今天的安全早报包括：超过400个流行站点记录用户的键击和鼠标移动情况；qkG 勒索软件针对 word 文件加密，利用宏传播；黑客入侵美国萨克拉门托公共交通系统，勒索 1 比特币；Firefox新机制：用户浏览泄漏数据的站点时会出现提示。

【国际时事】

超过400个流行站点记录用户的键击和鼠标移动情况

当你在网上搜索后，下一刻在几乎所有你访问过的网站上发现它的广告，这个场景是不是似成相识？

网络追踪并不新鲜。大多数网站会记录用户的在线活动，但最近普林斯顿大学的一项研究发现，数百个网站记录你的一举一动，包括你的搜索，页面滚动，击键和每一个动作。

普林斯顿大学信息技术政策中心（CITP）的研究人员分析了Alexa全球排名前五万的网站，发现有482个网站，正在使用一种新的网络跟踪技术来跟踪用户的每一个动作，这其中包括众多知名网站。

使用这种“会话重播”技术的网站，甚至包括卫报，路透社，三星，半岛电视台，VK，Adobe，微软和WordPress等大多数流行网站。它们都使用这种技术来记录访客在浏览网页时所做的每一个动作，然后将这些大量数据发送给第三方进行分析。

“会话重播脚本”原本旨在收集有关用户互动的数据，网站开发人员可以使用这些数据来改善最终用户体验。

[BleepingComputer]

【安全事件】

qkG 勒索软件针对 word 文件加密，利用宏传播

安全研究人员发现了一种名为qkG的新型勒索软件，它会针对Office文档进行加密，感染Word默认文档模板，创建一个新的Word文档。

不过这款病毒还在开发阶段，还没有感染用户。

趋势科技安全研究人员Jaromir Horejsi在本月初在VirusTotal上发现了qkG。

qkG做的就是修改了normal.dot模板，附加了一个自己的副本。也就是说无论何时用户启动Word，带有恶意代码的normal.dot模板都将被加载执行，打开任何文件后，就会对这些文件进行加密。

如果用户与其他用户共享了这些文档并且启用了宏，其他用户也会被感染。

好消息是病毒使用了基于XOR的加密，这种加密方式非常简单。而且当前版本的qkG勒索软件带有一个硬编码的解密密钥“我是QkG @ PTM17！by TNA @ MHT-TT2”。

庆幸的是，qkG还在开发中，因此功能也还不完善。

[BleepingComputer]

黑客入侵美国萨克拉门托公共交通系统，勒索 1 比特币

由于出现安全漏洞，萨克拉门托地区（SacRT）公共交通机构被迫关闭了网站。

黑客篡改主页并挂上了黑页：

很抱歉修改了主页，我是个好的黑客，我只是想帮你修复这些漏洞

这是漏洞之一，修改主页的目的是让你知道有漏洞，并且漏洞不止这一个！

很危险，请尽快与我联系

请联系邮箱，我会帮助您解决这些漏洞:)

[email protected]

黑客还试图勒索该公司1个比特币，价值7000美元。勒索失败后，黑客删除了在SacRT服务器上大约30％的文件。

庆幸的是，萨克拉门托当地的公交运营不受事件影响，员工用笔和纸来管理日常操作。

SacRT表示，他们正在努力回复被删除的文件，预计周二就能恢复。截至发稿时，网站还没有恢复正常。

[BleepingComputer]

Firefox新机制：用户浏览泄漏数据的站点时会出现提示

Mozilla工程师正在开发Firefox的通知系统，对于那些访问数据泄露网站的用户会弹出安全警告。

这个通知系统使用Have I Been Pwned网站提供的数据，这是一个可以对公共数据泄露进行索引的网站，用户可以搜索自己的信息有没有泄露。

这个项目才刚刚起步，提示警告的代码甚至不在Firefox代码中，而是作为插件单独管理。

Mozilla工程师Nihanth Subramanya表示：“[漏洞警报]是我会使用的一个插件，这将是Firefox新增功能的原型，目的是在用户密码可能遭到泄露时通知用户。

这款插件的代码已经在GitHub上公布，只要进行编译就可以把它导入到Firefox中。目前仅支持Firefox Developer Edition。

插件处于早期开发阶段，警告的边缘部分粗糙。当用户访问包含在“Have I Been Pwned”列表中的网站时就会触发警告。

警报提示框中还有一个输入字段，目前没有任何功能，但应该是让用户进行搜索的搜索框。

[BleepingComputer]

【国内新闻】

外媒：中国监管部门调查趣店数据泄露案件

据彭博， 知情人士称，包括公安部门在内的监管部门正在调查趣店用户个人信息泄露事件。

针对网上有人非法出售声称来自趣店的高达百万学生用户个人信息，监管部门正在进行调查。

调查范围包括该信息是否来自趣店，趣店是否知情，趣店是否采取了必要措施，以确保其收集的个人信息安全等等。

初步调查结果显示，至少部分泄露信息与用户提供给趣店的信息相符。调查并不意味着趣店一定会被处罚。知情人士不愿具名，因信息未公开。

彭博新闻致电趣店投资者关系部门寻求置评，该部门请彭博新闻转而向趣店负责媒体公关的部门负责人查询；截至发稿时，趣店负责媒体公关的负责人尚未回复彭博新闻寻求置评的电子邮件。彭博新闻两次致电公安部寻求置评的电话未获接听。

[网易新闻]

工信部发文：1亿以上互联网用户信息泄露为特大网络安全事件

工信部网站11月23日消息，工业和信息化部印发《公共互联网网络安全突发事件应急预案》。根据预案，公共互联网网络安全突发事件分为四级：特别重大事件、重大事件、较大事件、一般事件。

【通知全文】

工业和信息化部关于印发《公共互联网网络安全突发事件应急预案》的通知

工信部网安〔2017〕281号

各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司，国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心，域名注册管理和服务机构、互联网企业、网络安全企业：

为进一步健全公共互联网网络安全突发事件应急机制，提升应对能力，根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》等，制定《公共互联网网络安全突发事件应急预案》。现印发给你们，请结合实际，切实抓好贯彻落实。

工业和信息化部

2017年11月14日

[澎湃新闻]

转载至freebuf网站：freebuf