哈薩克對所有 HTTPS 流量發動中間人攻擊

從 7 月 17 日開始，哈薩克發出通知要求所有裝置所有瀏覽器安裝來自政府的 Root CA（qca.kz），這意味著該國 ISP 可以對所有 HTTPS 加密流量發動中間人攻擊。

HTTP 是明文傳輸，ISP 可以實時檢視傳輸的內容，可以隨時向 HTTP 流量插入資訊比如廣告；HTTPS 加密了客戶端和伺服器端之間的連線，使得 ISP 無法獲悉傳輸的內容，但利用 Root CA 它可以偽造證書，解密加密的流量，發動中間人攻擊。

使用者呼籲瀏覽器開發商如 Mozilla 和 Google 將哈薩克的 Root CA 加入到黑名單拒絕接受它的證書。已有證據顯示，qca.kz 簽發了 Facebook 的證書。

來源：solidot.org

更多資訊

商務電子郵件洩密事件頻發 平均每月損失 3 億美元

金融犯罪執法網路（FinCEN）對過去兩年發生的BEC事件進行了統計，確認了最常見的目標型別、竊取資金的目標預期以及詐騙者所使用的技術。根據FBI網際網路犯罪投訴中心（IC3）提供的《Internet Crime Report》報告，顯示BEC詐騙已經成為網路犯罪的主要攻擊方式。

來源： cnBeta.COM
詳情： https://www.dbsec.cn/zx/20190720-1.html

谷歌上調 ChromeOS / Chrome 漏洞賞金額度 最高達 15 萬/ 3 萬美元

谷歌表示，自 2010 年 Chrome 漏洞獎勵計劃建立以來，人們已經報告了超過 8500 個漏洞，谷歌已經為此支付了超過 500 萬美元。

來源：cnBeta.COM
詳情： https://www.dbsec.cn/zx/20190720-2.html

報告：93% 的成人網站向第三方洩露使用者瀏覽資料

據 zdnet 報導，在本週發表的一篇研究論文中，學者們分析了 22484 個成人網站，發現有93%的網站向線廣告商或網路分析提供商等第三方洩露資料。據悉，獲取這些使用者瀏覽習慣和偏好的公司包括：谷歌、甲骨文、Facebook、Cloudflare以及成人行業的廣告商。

來源： ChinaZ 站長之家
詳情： http://www.dbsec.cn/zx/20190720-4.html 

上海破獲一起假冒招考熱線網站非法獲取公民資訊案

隨著“淨網 2019”專項行動的深入開展，上海公安機關加大對侵犯公民個人資訊等網上違法犯罪的打擊力度。2019 年 7 月 8 日，上海市公安局破獲一起假冒“上海招考熱線”網站非法獲取公民資訊案，抓獲犯罪嫌疑人徐某某。同時，上海市網信辦依法關閉假冒“上海招考熱線”網站和微信公眾號。

來源： 警民直通車-上海
詳情： http://www.dbsec.cn/zx/20190720-5.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視