BUF早餐铺丨Eric S认为SaaS的危险甚于私有软件；美国开始要求签证申请者提供社交媒体信息；在俄罗斯通过暗网黑市购买个人数据已变得非常容易

BUF早餐铺丨Eric S认为SaaS的危险甚于私有软件；美国开始要求签证申请者提供社交媒体信息；在俄罗斯通过暗网黑市购买个人数据已变得非常容易 – 作者:Karunesh91

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是2019年6月4日星期二。今天的早餐铺内容主要有：Eric S认为SaaS的危险甚于私有软件；美国开始要求签证申请者提供社交媒体信息；在俄罗斯通过暗网黑市购买个人数据已变得非常容易；用户诉腾讯QQ浏览器违法收集个人隐私，法院：立即停止；微软警告有百万电脑仍然没有修复一个高危漏洞。

安全资讯早知道，三分钟听完最新安全快讯~

Eric S认为SaaS的危险甚于私有软件

商业软件巨头Salesforce最近警告武器零售商，要么停止销售军用级步枪，要么就不要使用它的软件。Eric S. Raymond(ESR)在个人博客上谈论了这件事，认为软件即服务（SaaS）的危险甚于私有软件。

ESR说，如果SaaS的供应商不想再和你做生意，你可能没有真正的追索权，你也许可以起诉商业关系中的侵权干涉，但事实上你其实不想要诉讼，你只想要继续做生意。这就是SaaS在战略风险上更胜于传统私有软件。

ESR 认为，都2019年他不应该再强调开源软件的重要性，如果你想要真正控制自己的业务，你依赖的软件必须是开源的。你负担不起与软件服务商捆绑在一起的风险，即使软件本身在名义上是开源的。[solidot]

美国开始要求签证申请者提供社交媒体信息

根据新的规定，几乎所有美国签证申请者都需要提供社交媒体信息。美国国务院要求申请者提供社交网站的用户名，过去五年的电邮地址和电话号码。根据去年的报道，这一要求每年将影响1470万人。部分外交官和官方签证申请者可以得到豁免。此前只有生活在恐怖组织控制地区的人需要额外的签证审查，新的规定覆盖了所有国家和地区。在社交媒体信息上撒谎的申请者将面临“严重后果”。[bbc]

在俄罗斯通过暗网黑市购买个人数据已变得非常容易

据报道，与俄罗斯黑客相关的数据泄露事件现在已引起全球关注，目前发现在俄罗斯国内购买护照和银行账户信息等个人数据是一件非常容易的事情。根据网络安全专家的说法，大量所谓的私人数据每天都在暗网黑市被出售。

俄罗斯男子Roman Ryabov曾在Beeline工作，这是俄罗斯最大的手机运营商之一。他曾与一位他以前从未见过的男子Andrei Bogodyuk接触过。Bogodyuk提出了一份商业提案，他希望Ryabov能够访问他认识的人的电话记录。当天晚些时候，Ryabov通过电子邮件向Bogoduk发送了一长串电话号码和日期，他因此获得了1000卢布。Ryabov还向Ryabov提供了另外两个手机号码的数据。但到那时Beeline已经发现了数据泄露并且已经联系了警方。两人被审判并分别被判处340小时和320小时的。[ cnbeta]

用户诉腾讯QQ浏览器违法收集个人隐私，法院：立即停止

日前，许先生收到了江西某法院的裁定书，法院裁定腾讯立即停止在“QQ浏览器”APP中获取用户微信以及QQ账号中的头像、性别、生日、地区等个人信息，以及好友信息的行为。

在一次使用中，许先生发现微信账号登录“QQ浏览器”之后，“QQ浏览器”在没有提示、告知的情况下，也未经许先生授权同意，就获取了许先生的微信好友关系，并展示在好友页面上。不仅如此，“QQ浏览器”还同步了许先生微信账号中的性别、地区等个人信息。许先生又使用QQ登录“QQ浏览器”，发现同样在没有被提示和告知的情况下，未经授权同意就被获取了他的QQ好友关系，以及性别、地区甚至生日信息。许先生对此表示不知情以及从未授权该浏览器手机个人信息，并且表示此举是公然窃取隐私。

此外，让许先生惊讶的是，QQ浏览器未提供任何方式来取消个人信息的授权，也找不到任何能够删除个人隐私信息的地方。于是许先生在江西某法院起诉了“QQ浏览器”APP运营方腾讯，并提起了行为保全申请（诉前禁令），要求腾讯立即停止侵犯其隐私权的行为，并立即停止在“QQ浏览器”App上使用原告的微信/QQ账号信息以及好友关系。最终，根据许先生的申请，法院裁定腾讯立即停止在“QQ浏览器”APP中获取用户微信账号中的头像、性别、生日、地区等个人信息，以及微信好友信息的行为。同时，法院裁定腾讯立即停止在“QQ浏览器”APP中获取用户QQ账号中的头像、性别、生日、地区等个人信息，以及QQ好友信息的行为。[ ifeng]