开放数据库泄露425GB客户数据；GitHub宣布收购npm；Chrome 82改善隐私

LYA 看雪学院 2021-03-08

近日，由于新冠病毒疫情的蔓延，英国政府鼓励数百万英国人在家办公，网络服务需求暴增，导致EE、O2、沃达丰和Three四大运营商出现服务故障，民众出现无法打电话、发短信和上网的现象。此外微软旗下的协同办公软件Microsoft Team也由于用户激增一度导致系统崩溃。

开放数据库泄漏金融公司425GB客户数据

近期，研究人员发现一个开放的数据库造成金融公司425GB的敏感文档暴露。

由于Amazon Web Services（AWS）S3存储桶没有任何形式的加密、身份验证或访问凭证，允许任何具有Internet连接和S3存储桶地址的人不受限制地访问。

值得注意的是，研究人员在这个暴露的数据库中发现超过500000个高度敏感文档，其中包括来自Advantage和Argus两家金融公司的私人法律和财务文件。

这些数据不仅与Advantage和Argus有关，数据库共包含425GB的文件，其中有公司信用报告、银行对帐单、合同、法律文件、驾驶执照副本、购买订单和收据、纳税申报表、社会保险信息以及交易报告。

目前，AWS已于2020年1月9日关闭该数据库。

随着越来越多的公司转向云服务，这种数据库泄露的事件越来越普遍，不仅会导致攻击者实施形式多样的欺诈，也可能会出现批量身份盗用现象。

LYA：数据库没密码风险高，大公司更应注意数据安全。

GitHub宣布收购npm 接管整个JavaScript生态系统

近日，微软旗下的Github CEO宣布已签署收购npm的协议，并表示npm加入GitHub后会继续免费提供public registry服务，并将JavaScript打造成世界上最大的开发者生态系统。

npm是Node软件包管理器，是JavaScript运行时环境Node.js的默认包管理器。目前已为大约1200万名开发人员提供了130万个软件包，这些开发人员每月下载软件包达750亿次。

收购完成后，GitHub 的工作重点将包括以下方面：

GitHub集成npm以提升开源软件供应链的安全性，并让用户能够跟踪从 GitHub PR 到修复问题的 npm 软件包版本的更改。

对于GitHub这一收购行为，有开发者评论：微软通过收购GitHub接管了整个开源生态系统，通过收购npm接管了整个JavaScript生态系统，通过Visual Studio Code占领了大部分开发者的机器，通过TypeScrip改变了开发者使用 JavaScript 的方式。

LYA：天下开源是一家，有个爸爸叫微软。

Chrome 82 将通过新的 Cookies 设置改善隐私

近日，谷歌在Android端的Chrome 82 Canary新增一项实验性功能，意在改善浏览器的隐私设置，即将对cookie的控制权更多地交还给用户。

在安卓版Chrome 82 Canary中，多了一小段有关Cookie的描述，并将Cookies选项更改为四个可设置项。

Cookies 是您访问的网站创建的文件，网站使用它们来记住您的偏好。第三方 Cookies 由其他网站创建而成，这些网站会拥有您在访问的网页上看到的某些内容，例如广告或图像。

原本的允许/阻止Cookie选项被拆分为两项，分别为“允许使用Cookie”和“阻止所有Cookie”，后者被标记为“不推荐”。因为当开启限制时，某些网站可能无法正常工作。

此外，新版多出一个“在隐身模式下阻止第三方Cookie”的选项，开启此选项，当关闭所有隐身窗口后，期间产生的数据将被清除，可以防止网站在隐身模式下读取和保存 Cookies数据。

新的Cookies选项启用标志名称为 “Enable improved cookie controls in UI in incognito mode”（隐身模式下在UI中启用改进的cookie 控件），由此可以看出，Chrome 此次对 Cookies 设置的改进重点放在隐身模式上。

LYA：Chrome在隐私方面一直在不断优化。