BUF早餐铺 | Office 365出现网络钓鱼；GDPR实施一周年，开出5600万欧元罚单；Flipboard公告称内部...

各位Buffer早上好，今天是2019年5月30日星期四。今天的早餐铺内容主要有： Office 365出现网络钓鱼； GDPR实施一周年，开出5600万欧元罚单； Flipboard发安全通告：内部系统遭黑客攻击 推荐所有用户重置密码； Android系统的DuckDuckGO浏览器易受URL欺骗攻击； 近100万台设备存在高危漏洞BlueKeep隐患 黑客已扫描寻找潜在目标； 后台刷新功能有风险 大批iOS应用被曝发送用户数据。

安全资讯早知道，三分钟听完最新安全快讯~

Office 365出现网络钓鱼

近日，一种新形式的钓鱼活动出现在网络中，攻击者会将钓鱼内容伪装成Office 365点警告邮件，并告知用户他们的账户中出现异常数量的文件删除。钓鱼攻击以Office 365警告内容的形式出现，声称用户已触发中级威胁警报，并告知用户在其账户中发生了大量文件删除行为，诱使用户点击警告框。如果用户点击警告框并，会进入伪造的登录页面，一旦输入账号密码，就会被钓鱼网站获取并保存。随后，登录页面会刷新并将用户重定向至正常登陆页面，以掩盖钓鱼行为。微软提醒用户，Microsoft账户和outlook账户的登录表单只会来自microsoft.com、live.com或outlook.com。如果发现有任何来自其他URL的Microsoft登录表单，请不要使用。 [来源： bleepingcomputer ]

GDPR实施一周年，开出5600万欧元罚单

欧盟《通用数据保护条例》（GDPR）被称为史上最严数据保护条例。自2018年5月25日正式实施至今，已有一周年时间。欧盟EDPB发布的报道称，一年来，整个欧洲经济区的各个国家监管机构则一共上报了206326起案例，监管机构共解决了52%的案例，并判处约5600万欧元的行政罚款。其中，法国数据保护机构CNIL向谷歌发出的5000万欧元罚款占所有罚款金额的90%左右。此外，苹果、微软、Twitter、WhatsApp、Instagram、Uber、领英等多家企业也因数据或隐私保护问题而遭遇投诉、调查或处罚。[来源：freebuf]

Flipboard发安全通告：内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用Flipboard今天发布安全通告，公司内部多个系统遭到黑客攻击，已经持续超过9个月时间。外媒ZDNet报道称，Flipboard表示黑客获得了存储客户信息的服务器访问权限，该服务器上存储了用户名、哈希值、加密密码，以及和第三方服务捆绑的Flipboard个人资料。不过好消息是服务器上存储的密码都是通过名为bcrypt的强密码哈希算法进行加密的，目前业内这种算法很难被破解。公司也表示一些密码是使用比较弱的SHA-1算法加密的，但是数量并不多。目前，事件详情正在进一步调查中。[来源： cnbeta ]

Android系统的DuckDuckGO浏览器易受URL欺骗攻击

安全研究员Dhiraj Mishra发现安卓版本5.26.0的开源DuckDuckGo隐私浏览器存在URL欺骗漏洞（编号为CVE-2019-12329）。利用这个漏洞，可以在特制JavaScript页面的帮助下欺骗DuckDuckGo的omnibar，并针对用户发起针对欺骗攻击。这个特制页面利用setInterval函数每10到50毫秒重新加载一个URL，而真正的DuckDuckGo网站则是每50ms自动加载一次。该安全研究员表示，这个漏洞早在2018年10月底就已通过HackerOne提交。不久之前，DuckDuckGo给其发布了漏洞赏金。[来源： bleepingcomputer ]

近100万台设备存在高危漏洞BlueKeep隐患 黑客已扫描寻找潜在目标

据外媒SecurityWeek报道，将近100万台设备存在BlueKeep高危漏洞安全隐患，而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708，存在于Windows远程桌面服务（RDS）中，在本月的补丁星期二活动日中已经得到修复。该漏洞属于蠕虫式（wormable）漏洞，可以利用RDS服务传播恶意程序，方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码，并通过远程桌面协议（RDP）来发送特制请求，在不需要用户交互的情况下即可控制计算机。

目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击，并且还可以通过阻止TCP端口3389来缓解威胁。[来源： cnbeta ]

后台刷新功能有风险 大批iOS应用被曝发送用户数据

根据《华盛顿邮报》进行的一项隐私实验，当允许后台应用刷新时，一些iOS应用会利用这项功能定期向追踪公司发送数据。《华盛顿邮报》记者乔福瑞·福勒（Geoffrey Fowler）与隐私公司Disconnect合作使用专有软件来查看自己的iPhone运行情况。虽然有应用使用追踪器并分享用户数据并不令人意外，但利用后台刷新功能发送数据的频率还是令人惊讶。这些应用会发送手机号码、电子邮箱、地理定位、IP地址等信息，其中包括微软OneDrive、Mint、Nike、Spotify、The Weather Channel、DoorDash、Yelp、Citizen甚至《华盛顿邮报》自己的iOS应用。其中，Citizen共享的个人身份识别信息违反了它的隐私政策，而Yelp每过5分钟就会发送信息，但该公司随后表示这是一个漏洞。[来源： cnbeta ]