BUF早餐铺 | Twitter 公布今年上半年透明度报告；伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员...

各位 Buffer 早上好，今天是 2018 年 12 月 17日星期一。今天的早餐铺内容有：Twitter 公布今年上半年透明度报告；伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员；这些严重漏洞让4亿微软账户险遭暴露；自由职业精英黑客赚得多，帮人找漏洞或年入50万美元；Google 将域名 duck.com 转让给 DuckDuckGo。

伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员

据外媒报道，根据伦敦网络安全竞购Certfa最新公布的一份报告显示，与伊朗政府相关的黑客将实施了制裁的他国官员、活动人士和记者作为其网络钓鱼黑客攻击目标。获悉，目标包括了原子科学家、美国财政部官员以及今年被美国总统特朗普撤销的伊朗核协议的支持者和批评者。报道称，该黑客行动在很大程序上主要依赖于诱骗邮箱用户交出他们电子邮件的用户名和密码。不过像Yubikey等这样的物理令牌有助于防止此类黑客攻击，因为当登录重要邮箱账号时设备必须在场才行。

目前还不清楚究竟有多少受害人落入了这个网络钓鱼的全套，而这些黑客之所以被发现看来是因为他们犯了一个基础错误。据称，他们在网上留下了一个不安全的信息，研究人员正是通过这个找到了他们并从中获取了钓鱼活动的细节信息。[来源： cnBeta ]

这些严重漏洞让4亿微软账户险遭暴露

在 SafetyDetective 公司工作的印度赏金猎人 Sahad Nk 发现并向微软报告了微软账户中的一系列严重漏洞并获得一笔数额不明的奖金。这些漏洞出现在用户的 MS Office 文件、Outlook 邮件等的微软账户中。也就是说所有类型的账户（超4亿）和所有类型的数据均易遭攻击。如果结合使用这些漏洞，将成为获取用户微软账户访问权限的完美攻击向量。攻击者需要的不过是强制用户点击某链接。[来源： CodeSafe ]

Google 将域名 duck.com 转让给 DuckDuckGo

Google 将域名 duck.com 转让给了竞争对手 DuckDuckGo。DuckDuckGo 创始人 Gabriel Weinberg 确认了这一消息。他表示，“我们很高兴 Google 选择将 duck.com 的所有权转让给 DuckDuckGo。获得 duck.com 域名将帮助用户更方便地使用 DuckDuckGo。”Google 在一份声明中表示它与 DuckDuckGo 公司达成协议，将 duck.com 的所有权和相关权利转让给 DuckDuckGo。今年 7 月，DuckDuckGo 公开抱怨 Google 混淆其用户，给出的一个理由就是将 duck.com 域名重定向到 Google 搜索。但前 duck.com 资深雇员发表声明，否认 duck.com 重定向到 Google 是搜索巨人有意的行为，称是他在 2010 年 Google 收购 On2 Technologies/The Duck Corporation (on2.com 和 duck.com) 之后决定重定向 duck.com。[来源： Solidot ]

自由职业精英黑客赚得多，帮人找漏洞或年入50万美元

据美国媒体报道，安全漏洞悬赏平台Bugcrowd发布的最新数据显示，通过为特斯拉等公司和美国国防部等组织查找安全漏洞并报告所查找出的问题，自由职业型的精英黑客每年能够获得超过50万美元的收入。于2012年在旧金山成立的Bugcrowd，是为客户查找和报告软件安全漏洞的少数几家所谓的“漏洞悬赏”公司之一。[来源： cnBeta ]

Twitter 公布今年上半年透明度报告

Twitter 公布了今年上半年的透明度报告，称它从政府收到的信息披露请求增长了 10%，这是 2015 年以来最高的增长比例。Twitter 收到了 6904 次政府要求，涉及 16882 个账户。在 56% 的案例中，Twitter 至少提供了一些数据。美国以 2231 次涉及 9226 个账户的请求居首，约占 Twitter 上半年收到政府请求的三分之一。日本和英国分别排在第二和第三位。总体上，包括要求删除数据的请求在内，全球政府请求增加了 80%。大多数数据删除请求来自俄罗斯和土耳其。香港也递交了两次请求涉及 4 个账号，但 Twitter 没有满足其要求。[来源： Solidot ]