【阿里聚安全·安全週刊】Python庫現後門 可竊取用戶SSH信息|Facebook再曝300萬用戶數據泄露

本週七個關鍵詞：Python庫現後門丨Facebook再曝數據泄露丨加密協議被曝嚴重漏洞丨英國報攤將出售“色情通行證”丨HTTPS的綠色鎖圖標丨機器學習和預測應用的API丨Eclipse Che 6.5.0

-1-   【python】Python庫現後門 可竊取用戶SSH信息

來源：嘶吼

------------------------------------------------------

以色列開發者Uri Goren開發的處理SSH連接的Python模塊存在後門。本週一，另一位開發者注意到多個SSH decorate模塊含有收集用戶SSH，併發送數據到遠程服務器的代碼。其中遠程服務器的地址位於：http://ssh-decorate.cf/index.php。

在注意到這個問題後，Goren迴應說後門並不是他故意留的，而是被黑的結果。

如果你仍在使用SH Decorator（ssh-decorate）模塊，那麼最新的安全版本是0.27。0.28版本到0.31版本都是惡意版本。

http://jaq.alibaba.com/community/art/show?articleid=1692

-2-   【數據泄露】Facebook再曝300萬用戶數據泄露 與性格測試類app密切相關

來源： cnbeta.com

------------------------------------------------------------------

在政治諮詢公司“劍橋分析”的數據收集醜聞曝光之後，Facebook 無疑面臨着越來越大的輿論壓力，因爲研究人員 Aleksandr Kogan 分享了他通過一款性格測試（personality quiz）應用收集到的信息。

據 New Scientist 週一報道：劍橋大學的研究人員們，已經向一個分享門戶上傳了 300 萬 Facebook 用戶的數據。

另有研究團隊通過一款名叫“我的個性”（myPersonility）的應用收集了用戶信息，然後將之放到了一個 Web 門戶上。

http://jaq.alibaba.com/community/art/show?articleid=1694

-3-   【漏洞】郵件形同裸奔，PGP 與 S/MIME 加密協議被曝嚴重漏洞

來源：FreeBuf.COM

------------------------------------------------------------------------------

由9名學者組成的團隊向全世界發出警告，OpenPGP和S / MIME電子郵件加密工具中的嚴重漏洞。該研究小組稱，這個代號爲EFAIL的漏洞如果被利用，將允許攻擊者從發送或接收的消息中提取明文內容。

EFF的研究人員也證實了這些漏洞的存在，他們建議用戶卸載Pretty Good Privacy和S / MIME應用程序，直到發佈修復補丁爲止。

http://jaq.alibaba.com/community/art/show?articleid=1697

-4-   【數據保護法】根據新法律 英國報攤將出售“色情通行證”以驗證年齡

來源： cnbeta.com

------------------------------------------------------------------------------

據外媒The Verge報道，去年英國批准了《2017年數字經濟法》，其中包括有關訪問色情網站的嚴格新規。當這項法律在今年晚些時候生效時，監管機構建議用戶可以從他們當地的報攤購買所謂的“色情通行證”，以驗證他們的年齡。

英國文化、媒體和體育部一位發言人表示，該部門正在“實施世界上最嚴格的一些數據保護法”，並且驗證方案的範圍將不得不遵守這些標準。

http://jaq.alibaba.com/community/art/show?articleid=1690

-5-    【網絡協議】 注意！HTTPS的綠色鎖圖標並不代表絕對安全

來源：嘶吼

-------------------------------------------------------------------------------------

HTTPS是HTTP協議的一個變種，給傳輸的數據增加了一個安全層，這個安全層是通過SSL或TLS實現的。SSL是來確保不安全網絡中網絡應用客戶端和服務器的安全連接的網絡協議。

SSL證書越來越廉價，許多企業提供給用戶免費的SSL證書，但並不去驗證是誰在用這些證書。

研究人員發現有釣魚網站和惡意網站也在使用SSL證書，所以綠色的HTTPS圖標並不一定安全。

http://jaq.alibaba.com/community/art/show?articleid=1699

-6-   【機器學習】50多種適合機器學習和預測應用的API，你的選擇是？（2018年版本）

來源：雲棲社區

--------------------------------------------------

本文盤點了2018年以來人臉和圖像識別、文本分析、自然語言處理、情感分析、語言翻譯、 機器學習和預測這幾個領域常用的API，讀者可以根據自己需求選擇合適的API完成相應的任務。

http://jaq.alibaba.com/community/art/show?articleid=1689

-7-   【下載】Eclipse Che 6.5.0 發佈，在線集成開發環境

來源：開源中國社區

--------------------------------------------------------------------------

Eclipse Che 是一個高性能的基於瀏覽器的集成開發環境，通過提供結構化的工作區、項目輸入、模塊化擴展插件來支持 Codenvy 的引擎， 採用 Java 開發，支持 Windows、Linux 和 OS X 系統。

Eclipse Che 6.5.0 已發佈（可下載）。

http://jaq.alibaba.com/community/art/show?articleid=1696

——————————————————————————————

以上是本週的安全週刊，想了解更多內容，請訪問阿里聚安全官方博客