哈萨克斯坦对所有 HTTPS 流量发动中间人攻击

从 7 月 17 日开始，哈萨克斯坦发出通知要求所有设备所有浏览器安装来自政府的 Root CA（qca.kz），这意味着该国 ISP 可以对所有 HTTPS 加密流量发动中间人攻击。

HTTP 是明文传输，ISP 可以实时查看传输的内容，可以随时向 HTTP 流量插入信息比如广告；HTTPS 加密了客户端和服务器端之间的连接，使得 ISP 无法获悉传输的内容，但利用 Root CA 它可以伪造证书，解密加密的流量，发动中间人攻击。

用户呼吁浏览器开发商如 Mozilla 和 Google 将哈萨克斯坦的 Root CA 加入到黑名单拒绝接受它的证书。已有证据显示，qca.kz 签发了 Facebook 的证书。

来源：solidot.org

更多资讯

商务电子邮件泄密事件频发 平均每月损失 3 亿美元

金融犯罪执法网络（FinCEN）对过去两年发生的BEC事件进行了统计，确认了最常见的目标类型、窃取资金的目标预期以及诈骗者所使用的技术。根据FBI互联网犯罪投诉中心（IC3）提供的《Internet Crime Report》报告，显示BEC诈骗已经成为网络犯罪的主要攻击方式。

来源： cnBeta.COM
详情： https://www.dbsec.cn/zx/20190720-1.html

谷歌上调 ChromeOS / Chrome 漏洞赏金额度 最高达 15 万/ 3 万美元

谷歌表示，自 2010 年 Chrome 漏洞奖励计划创建以来，人们已经报告了超过 8500 个漏洞，谷歌已经为此支付了超过 500 万美元。

来源：cnBeta.COM
详情： https://www.dbsec.cn/zx/20190720-2.html

报告：93% 的成人网站向第三方泄露用户浏览数据

据 zdnet 报道，在本周发表的一篇研究论文中，学者们分析了 22484 个成人网站，发现有93%的网站向线广告商或网络分析提供商等第三方泄露数据。据悉，获取这些用户浏览习惯和偏好的公司包括：谷歌、甲骨文、Facebook、Cloudflare以及成人行业的广告商。

来源： ChinaZ 站长之家
详情： http://www.dbsec.cn/zx/20190720-4.html 

上海破获一起假冒招考热线网站非法获取公民信息案

随着“净网 2019”专项行动的深入开展，上海公安机关加大对侵犯公民个人信息等网上违法犯罪的打击力度。2019 年 7 月 8 日，上海市公安局破获一起假冒“上海招考热线”网站非法获取公民信息案，抓获犯罪嫌疑人徐某某。同时，上海市网信办依法关闭假冒“上海招考热线”网站和微信公众号。

来源： 警民直通车-上海
详情： http://www.dbsec.cn/zx/20190720-5.html 

（信息来源于网络，安华金和搜集整理）