问题的可能是苹果本身、绑定的支付渠道,还有很关键的一个是消费者自己。

d3hfZm10PWpwZWc=.jpeg

事情发生之后,我们就看到了三方互相甩锅的场景:

消费者:苹果发短信提示账号内购买了XXX,不是我操作的,是苹果的锅;

支付工具:苹果的漏洞,不是我;

苹果:没发现系统漏洞,建议消费者开启双重验证。

看到不少消费者都出现了问题,央视曝光了这次风波,中消协也开始关注这件事情。最终得出了结论如下:

1.经营者应当履行保障消费者人身、财产安全的义务

2.无论消费者是否开通免密支付,经营者都应保障消费者的交易安全

3.消费者有权选择是否开通免密支付,经营者应当尊重消费者的选择权

4.经营者没有证据证明支付行为是消费者的自主行为,在消费者没有故意或重大过失行为导致财产的丢失或损失的情况下,相关经营者都应该承担相应的责任。

5.经营者收集消费者的个人信息应当正当、必要,并对收集的消费者个人信息负有保密义务,不得泄露。

6.经营者采取综合措施切实保证交易安全

7.经营者不得利用格式合同损害消费者权益

8.消费者账号被盗刷后经营者应承担相应的赔偿责任

中消协这次的积极态度确实令人满意,而且每一条都确实是对消费者有利的。但在这个时候看这份公告,很容易让人觉得这次事件是苹果的责任。苹果的Apple ID 安全措施不够完善确实应该承担一些责任,我觉得消费者本身更应该进行反思。

国内用户对免密支付基本都不放心

其实,通过App Store 消费的过程严格意义来说并不算是免密支付,每一次消费都是需要输入Apple ID密码或者通过人脸识别、指纹识别等验证,而免密只是在调用银联、支付宝、微信支付等渠道是不用输入密码才称之为免密,如果这一次事故是免密支付的责任担责的可能不应该是苹果一家。

fe67604e70c8465bae982aa1bc4ef634.jpg

而且这种免密支付绑定行为在共享单车、滴滴出行等众多App里面都存在。如果以“Apple ID、盗刷”等关键词去搜索的话,你会发现其实一直以来这种新闻都是存在的,即便是在Apple Store不支持绑定支付宝、微信支付的阶段。

在中消协的公告里,有一点我是相当认同的——消费者有权选择是否开通免密支付。

img-1517895166-88322.jpg

这一点可能是苹果延续了国外的支付习惯,使用信用卡的用户可能都有经历,在使用Visa、万事达等国际信用卡的时候,是不需要输入密码的,基本是刷卡即走的状态。也许苹果也把这种支付习惯带到了国内,包括笔者自己其实对这种支付方式并不放心。在一些共享单车App、外卖软件、打车软件里,付费方式也是支持绑定支付宝或者微信的免密支付的,但是用户是有选择权不使用的。每次付费都需要调用支付宝或者微信支付,再次输入对应支付渠道的支付密码才能完成交易。

在这次中消协施压之后,我也希望苹果在这方面给予用户以选择权,毕竟数据都可以迁至云上贵州,还有什么不可能的。

消费者本身的安全意识问题不该忽略

那么现在,用户自己头顶上这口无形的大锅我也想来说道一番。无论是此前时有发生的盗刷事件还是这次相对集中的盗刷事件,大部分受害者是没有开通Apple ID 的双重验证的,苹果在本次事件的回应中也有提到建议开启双重验证。

iphone7-ipad-ios11-apple-id-two-factor-hero.jpg

这个功能的好处在于,一旦你的Apple ID尝试登陆一台新的设备时,会在已登录受信任的设备上弹出登录提醒以及一条验证码,当然你也可以选择使用绑定的手机短信验证。

这种方式基本是不大可能被黑掉的,除非你的手机号也遭到劫持了。

因此,没有开启双重验证的用户发生被盗刷的概率瞬间大了很多。毕竟Apple ID的账号密码被盗的可能性比较大,撞库、钓鱼等方式,黑客完全可以直接从用户手中就“偷取”账户密码,如此一来登录新的设备无须验证,恰好Apple ID绑定了银行卡、支付宝或者微信支付等方式的话,在免密支付的协议下登陆密码即可作为支付密码产生消费。

至少在这一环上,主要的责任是在消费者身上,提供支付工具的企业以及苹果可能都属于受害者。如果真要给苹果盖一口锅的话,那就是:为什么不强制消费者开启双重认证?不知道这样会不会引来“消费者选择权”的抨击……

164512s10uu5emzrz6454u.png

所以,原谅我一直不理解有人偏不开双重认证,我相信苹果在这次按照要求整改完成之后Apple ID盗刷的事件依然不会减少。在目前阶段,如果依然担心Apple ID被盗刷的话,建议开启支付宝或者微信支付里免密支付限额功能,有效止损。

这次盗刷风波基本因中消协的出面会平息下去,至于责任归属看似模糊实际也很明朗。我唯一好奇的是,盗刷事件原本只是偶尔出现,这次却突然形成一波小爆发,难不成又是哪位大佬家发生了严重的数据泄露?

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

作为最受欢迎的服务器端语言,PHP 各版本已经被全球近8成的网站采用。而根据PHP 给出的各版本的生命周期,2019年1月1日开始,PHP 5 最后一个版本 5.6 将不再受支持,与此同时,PHP 7 第一个版本 PHP 7.0 也将在2018年 12月 3 日不再更新。而全球仍然有超过六成的网站采用这个两个版本,如不及时升级,将面临不可估量的安全风险。

TIM截图20181016135608.png

TIM截图20181016135736.png

根据 W3Techs 最新的统计数据,在已知的语言中,有78.9%的网站采用了 PHP,全球所有的网站中使用 PHP 5 版本的网站占比高达 61.8%。再细分下来,使用PHP 5的网站中有 41.5% 采用的是 PHP 5.6,也就是说依然有很多网站仍然采用不再受支持的 PHP 版本。

和桌面端、移动端操作系统一样,停止维护之后,一旦被发现有安全漏洞便不会得到更新、修复,黑客便可以利用漏洞对网站发起入侵导致严重风险。

TIM截图20181016135954.png23.png

值得注意的是,根据PHP 官方的生命周期表,PHP 7.0 将在PHP 5.6之前停止支持。PHP 7 在全球网站份额中占比 16.6% ,其中 50.6% 采用的便是PHP 7.0。这两大版本综合起来,停止维护之后,将影响全球近七成的网站。

微信截图_20181016141340.png值得一提的是,全球三大建站系统Wordpress、Joomla、Drupal中,仅仅wordpress就占据全球网站中 32%的份额,Wordpress 最低支持的 PHP 版本为 PHP 5.2,Joomla和 Drupal 最低要求 PHP 5.3,而Drupal 虽然宣布在2019年3月开始要求最低版本为 PHP 7.0,以此举来督促用户积极升级。但这其中还是有至少两个月的过渡期,对于重要的网站系统而言依然不能接受这样的风险。

跟桌面端、移动端系统升级一样,网站升级也面临很多问题。新版本兼容性问题不确定性可能是最大的阻碍,很多网站开发者针对不同需求开发很多程序或者插件,一旦升级 PHP 版本可能会存在不兼容的问题,还存在其他隐藏的问题需要逐一排查,这也是耗费不少人力、时间成本,对于网站运营者来说,保持网站持续正常运营是第一要素。

所以你会发现,目前采用已经不再受支持的PHP版本的网站依然不在少数,就像现在依然有很多用户在使用 Windows XP、Android 4.X……

*数据来源:W3Techs,本文作者:Andy.i,转载请注明来自FreeBuf.COM

各位 Buffer 早上好,今天是 2018 年 10 月 17 日星期四,农历九月初十。今天的早餐铺内容有:苹果就 Apple ID被盗刷一事道歉;一名俄罗斯男子因非法入侵政府服务器挖矿而被起诉;“请勿跟踪”功能几乎无人遵守;EOS遭受CPU危机,普通用户无法进行正常转账;因App过度索取用户信息,上海网信办约谈本地23家常用APP运营企业。

photo-1502809301561-bfa71788b275_看图王.jpg

苹果就 Apple ID被盗刷一事道歉

苹果就中国用户 Apple ID被盗刷一事发表声明,表示深感歉意,它建议用户启用双重认证。苹果表示,它在调查后发现少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。苹果已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,拒绝了高风险的订单。苹果已经注意到这些问题现已显著减少。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。[来源:Solidot]

一名俄罗斯男子因非法入侵政府服务器挖矿而被起诉

近日,据外媒引述俄罗斯联邦安全区域办事处报道称,来自西伯利亚城市库尔干的一名21岁俄罗斯人正面临一起刑事指控,至于指控的原因是他通过政府服务器非法开采比特币(BTC)。 调查发现该男子攻击了俄罗斯三个地区的公共管理服务器,官方内部安全部门发现该男子是通过一个漏洞入侵他们的设备的。据称,该男子被指控的罪名是“出于自身利益故意攻击计算机防御网络”,如果被判有罪,他可能面临长达五年的监禁。[来源:cnBeta]

“请勿跟踪”功能几乎无人遵守

主要浏览器都支持的隐私保护功能——请勿跟踪(Do Not Track,DNT)实际上并没有任何作用。如果你启用请勿跟踪,在访问某个网站时,浏览器向网站服务器发送的 HTTP头文件将包含请勿跟踪的信息,但网站可以置之不理,继续收集你的信息,因为 DNT是一个志愿遵守的系统,而绝大多数网站都不遵守 DNT,从 Google 和 Facebook 到成人网站 Pornhub 和 xHamster,这些排名位居前列的流行网站都不遵守 DNT。只有少数网站遵守 DNT,其中最知名是 Pinterest 和 Medium。 DNT 显然是一个失败的实验。[来源:Solidot]

EOS遭受CPU危机,普通用户无法进行正常转账

据imToken消息,目前EOS正在遭受CPU危机,一个疑似攻击账号blocktwitter在spam攻击整个EOS网络,导致普通用户无法进行正常转账。B1及EOS社区正在积极寻求解决方案。此前据引力观察报道,最近EOS主网的CPU使用紧张,导致用户需要抵押较多的EOS,才能获得足够的CPU资源。社区成员询问CPU的情况后,某个节点表示,一些节点正在一起研究此问题和测试解决方案。[来源:Bianews]

因App过度索取用户信息,上海网信办约谈本地23家常用APP运营企业

上海市网信办近期对本地最常用的23个APP获取用户个人信息等相关权限申请情况开展抽查,发现其中约30%与所提供的服务没有对应关系,属于不合理范围。12日和15日,市网信办分别约谈了运营这些APP的23家企业,要求认真整改。市网信办相关负责人说,从被抽查的APP情况来看,现在上线的APP几乎都有过度索取用户个人信息的问题,APP运营企业都要对此进行自查自改。市网信办今后将定期抽检,并向社会公布抽检结果。[来源:网信上海]

*本文有Andy.i整理,转载请注明来自FreeBuf.COM

各位 Buffer 早上好,今天是 2018 年 10 月 17 日星期三,农历九月初九。今天的早餐铺内容有:黑客挟持罗马尼亚市政厅电脑并要求比特币赎金;PHP 5版年底终止安全更新,6成网站恐面临风险;索尼表示已修复PS4漏洞 官方给出解决方法;NSA调查Google新系统Fuchsia的安全性;Twitter推出新项目:旨在追踪仇恨用户网络活动。

timg.jpeg

黑客挟持罗马尼亚市政厅电脑并要求比特币赎金

据romania-insider消息,一名份不明的黑客已经封锁了罗马尼亚最富有的布加勒斯特第一区市政厅的所有计算机,并要求当局支付比特币的赎金以解锁网络。该区市长 Dan Tudorache表示,袭击者要求比特币支付大笔款项。不过,市政厅的 IT团队已经设法从这次攻击中解救了了大约一半的计算机,预计所有计算机在本周末之前能正常运行。[来源:Bianews]

PHP 5版年底终止安全更新,6成网站恐面临风险

10月16日上午消息,据中国台湾地区媒体报道,Web科技应用现况的调查公司W3Techs近日表示,根据所有网站使用的PHP版本状况,从明年1月1日起,有近62%的网站将因未能获得安全更新而陷入被黑或被植入恶意程序的风险。根据W3Techs的调查,截自本月15日,在其研究的网站样本中,使用PHP的比例高达78.9%,而所有网站使用PHP 5的比例又达到61.8%。细分当中版本,所有网站使用PHP 5.6版的比例为41.5%,为版本5之冠。[来源:新浪科技]

索尼表示已修复PS4漏洞 官方给出解决方法

索尼就PS4漏洞问题进行了回应,索尼表示正计划通过系统更新解决。不过PlayStation英国客服官方Twitter现在表示,PS4漏洞问题已经修复,并给出了官方解决方法。

PlayStation英国客服官方Twitter说:“我们已经修复了这个问题,这个问题并不会把你的主机变砖,它们只是将你的主机陷入崩溃循环。其实这个问题5分钟之内就能很快搞定。在PS移动app上删除信息,然后安全模式启动,使用Option 5,主机就能恢复正常”。[来源:3DMGAME]

NSA调查Google新系统Fuchsia的安全性

NSA对操作系统和软件进行调查主要是为了研究其是否可用于国家安全工作,因此,安全问题是他们考虑的焦点。他们发现,Zircon是Fuchsia唯一在监督模式运行的部分,而其他部分如驱动程序、文件系统和网络则以用户模式运行,这意味着应用程序在Fuchsia上的运行方式与在其他大多数操作系统的运行方式截然不同,但是,root工作操作的泄漏会导致严重的安全问题。[来源:OFweek]

Twitter推出新项目:旨在追踪仇恨用户网络活动

据外媒报道,跟其他社交媒体公司一样,Twitter也在其平台上继续处理着极端主义问题。日前,它推出了一个新项目以此来监控用户在上面的仇恨行为。据悉,新推出的工具叫Exploring Online Hate指示板,它由Twitter和新美国基金会(New America Foundation)、反诽谤联盟(Anti-Defamation League)联合推出。[来源:cnBeta]

发动攻击的黑客与被攻击的网站之间的关系一般来说都是水火不容的,而这次事故里,黑客发起攻击后窃取 3.2 万美金的加密货币后却全数归还,网站方也给予 5000 美元作为奖励,连发起攻击的成本也得到了补偿……

10 月 6 日,基于以太坊的成人娱乐平台 SpankChain 遭受黑客攻击,匿名攻击者利用该平台支付渠道智能合约漏洞窃取 165.38 枚 ETH,价值约 38000 美元。同时该漏洞导致了价值 4000 美元SpankChain的内部代币BOOTY无法流通。

1_y_WmxqNdZjsWJPmDHUaguQ.png

在事发第二天该平台才意识到这次匿名攻击,立即对外发布公告宣布这次事故,表示将重新部署支付渠道的智能合约以防再次受到攻击,同时积极补偿遭受损失的用户。

根据 SpankChain 的调查,黑客利用了一个可重入性漏洞创建伪装成 ERC20 令牌的恶意合同,通过转移功能多次回调到支付渠道合同中,每次都提取一些 ETH 。以下是攻击者的一些信息:

付款渠道合同:https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code

攻击者地址:https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199

来自攻击者帐户的内部 tx(重入):https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx

攻击者的恶意合同:https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e

来自攻击者恶意合同的内部tx(重入):https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx

TIM截图20181015153350.png

而在 10 月 11 日,事情发生了大反转。SpankChain 在Twitter上表示,通过电话与窃取 ETH 的黑客沟通之后,黑客已经全部归还窃取的 ETH。而 SpankChain 则以 5000 美元作为奖励回报这位匿名黑客,并且给予 5.5 ETH 用来补偿黑客发动攻击的成本。(呃……匿名黑客这么容易就被找到了么……)

恭喜你,匿名黑客!

——SpankChain

自从加密货币、区块链火了之后,大大小小的黑客攻击事件层出不穷。智能合约理论上是很难被入侵的,但目前仍然是一种年轻的技术,很容易出现漏洞被攻击者利用。像本次事件中,黑客主动归还被盗的加密货币也是非常少见(成人网站的黑客素质这么高的嘛),一次黑客恶意攻击反转变成类似白帽漏洞赏金案例,不知道这位“好心的”黑客会不会继续被追究责任。

*参考来源:Cointelegraph,本文作者Andy.i,转载请注明来自FreeBuf.COM

2011年6月底,Google+ 作为Facebook最有力狙击者的身份诞生,同时以隐私功能作为两者主要区分点;2018年10月,Google+被曝发生重大隐私泄露问题,消费版本被宣布仅剩10个月寿命。

Google+从设想的第一天开始就考虑到隐私问题,而同样是隐私安全问题,加速了这个曾经全球第二大社交网络平台的覆灭。

经历了Google Wave、Google Buzz两款产品的失败,Google开始调整产品方向,转向用户隐私控制,而当时Facebook虽然早已稳坐全球最大社交网络的宝座,但隐私问题已经开始显露出来。

fbtwgp.jpg

2011年,《纽约时报》曾经有一篇文章表示:Google+ 比Facebook更加注重隐私。其中提到的一点是,Facebook很多功能默认是开启的,这可能会导致你所分享个内容默认是所有人都能够看到的,而可能你还无法察觉,如果想要关闭,Facebook的功能菜单可能会让你崩溃;而Google+在发布内容是否公开,用户是更容易主动选择的,而且能够在不同的圈子里分享内容(现在的Google+策略也许已经发生变化)。

事实证明,Google+的这一策略是对的。长久以来,Facebook一直备受隐私问题困扰,包括2018年最轰动的剑桥数据泄漏事件。很多人认为,之所以用户仍然坚守在Facebook是因为长久以来,没有一个合适的平台能够替代Facebook。

2011年6月28日,Google+网站服务正式启动,在近三个月的时间里只能通过邀请注册。凭借Google本身庞大的用户量再加上邀请注册这种手段,吊起了很多人的胃口。仅24天的时间用户量就超过了2000万,Facebook和Twitter达到此成就分别花了1152天和1035天。

因此我们会说,Google做社交有着得天独厚的优势,Google+被认为最有可能超越Facebook的竞争者,我觉得Google自己也是这么想的。Google曾强调,用户对隐私的关注和关心用户信息分享方式的产品有着实实在在的市场机会。针对Facebook和Twitter混乱、复杂的用户群租管理及隐私控制问题,Google+ 做出了一些针对性的改变,其中圈子功能是最受关注的。

Google+ 推出一个月之后,VentureBeat上发表了一篇文章《5 things Google+ does better than Facebook and Twitter》列出了Google+相较于Facebook和Twitter更好的五个功能,其中第一个提到的就是圈子。

maxresdefault.jpg

这个功能可以让用户很好的管理关注的人和分享的话题。利用圈子功能,使用者可以发送状态更新至特定的群组。比如说,使用者可以创建一个喜欢音乐的朋友圈子,那麼他就可以只在这个圈子内分享他刚创作的音乐录影带。

Facebook和Twitter也提供选择性分享的功能,但它们的功能有点混乱。用户可以阻止Facebook上某个群组的更新,但真的要实现却很费时间。对于Twitter来说,用户要麼将自己的个人资料完全公开,要麼就完全私密,除此之外就没有其他的选择。

All in Google+

说到这里,我们不得不再次觉得惋惜,Google+握着一首好牌,结果却“四个2把俩王”带出去了。看似重视隐私的Google+做错的第一个决定就是要求实名制注册。

WX20181011-164451@2x.png

为了方便找到熟人,Google+要求用注册使用真实姓名,有用户曾经用自己游戏昵称注册,Google取消了他的账号并告知需要使用真名创建账户。更糟糕的事,实名注册的用户个人信息被直接展示在Google+个人主页,而且在发表评论时也会显示真实姓名。这种被用户视作无视隐私的行为,让很多注重隐私的用户对Google+敬而远之,直到3年之后,实名制注册才被正式取消。

Google+在某些方面确实是解决了Facebook、Twitter所存在的隐私问题,但是很长的时间里用户都没有把它看作是一个合格的社交平台去接受它。除了应对Facebook的侵入,Google也一直试图打造一款更方便建立用户之间联系、增强用户粘性的产品,在试图收购Facebook遭到拒绝后,Google+的诞生就成了必然,这种情形下,我们便能够理解Google+犯的那个致命错误的原因。

可能是开头过于梦幻,让Google对Google+更加充满了信心,试图将Google其它产品的用户导向Google+。于是,2011年10月份,Google宣布将Google Reader和Google+整合,并去除了Google Reader下的所有社交功能,造成的结果是Google Reader发布内容分享后,必须访问Google+才能看到,这一举措引起了很多用户不满,一定程度上也败掉了Google Reader这款良心产品攒下的人品。

google-account-form.png

事情还没完,2012年初,Google启用新的策略,用户注册Gmail等产品的同时必须填写Google+账户资料,意味着也将成为Google+用户。一时间,很多用户是“被迫”注册Google+,此举也让Google+成为了拥有大量僵尸用户的“鬼城”。

95094674.png

而类似举措受到抵制最严重的是Youtube用户,2013年11月份,Google将Youtube评论系统与Google+进行整合,而更多的Youtube用户希望自己在视频下面的评论是匿名的,因此超过17.5万人联合发起签名活动,要求恢复原有的评论机制。

即便强如Google 也无法逆民意而行,Google 在2014年相继取消掉了这些强制规则,新用户不再被迫注册Google+账户。三年的时间里,Google+以良好的隐私控制为出发点,却又为了急于主推Google+屡屡行错,触碰用户隐私这个敏感地带,在社交功能上又远远无法与Facebook、Twitter 这些成熟的社交平台相比拟,Google在用户的抵制下选择妥协,一定程度上也接受了Google+的失败……

原本Google推Google+的时间就比较晚,这三年里Google+却因为没能掌控好用户隐私的分寸而屡屡受挫,甚至引发了众多用户的抵触情绪。有分析师认为,在Google+一心追赶Facebook的这三年里,Google又错过了移动社交爆发的最佳时机,眼睁睁看着WhatsApp、Snapchat、Instagram等移动社交工具崛起,而不是Google+……

13869442_web1_181008-BPD-M-google-plus-4875.jpg

2014年成了Google+的分水岭,前三年承担着Google进军社交领域的重任,看名字与Google仅一个符号之差,就能想象到Google曾给予厚望。没想到的是,三年的竞争对手不是Facebook,而是用户,在隐私问题上与用户之间的博弈,几次三番的强制举措,让用户对于自己的个人信息缺乏主动权,这是大忌。

2014年4月,Google+之父维克·冈多特拉(Vic Gundotra)的离职以及Google+内部的人事变动,让Google+的前景变得扑朔迷离。此后的几年里,Google+虽然一直正常运营,但显然已经脱离了Google业务主线,也不再有新的大动作出现,以社交为导向的Google公司只存活了三年。

隐私泄露加速Google+覆灭

如果不是2018年10月份Google的这份公告,我想很多人都快忘记了Google+竟然还活着,更何况对于中国用户来说Google+的生命只有三天。根据Google发布的公告,面向普通消费者的Google+服务将在2019年8月正式下线,企业版还可以继续使用,官方给出的理由是消费版本使用率过低,维护成本高。媒体似乎给出了最真实的原因——严重数据泄露影响近50万用户。

根据华尔街日报,因 API 设计缺陷问题,Google 泄露了近 50 万 Google+ 用户的隐私数据,但却选择不报告该失误,部分原因是担心披露后会引发监管审查和声誉受损。随后Google在博客发文基本证实数据泄露的问题,据了解Google 首席执行官 Sundar Pichai 此前已知晓用户数据遭泄露这个故障,但依然决定不公开披露。Google 分析师认为在尚未确认 API 错误在修复之前的影响程度,而对 496,951 用户的数据进行曝光会不太妥当。

58ecc4816413432794b9ec2140f853bb.jpeg

严重的数据泄露问题+使用率过低,Google+消费版被直接判了死刑。而且事情还没完,数据泄露问题被曝出之后,Google有故意隐瞒漏洞的嫌疑,美国和欧盟已经开始调查此事。

众观Google+这七年,原本承载者Google的社交梦,以隐私安全立足,却也因多种无视用户隐私的强制政策而迅速过气,也因隐私泄露问题加速其覆灭进程,而其社交功能也不过被认为是模仿Facebook 而已,一张好牌打烂,也葬送了Google的社交梦。

*本文作者:Andy.i,转载请注明来自FreeBuf.COM