開放資料庫洩露425GB客戶資料;GitHub宣佈收購npm

Editor發表於2020-03-18
近日,由於新冠病毒疫情的蔓延,英國政府鼓勵數百萬英國人在家辦公,網路服務需求暴增,導致EE、O2、沃達豐和Three四大運營商出現服務故障,民眾出現無法打電話、發簡訊和上網的現象。此外微軟旗下的協同辦公軟體Microsoft Team也由於使用者激增一度導致系統崩潰。



1、開放資料庫洩漏金融公司425GB客戶資料


近期,研究人員發現一個開放的資料庫造成金融公司425GB的敏感文件暴露。


由於Amazon Web Services(AWS)S3儲存桶沒有任何形式的加密、身份驗證或訪問憑證,允許任何具有Internet連線和S3儲存桶地址的人不受限制地訪問。


值得注意的是,研究人員在這個暴露的資料庫中發現超過500000個高度敏感文件,其中包括來自Advantage和Argus兩家金融公司的私人法律和財務檔案。


這些資料不僅與Advantage和Argus有關,資料庫共包含425GB的檔案,其中有公司信用報告、銀行對帳單、合同、法律檔案、駕駛執照副本、購買訂單和收據、納稅申報表、社會保險資訊以及交易報告。


目前,AWS已於2020年1月9日關閉該資料庫。


隨著越來越多的公司轉向雲服務,這種資料庫洩露的事件越來越普遍,不僅會導致攻擊者實施形式多樣的欺詐,也可能會出現批次身份盜用現象。


LYA:資料庫沒密碼風險高,大公司更應注意資料安全。




2、GitHub宣佈收購npm 接管整個JavaScript生態系統


近日,微軟旗下的Github CEO宣佈已簽署收購npm的協議,並表示npm加入GitHub後會繼續免費提供public registry服務,並將JavaScript打造成世界上最大的開發者生態系統。


npm是Node軟體包管理器,是JavaScript執行時環境Node.js的預設包管理器。目前已為大約1200萬名開發人員提供了130萬個軟體包,這些開發人員每月下載軟體包達750億次。


收購完成後,GitHub 的工作重點將包括以下方面:

  • 投資於註冊基礎設施和平臺。JavaScript生態系統規模龐大,且增長迅速。在收購完成後,公司將進行必要的投資以確保npm的快速、可靠和可擴充套件性。
  • 提升核心體驗。公司將致力於改善開發人員和維護人員的日常體驗,支援在npm v7 CLI上已經開始的工作,並將保持免費和開源。
  • 與社群進行交流。公司將積極參與JavaScript社群以獲取開發人員的想法,藉助他們的力量來幫助定義npm的未來。


GitHub整合npm以提升開源軟體供應鏈的安全性,並讓使用者能夠跟蹤從 GitHub PR 到修復問題的 npm 軟體包版本的更改。

對於GitHub這一收購行為,有開發者評論:微軟透過收購GitHub接管了整個開源生態系統,透過收購npm接管了整個JavaScript生態系統,透過Visual Studio Code佔領了大部分開發者的機器,透過TypeScrip改變了開發者使用 JavaScript 的方式。

LYA:天下開源是一家,有個爸爸叫微軟。




3、Chrome 82 將透過新的 Cookies 設定改善隱私



近日,谷歌在Android端的Chrome 82 Canary新增一項實驗性功能,意在改善瀏覽器的隱私設定,即將對cookie的控制權更多地交還給使用者。

在安卓版Chrome 82 Canary中,多了一小段有關Cookie的描述,並將Cookies選項更改為四個可設定項。

Cookies 是您訪問的網站建立的檔案,網站使用它們來記住您的偏好。第三方 Cookies 由其他網站建立而成,這些網站會擁有您在訪問的網頁上看到的某些內容,例如廣告或影像。 


原本的允許/阻止Cookie選項被拆分為兩項,分別為“允許使用Cookie”和“阻止所有Cookie”,後者被標記為“不推薦”。因為當開啟限制時,某些網站可能無法正常工作。

此外,新版多出一個“在隱身模式下阻止第三方Cookie”的選項,開啟此選項,當關閉所有隱身視窗後,期間產生的資料將被清除,可以防止網站在隱身模式下讀取和儲存 Cookies資料。

新的Cookies選項啟用標誌名稱為“Enable improved cookie controls in UI in incognito mode”(隱身模式下在UI中啟用改進的cookie 控制元件),由此可以看出,Chrome 此次對 Cookies 設定的改進重點放在隱身模式上。

LYA:Chrome在隱私方面一直在不斷最佳化。


相關文章