苹果公司于今日凌晨发布了三款新品，其中包括iPhone XS、iPhone XS MAX和iPhone XR。但不少网友表示看完苹果发布会感觉大失所望，并且毫无购机欲望。 事实上发布会看点不多，新品在外观上几乎保持原有风格，采用大刘海屏设计，单调的机身配色，严重缺乏创新力。据说，iPhone X系列新品一发布，苹果股票应声而跌，跌幅超过1%。 苹果发布会槽点不断，引国内厂商暗怼 虽已是凌晨，但网络上吐槽iPhone新机发布会的声音不断。不过，iPhone新机缺乏创新对于其他手机厂商来说不失为一件好事情，因为又少了一个大的竞争对手。比如说华为副总裁余承东在苹果发布会之后就在微博上发布了一条消息，称“稳了，我们十月十六日伦敦见！”，而10月16日是华为Mate20系列发布的日子。 荣耀总裁赵明也在微博上对iPhone发布会进行了回应：“意外，包括价格！越来越平庸，产业需要大胆的创新”，从这句话中也能够感受到作为同行对于苹果创新不足的失望。 回顾苹果这几年的新品，可谓是创新力后劲不足，几年前排队购机、黄牛泛滥的场景早已一去不复返。与缺乏创新的苹果相比，国内手机厂商最近几年则在创新方面交出了一份让用户满意的成绩单，比如荣耀前不久曝光的荣耀Magic2手机就是创新力爆棚的新品，无论是芯片、全面屏、AI还是摄影都无情打脸苹果。 AI角力，荣耀完胜苹果 目前没上市的荣耀Magic2已经搭载最新一代麒麟980芯片，麒麟980在工艺制程上领先苹果A12不只一步，其中首发商用台积电7nm新工艺，虽然苹果A12也是7nm制程工艺，但除此之外并无更多进步，就更别提AI了；而麒麟980在新一代A76+G76架构以及双核NPU的助力下，必将继续拉开与苹果在AI性能上的差距，这场性能大战，还未两军对垒，胜负似乎十分明了了。 Magic系列作为首个探索AI的产品，早在2016年Magic一代就将AI率先带入智能手机，本身在AI创新力上就比苹果要早上两年，而如今的荣耀Magic2不仅继承一代的AI基因，还在AI上有更多创新突破， Yoyo作为AI应用体验上的最大杀手锏，会是一个智力超群、不断成长的智慧生命体，给我们更多的陪伴和支持，同时也会呈现未来在AI领域的很多构思。 死磕刘海屏VS魔法全面屏 在外观设计方面，荣耀Magic2采用Magic Slide魔法全面屏让手机实现真正的全面屏，用户不仅可以享受到近100%全视屏升级体验，还让通过滑屏体验一个全新的未来世界；但iPhone新机依然采用清一色宽刘海，对于这样的设计用户早有吐槽，坚持刘海屏到底是对用户体验需求的无视，还是借此掩盖创新力不足的事实就不得而知了。 双摄配置，荣耀领先两年 在拍照方面，iPhone的三款新机其一是单摄，另外两个是普通的双摄，而荣耀早在荣耀6plus就已经实现双摄，可以说当苹果刚刚进入双摄时代，而荣耀早已领先2年多了。虽然荣耀Magic2并没发布，但相信作为荣耀的超级旗舰，荣耀Magic2在摄影上必将搭载更多的黑科技。 荣耀：价格是我输了 另外在价格方面，iPhone XS系列最高12799元的价格真的把很多人吓到了，即便是缩水版的iPhone XR价格也在6、7千元，这和国产手机比几乎是毫无优势的，所以看到这样的价格荣耀Magic2应该也是稳了的，毕竟荣耀手机的售价一直很亲民。 苹果发布会的发布并未满足用户的期待，反而让用户更加期待荣耀Magic2的发布了，毕竟荣耀的吓人风格从不会让人失望，和小编一起期待荣耀Magic2发布吧。

React Native允许您使用JavaScript和React为iOS和Android开发原生移动应用程序。它是由Facebook创建的，用于Instagram，Airbnb和现在的JetBrains自己的 YouTrack移动应用程序（顺便说一下，它是开源的）等知名应用程序。 使用WebStorm，您现在可以使用React Native开发移动应用程序，从而获得WebStorm好处的所有好处，例如React，Flow支持和内置调试器的代码完成。我们相信WebStorm可以成为使用React Native进行开发的强大工具！ 让我们看看如何使用WebStorm中的React Native建立开发工作流程。 安装React Native CLI 确保您的计算机上安装了React Native CLI。要安装它，请在终端中运行以下命令：npm install -g react-native-cli。 您开始使用React Native时需要安装的工具列表取决于您的操作系统以及您要定位应用程序的移动平台。有关详细的安装说明，请查看React Native的入门指南。 创建一个新项目 现在，您可以直接从IDE欢迎屏幕创建一个新的React Native项目：单击Create new project，从左侧列表中选择React Native，输入项目名称并单击OK。 WebStorm将运行项目生成器并安装所有必需的依赖项。 当然，您也可以打开现有项目或从版本控制中选择一个。 我们建议您从项目中排除android和ios文件夹。为此，右键单击“项目”视图中的文件夹，然后选择“ 标记为已排除”。 运行和调试应用程序 现在我们在IDE中有我们的应用程序代码，让我们运行它。 UPD： 在WebStorm 2018.1中，我们 重新设计了React Native配置。它现在为您提供了更灵活的运行捆绑程序和构建应用程序本身。在下面的步骤中，我们使用WebStorm版本2018.2。 我们需要创建一个新的React Native运行/调试配置。在“Run”菜单中，选择“ Edit configurations…”，单击“ +”按钮，然后从列表中选择“ React Native ”。 要首次启动React Native应用程序，您需要做两件事：运行React Native bundler / packager，然后使用react-native run-ios或在模拟器或设备上构建和启动应用程序run-android command。只有在那之后，您才可以开始调试它。 选中 Build and Launch Application选项后，WebStorm将为您完成所有这些操作 – 您只需选择目标平台iOS或Android，确保React Native CLI软件包的路径正确并单击Ok。 如果您要在Android上运行您的应用，请不要忘记先启动Android虚拟设备 。您还可以在通过USB连接的真实Android设备上运行您的应用程序 （为此，请不要忘记 启用USB调试）。 现在让我们运行创建的配置 – 单击IDE工具栏中配置名称旁边的绿色调试图标。WebStorm将首先在新的React Native工具窗口中启动React Native打包程序，然后运行react-native run-ios或react-native run-android命令，具体取决于所选的目标平台。

社工必备查询网址汇总 信用导航 http://www.creditchina.gov.cn/toNavigation（404） 企信宝 http://www.qixin.com/ 企业信用信息查询APP http://www.ixy360.com/ 企查查 http://www.qichacha.com/ 企业云数据征信中心 http://www.xinyong12315.com/（502） 天眼查 http://www.tianyancha.com/ 信用视界 http://www.x315.com/ 全球企业信息 悉知 http://www.xizhi.com/ 国内企业信息含联系方式经营范围 网站信用信息查询 http://www.itrust.org.cn/home/index/xy_search.html 物流查询 http://www.56888.net/comm/kuaidi.aspx http://www.spb.gov.cn/yzbmcx/ http://www.ckd.cn/ 查手机 爱查（手机、银行卡归属地） http://www.2cha.com/ 虚拟运营商查询 http://17000.net.cn/ 170手机归属地查询 http://www.im170.com/mobile.html http://www.100170.net/ 注册过哪些网站 https://37kfenxi.com http://www.zhaohuini.com/ 基站查询 http://www.cellid.cn/ http://www.haoservice.com/freeLocation/ http://lbs.juhe.cn/ http://www.minigps.net/cellsearch.html http://www.cellmap.cn/page/webgsm2gps.aspx 经纬度查询 http://www.gpsspg.com/maps.htm http://map.yanue.net/ http://www.gzhatu.com/jingweidu.html 果粉查询 http://www.guofenchaxun.com/iccid/ 找果网 http://iccid.zhaoiphone.com/ 果粉工具箱 http://iccidchaxun.com/（墙） http://www.chaiccid.com/ 手机串号IMEI查询 http://www.numberingplans.com/?page=analysis&sub=imeinr http://www.imeidb.com/ http://www.chalg.com/ http://www.samsung110.com/ http://www.chahtc.com/ 查密码 守夜人 http://www.shouyeren.org/（凉凉） 采集搜索 搜索引擎大全 http://www.sowang.com/link.htm 杂鱼 https://haveibeenpwned.com http://www.xysjk.com/ http://www.2cha.com/

除了估计大气光值的大小，估计透射率也是很关键的因素。 该算法的贡献： end2end系统，直接学习并估计透射率与有雾图像的关系。由特殊的网络结构决定。 提出新颖的nonlinear激活函数，称为BReLU（双边ReLU） 与现有的先验知识和假设建立联系，并可以通过网络可以自己学会 有雾图像特征： 暗通道 文献：He等人的暗通道先验 2.对比度最大值 文献：Tan等人的Visibility in bad weather from a single image 3.颜色衰减先验 文献：Zhu等人的A fast single image haze removal algorithm using color attenuation prior 4.色度不一致 文献： Ancuti等人的A fast semiinverse approach to detect and remove the haze from a single image 网络的设计 第一层是特征提取层，即提取有雾图像特征。根据不同的假设与先验设计不同的滤波器。举的例子中有16个滤波器。其中每四个是上述一种先验特征滤波器。通过maxout unit的激活函数，每四个输出一张图。这里不padding，输入是3*16*16三通道的块。输出的是四个16*12*12,每一个代表一种特征。 使用多尺度的平行卷积操作。由于多尺度特征被证明有利于去雾并且在inception的模型中也用到了平行卷积，即同一张图用不同尺度的卷积核进行卷积。分别用16个3*3、16个5*5和16个7*7的卷积核进行卷积，每一种尺度产生16个，并且通过padding每张图大小应该是一致的。总共获得48个48*10*10。 Maxpooling对局部数据敏感，另外根据假设透射率有局部不变性，所以用一个7*7局部最大值滤波替代maxpooling。输出是48个48*6*6 通过1个4*4的卷积核，产生1*1的标量，并且使用的激活函数为BReLU。因为ReLU抑制了小于0的数，只适用于图像分类等方面，并不适合图像复原。因为最后的透射率图允许高于1或者低于0。所以提出了BReLU，既保持了局部线性，又保持了双边的限制。输出的是一个标量，即输入块中心点的透射率值。 测试结果： 使用深度学习等方法做去雾的一大缺点就是需要有groundtrue，自然场景中同时拍到有雾与无雾图像几乎是不可能的。所以数据集基本都是室内场景图片加上人工加雾处理。这与自然场景的雾存在偏差，所以把该算法用在自然场景效果不佳。

这几年我们都在讨论所谓的“暗网”，贴吧知乎上各种小道消息乱飞。可能嫌弃事不够大，又有所谓的“深网”“影网”“极暗网”的说法传了出来。反正这玩意就像都市传说一样，总是背后还有更深的阴谋与恐怖，在等着半夜睡不着刷手机的你…… 我们今天并不讨论暗网。而是想要聊聊，在暗网后边，随之而来的各种真真假假的概念里，有一个名字可以被证明确实是存在过的。那就是所谓的“影子网络 Shadow Internet”。 当然，这么酷炫的名字经常被重名也可以理解。今天要说的并不是什么比暗网更暗的存在，而是这个名字曾经最知名地一次登上历史舞台：引发了世界范围内的媒体讨论，几国政府与军方出来回应。而且这项技术也并不正面，一度被认为是世界秩序的危害者与恐怖主义的利器。 如果说暗网，是用一般硬件上不去的网络；那么曾经在2011年大出风头的影子网络，就是一种不利用一般硬件（终端、通讯系统、交换器）也能连接网络的技术——只是过程有点折腾而已。 手提箱里的007：煊赫一时的影子网络 谍战片里我们一般都会看到这样的描写：找到了电台，也就找到了特务的最后证据；而正义一方在被捕前，最后的嘱咐一般都是要销毁电台。 那个年代，电台标志着特工接受命令、传递信息的工具，也意味着情报网的接口，重要意义当然不言而喻。而在2011年的时候，媒体爆料美国政府正在支持一项网络项目，也是要让特务们都拿上一个箱子去接头。 当时据《纽约时报》报道，美国政府正在全球范围内部署一套叫做“影子互联网”(Shadow Internet)的系统。这套系统不适用一般的大型交换机作为网络中枢，而是利用Mesh网络，直接架设终端到终端的网络传输协议。从而避开他国的网络审查，直接与互联网相连，或组成大型局域网。 说白了，就是每个人拿个手提箱，就可以躲避政府的监察直接上网。据报道，为了这套系统，奥巴马政府投入了7000多万美金的研发经费，启动了“手提箱互联网”“边境手机”等十几个网络渗透项目。其中手提箱网络是整个影子网络的中枢。 想一想还是有点厉害的，一旦足够多的“特殊手提箱”被运到了某个国家。那么大量情报人员和反对派就可以在无监管的情况下任意与外界联网、传输情报、协同工作，简直牛叉的不要不要的。加上手提箱这架势非常的《碟中谍》范儿，还真有点狂拽炫酷的既视感。 有欧洲媒体报道，美国军方先后在利比亚、阿富汗，以及朝鲜边境进行了“影子网络”的渗透，让情报人员向反对派分发手提箱网络和反侦察手机，从而达到情报和反政权的目的。 这事儿在当时，可是闹得动静不小。 网络主权、间谍战与恐怖主义： 一只手提箱引起过的世界级恐慌 影子网络技术，好像在今天听来也没有什么了。但在7年前曾经确实带来过一波全世界范围的大讨论。众多知名媒体对美国政府的行为进行解读与批评，甚至还有政府官员直接表明要大力反制这种技术。 当时，有俄罗斯媒体直接形容影子网络就是美国人从网络上扔来了巡航导弹。也有德国知名媒体认为这个计划一旦推行，将是美国建设网络霸权主义的开始。 而伊朗官方曾经宣布，为了对抗影子网络，伊朗可能断开与互联网的连接，建设自己的国家网络。 央视著名主持人水均益，当时也在其主持的《环球视线》节目中讨论了影子网络技术的危害。 归根结底，影子网络可能是一种简单易推行的间谍技术，它通过所谓“绕路”的方式，以所谓“自由”的名义，赤裸侵害了国家网络主权。这也在当时引发了领空、领地、令海之外，国家“互联网主权”这个“第四主权”的讨论。 相比非审查的自由和主权侵害，影子网络这个装在手提箱里的网络战武器，当时更激烈的讨论来自于恐怖主义问题。 当时欧洲刚刚经历了“Twitter革命”等事件，有人认为反对组织和恐怖主义分子，大量通过不受监管网络参与到了群体性事件当中。通过网络战来达到造谣、煽动等目的。 如果影子网络技术一旦泛滥，随便一个组织都可以建立起横跨全国，甚至全世界的不受约束网络。那么后果可能是远大于军火和毒品泛滥的。 一只手提箱引发的世界级讨论甚至恐慌，就这样在2011年的夏天尘嚣之上。然后，就没有然后了…… 又过了很久， 发现这玩意好像没啥用…… 时间过的很快，一年又一年，我们再也没有听到过任何关于影子网络的消息。这是为什么呢？ 当然我肯定也不知道间谍们到底是怎么想的，也许是美国人碍于面子和全世界人民的共同反对，终止了这项过于赤裸的间谍计划；也有可能这项技术应用的很好，所以国家压根就不宣称了。 谁知道呢？反正进入了智能手机时代之后，所谓手提箱网络这件事就越来越没人关注了…… 我们只能从技术上分析一下这是为什么。 可能性一，当然就像刚刚说的，智能手机普及了。手机上能做的事情急剧增多，其中就包括所谓的穿透网络审查和传输情报。加上软件技术的不断升级，哪个傻间谍还背着个大手提箱，支上天线，就为了上个网啊？ 这个智商就不要出来当间谍了好不好？ 可能性二，是影子网络的技术依据Mesh网络这些年的发展并不好。虽然Mesh可以解决很多无限网络问题，但其网络容量有限，延迟很大。很可能已经无法满足今天网络条件下，传递情报、组成无监管网络的要求。于是作为衍生品的影子网络，很有可能面临的是无疾而终的“悲剧”。 可能性三：在海关，检测一个装满了天线和终端管理器的手提箱，好像有点过于容易了……让谍报人员带着手提箱，渗透到边境混乱、局势复杂的战区，比如当时的利比亚等地，好像还是有点靠谱的。但要对正常国家进行这种渗透，想一想有点脑子不太正常的感觉。毕竟有从机场、港口运手提箱的能力，运点别的也都问题不大了。 不管怎么说，结果就是一时的喧闹过后，影子互联网就快速退出了聚光灯。也许它还在某些地方运行，但更大概率是已经被智能手机时代无情地碾压了。 这个故事告诉我们，科技从来不是只有加法和乘法，很多时候是在做减法。一些看似毁天灭地的发明与技术，很有可能草草收场连谢幕镜头都不给。我们今天做的创新，又有多少不过如此呢？

序言 前几年一则朋友圈把暗网炒火了… 其实暗网没那么神秘,就是一种特定的方式的部署与请求而已 请求方需要使用 tor browser 响应方 需要使用 tor 的hidden_service 话不多少,进入搭建阶段 环境 系统：一台三十块一个月的香港vps 自带centos7 所需：Nginx+tor 更新yum源 rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 关闭防火墙 & 禁用 //临时关闭 systemctl stop firewalld //禁止开机启动 systemctl disable firewalld Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. 安装 Nginx yum -y install nginx 安装 Tor yum -y install tor 配置 Nginx vi /etc/nginx/nginx.conf server{ listen 80 default_server; ... } 启动 Nginx service nginx restart 配置 tor vi /etc/tor/torrc 添加一下两行 HiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 80 服务器IP:8080 启动 tor

原文地址：https://www.hackeye.net/securityevent/16202.aspx 专注于隐私的Tor浏览器首次推出了一款针对移动网络的官方应用程序，可为Android设备提供试用版客户端。 在alpha版本中，Tor网络在用户隐私方面提供了“与Tor桌面浏览器相当”的功能。这对于全球范围内只能通过手机进行互联网连接的用户来说是一个福音; 许多欠发达和新兴经济的国家和地区缺乏为人们的家庭或商业场所提供传统有线互联网接入的基础设施。 根据comScore和Statista在2017年11月发布的一份报告，70%的印度互联网用户完全通过移动设备访问互联网，67%的印尼用户使用移动设备访问互联网。这些数据一定程度上代表了亚洲和非洲的许多其他地区。而在这些地区，持不同政见者和记者经常与敌对政府打交道。 “在世界上很多地方，人们只通过手机上网，上网用户面临不少威胁：被跟踪、审查和监视，这些威胁在社会冲突激烈的地区往往可能带来更多难以想象的后果。我们认为每个人都应该拥有合理的的私人访问权限，因此将Tor浏览器与Android相提并论是保护全球隐私的关键一步。”Tor的发言人告诉媒体。 当用户启动适用于Android的Tor浏览器时，流量会在通过Tor网络时被中继和加密三次，该网络由数千个志愿者运行的服务器（称为Tor中继）组成。这为那些生活在严密监控和在线审查领域的人-以及任何具有强烈隐私意识的人提供了一系列保护 。 其优点包括防止跟踪：Tor浏览器隔离了用户所访问的每个网站，因此第三方跟踪器和广告无法跟踪用户，并且任何cookie在用户完成浏览时自动清除。它还可以防止任何人观看用户连接知道他们访问了哪些网站。 此外，Tor的目标是让所有用户看起来一样，因此Tor浏览器难以根据用户的浏览器和设备信息进行指纹识别。但在移动端使用Tor浏览器安卓版本，用户可以自由访问本地互联网服务提供商可能已阻止的网站。 用户可以从Google Play或Tor 官方下载页面下载该应用程序。目前，用户还需要安装Orbot代理应用程序将应用程序连接到Tor网络，Tor表示未来将消除对代理Orbot要求。Orfox是一个由Guardian Project开发的第三方移动浏览器，可以通过Tor网络传输Android流量，它将随着Tor稳定版的发布而落后; 但是，用户仍然可以使用Orbot通过Tor路由来自Android上其他应用的流量。与此同时，Apple iOS设备仍然没有正式的Tor浏览器。 Tor 的安卓稳定版本定于2019年初发布。当前正在寻找有关错误和缺陷的反馈以不断完善产品。

一、数据泄露事件频发，个人企业损失惨重 随着大数据时代的到来，数据信息在给我们生活带来便利的同时，个人信息泄露的问题也日渐凸显，尤其是网络黑色产业链日益猖獗，让我们的个人信息形如裸奔。 华住酒店集团共140G约5亿条个人信息遭泄露、并在境外黑市中以8个比特币标价售卖的新闻刚过去不久，最近顺丰也传出被用户在“暗网”上以两个比特币售卖3亿条快递数据的消息。尽管顺丰回应暗网所售非顺丰数据，不过，有机构实测发现，网上兜售的数据真实性较高，在随机拨打的20条信息中，有17人姓名、电话、地址与文件内容一致，且也曾用过顺丰收发快递。另外，今年八月底，浙江绍兴越城警方破获的一起案件也涉及了公民30亿数据遭剽窃的严峻问题。新三板上市公司瑞智华胜及其关联公司通过非法软件清洗流量、获取用户的cookie，然后从中提取公民个人信息、相关账号密码、搜索的关键词等内容，涉及了百度、腾讯、阿里、京东等全国96家互联网公司产品的数据。 不只是国内，数据泄露已成为困扰全球企业和个人用户的难题。仅2018上半年，在全球范围内泄露的数据超过千万条以上、并造成严重影响的事件不下10起。例如今年3月爆发的给Facebook带来无尽麻烦的 “剑桥分析”丑闻，其中超过8700万名用户的数据遭到泄露。随着对Facebook应用程序更深入的审查，“剑桥分析”可能只是冰山一角。6月27日，安全研究员Inti DeCeukelaire透露了另一个名为Nametests.com的应用程序，它已经暴露了超过1.2亿用户的信息。目前，Facebook已接受英国信息专员办公室（ICO）开出的50万英镑罚单，然而这可能只是开始。 至于数据泄露所造成的影响，目前个人信息泄露带来的直接危害主要是各类骚扰电话、诈骗电话的增加。此外，大规模的信息泄露事件发生时，泄露的数据库会不断完善黑客手中的密码字典，令几乎所有人的密码失效。阿里安全归零实验室提供的数据显示，因用户信息泄露而产生的电信诈骗案件处于频发状态，仅在2017年4月至12月的8个月中就观测到电信诈骗超过43万起，案发资损达1亿9千万元，受害人员超过5万人。2017年，全国公安机关共破获电信网络诈骗案件13.1万起，查处违法犯罪人员5.3万名。 除了个体用户，企业也是数据泄露的受害者。大多数网络攻击都是以窃取钱财为目的，据《2018数据泄露损失研究》评估显示，大型数据泄露代价高昂，百万条记录可致损失4000万美元，5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的公司企业平均要损失386万美元，同比去年增加了6.4%。 二、为什么数据容易发生窃取和攻击？ 在愈发频繁的数据泄露事件中，企业数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。 1. 防力量薄弱，防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示，去年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受勒索病毒攻击。同时，一些企业认为自己并非互联网行业主要参与者，不会成为被攻击对象，因此在用户数据保管上没有做好安全措施，最终导致大批量用户数据泄露。此次华住集团数据泄露，可能原因就是开发人员安全意识不强，将公司程序代码上传到了GitHub（一个软件托管平台）上，加之酒店数据库密码过于简单才导致。 2. 用户数据市场需求旺盛。随着互联网的迅速发展，网络平台的人口红利逐渐消失，当用户普及度已经足够，剩下的只是如何利用信息赚钱的问题，因此根据用户画像进行精准信息推送就显得尤为重要。如今，不管功能是否相关，下载任何软件都需开通讯录权限、地理位置权限、摄像机权限等等，类似“××，你的手机联系人在某APP上将你设置为‘念念不忘的对象’，详情见××APP”这种短信，大概有5亿人都曾收到过。中国消费者协会在8月29日发布的《APP个人信息泄露情况调查报告》显示，遇到过个人信息泄露情况的人数占比为85.2%。 三、应该制定更为严厉、健全的数据保护法 分析这些数据泄露事件的起因，大多是由于开发人员安全意识不强，或者因为公司存在“内鬼”导致。但开发人员安全意识不强的背后，则是整个企业对信息安全的重视程度不够。而企业及其负责人对信息安全的不重视，则是源于我国目前针对信息保护的法律法规还不健全，对于信息泄露缺乏强有力的惩罚措施，往往只会在出事之后做一些补救措施。根据周鸿祎在2018 ISC互联网安全大会上发表的观点：针对信息泄露事件，需要提前作出预警，事件发生后进行补救其实没有意义。 从世界范围来看，加强数据保护与利用相关立法已成趋势。美国通过修订《儿童在线隐私保护法案》为儿童等特殊敏感信息提供更加严格的法律保护；欧盟、新加坡等以专门立法形式，加强对个人信息的法律保护。今年5月25日，《欧盟一般数据保护条例》（GDPR）生效实施，进一步加强了对个人信息的保护力度。与此同时，大数据技术和产业的兴起引发了对数据开放的强烈需求，许多国家或地区通过立法规范和促进包括政府在内的公共部门提供透明、公平的信息再利用服务。 至于我国，近年来涉及数据保护与利用的立法活动主要围绕个人信息保护并且是基于个人信息安全而展开的。在我国现行的法律法规中，与个人信息及隐私的保密和保护相关的主要包括刑法、民法、网络安全法、消费者权益法、邮政法、统计法等。其中针对个人信息保护的责任认定及处罚主要集中在刑法、民法、网络安全法等大法当中，然而这些大法因为涉及内容较广，针对个人信息保护的责任认定和处罚缺乏可操作的细节，量刑也相对较轻。根据公布的案例，腾讯微信、新浪微博、百度贴吧等都因涉嫌违反《网络安全法》被立案调查，BOSS直聘网因涉嫌信息泄露被网信办责令整改，这些就算目前比较重大的执法案件了，但最后法律责任很多是赔礼道歉而已。 另外，个人信息保护固然是数据保护与利用立法的重中之重，但并非全部，尤其是在大数据与人工智能成为国家发展战略的背景下。大数据技术与人工智能技术相辅相成，都需要海量数据作为支撑。因此，如何保证既能维护数据安全，严厉打击针对数据或者滥用数据而导致的违法犯罪行为，又可以使海量数据资源所蕴含的信息价值得到充分利用成为立法的关键。 同时，数据安全合规责任的落实还要考虑为中小企业提供一定的政策保障。数据安全合规责任的落实需要相应配置的人力、资金和技术，中小企业可能难以达到法定要求，或者成本过高。因此，需要国家提供一定的配套政策，激励和保障中小企业能够现实地具备数据安全合规能力。如欧盟委员会在发布《一般数据保护条例》的同时，还提供一定的资金用于帮助企业特别是鼓励中小企业并推出旨在帮助其实现合规的“实用在线工具”。 在互联网几乎已经成为现代人类生活的必需之后，在大规模地数据泄露事件面前，个人用户作为弱势群体，除了勤更换账号密码、不在陌生网站或服务商输入个人敏感信息外，其实很难起到什么作为。 因此，作为互联网服务的提供商，企业在数据保护面前有着不可替代的责任；作为人民安居乐业的依靠，政府对企业行为有毋庸置疑的严格监管义务。当互联网、人工智能的浪潮带来全球居民生活方式发生彻底改变，当自动驾驶、智能家居、AI医疗等成为构建智慧城市的标配时，健全完善的规章制度是让这个智能社会正常运转的准绳。 四、去中心化的恶果 对于最近几起数据泄露事件，还有一点值得注意的是贩卖者在“暗网”上兜售数据，只接受比特币或门罗币进行交易。 从9年前诞生起，比特币就一直运作良好，从未因政府或监管者或硬件问题而停止运行过。比特币通过去中心化设计实现了抵制审查，这个特性赋予了比特币非常高的价值，同时也会导致大量的问题。比如基于虚拟货币的经济犯罪频发，区块链的技术特性和跨国作案导致在取证查案的过程中会面对极大的复杂性和阻力。就以这次华住案为例，黑客用比特币的方式在境外网站上售卖非法数据，给警方带来了很大的办案难度。 随着基于虚拟货币的犯罪案件持续发生，在未来，或许去中心化的区块链技术也必须接受中心化的政府或机构的监管。完全的去中心化是不现实的，也是种灾难。对于虚拟货币的监管必须持续加码，并建立国际间的合作组织来共同将这个主张无政府主义的技术栓住，使它不能作恶，在可控的范围内实现它的技术目的。 原本区块链技术作为一种非常有前景的底层技术，吸引各大互联网巨头纷纷开发布局。依赖其去中心化、不可篡改的特性，可以应用于保险、物流、选举、公益等各行各业，也包括酒店管理，可以极大改善用户敏感数据保护中存在的安全隐患，提供金融级的数据安全保障。而如今，区块链技术恰恰是以为盗取酒店用户数据的销赃手段出现，结果令人惋惜。 或许，无论是大数据还是区块链，任何一种新技术、新理念在诞生之初都是美好的，只是随着不断的发展，野蛮生长的同时往往伴随着滥用情况。只有完善法律法规，才能让它如诞生之初所希望的一样造福于人类。 此前，“Y Combinator中国01号员工”陆奇在媒体采访中提到了一个理想中的“数据生态”：“我希望以后会有一个数据生态，让与人有关的数据最终属于个人，他有权利决定在什么情况下、出于什么目的，让某个企业使用他的数据。在这个生态里，创业公司也可以得到用户的支持，例如用户对教育有热忱并且希望支持教育公司创业，他就可以将自己的数据开放给这家公司使用。” 实现这个理想的“数据生态”是一个道阻且长的过程，也许来势汹汹的GDPR是一个先行的实践，最终的平衡很可能要在很多的争论和矛盾中才能逐渐达到吧。

我们经常会在新闻里看到或听到关于用户数据泄露的事件，这些用户数据的泄露会对网站或服务的使用者产生非常严重的安全威胁。作为一个网络用户，您对用户数据泄露的严重程度和这些用户数据泄露事件背后的具体细节，又了解多少呢？ 谈到数据泄露，就不得不介绍一下与之相关的几个常用的黑客术语。在与数据泄露事件相关的报道中，经常可以听到拖库，洗库和撞库这几个词。拖库指的是黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为。洗库是指在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现。撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户信息列表。由于很多用户习惯在不同网站使用相同的帐号密码，因此黑客可以通过获取用户在A网站的账户信息去尝试登录B网址，这就可以理解为撞库攻击。 黑客获取用户数据的手段（拖库/data breaches） 黑客获取用户数据的手段主要分为社工手段和技术手段。社工手段主要是利用人的心理学特点，通过欺骗或冒充等手段获取信息，比如利用邮件、钓鱼网站等手段获取用户信息。技术手段则是指利用系统本身的漏洞直接侵入目标系统获取用户信息。在实际攻击过程中，黑客往往会混合使用这两种方法。 为了说明拖库，洗库和撞库这三者之间的关系，以下选用了启明星辰安星web 安全运维团队在总结2011大规模数据泄露研究报告中的一张图。这张图非常清楚地说明了这三个环节之间的相互关系。 那么，到底目前网络用户信息泄露问题有多严重呢？ 在国内，2016年以前有一个专门曝光用户数据泄露事件的网站叫乌云网。如果留意看新闻的人应该还记得，在2016年之前经常有关于在乌云网上报出的用户数据泄露事件。乌云网曾经曝光的携程支付漏洞和12306网站用户数据泄露事件，目前在百度百科上还可以搜到。但这个由“白帽子们”发起的可以用来衡量网络安全程度的安全问题曝光网站，在2016年被强制关闭了。对于这一事件的评价有着非常极端的两面性，赞同关闭的人认为数据泄露事件曝光后，会有更多的黑客利用被曝光的漏洞进行攻击。反对的人则认为，没有这样的网站，服务提供商不会那么重视网络服务的安全，在提供更多服务的同时，会产生更多的系统漏洞，从而会给网络用户带来更多的危险。但不管怎样，乌云网被关闭的事件说明，黑客使用技术手段大量获取用户资料不是偶发事件，而几乎是网络安全的常态。 当失去乌云网后，网络用户是否真的无法知道当前的用户数据泄露问题有多严重了呢？ 其实不然，在这方面比乌云网更出名的类似网站还有”Have I been Pwned?”（HIBP）。2013年底，网络安全专家Troy Hunt意识到当时的用户数据泄露已经达到了无法控制的地步，所以他决定与其让黑客独享这些数据，不如把所能获取到的数据制作成可以搜索的数据库，让普通用户也可以很容易地知道自己的资料是否已经泄露了。如果您还没有听说过这个网站，建议您可以去这个网站上检查一下自己账号的安全性。HIBP网站的网址是：https://haveibeenpwned.com。如下图HIBP网首页站所显示，到目前为止HIBP所记录的被泄露的用户数已高达50多亿。 除了可以自行去HIBP网站查找自己的用户名和密码是否被泄露以外，目前很多网络服务其实也在使用HIBP的数据来帮助用户提高账号的安全程度。比如，作者本人就曾在登陆GitHub时收到过下图所示的警告信息。 这个警告信息是说，您的账号目前已经可以在HIBP的数据库中找到了，建议更改和使用更高强度的密码。 当您去HIBP中查找后，若发现资料已被泄露，HIBP还能很贴心地告诉您，您的资料是在哪次数据泄露事件中被搜集的，您的什么资料可以在HIBP数据库中找到，如下图所示。 用户数据的利用（洗库） 前面我们谈到的是用户数据是如何被泄露的，以及目前用户数据的泄露问题有多严重。那么，当黑客获取到某个网站的用户数据后，这些数据是如何被利用的呢？基本上，被盗取的数据分成两部分：第一部分是以明文形式存储的用户信息，比如，姓名、电话号码、邮件地址等，更严重的可能还包括身份证号码、信用卡、银行账号等敏感信息。黑客可以把这些信息打包出售给不同的非法使用者。第二部分就是加密过的用户密码。为了最大程度地保护用户信息安全，大多数网站一般都是采用加密方式来存储用户密码，而不是明文存储。前面提到的HIBP网站上已泄露的用户密码就是存储的密码Hash值而不是明文。如果您想了解更多关于Hash算法的介绍，可以参考另一篇文章网络信息安全领域中常见的几个概念。黑客需要破解经Hash算法加密后的密码才能使用这一部分数据。用于破解密码Hash值的主要方法是碰撞攻击（Collision attack），维基百科上对Collision attack有非常详细的介绍。当黑客利用Collision attack将破解了的用户密码和用户名配对制成一张表格后，黑客就可以利用这张表来进行第二轮攻击了。 用户数据的再次利用（撞库） 如果不考虑社工手段，黑客使用技术手段获取的用户数据，主要是利用系统漏洞攻击那些防护措施薄弱的网站所得到的。当黑客把用户数据整理成一张可以再次使用的表格时，非常多的网站都可能被攻陷了。这主要是由于用户往往会使用同样的用户名和密码来注册不同的网络服务，这样黑客就可以利用已知的用户信息来获取其他网站同一用户的资料。这也就是为什么很多的用户数据泄露是通过撞库攻击所得到的。 如何保护自己的网络信息安全 所谓道高一尺，魔高一丈。网络上的攻防战争是永远没有结束那一天的。信息安全是服务提供方和用户本身双方的责任。做为网络用户，我们应该怎么办？其实，有很多方法是可以提高网络信息安全水平的，但讲多了，大多数人无法做到。这里只提最重要的三点供参考： 1. 不要使用同一用户名和密码来注册所有的网络服务。这无疑是最不安全的做法； 2. 提高密码的复杂程度。建议使用8位以上，数字、字母和符号的组合密码； 3. 对于重要的账号开启多重验证方法，如密码加短信，密码加OTP验证等。 以上第一、第二点，相信大家已经听过无数遍了。如果做到这两点，就会极大程度地增加黑客的工作量。要知道，黑客的时间也是很宝贵的，当您的防范措施比其他人复杂得多时，黑客可能就会选择放弃，而去尝试下一条数据了。 对于第三点多重验证，这本来是用于对安全性要求很高的网络服务所提供的安全措施，但随着用户数据泄露问题越来越严重，多重验证也逐渐被主流的网络服务所采用了。 什么是多重验证？多重验证是指，当用户在使用网络服务时，需要通过两种以上的认证机制之后才可以使用网络服务。这里讲的认证机制是指相互独立的验证手段。比如，当用户输入了用户名和密码后，系统提示还需要输入短信验证码。通常，当用户在陌生或新设备上登陆账户时，系统就会要求两种以上的认证机制。多重验证能更有效地保护用户账号安全。 多重验证根据复杂程度可以分成很多种，比如安全性最高的基于不对称加密算法的U盾，被广泛应用在银行业中。在一般的多重验证手段中，更常用的是邮件、短信、密码器、软件密码器或基于常用设备的应用推送等。这些常用的验证手段多数是基于一次性密码（OTP）的验证方法。随着国内互联网行业的飞速发展，一些具有创新性的多重验证方法也逐渐在国内流行开来。比如基于常用设备的二维码识别，这本来是微信和支付宝率先使用的验证和支付手段，目前很多国内银行的网银登陆也开始支持二维码扫描登陆了。除了二维码外，比较特别的验证方法还有，微信支持声纹验证，支付宝和百度支持面部识别等。由于多重验证方法种类繁多，无法逐一介绍，下表例举了一些常用网络服务所支持的多重验证方法供参考。 随着多重验证的使用和用户账号管理的复杂程度越来越高，国内的领先互联网服务提供商开始使用一站式的安全应用来专门用作账户管理。其中具有代表性的有QQ安全中心、百度账号管家和网易账号管家等。这些应用通常要求用户将应用与常用设备绑定，然后通过绑定后的应用来管理用户的账户设置。这样的一站式应用可以提供更多元的账户管理功能，比如账户功能的开启和关闭，被盗账号的找回等等。 现在，您一定对互联网账户的安全有了进一步的了解。是否很想去HIBP网站上查一下自己的资料有没有被泄露？如果在HIBP的数据库里能查找到您的账号，以上提及的三点就是您必须要立即采取的防范措施，否则理论上说，所有人都可能通过HIBP找到您的用户名和密码，登录您的账号了。 PassXYZ是一款跨平台的密码管理软件，可以运行在安卓和苹果手机以及Windows 10上。 PassXYZ基于著名的开源软件KeePass开发，所以兼容KeePass数据格式。PassXYZ的核心代码可以在开源社区GitHub上获取。PassXYZ最大的特点是通过提供大量的个人信息记录模板来分享和传递良好的使用习惯。PassXYZ个人信息管理软件和PassXYZ公众号的目标是通过两者的结合来推动和提高公众的个人信息管理水平。 您可以通过苹果应用商店，微软应用商店，Google Play和华为应用商店搜索关键字PassXYZ来下载该应用。如果您想获得更多模板或对个人信息安全及管理有兴趣，可以搜索关键字PassXYZ关注公众号。您也可以通过微信号passxyz_kpclib来添加此公众号。PassXYZ公众号专注于个人信息安全及管理的相关知识。

原文地址：https://www.hackeye.net/securityevent/16146.aspx 趋势科技在他们所监控的深度网络论坛上发现了从我国华住酒店集团窃取的个人身份信息(PII)。通过进一步分析后发现，被盗数据不止中国客户的PII，还有入住该连锁酒店的外国（欧美、中东）客户PII。这些数据处于未加密状态，其中一些是CSV、SQL和TXT转储文件。 研究者认为，这些被窃取的数据与8月29日公布的华住酒店数据泄露事件有关。报道数据泄露的新闻与趋势科技在暗网上看到的以8个比特币(截至2018年9月5日，相当于5.8万美元)的价格出售被盗数据的广告相吻合。 图1.暗网销售PII广告 广告描述的被盗数据包括姓名、手机号码、电子邮件地址、身份证号和住宅地址等，总计53GB(约1.23亿条记录)。另一组被盗数据含客户信息，如登记入住时间、客户姓名、身份证号码、家庭住址、生日和身份证号码，总计22.3GB(大约1.3亿条身份信息)。 另一个数据集(名为history.csv)有客户姓名、房间号码、卡号、手机号码、电子邮件地址、入住和离开时间以及酒店ID号码。这个数据集是66.2GB(大约2.4亿条记录)。根据广告显示，这些被盗数据集于2018年8月14日发布。而样本数据则可以压缩的1.37MB文件提供。 不难想象这些数据的“魅力”和盈利能力，它们极易引起潜在买家的兴趣。研究人员观察到，有特定买家对性别为女性的数据感兴趣，意向购买量级高达千万（如图2）；暗网中甚至还有销售酒店管理系统的一个漏洞出售（如图3），广告还显示了其门户网站的URL。 图2 图3 来自连锁酒店的数据只是深度网络论坛中销售数据的一部分。以下是趋势科技发现在论坛中出售的其他被盗数据和非法产品的示例： 学生，酒店和金融投资相关的PII。PII包括全名，支付宝账户，微信账单，借记卡和其他与财务相关的数据。 银行和身份证信息; 有意思的是，这是以持有身份证的人的照片的形式出售的，很可能作为身份证明用途。 全国选美比赛的参赛者PII。PII包括名字，三围和社交媒体帐户等。（如图4） 被盗的台湾和巴西信用卡数据（付款可以发送到用户的Steam帐户）。 北京居民PII。 中国国民护照和其他文件。 QQ帐户中年轻女性用户的个人照片。 图4 图5：销售银行和身份证号码和银行相关数据以及中国护照和文件的广告 趋势科技的各种研究表明，被盗和泄漏的PII是许多网络犯罪地下市场的主要商品，这提醒我们个人和企业都需要高度重视数据隐私和安全。事实上，违规行为中暴露的PII的数量和种类，以及在暗网论坛中兜售的大量被盗数据，突出了保护组织在线场所所有层面的重要性-——特别是考虑到欧盟通用数据保护和监管（GDPR）及其施加的巨额罚款。酒店行业是违法分子的主要目标，因为它在出售者眼中是可以货币化的PII 金矿，或者在某些情况下，滥用和滥用其他恶意目的。存储，处理和管理敏感数据的企业组织应实施更强大的数据隐私策略，加强现有的安全机制，以阻止入侵，减少数据的进一步暴露，并及时响应漏洞。