根据发表在 JAMA Network Open 期刊上的一项研究，大约 95% 的电动滑板车用户不戴头盔，而与电动滑板车相关的受伤有四成与头部相关。加州洛杉矶分校（UCLA）的研究人员在论文中对电动滑板车对公共健康的风险发出了警告。他们跟踪了 UCLA 附属的急症室在 2017 年 9 月 1 日到 2018 年 8 月 31 日之间记录下的 249 起电动滑板车相关的受伤急症报告，而在同一时间段急症室记录下了 195 起骑自行车受伤和 181 名行人受伤的报告。与电动滑板相关的受伤报告中，58% 的伤者是男性，平均年龄 33.7 岁，92% 是骑电动滑板，有 11 人是被电动滑板撞了。受伤的骑手只有 10 人戴了头盔，95% 的电动滑板车手没有戴头盔。最常见的伤处在头部，其它常见受伤包括骨折、挫伤、扭伤和撕裂伤。

Pear.php.net 向用户发出警告，如果你曾在过去半年下载了包管理器 go-pear.phar，那么最好立即调查下系统，你很有可能被植入了后门。Pear.php.net 是广泛使用的 PHP 扩展和应用库，维护者发现黑客用恶意版本替换了 go-pear.phar，会去下载安装一个后门，维护者建议用户去 GitHub (pear/pearweb_phars）下载干净版本，并对比下哈希值。PEAR 成为最新的供应链攻击受害者，所谓的供应链攻击是指通过攻击上游的软件进而攻击下游的目标用户。著名的磁盘清理工具 CCleaner 在 2017 年遭到黑客攻击被植入了后门。

Debian 使用的包管理器 apt/apt-get 曝出了一个远程代码执行漏洞，该漏洞允许网络中间人在正在安装任何包的机器上以 root 权限执行任意代码。最新版的 apt 已经修复了该漏洞，尚未安装最新更新或正在安装最新更新的用户可以通过暂时禁用 HTTP 重定向来防止中间人攻击。Debian 已经紧急释出了 9.7 版本，修复该漏洞。

一种新勒索软件变种专门攻击矿机，而绝大部分感染发生在中国。这种新勒索软件被称为 hAnt，去年 8 月首次被观察到，本月初矿场成为了新一波的感染对象。大部分受感染的矿机是蚂蚁比特币矿机 S9 和 T9，此外还有报告说 L3 也有感染，L3 用于挖掘莱特币，另一款挖掘比特币的 Avalon Miner 矿机也有感染案例。中国安全专家称 hAnt 隐藏在被感染矿机的固件内。一旦感染，它会锁定矿机无法再挖掘新数字货币。它的勒索文字有中文和英文版，要求矿主支付 10 比特币的赎金或帮助扩散这种勒索软件。如果矿主未能支付赎金或将恶意程序扩散到至少一千台矿机，攻击者威胁会关闭矿机风扇使其过热损毁。目前没有设备损毁的报告，可能只是一种空头威胁。

一个非常受欢迎的 WordPress 插件被愤怒的前雇员劫持，网站遭到纂改，客户收到了群发的邮件，称插件存在未修复的安全漏洞。被劫持的插件是 WPML (WP MultiLingual)，是最流行的 WordPress 多语言插件，有超过 60 万付费用户，它甚至无需借助免费插件来宣传自己。但上周六，该插件遭遇了 2007 年发布至今最严重的安全事故。前雇员利用其留下的后门访问了服务器和客户数据库，然后向客户群发邮件称有安全研究人员向 WPML 团队报告了多个漏洞，但遭到忽视，邮件督促客户检查自己的网站是否遭到入侵。WPML 团队称这名前雇员没有访问到客户的金融信息，因为他们没有储存此类的细节。

拼多多今天凌晨爆出严重 Bug，用户可以无限制领取 100 元券，到上午九点拼多多将优惠券领取方式全部下架，之前领到未用的也全部下架，暂时不清楚它的损失有多达，国内媒体一说是几百亿，一说是几千万。报道称用户主要将券来充值话费和腾讯的 Q 币。拼多多称它已经报案，表示此事是黑客所为，它发表声明称，“1 月 20 日晨，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。同时我们已向公安机关报案，并将积极配合相关部门对涉事黑灰产团伙予以打击。”

Google Play 官方市场里的恶意应用正在尝试巧妙的方法躲避检测，它们在安装银行木马前会监视手机上的运动传感器，确保不会安装到安全研究人员使用的模拟器里。真实手机上的传感器会在用户使用时记录运动，而模拟器则很少使用传感器。趋势科技的研究人员报告了两个 Google Play 应用只在检测到手机移动时才会安装 Anubis 银行木马，Anubis 会利用按键记录器和屏幕截图的方式窃取用户的登录凭证。这两个应用其一是 BatterySaverMobi，安装量 5000 左右，另一个是 Currency Converter，安装量未知，Google 在收到报告之后已经将其移除。

著名的黑客挑战赛 Pwn2Own 引入了一个新挑战目标：特斯拉汽车 Tesla Model 3。如果参赛者能在汽车的网关、自动驾驶仪或 VCSEC（代表 Vehicle Controller Secondary）上执行代码，那么将能获得最高 25 万美元奖金。这三个是特斯拉汽车的最关键部分，要有资格获得最高奖，漏洞利用要迫使网关、自动驾驶仪或 VCSEC 与恶意基站或其它恶意实体持续通信。如果拒绝服务攻击能让自动驾驶仪下线，那么将能获得 9 万美元。如果能攻击汽车遥控钥匙或手机钥匙，参赛者将能获得 10 万美元奖金。这次黑客挑战赛将在今年 3 月举行。

安全研究人员公布了 Secure Copy Protocol（SCP）的五个漏洞，其根源可追溯到 1983 年，至今有 35 年历史。漏洞影响 OpenSSH scp、PuTTY PSCP 和 WinSCP，其中 WinSCP 已经修复。漏洞允许恶意 SCP 服务器悄悄的纂改客户端机器上的任意文件。安全研究人员解释说，SCP 基于的 RCP 允许服务器控制发送的文件，如果没有仔细核查客户端最终下载的文件可能与用户想要的文件不同，攻击者可以覆写用户的 .bash_aliases 文件，在用户执行例行操作如罗列目录时攻击者可以执行任意命令。

如果网站仍然运行旧的 PHP 版本，开源内容管理系统 WordPress 将在管理面板显示警告。WordPress 目前的计划是对版本号低于 5.6.x（5.6 或更低）的版本显示警告，警告会包含一条 WordPress  支持页的链接，向网站管理员提供如何更新 PHP 版本的信息。WordPress 是最流行的内容管理系统，大约四分之一的网站运行的是 WordPress。而 66.7% 的网站仍然运行已经终止支持的 PHP 版本。

利比里亚 ISP Lonestar Cell MTN 指控竞争对手雇黑客攻击其网络，它向英国商业法院起诉了黑客 Daniel Kaye 和竞争对手 Cellcom (现在的 Orange Liberia），以及竞争对手的高管 Avishai Marziano 和 Ran Polani。Cellcom 的高管在 2016 年秋季雇佣了 Kaye 的 Mirai 僵尸网络对 Lonestar 的基础设施发动了拒绝服务攻击。Kaye 已经被判两年八个月徒刑。攻击导致了 Lonestar 的移动网络无法处理所有传入流量而下线，还导致连接利比里亚的海底光缆拥堵，影响了该国的其它电信服务。Orange Liberia 则声称指控是虚假的。

HackenProof 报告，网络风险研究总监 Bob Diachenko 于 12 月 28 日分析 BinaryEdge 搜索引擎数据时发现了一个公开的没有任何保护或身份验证的 MongoDB 数据库，数据库容量为 854 GB，包含了 202,730,434 名中国求职者的数据，数据包括了详细的求职者信息如技能、工作经验、电话号码、电子邮件、婚姻状况、子女状况、政治面貌、身高、体重、驾照、文化水平和薪水期望等等。Diachenko 不知道谁创建和拥有该数据库，但一个已经删除的 Github 库被发现使用了与泄露数据库相同的数据结构，该仓库已有 3 年历史，包含了来自中国不同分类广告网站的数据，如 58 同城。但不清楚它究竟是官方的还是非法收集的。58 同城的安全团队认为该数据库是抓取数据的第三方泄露的。访问日志显示在泄露的数据库下线前它被几十个 IP 访问过。

开源渗透测试框架 Metasploit 释出了 5.0 版本。这是 2011 年以来释出的首个大更新版本。Metasploit 5.0 的新特性包括：使用 PostgreSQL 数据库作为 RESTful 服务，改进数据库并行处理和 msfconsole 终端操作，用户可通过 JSON-RPC API 整合其它工具和语言，加入了一个通用的 Web 服务框架，新的 Evasion 模块和库，等等。

James Griffiths 即将在今年 3 月出版一本新书谈论中国如何构建和控制一个不同版本的互联网。MIT 技术评论摘录了其中有关网络大炮的一段，发生在 2015 年的这次事件，劫持了百度的脚本利用访问嵌入百度脚本网站的中国网民，对 GitHub 发动了规模在其历史上没有前例的 DDoS 攻击。迎战的 GitHub 的工程师花了 120 个小时，期间网站下线了 9 次，攻击规模一次比一次大。一位不愿透露姓名的 GitHub 工程师说，这种攻击他们从未见过。

研究人员对劫持域名的 DNS 攻击发出了警告，称攻击规模史无前例。攻击者首先设法窃取目标 DNS 服务商管理面板的登录凭证，然后修改目标域名的 IP 地址，将其指向攻击者控制的服务器。攻击者之后再利用 Let’s Encrypt 自动生成合法证书。当用户访问目标域名，他们会先访问攻击者的服务器然后再重定向到合法服务器，整个过程用户唯一的感觉可能就是延迟略微增加。攻击者之后能收集到用户名和密码，而终端用户对此几乎一无所知。研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名，认为攻击者可能与伊朗有关联。

TCL 制造的部分阿尔卡特手机被发现预装了恶意版天气应用。TCL 拥有阿尔卡特、黑莓和 Palm 等知名品牌。它在阿尔卡特手机上预装了自己开发的天气应用 Weather Forecast-World Weather Accurate Radar，该应用也通过 Google 应用商店提供给其他用户。但在去年的某个时候，设备上预装的和 Play Store 里提供的应用都感染了恶意程序，恶意程序如何进入应用目前还不得而知。移动安全公司 Upstream 发布报告称，应用会收集用户数据并将数据发送到中国的一台服务器。收集的数据包括了地理位置、电子邮件地址和 IMEI 码。Upstream 还发现在某些地区，应用隐藏的恶意代码会尝试订阅收费号码。除此之外，应用在后台运行时候还会启动隐藏的浏览器窗口，加载网页去点击广告。受到影响的阿尔卡特手机型号是 Pixi 4 和 A3 Max。

Coinbase 报告数字货币 Ethereum Classic 遭遇了双花攻击，攻击者窃取了大约价值 50 万美元的数字货币。Ethereum Classic 官方账号则对此存疑，称矿机制造商 Linzhi 正在测试它的第一款 Ethereum ASIC 矿机。 Coinbase 安全工程师 Mark Nesbitt 称，他们观察到了 Ethereum Classic 区块链反复的深度重组，有大约 88,500 个 ETC 被双花。双花或回滚攻击通常是指 51% 攻击，即攻击者在控制了大部分区块链算力之后可以创建任意分支，用新的区块链取代旧的区块链，逆转已完成交易，从而实现相同数字货币的多次花费。

根据 RSA 会议网站提供的信息，NSA 将在 RSA 2019 会议上首次演示它开发的逆向工程框架 GHIDRA，并免费提供给公众。GHIDRA 能运行在 Windows、Mac OS 和 LINUX 上，支持多种处理器指令集，包含了你预计会在高端商业工具看到的所有功能。RSA 2019 将于 3 月 4 日到 8 日在旧金山举行。有 reddit 用户介绍了 GHIDRA 的功能。

万豪酒店去年 11 月底发出警告，称旗下的喜达屋酒店预订系统遭到黑客入侵，有多达五亿用户的信息泄露，而黑客的入侵至少始于 2014 年。万豪酒店是在去年 9 月收到预警，随后展开的调查发现从 2014 年起未经授权的第三方访问了喜达屋网络，复制并加密了某些信息。现在，万豪酒店更新了信息，称黑客最多访问了 3.83 亿客户信息，有 525 万客户的未加密护照被窃取，黑客还窃取了 2030 万加密的护照数据。黑客所使用的工具、手法和程序被认为与中国有关。

数百名德国政界人士、艺术家的大量个人数据被泄露，据称其中也包括总理默克尔的部分信息。对攻击对象的选择似乎非常随意。谁是此次黑客攻击的幕后黑手以及将这些数据放到网络上的意图目前尚不清楚。除德国选项党（AfD）之外，联邦议院几乎所有政党的政治家显然都是黑客攻击的目标。此外，一些州议会的政治家和艺术家也受到攻击。在圣诞节之前, 这些泄露的资料已经以基督降临节日历的形式在网上被每日发布, 但直到 1 月 3 日晚上才引起注意。