【网安动态】福布斯全球2000强企业HCL走漏很多职工和商业信息；谷歌发现G Suite缝隙：部分暗码明文存储长达十四年

  原标题：【网安动态】福布斯全球2000强企业HCL走漏很多职工和商业信息；谷歌发现G Suite缝隙：部分暗码明文存储长达十四年

  近来，UpGuard研讨团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司（HCL）存在信息走漏的风险。HCL在多个子域上托管了可揭露拜访的页面和Web界面，导致很多职工和商业信息揭露露出。UpGuard研讨团队最早在5月1日就发现这些安全隐患，其时他们在HCL域中检测到一个可免费下载的文档（包含客户关键字），随后发现了“其他可揭露拜访的页面，包含个人和商业数据”。露出的数据“包含新雇员的个人信息和明文暗码、客户基础设施装置陈述以及办理人员的Web应用程序。”

  谷歌近来在博客文章里发表，公司最近发现一个缝隙，导致部分G Suite用户的暗码以明文方法存储。博文中称，该缝隙自2005年以来就存在，但谷歌未能找到任何依据标明，任何人的暗码被不合法拜访过。公司正在重置或许受影响的暗码，并已奉告各G Suite办理员。谷歌并未阐明详细有多少用户遭到这一缝隙的影响，仅仅表明该缝隙影响了“咱们部分的企业G Suite用户”——估量是2005年时运用G Suite的那些人。虽然谷歌也没有发现任何人歹意运用这一拜访权限的依据，但咱们也无法清楚地知道终究谁拜访过这些明文暗码。现在这个缝隙现已修正，一起谷歌在博文最终表达了抱歉。

  近来，微软副总裁兼副总法律顾问Julie Brill在一篇博文中对欧盟近一年前发布的《通用数据保护法则(GDPR)》进行了反思。Brill以为，GDPR在改动科技公司处理个人数据的方法方面十分有用。Brill指出，GDPR现已鼓励其他一些国家采纳相似的规则。她还欣赏自己的公司是“第一家将GDPR中心的数据控制权供给给全球客户，而不仅仅是欧洲客户的公司”。但是，这种自我监管在Brill看来还不够好。虽然加州和伊利诺斯州等州现已具有强有力的数据保护法，但Brill以为，美国需求相似于联邦等级的GDPR。微软并不是仅有一家呼吁联邦监管的大型科技公司。

  针对亚马逊向美国法律部分出售面部辨认技能的做法，美国公民自在联盟（American Civil Liberties Union）正在向亚马逊施加压力。在亚马逊年度股东大会举行前两天，该安排发出了一封揭露信要求公司股东经过投票支撑两项提案以制止公司向政府出售Rekognition软件。亚马逊 Rekognition在政府手中被乱用。该产品对社区构成严重威胁，包含有色人种和移民，以及亚马逊尽力树立的信赖和尊重。亚马逊有必要敏捷采纳举动，保护公民权力和公民自在，包含自己客户的自在权力，并将Rekognition从政府手中带走。

  针对美国疆土安全部发布的“我国制作的无人机或许正在向我国制作商发送灵敏飞翔数据，政府能够拜访这些数据”正告。DJI大疆做了官方回应，回应中称：“咱们技能的安全性现已在全球得到重复验证，其间也包含美国政府和美国抢先企业的独立验证”。当用户运用DJI大疆立异的无人机或其他技能产品时，所出产、存储和传输的数据都彻底由用户把握。此外，DJI大疆立异还供给特别的形式以满意不同客户的信息安全办理需求，比方断开网络连接的本地数据形式、私有云布置形式等等。

  旧金山市将于周二投票决定是否制止差人局和其他城市组织对居民进行面部辨认。假如取得同意，这将是美国初次禁用该技能的城市。该法则还为差人部分拟定了一个流程，以发表他们运用的监控技能，例如车牌阅读器和能够盯梢居民随时刻变化的手机基站模拟器。但它特别指出面部辨认对居民的公民自在太有坏处，甚至不考虑运用。此外，其他几个城市也在考虑面部辨认禁令，包含加州的奥克兰和伯克利，以及马萨诸塞州的萨默维尔。

  运转 Drupal、Joomla 或 Typo3 体系的网站需求及时打上补丁。编号为 CVE-2019-11831的缝隙坐落 PHP 组件 PharStreamWrapper 中，源于一个途径遍历 bug，答应攻击者用歹意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个缝隙符号中等风险等级，虽然不是高危，网站办理员仍是应该尽或许快的打上补丁。发现该缝隙的安全研讨员以为该缝隙归于高危。运转 Drupal 8.7 的网站需求升级到 8.7.1，8.6 或更早版别的网站需求更新到 8.6.16，7 需求升级到 7.67。Joomla 需求升级到 3.9.6。

  美国 Red Ballon 安全研讨公司近来发布了一份陈述，发布了思科产品的两个缝隙。第一个缝隙被称为Thrangrycat，答应攻击者经过现场可编程门阵列（FPGA）比特流操作彻底绕过思科的信赖锚模块（TAm）。第二个是针对 Cisco IOS XE 版别 16 的长途指令注入缝隙，该缝隙答应以 root 身份履行长途代码，经过链接三只小猫和长途指令注入缝隙，攻击者能够长途继续绕过思科的安全发动机制，并确定 TAm 的一切未来软件更新。回来搜狐，检查更多