19 岁的 Santiago Lopez 通过 bug 悬赏平台 HackerOne 报告漏洞，成为第一位通过 bug 悬赏赚到一百万美元的白帽子黑客。他的白帽子生涯始于 2015 年，至今共报告了超过 1600 个安全漏洞。他在 16 岁时赚到了第一笔 50 美元赏金，激励他从事白帽子生涯。政府机构和企业如五角大楼、GM、Google、Twitter、GitHub、Nintendo、Lufthansa、Panasonic Avionics、Qualcomm、Starbucks、Dropbox 和 Intel 等与 HackerOne 合作发现了超过 10 万个漏洞，发放了 4500 多万美元赏金。

Coinomi 钱包应用被发现会以明文向 Google 的拼写检查服务发送用户密码，让用户容易遭到中间人攻击，导致账号内数字货币失窃。Coinomi 的这一问题是程序员 Warith Al Maawali 在账号资金神秘失窃进行调查后发现的。Coinomi 是基于 Chromium，集成了多种 Google 服务，其中一种是自动拼写服务，能对所有用户文本框输入进行拼写检查。Coinomi 团队没有关闭这项功能，导致用户密码在设置过程中通过 HTTP 泄漏。Al Maawali 还建立了一个网站 avoid-coinomi.com 呼吁用户避开 Coinomi。

安全公司 Eclypsium 的研究人员发表论文，演示了利用主板关联微控制器 BMC 在 IBM 云服务内留下后门。BMC 允许管理员给服务器集群重新安装操作系统，安装或修改应用，修改配置。在这项研究中，研究人员利用了超微制造的主板 BMC 漏洞在 IBM 的裸金属云计算服务中留下后门。裸金属云计算允许客户完全控制服务器，不再需要的时候还给服务商，服务商将会清理系统给另一名客户使用。超微主板 BMC 漏洞允许一名客户留下后门，在服务器分配给其他客户后仍然活跃，这个后门允许攻击者窃取数据、发动拒绝访问攻击和勒索。

管理域名和地址的非营利组织 ICANN 呼吁全面部署 DNSSEC（域名系统安全扩展）和加强社区合作，以保护互联网。ICANN 此举是回应针对最近对 DNS 基础设施日益增加的网络攻击。DNSSEC 通过在 DNS 记录中加入加密哈希和签名来阻止 DNS 污染等常见 DNS 攻击方法。ICANN 称，虽然 DNSSEC 不能解决所有形式的 DNS 攻击，但它可以检测到对 DNS 信息未经授权的修改，阻止用户被误导。

瑞士和新西兰的用户报告，他们的电动滑板车车轮在行驶过程中突然锁定，导致他们摔倒在地，有数十人因此受伤。在相关报道披露之后，Lime 于今年一月在瑞士停止了其电动滑板车租赁服务。上周新西兰奥克兰市也投票暂停其服务。Lime 承认是软件故障导致了这一问题，该公司声称受影响的滑板不到总数的 0.0045%。Lime 称初步的修正减少了事故发生数量，最终版更新预计将会更快完成。Lime 称，bug 存在于滑板车的固件中，在极其罕见的情况下它会导致使用过程的过多刹车。这种罕见的情况通常是以最高速度下坡碰到路面坑洞或其它障碍物，前轮制动力过大，导致滑板车意外停止。

匿名读者 写道 "上海后端工程师张中南意外发现在阿里云效平台上只要登上账号就能浏览到很多公司的内部代码。起初其以为这些代码是开源的，但很快发现很多内容不该出现在开源项目中，比如项目的数据库、账号、密码等。"

Drupal 开源内容管理系统曝出了一个允许黑客远程执行代码的高危漏洞，影响数以百万计的网站，如果不及时打补丁，这些使用 Drupal 的网站将面临被劫持的风险。漏洞编号 CVE-2019-6340，根源在于未能充分验证用户输入。利用该漏洞首先需要满足两个条件：启用 Drupal 8 core RESTful Web Services (rest) 模块，允许 PATCH 或 POST 请求；启用 Drupal 8 的 JSON:API 或者是Drupal 7 的 Services 或 RESTful Web Services 模块。开发者建议网站管理员尽可能快的更新。

Google 研究人员警告，除非对 CPU 设计进行大幅的修改，否则很难在未来避开 Spectre 漏洞。Google Chrome V8 JavaScript 引擎团队开发者在预印本网站 ArXiv 发表论文，报告了他们的发现。研究人员指出，光靠软件不能完全避开 Spectre 漏洞。他们得出结论，所有执行预测执行的处理器总是容易受到不同边信道攻击的影响，即使未来可能发现缓解方法。恶意程序能够利用 Spectre 漏洞来窃取其它程序执行时储存在内存中的敏感数据。要真正解决现有和未来的 Spectre 漏洞，CPU 制造商需要提出新的 CPU 微架构设计。

英国网络安全主管马丁(Ciaran Martin）在布鲁塞尔举行的 CyberSec 会议表示，他有信心认为，如果部长级官员们决定让华为参与未来的 5G 网络，英国网络安全部门可以管控这家中国电信设备制造商构成的任何风险。马丁列出了所有电信供应商都需要实施的三个先决条件，以确保未来的 5G 网络在网络攻击面前安全。这些条件包括 “5G 供应商市场的可持续多元化”，这意味着英国不应该只依赖一家供应商。但他也重申了英国向华为发出的警告：如果该公司未来要继续被允许向英国的电信运营商供应设备，它需要改进其网络安全标准和软件工程。他说，“我们的工作是确保政府能够有信心认为，无论它做出什么决定，都会有一套行之有效的技术框架和一个知道自己在做什么的有力国家主管当局。”

如果你还在使用解压缩软件 WinRAR，那么现在是时候更新它了。WinRAR 曝出了一个有 14 年历史的代码执行漏洞，存在于第三方库 UNACEV2.DLL 中，它从 2005 年起就没有再更新过了。WinRAR 开发者无法访问该库的源代码，因此修复方法是移除它，停止对 ACE 文档格式的支持。安全公司 Check Point Software 的研究人员在 UNACEV2.DLL 的过滤函数中发现了一个漏洞，允许将代码提取到 Windows 启动文件夹，在 Windows 重启之后执行。这个代码执行漏洞在 UNACEV2 创建之后就已经存在，至今已有 14 年历史。

你可能认为 USB 线没什么可怕的，大多数人都会随身带些 USB 线以方便给便捷式设备充电或访问设备内部资料，但如果看起来一模一样的 USB 线包含了隐藏的后门？你插上之后就容易遭到网络攻击？安全研究员 _MG_历时一个月制作的 O.MG Cable，将 WIFI 微控制器秘密安装在 USB 连接器内，能通过 USB 设备发送载荷，实现远程控制。_MG_ 称他在这个项目上投入了 300 小时和 4000 美元。安全隐患无不处在，大部分人不可能会把 USB 线拆开来看看里面有没有后门。

《悉尼先驱晨报》报道，澳大利亚总理莫里森（Scott Morrison）周一表示，澳大利亚议会的计算机网络，以及自由党、工党和国家党的网络，几周前遭到一起攻击。目前距离澳大利亚 5 月举行的联邦选举还有几个月时间。莫里森表示，“没有证据表明存在任何干涉选举的活动”。他同时表示：“我们已经采取一系列措施，确保我们选举系统的完整性。” 没有任何明确迹象表明，在攻击发生后有数据泄露。目前尚不清楚攻击的确切来源。消息人士表示，此次攻击的复杂程度 “前所未有”，但政府部门并没有透露被怀疑的对象。据报道，此次攻击中带有 “中国的数字指纹”，但有可能这只是攻击者试图栽赃给中国。

著名摄影网站 500px 发布公告，它在去年 7 月遭到黑客攻击，大约 1480 万用户的信息泄露，而它直到上周才获悉此事。500px 称 2 月 8 日，工程团队了解了一个潜在安全问题，随后它立即发起全面调查以查清问题的性质和范围，它还雇佣了第三方专家来帮助调查，结果发现在 2018 年 7 月 5 日，它的系统和部分用户数据遭到未经授权的访问，被访问的数据包括了用户名、电子邮件地址、哈希密码、出生日期性别地址等可选输入的信息。出于谨慎起见，它决定重置所有用户的账号密码，并建议用户如果在其它网站复用密码最好一并修改。500px 去年二月被视觉中国收购。

研究人员找到了方法让杀毒软件无法分析或识别恶意程序，方法是使用英特尔处理器提供的代码保护功能 SGX（代表 Software Guard eXtensions）。Intel SGX 是自 Skylake 处理器发布起引入的功能，其目的是保护软件的代码和相关的数据，确保其机密性和完整性。但如果 SGX 保护的代码是恶意的？如果恶意程序能做到，那么 SGX 的设计将让杀毒软件无法检查或分析恶意程序。为了实现 SGX 保护恶意程序的目的，研究人员利用了英特尔处理器的另一项功能 Transactional Synchronization eXtensions (TSX)。

微软本周二释出的例行安全更新修复了正在被利用的一个 IE 0day 漏洞和一个漏洞利用概念验证代码已公布的 Exchange Server 漏洞。对于 IE 漏洞，微软称攻击者首先需要引诱用户访问一个恶意网站，该漏洞允许攻击者测试 PC 磁盘上是否储存一个或更多文件。该漏洞是 Google Project Zero 安全团队成员发现的，编号 CVE-2019-0676，影响 IE v 10 和 11，正被活跃利用。 Exchange Server 漏洞编号 CVE-2019-0686，允许攻击者利用普通权限的账号获取服务器的管理权限。微软称它没观察到该漏洞正被利用。

电子邮件服务商 VFEmail 报告它遭到毁灭性攻击，数据和备份全部被人在几小时内重新格式化。 VFEmail 创始人 Rick Romero 在 Twitter 上称，@VFEmail 实际上已经完了，不太可能恢复。攻击发生在周一，VFEmail 的整个基础设施，包括邮件主机、虚拟机主机、SQL 服务器集群，全部被破坏，攻击者格式化了能找到的所有服务器。目前不清楚攻击者的动机，不能排除私人恩怨的可能性。VFEmail 创办于 2001 年，至今有近 20 年历史。

微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露，软件巨人旗下产品过去 12 年修复的所有漏洞，七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语，描述应用程序以不会导致错误的方式访问操作系统内存。当软件无意或有意以超出其分配大小和内存地址的方式访问内存时，就会出现内存安全漏洞。缓冲区溢出、竞争条件、分页错误、空指针，堆栈耗尽，堆耗尽/损坏、释放后使用或双重释放等术语描述的都是内存安全漏洞。

Google Play 官方应用商店发现了窃取用户数字货币的恶意应用。Eset 的安全研究人员称，恶意应用伪装成合法数字货币应用，其窃取方法是将 Android 剪切板中的钱包地址替换成攻击者的地址，使用该应用传输的数字货币会转到攻击者的钱包。此类的剪切板恶意程序已存在多年，2017 年 Windows 上的僵尸网络 Satori 使用类似的方法窃取数字货币，而 Android 版本的剪切板恶意程序此前主要通过第三方市场传播。Google Play 上的剪切板恶意应用伪装成合法服务 MetaMask，它被研究人员命名为 Android/Clipper.C，除了替换比特币和以太坊钱包地址外，它还会窃取以太坊钱包登陆凭证。在 Eset 举报之后，Google 已经将其从商店里移除。

Windows 7 将到 2020 年 1 月结束支持，之后企业和教育用户可以获得三年的付费扩展安全更新，消费者用户如果要获得安全更新只剩下升级到 Windows 10 这一选项了。那么扩展安全更新的付费究竟有多贵？根据微软向合作伙伴和销售人员透露的信息，相当贵，尤其是当你有多台设备需要打补丁的话。付费扩展安全更新根据设备数量收费，第一年企业版用户每台设备 25 美元，第二年 50 美元，第三年 100 美元；专业版用户更贵，第一年每台设备 50 美元，第二年 100 美元，第三年 200 美元。

根据裁判文书网公布的一审刑事判决书和二审刑事裁定书，华夏银行科技开发中心开发四室经理覃其胜在 2016年 11 月到 2018 年 1 月利用该中心其他开发者的账号登陆总行的核心系统应用服务器，将 ai 、tmp_hxb、aix.sh 和 hxb_tmp.sh 四个文件植入到生产环境，其中前两个文件是纯文本，后两个是可执行脚本，主要功能为通过执行 aix.sh 脚本切换用户及配置环境，并调用 hxb_tmp.sh 脚本，在数据库中修改卡号尾号为 2849 的相关操作记录。华夏银行的核心业务系统是从国外引进的，设计的时候没考虑夜间交易的问题，而华夏的对外金融服务由夜间模式及日间模式共同完成，日间模式下，日间库负责对外金融服务。每日 22 时 30 分左右切换到夜间模式，日间库进行批量业务处理（结息、约定转存等），夜间库负责对外金融服务。日间库批量业务处理完成后，凌晨 0 时 30 分左右系统切换到日间模式，将夜间模式下发生的成功金融业务从夜间库追加至日间库中，由日间库继续负责对外金融服务。覃其胜发现其中存在一个时间差，指定卡在夜间模式下正常发生交易，脚本在核心系统切换到日间模式之前执行，将指定卡在夜间模式下已成功交易的核心账务系统夜间库中核心交易流水状态改为失败。核心系统切换回日间模式后，由于这些交易的状态为失败，在处理夜间模式发生的金融业务时，未追加指定卡的实际已成功取款账务。利用脚本和这一漏洞，覃其胜先后在 22 时 30 分后了实施 1000 多次跨行 ATM 机取款行为（他也雇佣了其他人帮他取款），累计取款人民币 717.9 万元。他虽然归还了全部所得，坚称是测试漏洞，但根据其他人的证词，最终他被判处有期徒刑十年六个月，罚金人民币一万一千元，剥夺政治权利二年。