Have I Been Pwned 维护者 Troy Hunt 在个人博客上讨论了最新泄漏了 680 万密码，指出了一个老生常谈但因为便于记忆等原因至今无法解决的问题：绝大多数人使用的密码都是弱密码，都已经泄漏在外了。CashCrate 最近被曝在 2016 年 11 月 有 680 万密码外泄，泄漏的数据包括了用户名、地址和电子邮件地址，其中 2,232,284 个密码是明文，其余则是容易破解的 MD5 哈希。在明文密码中，1,910,144 个密码已经包含在 Have I Been Pwned 的密码库中，最常用的密码是 123456、123456789、qwerty、password、111111、12345678、 abc123、password1、1234567 和 12345。至今 CashCrate 仍然允许用户将 123456 作为密码，但不再允许用 12345，因为长度不够。还有一些特别的长密码如 nikki i love u 和 i like to have sex，anchorage alaska 也都有人用过了。密码库里没有的高频密码与 CashCrate 这个网站的名字有关，比如 cashcrate123、CashCrate、mycashcrate 等。

Google Chrome 浏览器从五月一日起开始对在 Certificate Transparency (CT) 系统日志中没有记录的 SSL 证书弹出警告。Chrome 是第一个实现支持 Certificate Transparency Log Policy 的浏览器，其它浏览器开发商也都同意未来支持这一机制。这一政策是 Google 工程师在 2016 年提出的，2018 年生效。该政策要求所有证书签发机构在 CT 中公开它们每天签发的证书。绝大多数 CA 都已经支持公开记录证书的政策。

合肥市纪委监察委称，2018 年 3 月，在办理一则指定专案中，纪委人员从谈话对象处提取到一组被删除的微信聊天记录，“调查人员根据此条线索变换谈话思路，使谈话对象心理松动，交代问题，推进专案审查调查工作”。微信对此回应说，“相信有些朋友可能用电脑时有过这样的经历：当你不小心把一些重要文件删除了，用一些数据恢复软件就可能把文件找回来。而手机也是一样，可以通过一些技术恢复被删除的数据，比如聊天记录数据。腾讯安全专家 TK 也解释道：不止是各种即时通信 APP 的聊天记录，手机上的文件、通讯录、短信、通话记录、记事本、日历等等也都一样，即使删除掉也都可能恢复出来。同时，有一个技术领域叫司法取证，其中对手机的取证是很重要的研究方向，有大量公开的论文可以查阅。国内一些取证工具，也已经可以支持对几十种即时通信 APP 进行取证。对此，我们再次澄清：微信不留存任何用户的聊天记录，聊天内容只存储在用户的手机、电脑等终端设备上。微信不会将用户的任何聊天内容用于大数据分析。因微信不存储、不分析用户聊天内容的技术模式。”腾讯的回应不用太较真，同样的话说了许多遍似乎就会变真的了。问题是如何能恢复被删除的微信聊天记录？微信聊天记录保存在两个地方：腾讯的服务器和用户的设备，删除信息并不意味着腾讯会同时从服务器上删除信息，所以恢复信息最简单方法是向腾讯索取。微信并没有采用端对端加密，对腾讯而言你的信息就是明文，无需担心解密。如果不向腾讯索取，那么恢复手机上的删除信息也是可能的。一条信息被删除，它并没有进入回收站或彻底删除，以 Android 手机为例，被删除的信息只是意味着记录该信息的位置可以被新的数据覆写，有许多数据恢复软件或取证工具可以恢复被删除的信息。还有一个问题如果是数据是加密的？恢复被删除的加密信息是否可能？根据知名端对端加密消息应用 Signal 上的讨论，一位用户发现恢复被删除加密信息也是可能的，但该方法被认为是一种设计漏洞。

金正恩昨天成为第一位踏上韩国领土的朝鲜领导人。在韩朝拥抱和平的同时，朝鲜的黑客仍然在四处出击。安全公司 McAfee 披露了被称为 GhostSecret 的网络间谍活动，它被认为与朝鲜 APT 组织 Hidden Cobra 有关联。GhostSecret 攻击了 17 个国家和地区，其中包括美国、泰国、中国和香港。泰国当局在 McAfee 的帮助下扣押了国立法政大学的一台服务器，这台服务器被用于与被 GhostSecret 行动感染的设备进行通信，泰国正对服务器进行调查。GhostSecret 使用的一个工具能渗透到连接 SWIFT 网络的计算机，能永久性的删除数据。该工具还包含入侵索尼影业的恶意程序 Destover 的指纹。

安全专家 Marius Tivadar 在 GitHub 上公布了概念验证代码（PoC） ，它能崩溃所有版本的 Windows，即使 Windows 计算机处于锁定状态。代码利用了微软处理 NTFS 图像的一个漏洞。他的 PoC 代码包括了畸形 NTFS 图像，可以放在 U 盘里，然后插上电脑后系统就会在数秒内蓝屏死机。Tivadar 称，原因是 Windows 默认会自动读取 U 盘中的内容。即使关闭“自动播放”，在访问该文件时候系统也会崩溃，比如 Windows Defender 等安全工具自动扫描 U 盘。在系统锁定的情况下，蓝屏死机也能触发，Tivadar 认为微软应改变这种做法，因为锁定状态下系统不应该读取随便一个插到电脑上的 U 盘。

一个月内的第二次，流行开源内容管理系统 Drupal 对新的远程代码执行高危漏洞发出了警告。新的远程代码执行漏洞编号 CVE-2018-7602，影响 Drupal 7.x 和 8.x，该漏洞潜在允许攻击者利用多个攻击向量入侵使用 Drupal 的网站。该漏洞正被攻击者利用，开发者督促使用 Drupal 系统的网站尽可能快的更新到最新版本。开发者没有披露漏洞的细节。上月底，Drupal 披露了一个非常容易被利用的远程代码执行漏洞 CVE-2018-7600，该漏洞也已经被多个组织利用安装挖矿程序和其它恶意程序。

避免撞上行人的自动紧急制动系统如今已是汽车的标配。但一项新研究发现，为了避免撞上快速运动的骑车者，此类的安全系统需要视野更广的传感器。英国研究人员分析了真实的事故，识别自动紧急制动系统如何帮助汽车避免撞上骑车者的经验教训。他们发现，汽车需要 180 度的前向视野才能提供 90% 的骑车者探测区域。 相比之下，仅仅 35 度的前向视野就很少发生汽车与行人相撞的事故。研究报告发表在《Accident Analysis & Prevention》期刊上。英国的事故数据显示汽车在路口更可能与骑车者而不是行人相遇。自主驾驶汽车的传感器通常有 360 度的视野。 。

未知攻击者为了窃取数字货币不惜动用了 BGP 路由广播劫持这个大杀器，攻击者的钱包地址目前拥有价值 1700 万美元的以太币，虽然这次行动窃取到的以太币并不多，但攻击者显然拥有惊人的可支配资源。本周二，UTC 时间上午 11:05 到下午 12:55 之间，攻击者在入侵亚马逊云服务的一家上游 ISP eNet 后向其对等网络发出了假的路由广播，重路由亚马逊 Route 53 服务的 1300 个 IP 地址，对等网络不疑有假，接受了路由通知，将数字货币网站 MyEtherWallet.com 域名的一部分流量重定向到钓鱼网站，该钓鱼网站的服务器位于俄罗斯境内。攻击者利用了 Equinix 的一台服务器发动了中间人攻击，共窃取了大约 15 万美元 MyEtherWallet 客户的数字货币。如此低的回报令人怀疑 MyEtherWallet 可能不是攻击者唯一的目标。亚马逊表示，AWS 或 Route 53 都没有被入侵。这起事故再次暴露了 BGP 的弱点。BGP 劫持发生过许多次，部分是因为失误，部分则是有意比如审查。

安全公司 FireEye 称，中国黑客过去几个月以日本国防承包商为目标，目的可能是获取东京解决朝鲜核僵局的政策相关的情报。攻击者被怀疑来自 APT 10，使用的一种攻击方法是钓鱼邮件。两次攻击发生在去年 9 月到 10 月之间。当时恰逢朝鲜核计划引发的地区紧张形势升级。朝鲜测试了氢弹，而特朗普则威胁全面毁灭朝鲜。随着两韩开始和谈，紧急形势已经缓解。FireEye 称， APT 10 主要收集与区域性地缘政治变化相关的情报。

奇虎 360 发现了新 Windows 0day 漏洞，正被利用发动 APT 攻击。漏洞已经报告给了微软，奇虎没有披露细节。安全研究人员将该漏洞命名为 “双杀” 漏洞，影响最新版本的 IE 浏览器及使用 IE 内核的应用程序。攻击是通过投递内嵌恶意网页的 Office 文档的形式实施，中招者打开文档后，所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。攻击的后期利用阶段使用了公开的 UAC 绕过技术，并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。360 建议用户不要随意打开未知来路的 office 文档。

上个月，开源内容管理系统 Drupal 发布了一则高危漏洞警告，基本上影响到所有的 Drupal 网站或超过 100 万网站。公告称，Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞，可能导致网站被完全入侵。奇虎 360 的研究人员报告，多个恶意程序正在利用该漏洞。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。研究人员将该僵尸网络命名为 muhstik，因为其二进制文件名和通信协议中多处包含了这个字符串。Muhstik 僵尸网络相当复杂，硬编码了 11 个 C2 域名 / IP，获利方式包括挖取 XMR 数字代币，挖取 BTC 数字代币，以及 DDoS 攻击。

AdGuard 的联合创始人 Andrey Meshkov 注意到 Chrome 官方扩展商店出现了许多模仿知名广告屏蔽工具的扩展，他下载了一个研究了它的代码。他检查了扩展发出的请求，一些奇怪的请求立即引起了他的注意。名叫 AdRemover 的扩展有超过一千万下载量，Meshkov 发现它的图像隐藏了从远程服务器加载的代码，允许扩展作者无需更新就能改变功能。这种做法违反了 Google 的政策。他还发现其它下载量数以百万计的扩展存在类似的问题。Google 已经将这些扩展从商店移除。Brave 浏览器的开发者 Yan Zhu 称，此类的扩展并不能随心所欲，但确实能做一些恶意行为，比如对浏览器的所有请求发动中间人攻击，但由于缺乏权限这些扩展并不能读取用户的密码数据库。

《华尔街日报》报道（付费墙），朝鲜黑客正从一个中等级别的安全威胁变成最具危险性的安全威胁之一。朝鲜黑客多年来一直被视为二流，然而过去一年半发生的网络攻击显示，朝鲜黑客的技能正在快速提升，已跻身世界一流行列。朝鲜以培养奥运会选手的方式培养它的精英黑客。聪明的学生会在 11 岁左右挑选出来集中到专门的学校学习黑客技术和病毒开发技术。安全专家称，朝鲜黑客开发的恶意代码能让杀毒软件无法识别，一旦安全公司堵上软件漏洞，他们能在数天内作出回应调整代码。朝鲜黑客会通过在代码中嵌入英语或其它语言来模糊恶意程序的真正发源地。他们还会在圣经应用中隐藏恶意程序或使用 Facebook 来感染目标。去年，朝鲜黑客被发现率先利用了 Flash 的一个 0day 漏洞。

比利时安全研究人员发表了一篇论文（PDF），调查了治疗慢性疼痛、帕金森症和其他疾病的大脑植入物的安全性。研究人员发现，此类的植入物最多是在最后才会去考虑安全。植入物使用无线接口，因此显而易见你不能给大脑中的芯片加入 USB 线缆，而接口的缺陷允许攻击者施加电击，收集敏感神经信息以及拦截敏感医疗数据在植入物和设备之间的传输。 研究人员提议使用加密来削弱此类远程攻击的风险，比如初始化加密需要物理上接近的工具。

微软发布了一个 Chrome 扩展“Windows Defender Browser Protection”，将 Windows Defender 和 Edge 浏览器的反钓鱼技术移植到 Google Chrome 上。Google 有类似的反钓鱼技术叫 Safe Browsing API，而微软的反钓鱼技术则是 SmartScreen API。现在 Chrome 用户可以使用两种反钓鱼技术了。SmartScreen API 知名度没有 Safe Browsing API 高，但根据 NSS Labs 的测试它识别恶意域名的正确率更高，使用 SmartScreen API 的 Edge 检测出来 99% 的钓鱼网址，而 Chrome 只有 87%。

安全公司 Avast 报告，近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂，被认为是拷贝了已有代码，但它的隐藏在修改的游戏皮肤中，上传到了 Minecraft 官方网站，因为托管在官方域名，当安全软件弹出警告后可能会被用户认为是误报。Minecraft 是最受欢迎的沙盒游戏之一，截至 2018 年 1 月全世界有 7400 万玩家，但只有很少部分上传修改的皮肤，绝大部分使用默认皮肤，所以也只有少数人被感染。

为缓解外国实体监视高级官员私人对话的担忧，法国政府宣布正在开发自己的加密消息应用。流行的加密消息应用如 WhatsApp 和 Telegram 都不是法国公司开发的，引发了数据在境外服务器外泄的风险。大约 20 名官员和高级公务员正在测试由政府雇佣的开发者设计的新加密消息应用，该应用预计会到今年夏天被政府强制使用。法国数字部发言人称，该消息应用是基于自由使用的代码，最终将会提供给所有公民使用。发言人拒绝给出代码或服务的名称。

在 Metldown 和 Spectre 漏洞曝出之后，英特尔一直致力于让行业放心对待安全问题它是十分认真的。英特尔现在宣布了多项增强安全的新特性：其一是 Intel Threat Detection Technology (TDT)，芯片巨人宣布了两项 TDT 特性，第一种是 Advanced Memory Scanning，也就是扫描藏身于内存不写入硬盘的恶意程序，对内存的扫描通常会增加 CPU 的开销，所以为了减少开销英特尔将扫描任务交给了 GPU，GPU 在大部分桌面应用中都是空闲的，因此利用 GPU 扫描能减少 CPU 的开销。微软的 Microsoft Windows Defender Advanced Threat Protection (ATP) 也将在本月晚些时候加入 GPU 内存扫描功能。

Google 官方应用商店发现了三种先进的 APT 间谍程序。这些被称为 mAPT（m 代表移动）的间谍程序被认为针对的是中东用户，下载不多，总下载量在 650 到 1,250 次。Google 在收到报告之后已经从商店里移除了这些应用。三种间谍程序其中两种属于 ViperRat 恶意程序家族，另一种属于 Desert Scorpion 家族。这些恶意程序使用了模块化设计绕过了安全检查，恶意功能不包含在从商店下载的版本中，而是通过第二阶段的下载加入到应用中。这些间谍程序的功能包括上传指定文件，记录声音视频以及电话呼叫，等等。

美国和英国发布联合警告，称俄罗斯蓄意采取威胁家庭和企业路由器的网络入侵手段，把西方的联网基础设施当作目标。这是两个盟国首次就如何自保向平民和企业发布具体指引。美国国土安全部助理部长珍妮特 • 曼弗拉 (Jeanette Manfra) 称，华盛顿方面 “高度确信” 俄罗斯政府是这些入侵的幕后黑手。“我方认为，克里姆林宫要对其恶意网络活动负责，”她说。她补充道，官员们无法确定遭到 “攻陷” 的全部范围。“一旦你掌控了路由器，你就掌控了全部通讯内容，” 曼弗拉称。她介绍说，俄罗斯正试图控制网络连接环节，包括路由器、防火墙及网络入侵侦测系统，目的是从事间谍活动、窃取知识产权或为进攻行动预先定位。