BUF 早餐铺 | 运动应用Strava公开十亿用户位置热力图，意外泄漏秘密军事基地的信息；美国国防部长指责俄罗斯监视

今天是1月30日星期二，今天早餐铺的内容有：运动应用Strava公开十亿用户位置热力图，意外泄漏秘密军事基地的信息；美国国防部长指责俄罗斯监视其关键基础设施情况；phpBB论坛两个包下载链接遭入侵；微软发布Windows紧急更新，禁用spectre补丁。

运动应用Strava公开十亿用户位置热力图，意外泄漏秘密军事基地的信息

Strava是一款户外运动健身追踪应用，该应用程序使用手机的GPS追踪用户何时何地进行锻炼，并通过分享进行社交。去年十一月，该网站发布了一幅数据可视化图表，图片上显示了来自世界各地的用户的活动，其中包含三万亿个经纬度点上用户们进行的十亿次活动。但一位分析师指出，这个热力图地图可以轻易泄漏军事基地的位置和人员信息。

当然，五角大楼附近似乎较少存在用户运动的迹象。

美国冲突分析研究所成员纳森·鲁瑟（Nathan Ruser）在Twitter上指出，这张热力图很容易被利用，并与已知的军事设施的地点进行交叉参考。

有多少Strava用户是军队或国家安全组织的成员，并通过这个运动记录程序分享了他们自己的活动？

在叙利亚、阿富汗等地，使用这款应用的几乎都是外国军人。在阿富汗某些地方，前方军事基地的位置都被用户活动标记了出来，如同黑夜里的星星一样明亮。如果继续放大，人们就可以看到士兵们清晰的慢跑路线。

除了这些直接存在冲突的地区，其他地区的敏感信息也存在泄漏的危险。美国内华达州51区空军基地也存在用户运动的记录。

[FreeBuf]

美国国防部长指责俄罗斯监视其关键基础设施情况

英国国防部长加文·威廉姆森（Gavin Williamson）指责俄罗斯监视其关键基础设施，为了实施导致“造成数千人死亡”的“全面混乱”计划。

威廉姆森高级部长在“威胁论”杂志的一篇危言耸听的文章中说，对英国与欧洲电力供应研究后发现，莫斯科似乎意图播下“恐慌”，并对英国造成伤害。

“他们想的是’我们怎么能给英国造成重大问题呢？’”

Williamson在接受采访时说，俄罗斯的行为方式是“任何其他国家都会认为是完全不能接受的”。

“他为什么要不停地拍照，检查发电站，为什么要检查为我们的国家带来电力和如此多的能源的互联互通器？”他在论文中质疑。

“他们检查这些东西，是因为他们认为这是攻击我们的手段。”

[SecurityWeek]

【漏洞攻击】
phpBB论坛两个包下载链接遭入侵

phpBB开发团队今天声明，黑客破坏了phpBB论坛软件的下载链接。

黑客修改的是两个下载链接，是phpBB 3.2.2安装包和phpBB 3.2.1 – > 3.2.2自动更新的链接。这是phpBB今年1月7日发布的最新版本。

黑客在1月26日昨天下午12:02 UTC到下午15:03 UTC之间修改了链接，这个假的链接只存在了181分钟。

phpBB的工作人员发现后立即删除了恶意文件的链接。他们表示，下载链接指向现场恶意版本的原始phpBB文件，也包含额外的“恶意代码”。

“修改后的软件包中的恶意代码尝试从远程源加载JavaScript。 “目前，我们正在控制将托管JavaScript的域名，使代码不具攻击性。”

[BleepingComputer]

微软发布Windows紧急更新，禁用spectre补丁

微软周六发布了一个紧急Windows更新，禁用了Spectre Variant 2 bug（CVE-2017-5715）的补丁。

KB4078130补丁针对的是Windows 7（SP1），Windows 8.1，所有版本的Windows 10以及所有支持的Windows Server发行版。

微软在1月3日发布了针对Meltdown和Spectre漏洞的缓解措施。

微软表示，英特尔的补丁会导致“异常重启和其他不可预知的系统行为”，会造成“数据丢失或损坏”，因此决定停用Spectre Variant 2 bug补丁。

作为回应，微软决定停用Spectre Variant 2补丁，直到英特尔开发出更稳定的补丁。

[BleepingComputer]

【国内新闻】
上海2017年除夕夜900多户人家电表“被黑” 2人被公诉