开放数据库泄露425GB客户数据;GitHub宣布收购npm

发布者:Editor
发布于:2020-03-18 17:33
近日,由于新冠病毒疫情的蔓延,英国政府鼓励数百万英国人在家办公,网络服务需求暴增,导致EE、O2、沃达丰和Three四大运营商出现服务故障,民众出现无法打电话、发短信和上网的现象。此外微软旗下的协同办公软件Microsoft Team也由于用户激增一度导致系统崩溃。



1、开放数据库泄漏金融公司425GB客户数据


近期,研究人员发现一个开放的数据库造成金融公司425GB的敏感文档暴露。


由于Amazon Web Services(AWS)S3存储桶没有任何形式的加密、身份验证或访问凭证,允许任何具有Internet连接和S3存储桶地址的人不受限制地访问。


值得注意的是,研究人员在这个暴露的数据库中发现超过500000个高度敏感文档,其中包括来自Advantage和Argus两家金融公司的私人法律和财务文件。


这些数据不仅与Advantage和Argus有关,数据库共包含425GB的文件,其中有公司信用报告、银行对帐单、合同、法律文件、驾驶执照副本、购买订单和收据、纳税申报表、社会保险信息以及交易报告。


目前,AWS已于2020年1月9日关闭该数据库。


随着越来越多的公司转向云服务,这种数据库泄露的事件越来越普遍,不仅会导致攻击者实施形式多样的欺诈,也可能会出现批量身份盗用现象。


LYA:数据库没密码风险高,大公司更应注意数据安全。




2、GitHub宣布收购npm 接管整个JavaScript生态系统


近日,微软旗下的Github CEO宣布已签署收购npm的协议,并表示npm加入GitHub后会继续免费提供public registry服务,并将JavaScript打造成世界上最大的开发者生态系统。


npm是Node软件包管理器,是JavaScript运行时环境Node.js的默认包管理器。目前已为大约1200万名开发人员提供了130万个软件包,这些开发人员每月下载软件包达750亿次。


收购完成后,GitHub 的工作重点将包括以下方面:

  • 投资于注册基础设施和平台。JavaScript生态系统规模庞大,且增长迅速。在收购完成后,公司将进行必要的投资以确保npm的快速、可靠和可扩展性。
  • 提升核心体验。公司将致力于改善开发人员和维护人员的日常体验,支持在npm v7 CLI上已经开始的工作,并将保持免费和开源。
  • 与社区进行交流。公司将积极参与JavaScript社区以获取开发人员的想法,借助他们的力量来帮助定义npm的未来。


GitHub集成npm以提升开源软件供应链的安全性,并让用户能够跟踪从 GitHub PR 到修复问题的 npm 软件包版本的更改。

对于GitHub这一收购行为,有开发者评论:微软通过收购GitHub接管了整个开源生态系统,通过收购npm接管了整个JavaScript生态系统,通过Visual Studio Code占领了大部分开发者的机器,通过TypeScrip改变了开发者使用 JavaScript 的方式。

LYA:天下开源是一家,有个爸爸叫微软。




3、Chrome 82 将通过新的 Cookies 设置改善隐私



近日,谷歌在Android端的Chrome 82 Canary新增一项实验性功能,意在改善浏览器的隐私设置,即将对cookie的控制权更多地交还给用户。

在安卓版Chrome 82 Canary中,多了一小段有关Cookie的描述,并将Cookies选项更改为四个可设置项。

Cookies 是您访问的网站创建的文件,网站使用它们来记住您的偏好。第三方 Cookies 由其他网站创建而成,这些网站会拥有您在访问的网页上看到的某些内容,例如广告或图像。 


原本的允许/阻止Cookie选项被拆分为两项,分别为“允许使用Cookie”和“阻止所有Cookie”,后者被标记为“不推荐”。因为当开启限制时,某些网站可能无法正常工作。

此外,新版多出一个“在隐身模式下阻止第三方Cookie”的选项,开启此选项,当关闭所有隐身窗口后,期间产生的数据将被清除,可以防止网站在隐身模式下读取和保存 Cookies数据。

新的Cookies选项启用标志名称为“Enable improved cookie controls in UI in incognito mode”(隐身模式下在UI中启用改进的cookie 控件),由此可以看出,Chrome 此次对 Cookies 设置的改进重点放在隐身模式上。

LYA:Chrome在隐私方面一直在不断优化。



声明:该文观点仅代表作者本人,转载请注明来自看雪