黄梅时节家家雨，青草池塘处处蛙。有约不来过夜半，闲敲棋子落灯花。

各位 Buffer 早上好，今天是 6 月 6 日星期三，农历四月廿三，芒种节气。今天份的 BUF 早餐内容主要有：苹果在 WWDC  2018 大会上推出新安全功能；外媒称 Facebook API 让设备制造商能够获取用户数据；本田印度泄露超过五万名用户隐私；数万组织因为 Google Groups 配置出错而泄露敏感数据；研究显示 75% 的开放 Redis 服务器被感染；央行：金融业务更要高度重视网络和信息安全

安全资讯早知道，两分钟听完最新安全快讯~

【国际时事】

苹果在 WWDC  2018 大会上推出新安全功能

苹果在WWDC 2018表示，iOS 和 macOS 的新操作系统将包含新的隐私功能。新功能包括屏蔽“点赞”按钮的cookie，以免这种 cookie 被网站利用跟踪用户。新的macOS系统（代号Mojave）和iOS 12还会推出新的功能，让人难以抓取用户设备上的残留痕迹来追踪用户。

其他改进还包括上个月的Google IO大会上Android推出的手机防沉迷机制、Google Photos去年已经集成的智能相册功能以及小爱同学、三星Bixby中已有的Siri Shortcuts功能。对于这三个新增加的功能，苹果也强调了功能的安全性，包括对手机使用情况数据的保护、以及分享照片时的端对端加密。[SecurityWeek]

Facebook API 让 60 多家设备制造商能够获取用户数据

在 Cambridge Analytica 隐私丑闻之后，Facebook 现在面临着新的问题。纽约时报报道称，Facebook API 允许 60 多名设备制造商访问属于 FB 用户的数据，其中包括亚马逊、苹果、微软、黑莓和三星，以便他们可以实现 FaceBook 消息传递功能、“点赞”功能、地址簿和其他不需要用户安装应用程序就能实现的功能。

十几年前，Facebook 还没有广泛应用于智能手机之前，这一现象就已经出现。这再次引发了相关人员对于 FaceBook 安全性和合规的担忧。但 FaceBook 却发布声明称，未经用户许可，第三方无法访问到用户的信息。同时表示一直在监控 FaceBook API  的使用情况，以避免滥用。[SecurityAffairs]

【漏洞攻击】

本田印度泄露超过五万名用户隐私

近日，Kromtech 安全中心披露称本田印度因为 AWS S3 存储桶配置不当，泄露了超过 5 万名客户的个人详细信息。泄漏事件与 Honda CONNECT（智导互联）有关，这是是本田汽车公司与阿里巴巴?高德集团共同开发的新一代导航互联系统。

Kromtech 表示，泄露的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址，以及有关他们汽车的信息，包括VIN、Connect ID等。目前，本田印度公司已经收到泄露信息，并对不安全的  AWS S3 存储桶采取了应有的保护措施。[kromtech]

数万组织因为 Google Groups 配置出错而泄露敏感数据

Kenna Security 的安全研究人员最近发现，9,600 家分析机构中有 31％ 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏感的电子邮件信息。受影响的实体还包括财富 500 强公司、医院、大学和学院、报纸和电视台，甚至美国政府机构。

使用 G Suite 的组织在创建邮件列表可能会配置 Google Groups 界面。由于术语和组织范围与 Groups 特定权限很复杂，导致列表管理员无意中可能泄露电子邮件列表的内容。由于谷歌不会讲配置问题视为漏洞，也不会修复。因此，专家建议管理员阅读 Google 网上论坛文档，将“此域之外的访问权限 - 共享组”设置为“私有”。[SecurityAffairs]

研究显示 75% 的开放 Redis 服务器被感染

Imperva 的研究人员通过对 Redis  相关的蜜罐服务器几个月的观察分析后，得出结论称 75% 的开放 Redis 服务器都感染了恶意软件。

针对Redis服务器的最常见攻击是添加 SSH 密钥，攻击者可以借此远程访问该计算机并接管计算机。专家通过使用shodan查询“port：6379”获得了72,000多个在线Redis服务器的列表，其中10,000多个响应于其扫描请求而没有错误，允许研究人员确定本地安装的SSH密钥。Redis 出现问题的主要原因是，使用者认为其在封闭的 IT 网络中运行，因此忽略了 Redis 默认的不使用安全配置。

专家提醒最好要遵循 Redis 安全说明，增加认证、不以明文形式存储敏感数据，监控进程或 CPU 消耗，以及时查杀恶意软件。[SecurityAffairs]

【国内新闻】

央行：金融业务更要高度重视网络和信息安全

央行网站获悉，2018年6月1日，人民银行党委举行中心组集体学习，进一步深入学习贯彻习近平总书记在全国网络安全和信息化工作会议上的重要讲话。

会议指出，金融领域的关键信息基础设施是经济社会运行的神经中枢，金融业务高度依赖金融网络和信息系统。人民银行建设和运行着我国重要的金融基础设施，在充分利用和不断提升网络的便捷性、高效性的同时，更要高度重视网络和信息安全，坚决守住不发生重大风险和安全事件的底线。[新浪财经]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM