被辞程序员报复老东家获刑 4 年;央视曝光 App 禁止全部权限仍可获取用户信息
0、被辞后报复老东家,程序员编码给自己转账超 21 万
近日,经浙江杭州检察提起公诉,法院以盗窃罪、妨害公务罪判处马某有期徒刑四年二个月,并处罚金。报道称,马某通过自编的代码,向自己的微信秘密转账553笔,资金累计超过 21 万元。
据报道,马某今年 31 岁,是一名程序员。2018 年 8 月,他入职了杭州一家网络科技有限公司,担任软件技术专家,负责平台系统的开发和维护。
2020 年 1 月,马某被公司辞退,因对公司赔偿金额不满意,马某萌生了报复“老东家”的念头。
由于马某掌握着公司系统的源代码,包括公司的微信商户号的密钥和数字密码,他便利用这些信息编写了一段能给自己微信账户转账的代码,并设置成定时自动运行。截至案发时,他已秘密转账 553 笔,盗窃原公司 21 万余元。
今年 3 月 11 日,马某被抓获归案,马某自愿认罪认罚,并全数退赔该网络科技公司损失。检察官认为,马某以非法占有为目的,秘密窃取他人财物,数额巨大,其行为已触犯《中华人民共和国刑法》第二百六十四条之规定,构成盗窃罪。
1、CISA 发布 Apache Log4j 漏洞扫描器,以筛查易受攻击的应用实例
在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。
据悉,作为 CISA 快速行动小组与开源社区团队的一个衍生项目,log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行识别(分别是 CVE-2021-44228 和 CVE-2021-45046)。
这套扫描解决方案建立在类似的工具之上,包括由网络安全公司 FullHunt 开发的针对 CVE-2021-44228 漏洞的自动扫描框架。
2、Ruby 3.1.0发布 带来速度更快的实验性JIT编译器
Ruby 3.1在这个圣诞节发布了,它是这个编程语言的一个重要功能版本,在引入编译器大范围改进的同时保留了与Ruby 3.0的兼容性。Ruby 3.1中最令人激动的是"YJIT",它是一个新的、实验性的进程中即时编译器(JIT)。
Ruby 3.1的新JIT编译器是由Spotify开发的,用于提高其Ruby on Rails应用程序的性能,YJIT非常有利于提高Rails现实世界的应用性能。
与Ruby现有的使用外部C编译器的MJIT编译器不同,YJIT利用了基本的区块版本控制,并在内部提供了一个JIT编译器。YJIT支持快速预热,对Railsbench的性能提升高达22%,对液体渲染测试的性能提升高达39%。不过需要注意的是,YJIT在Ruby 3.1中仍被认为是实验性的,默认情况下不启用。
Ruby 3.1还具有重写调试器、IRB自动完成支持、小语种语言改进、实验性IDE对TypeProf静态类型分析器的支持,以及对现有MJIT编译器的一些性能改进。
3、微软修改 MIT 项目原作者版权声明,自动化脚本背锅
MIT 是众多常见的许可协议中相对宽松的许可协议,其赋予软件「被许可人」更多的权利与更少的限制。其限制主要在于,「被许可人」需要在软件和软件的所有副本中包含「原作者」的著作权声明和该许可声明。
日前,微软 fork 一个基于 MIT 协议的开源项目后,将原作者的著作权声明修改为了微软自己,这一举动引发了争议。
微软 fork 的原项目是由开发者 LesnyRumcajs 所开发的 grpc_bench,这是一个比较各种 gRPC 库在不同编程语言和技术中的性能和资源使用情况的项目,该项目基于 MIT 许可协议。
正如第一张截图所显示,微软在 fork 后保留了原项目的 MIT 许可协议,但将原作者的著作权声明修改为了微软自己。这一行为引发了网友的讨论,有的向微软发出询问为何要这么做;有的向微软发动了“嘲讽技能”;还有人打算向微软“学习”,把微软所开发项目的著作权声明改成自己的名字。
目前微软已修复该问题,将著作权信息重新改回原作者。微软官方没有公开说明其中的原因,但项目原作者 LesnyRumcajs 透露,微软已通过邮件向他确认了该问题,并指出这是微软自动化脚本惹的祸。
4、央视曝光:App 禁止全部权限仍可获取用户信息
12 月 25 日消息,央视网快看报道,App 禁止全部权限仍可获取用户信息。
某移动应用程序安全检测实验室的负责人汤啸骅称,一些 App 在后台运行时可能就在偷偷窃取你的个人信息,他现场随机安装了一款 App,打开软件并禁止了所有权限,退出等待几分钟之后,检测系统有了惊奇的发现。
汤啸骅 手机安全工程师:“他(App)退到后台的时候,还有对于位置的一些访问信息和访问动作”。
此外,工程师还对另外一款 App 设置了在使用期间可用位置信息,但是在没有对手机进行任何操作的情况下,这个 App 依然在不断地获取用户位置信息,短短几分钟之内就多达 14 次。
据悉,目前 App 窃取个人隐私的方式,主要是通过获取位置以及通讯录和照片等权限,因此专家也建议,手机用户在使用手机的过程中,应该尽量最小化地赋予 App 权限。
综合整理:技术最前线(ID:TopITNews) 参考:程序员的那些事、开源中国、solidot、cnBeta、腾讯科技等
- EOF -
觉得这些资讯有帮助?请转发给更多人
推荐关注 技术最前线,看 IT 要闻
点赞和在看就是最大的支持❤️