【阿里聚安全·安全周刊】Python库现后门可窃取用户SSH信息|Facebook再曝300万用户数据泄露

时间 2019-11-06

标签阿里聚安全·安全周刊 python 后门窃取用户 ssh 信息万用数据泄露栏目 Python 繁體版

原文原文链接

本周七个关键词：Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售“色情通行证”丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Eclipse Che 6.5.0php

-1- 【python】Python库现后门可窃取用户SSH信息python

来源：嘶吼浏览器

------------------------------------------------------安全

以色列开发者Uri Goren开发的处理SSH链接的Python模块存在后门。本周一，另外一位开发者注意到多个SSH decorate模块含有收集用户SSH，并发送数据到远程服务器的代码。其中远程服务器的地址位于：http://ssh-decorate.cf/index.php。服务器

在注意到这个问题后，Goren回应说后门并非他故意留的，而是被黑的结果。网络

若是你仍在使用SH Decorator（ssh-decorate）模块，那么最新的安全版本是0.27。0.28版本到0.31版本都是恶意版本。并发

http://jaq.alibaba.com/community/art/show?articleid=1692app

-2- 【数据泄露】Facebook再曝300万用户数据泄露与性格测试类app密切相关ssh

来源： cnbeta.com机器学习

------------------------------------------------------------------

在政治咨询公司“剑桥分析”的数据收集丑闻曝光以后，Facebook 无疑面临着愈来愈大的舆论压力，由于研究人员 Aleksandr Kogan 分享了他经过一款性格测试（personality quiz）应用收集到的信息。

据 New Scientist 周一报道：剑桥大学的研究人员们，已经向一个分享门户上传了 300 万 Facebook 用户的数据。

另有研究团队经过一款名叫“个人个性”（myPersonility）的应用收集了用户信息，而后将之放到了一个 Web 门户上。

http://jaq.alibaba.com/community/art/show?articleid=1694

-3- 【漏洞】邮件形同裸奔，PGP 与 S/MIME 加密协议被曝严重漏洞

来源：FreeBuf.COM

------------------------------------------------------------------------------

由9名学者组成的团队向全世界发出警告，OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称，这个代号为EFAIL的漏洞若是被利用，将容许攻击者从发送或接收的消息中提取明文内容。

EFF的研究人员也证明了这些漏洞的存在，他们建议用户卸载Pretty Good Privacy和S / MIME应用程序，直到发布修复补丁为止。

http://jaq.alibaba.com/community/art/show?articleid=1697

-4- 【数据保护法】根据新法律英国报摊将出售“色情通行证”以验证年龄

来源： cnbeta.com

------------------------------------------------------------------------------

据外媒The Verge报道，去年英国批准了《2017年数字经济法》，其中包括有关访问色情网站的严格新规。当这项法律在今年晚些时候生效时，监管机构建议用户能够从他们当地的报摊购买所谓的“色情通行证”，以验证他们的年龄。

英国文化、媒体和体育部一位发言人表示，该部门正在“实施世界上最严格的一些数据保护法”，而且验证方案的范围将不得不遵照这些标准。

http://jaq.alibaba.com/community/art/show?articleid=1690

-5- 【网络协议】 注意！HTTPS的绿色锁图标并不表明绝对安全

来源：嘶吼

-------------------------------------------------------------------------------------

HTTPS是HTTP协议的一个变种，给传输的数据增长了一个安全层，这个安全层是经过SSL或TLS实现的。SSL是来确保不安全网络中网络应用客户端和服务器的安全链接的网络协议。

SSL证书愈来愈廉价，许多企业提供给用户免费的SSL证书，但并不去验证是谁在用这些证书。

研究人员发现有钓鱼网站和恶意网站也在使用SSL证书，因此绿色的HTTPS图标并不必定安全。

http://jaq.alibaba.com/community/art/show?articleid=1699

-6- 【机器学习】50多种适合机器学习和预测应用的API，你的选择是？（2018年版本）

来源：云栖社区

--------------------------------------------------

本文盘点了2018年以来人脸和图像识别、文本分析、天然语言处理、情感分析、语言翻译、机器学习和预测这几个领域经常使用的API，读者能够根据本身需求选择合适的API完成相应的任务。

http://jaq.alibaba.com/community/art/show?articleid=1689

-7- 【下载】Eclipse Che 6.5.0 发布，在线集成开发环境

来源：开源中国社区

--------------------------------------------------------------------------

Eclipse Che 是一个高性能的基于浏览器的集成开发环境，经过提供结构化的工做区、项目输入、模块化扩展插件来支持 Codenvy 的引擎，采用 Java 开发，支持 Windows、Linux 和 OS X 系统。

Eclipse Che 6.5.0 已发布（可下载）。

http://jaq.alibaba.com/community/art/show?articleid=1696

——————————————————————————————

以上是本周的安全周刊，想了解更多内容，请访问阿里聚安全官方博客

【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露

【阿里聚安全·安全周刊】Python库现后门可窃取用户SSH信息|Facebook再曝300万用户数据泄露