MongoDB最新发布、OpenSSH增加对存储在RAM中的私钥的保护、谷歌启动位置记录的删除控件…

要闻

1. 2019 MongoDB全球用户大会盛大闭幕暨4.2版本重磅发布

2. Forrester发布了最新的数据库评估报告，MongoDB跻身数据库排行前五

3. Google在iOS和Android上启动了位置记录的自动删除控件

4. 瘫痪 2 周后 美国又一城市宣布向黑客支付价值将近 50 万美元的赎金

5. 研究发现黑客已渗透十多家运营商 必要时可切断通讯网络

6. Excel 曝出 Power Query 安全漏洞 1.2 亿用户易受远程 DDE 攻击

7. 用户数据值多少钱？美国两议员要求社交媒体公开

8. OpenSSH 增加对存储在 RAM 中的私钥的保护

9. 微软和Salesforce领导的企业SaaS收入达到100亿美元的运行率

10. 意大利对剑桥Analytica数据滥用对Facebook罚款110万美元

11. 特朗普：美国企业将被允许继续向华为出售产品

12. 信安标委：《信息安全技术 信息系统密码应用基本要求》等8项国家标准征求意见

1.2019 MongoDB全球用户大会盛大闭幕暨4.2版本重磅发布

为期三天的2019 MongoDB 全球用户大会于纽约时间6月19日在美国纽约闭幕，MongoDB公司在大会上宣布推出其核心数据库的最新版本 MongoDB 4.2。4.2版本主要功能包括分布式事务、字段级加密、更新版 Kubernetes Operator 集成等，进一步提升了 MongoDB 支持各种业务场景的能力，MongoDB客户包含从创新的云原生初创企业到规模庞大的全球化公司等各种规模的组织和机构。

此外，MongoDB公司宣布推出新的云服务和功能，这将为MongoDB数据库之外的数据处理提供更优的方式。会上还公布了对2019 年 5 月收购的Realm公司的产品愿景，为此揭开了MongoDB在移动和网页开发的未来规划。作为 MongoDB 的一部分，Realm 将成为移动开发人员的默认数据库，让他们可以轻松地在浏览器以及 iOS 和 Android 设备中构建实时数据应用程序。

2.Forrester发布了最新的数据库评估报告，MongoDB跻身数据库排行前五

3. Google在iOS和Android上启动了位置记录的自动删除控件

6月27日消息，谷歌今天宣布开始推出位置历史自动删除功能，该功能是在今年5月份首次发布的。此前，谷歌和苹果等公司都表示，他们将开始推出专门的工具，让用户对自己与这些公司或第三方应用程序共享的数据拥有更多控制权。

然而，谷歌和苹果此举面临的批评在于，大部分工作仍然依赖于用户自己来设置。例如，谷歌上的位置跟踪和网页与应用活动历史记录会始终保存着，直到用户在默认情况下手动删除它们。谷歌对此表示，这是为了改进用户体验、广告定位和实现搜索个性化。

4.瘫痪 2 周后 美国又一城市宣布向黑客支付价值将近 50 万美元的赎金

在美国佛州Riviera City成为首个同意向黑客支付赎金（高达60万美元）的城市之后，佛州又有一个城市宣布采取相同的应对方式。莱克城（Lake City）位于佛州北部，拥有6.5万人口，在本次黑客攻击中各项市政工作已经停摆两周时间。在本周一的市政紧急会议中，通过投票决定支付42个比特币，价值将近50万美元的赎金。

莱克城于今年6月10日遭到了灾难性的勒索软件攻击，该市将其称为“Triple Threat”。尽管该城市的IT人员在发现攻击后的十分钟内将受影响的系统断开连接，但是除了在独立网络中运行的警察和消防部分，该市政的几乎所有计算机系统都感染了勒索软件。

在感染后一周莱克城就收到了赎金请求，并且通过保险提供商League of Cities进行谈判，确认了42个比特币的赎金。援引当地媒体报道，该市政官员本周一同意支付赎金要求，并于6月25日向该保险公司支付了款项。根据比特币付款时的价格，估计付款价值在480,000美元到500,000美元之间。该市的IT人员现在正在努力在收到解密密钥后恢复其数据。

5. 研究发现黑客已渗透十多家运营商 必要时可切断通讯网络

据总部位于波士顿的安全公司Cybereason近期发布的安全警告，在过去七年中黑客一直利用已经渗透的运营商网络来窃取敏感数据，甚至于在必要的时候可以完全关闭通讯网络。

Cybereason的研究人员发现，攻击者通过利用旧漏洞获取了对十几家移动运营商的访问权限，例如隐藏在Microsoft Word文件中的恶意软件或者找到属于该公司的公开服务器。一旦他们进入，恶意软件就会通过搜索同一网络上的所有计算机进行传播，并尝试通过登录尝试来充斥他们。只要凭证有效，它就会继续传播，直到黑客到达呼叫者数据记录数据库。

6.Excel 曝出 Power Query 安全漏洞 1.2 亿用户易受远程 DDE 攻击

近日，Mimecast 威胁中心的安全研究人员，发现了微软 Excel 电子表格应用程序的一个新漏洞，获致 1.2 亿用户易受网络攻击。其指出，该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具，在电子表格上启用远程动态数据交换（DDE），并控制有效负载。此外，Power Query 还能够用于将恶意代码嵌入数据源并进行传播。

遗憾的是，微软并没有发布针对 Power Query 的漏洞修复程序，而是提供一种解决方案来缓解此问题。

7.用户数据值多少钱？美国两议员要求社交媒体公开

北京时间6月24日晚间消息，由两党参议员组成的小组在周一提交了一项法案，要求社交媒体公司就其从消费者处收集到的数据和盈利方式披露更多信息。

这项“DASHBOARD法案”旨在帮助消费者理解使用免费社交媒体服务要付出的代价。提交“DASHBOARD法案”的两位参议员分别是华纳以及密苏里州共和党人约什·霍利（Josh Hawley）。他们两位历来都是支持要加强科技监管的议员并在立法层面作出了很大努力，旨在明确大型科技公司在用户数据以及内容政策上的责任。

霍利在上周也提出了一个法案，这将使得《通信规范法1996》第230条对大型科技公司的豁免保护失去效力。如果此法案能够通过，那么Facebook、Twitter、谷歌旗下的YouTube等依赖用户内容推动平台发展的公司都将面临巨大挑战。如果这些公司同意每两年提交审计，以证明其内容删除措施是“政治中立”性的，那么它们也有机会获得豁免保护。

8.OpenSSH 增加对存储在 RAM 中的私钥的保护

OpenSSH 是 SSH （Secure Shell） 协议的免费开源实现，它是许多 Linux 发行版中用于加密到远程系统的连接的默认解决方案。

此前，Google 的 OpenBSD 开发人员和安全研究员 Damien Miller 对 OpenSSH 进行修改，增加了对存储在 RAM 中的私钥的保护，让攻击者更难利用硬件漏洞的侧通道攻击来提取私钥。

Damien Miller 解释说，用于保护内存中私钥的对称密钥来自由随机数据(目前是 16 KB)组成的一个相对较大的 prekey。而工作方式是，密钥在加载到内存中时被加密，并在需要签名或必须保存时解密。

虽然这种预防措施并不是应对硬件攻击的完整解决方案，但它确实会使攻击者更难获得成功。

9.微软和Salesforce领导的企业SaaS收入达到100亿美元的运行

在其最新报告中，监控云市场份额的公司Synergy Research发现，企业SaaS收入在本季度超过了1000亿美元的运行率，市场由微软和Salesforce领导。

微软报告的生产力和业务流程收入为101亿美元，其中包括Office 365，Dynamics系列和LinkedIn，该公司在2016年以262亿美元收购了该公司。101亿美元占据了头号位置，占17％。Salesforce接下来约为12％。该公司在其最新的财报中宣布了37.4亿美元的收入，仅服务云就占据了10.2亿美元的收入，首次突破了数十亿美元大关。Adobe排名第三，市场份额约为10％，其最新报告的收入为27.4亿美元。数字媒体包括Creative Cloud和Document Cloud，占据了18亿美元的绝大部分收入。SAP 和 Oracle 追赶在后。

10.意大利对剑桥Analytica数据滥用对Facebook罚款110万美元

意大利的数据保护监管机构已发布Facebook 因违反剑桥Analytica数据滥用丑闻所附的当地隐私法而被处以100万欧元（约合110万美元）的罚款。

Facebook 从目前已停用Research 应用中收集了18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。

今年早些时候，美国媒体调查发现，Facebook 和谷歌都在滥用苹果的企业开发者证书，这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。这些公司违反了苹果的规定，在 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据，了解他们的使用习惯，同时向用户支付报酬。

11.特朗普：美国企业将被允许继续向华为出售产

据央视新闻报道，在6月29日下午的G20会议期间，美国总统特朗普表示，向华为出售零件的美国公司应被允许继续出售。

当地时间5月16日，美国商务部工业与安全局（BIS）发表声明，正式将华为公司及其附属公司列入管制“实体名单”，禁止华为在未经美国政府批准的情况下从美国企业获得元器件和相关技术。

紧接着，美国商务部当地时间5月20日又发布消息称，将给予华为及其合作伙伴90天的临时许可，以便于相关部门和公司拥有一定的业务调整时间。

12.信安标委：《信息安全技术 信息系统密码应用基本要求》等8项国家标准征求意见

根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，全国信安标委组织对《信息安全技术 信息系统密码应用基本要求》等8项国家标准征求意见，标准包括：· 信息安全技术 信息系统密码应用基本要求 · 信息安全技术 可信计算规范 可信平台控制模块 · 信息技术 安全技术 生物特征识别信息的保护要求 · 信息安全技术 安全处理器技术规范 · 信息安全技术 智能家居安全通用技术要求 · 信息安全技术 个人信息安全工程指南 · 信息安全技术 工业互联网平台安全要求及评估规范 · 信息安全技术 个人信息安全规范