PyPI设立关键包制度遭部分开发抗议

阅读量132294

发布时间 : 2022-07-12 10:00:01

第319期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、PyPI设立关键包制度遭部分开发抗议

为应对频发的供应链攻击,PyPI决定设立关键包制度强制施行双因子认证,但部分开发却决定对着干。

总体来说这项举措还是众望所归,推出后在开发者社区里好评如潮,但每种制度总有人唱反调,何况确实带来了一些不便。有一个开发者为了不被强制加入双因子认证,从PyPI中删除了包重新发布,清空了下载量,以便退出“关键包”之列。目前的关键包政策是,六个月内下载量前1%的包设置为关键包,赞助商Google也会为此项目提供免费的硬件密钥。考虑到直到上周还在出现的PyPI供应链攻击,虽然这种方式无法对抗模糊名称,至少可以在反劫持上做出一定的贡献。

部分开发者不知是不是被官方发送的邮件气到了——“恭喜,你的包成为了关键包,快来双因子认证吧!”,决定删除后重新上架自己月下载量高达600万次的包,同时表示绝不使用这项功能,认为开发者已经做的够多了不能再折腾开发者。鉴于反对者只占少数,关键包制度应该会执行下去,这个“退出”的办法应该也不会封禁作为少数开发者的应对之策。[阅读原文]

 

2、马斯特里赫特大学最终拿回了翻很多倍的赎金

19年时马斯特里赫特大学遭勒索软件攻击,为保住成吨的研究数据选择支付赎金,如今这份赎金翻了数倍回到了自己手中。

支付赎金后,荷兰检察院迅速扣押了一个加密货币钱包,认为这部分资金与勒索脱不开干系,虽然只有部分赎金,但价格已达40000欧元。时至今日,这个钱包中的加密货币价格涨至50万欧元,甚至比当初支付的赎金还要高。司法部已提起流程,希望从荷兰检察院那里接手这个钱包,同时用资金设立基金帮助有困难的学生。

不过大学方面表示,就算50万欧元足额拿回,也不足以弥补因勒索而导致的各方面损失,不过有总比没有强。[阅读原文]

 

3、FBI钓鱼手机与应用Anom部分源码公布

自昨天(7月10日)以来,美国网民就被社交网络上一则极为重磅话题吸引住了眼球。原来,有来自美国4chan论坛的网民宣称,他们论坛的大佬已经成功“黑”掉了美国总统拜登的小儿子亨特的苹果手机云盘,并在里面看到了大量亨特的“黑料”。

不过,这一说法尚未被任何媒体证实,真相仍然存疑。不仅美国白宫方面没有任何回应,美国主流媒体也没有一家报道此事。

即便是那些非常敌视拜登、正在疯狂炒作亨特云盘“被黑”的美国极右翼媒体,比如《华盛顿审察者报》,也在文章中承认拜登儿子亨特的云盘被黑的说法还无法证实。

《华盛顿审察者报》还指出,目前美国网络上流传的那些据称来自亨特“云盘”的裸照等大量不雅图片内容,其实基本上是亨特2019年时丢失的笔记本电脑里泄露出来的内容。值得一提的是,亨特笔记本电脑的失窃以及里面私人文件遭泄露的事情,倒是已经被多家美国媒体证实和报道过。

有些美国网民则怀疑,此事可能是4chan论坛编造的一个假消息,因为这个缺少监管,人人都可以匿名的论坛,一直都是假消息和谣言泛滥的重灾区。

不过,就在亨特云盘“被黑”的这个说法在网上传得沸沸扬扬、真假难辨之时,美国苹果公司发布的一项针对高端用户的隐私保护政策,却让那些相信亨特云盘“被黑”的人浮想联翩。

根据美国哥伦比亚广播公司网站(CNBC)7月10日的报道,苹果公司于上周三推出了一项可以让诸如政客和社会活动人士等高端用户封锁自己的手机和用户信息,从而可以减少他们的手机被有组织的黑客行为入侵的风险。

而在这则新闻的评论区,那些认为亨特手机云盘“被黑”的美国保守派网民就认为,苹果出台这个政策很可能是因为拜登儿子的手机云盘被黑了。

看来,白宫以及一些美国的权威媒体,还是有必要去好好回应和调查一下这个传言了。[阅读原文]

 

4、全球网络犯罪急需强化协同打击去年造成损失超6万亿美元

意大利信息安全协会近期发布的研究报告显示,2021年全球网络犯罪造成的相关损失超过6万亿美元,而2020年这一数字估计为1万亿美元。意大利防务、安全和航空航天巨头莱昂纳多公司首席执行官普罗富莫表示,新冠肺炎疫情导致在线活动激增,“过去两年来的网络安全威胁成为疫情的‘附带损害’”。

全球网络犯罪快速上升势头明显,企业在网络犯罪中蒙受了重大损失。根据美国联邦调查局最新发布的《互联网犯罪报告》,与前几年相比,网络钓鱼攻击是目前最常报告的网络犯罪类型,2021年报告了32万多起,其中仅商务电邮入侵就造成近24亿美元的损失。云计算公司Iomart的一份报告指出,2020年第一季度,全球大规模信息泄露事件同比增长273%。一次数据泄露对于大型公司的损失大约是其市值的7.27%,对中小型公司的影响则是灾难性的。今年5月,网络安全机构Hiscox针对5000多家欧美企业进行了问卷调查,超过87%的受访者将网络犯罪视为头号威胁,超过经济衰退和人才短缺等问题。西班牙国家网络安全研究所称,欺诈、漏洞和勒索软件仍将是2022年网络威胁的主要形式。

为应对日趋猖獗的网络犯罪威胁,许多国家和地区不断完善立法和技术保护措施。根据联合国贸发会议的数据,全球156个国家和地区已经颁布实施网络犯罪相关法律法规,多国正在完善升级其网络安全国家战略和组织架构。意大利去年6月宣布成立国家网络安全局,旨在提高国家预防、监测能力,以应对网络安全事件和网络攻击。英国今年初发布的《政府网络安全战略2022—2030》报告提出,到2025年,英国政府关键职能部门要显著增强抵御网络攻击的能力;到2030年,各政府部门均需具备抵御已知的网络漏洞和攻击方法的能力。

鉴于网络犯罪存在跨境特征,全球协同打击网络犯罪具有重要意义。2019年底,联合国大会通过了“打击为犯罪目的使用通信技术”决议。去年5月,第七十五届联合国大会通过关于启动《联合国打击网络犯罪公约》谈判的决议,公约特委会第一次谈判会议已于今年初举行。与会各方普遍认同应尽快制定《联合国打击网络犯罪公约》,多数国家支持按联大决议如期完成谈判。

目前,上海合作组织、欧洲委员会、阿拉伯国家联盟等国际组织均已制定打击网络犯罪的多边条约。欧盟正加紧整合成员国的相关资源和专业技术,计划成立一个专门应对网络攻击的机构,强化联合打击网络犯罪的能力。该机构预计于2023年建成,成员包括来自欧盟成员国、欧洲刑警组织以及欧盟对外行动署等机构的专家。[阅读原文]

 

5、B站回应“黑客售卖2 亿余条用户账号”传闻:完全不实

驱动中国2022年7月8日消息

近日,有媒体报道,疑似B站发生用户账号(UID)、手机号泄露问题,泄露数据多达2.2亿余条。起因是,一张在暗网叫卖 2.2 亿余条B站用户信息的截图在网上流传,泄露数据疑似包括用户账号(UID)和手机号,价格为 0.5 比特币或 17.72 以太币。

而这条信息出售帖发布于7月6日凌晨,发帖者称“【哔哩哔哩】数据泄露2.3MM”,数量具体为221223698条,并提供了总计超过50万行的样本数据。

报道称,记者随机选取了部分样本数据进行核实,发现 UID 基本上都能对应B站账号,对应的手机号则有些是空号,有些可以打通,但暂未证实手机号与 UID 指向同一用户。

对此,B站相关负责人表示,关于“疑似用户数据泄露”的网传信息完全不实。公司经过全面技术排查和分析对比,确认网传的泄露数据为错误信息。

值得一提的是,今年 6 月,国家互联网信息办公室发布《互联网用户账号信息管理规定》(下称“《规定》”),《规定》自 8 月 1 日起施行。《规定》要求互联网信息服务提供者履行账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力;建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/276235

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66