【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露

本周七个关键词：Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售“色情通行证”丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Eclipse Che 6.5.0

-1-   【python】Python库现后门 可窃取用户SSH信息

来源：嘶吼

------------------------------------------------------

以色列开发者Uri Goren开发的处理SSH连接的Python模块存在后门。本周一，另一位开发者注意到多个SSH decorate模块含有收集用户SSH，并发送数据到远程服务器的代码。其中远程服务器的地址位于：http://ssh-decorate.cf/index.php。

在注意到这个问题后，Goren回应说后门并不是他故意留的，而是被黑的结果。

如果你仍在使用SH Decorator（ssh-decorate）模块，那么最新的安全版本是0.27。0.28版本到0.31版本都是恶意版本。

http://jaq.alibaba.com/community/art/show?articleid=1692

-2-   【数据泄露】Facebook再曝300万用户数据泄露 与性格测试类app密切相关

来源： cnbeta.com

------------------------------------------------------------------

在政治咨询公司“剑桥分析”的数据收集丑闻曝光之后，Facebook 无疑面临着越来越大的舆论压力，因为研究人员 Aleksandr Kogan 分享了他通过一款性格测试（personality quiz）应用收集到的信息。

据 New Scientist 周一报道：剑桥大学的研究人员们，已经向一个分享门户上传了 300 万 Facebook 用户的数据。

另有研究团队通过一款名叫“我的个性”（myPersonility）的应用收集了用户信息，然后将之放到了一个 Web 门户上。

http://jaq.alibaba.com/community/art/show?articleid=1694

-3-   【漏洞】邮件形同裸奔，PGP 与 S/MIME 加密协议被曝严重漏洞

来源：FreeBuf.COM

------------------------------------------------------------------------------

由9名学者组成的团队向全世界发出警告，OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称，这个代号为EFAIL的漏洞如果被利用，将允许攻击者从发送或接收的消息中提取明文内容。

EFF的研究人员也证实了这些漏洞的存在，他们建议用户卸载Pretty Good Privacy和S / MIME应用程序，直到发布修复补丁为止。

http://jaq.alibaba.com/community/art/show?articleid=1697

-4-   【数据保护法】根据新法律 英国报摊将出售“色情通行证”以验证年龄

来源： cnbeta.com

------------------------------------------------------------------------------

据外媒The Verge报道，去年英国批准了《2017年数字经济法》，其中包括有关访问色情网站的严格新规。当这项法律在今年晚些时候生效时，监管机构建议用户可以从他们当地的报摊购买所谓的“色情通行证”，以验证他们的年龄。

英国文化、媒体和体育部一位发言人表示，该部门正在“实施世界上最严格的一些数据保护法”，并且验证方案的范围将不得不遵守这些标准。

http://jaq.alibaba.com/community/art/show?articleid=1690

-5-    【网络协议】 注意！HTTPS的绿色锁图标并不代表绝对安全

来源：嘶吼

-------------------------------------------------------------------------------------

HTTPS是HTTP协议的一个变种，给传输的数据增加了一个安全层，这个安全层是通过SSL或TLS实现的。SSL是来确保不安全网络中网络应用客户端和服务器的安全连接的网络协议。

SSL证书越来越廉价，许多企业提供给用户免费的SSL证书，但并不去验证是谁在用这些证书。

研究人员发现有钓鱼网站和恶意网站也在使用SSL证书，所以绿色的HTTPS图标并不一定安全。

http://jaq.alibaba.com/community/art/show?articleid=1699

-6-   【机器学习】50多种适合机器学习和预测应用的API，你的选择是？（2018年版本）

来源：云栖社区

--------------------------------------------------

本文盘点了2018年以来人脸和图像识别、文本分析、自然语言处理、情感分析、语言翻译、 机器学习和预测这几个领域常用的API，读者可以根据自己需求选择合适的API完成相应的任务。

http://jaq.alibaba.com/community/art/show?articleid=1689

-7-   【下载】Eclipse Che 6.5.0 发布，在线集成开发环境

来源：开源中国社区

--------------------------------------------------------------------------

Eclipse Che 是一个高性能的基于浏览器的集成开发环境，通过提供结构化的工作区、项目输入、模块化扩展插件来支持 Codenvy 的引擎， 采用 Java 开发，支持 Windows、Linux 和 OS X 系统。

Eclipse Che 6.5.0 已发布（可下载）。

http://jaq.alibaba.com/community/art/show?articleid=1696

——————————————————————————————

以上是本周的安全周刊，想了解更多内容，请访问阿里聚安全官方博客