被辞程序员报复老东家获刑 4 年；央视曝光 App 禁止全部权限仍可获取用户信息

0、被辞后报复老东家，程序员编码给自己转账超 21 万

近日，经浙江杭州检察提起公诉，法院以盗窃罪、妨害公务罪判处马某有期徒刑四年二个月，并处罚金。报道称，马某通过自编的代码，向自己的微信秘密转账553笔，资金累计超过 21 万元。

据报道，马某今年 31 岁，是一名程序员。2018 年 8 月，他入职了杭州一家网络科技有限公司，担任软件技术专家，负责平台系统的开发和维护。

2020 年 1 月，马某被公司辞退，因对公司赔偿金额不满意，马某萌生了报复“老东家”的念头。

由于马某掌握着公司系统的源代码，包括公司的微信商户号的密钥和数字密码，他便利用这些信息编写了一段能给自己微信账户转账的代码，并设置成定时自动运行。截至案发时，他已秘密转账 553 笔，盗窃原公司 21 万余元。

今年 3 月 11 日，马某被抓获归案，马某自愿认罪认罚，并全数退赔该网络科技公司损失。检察官认为，马某以非法占有为目的，秘密窃取他人财物，数额巨大，其行为已触犯《中华人民共和国刑法》第二百六十四条之规定，构成盗窃罪。

1、CISA 发布 Apache Log4j 漏洞扫描器，以筛查易受攻击的应用实例

在 Log4shell 漏洞曝光之后，美国网络安全与基础设施局（CISA）一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补，国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是，CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器，以帮助各机构筛查易受攻击的 web 服务。

据悉，作为 CISA 快速行动小组与开源社区团队的一个衍生项目，log4j-scanner 能够对易受两个 Apache 远程代码执行漏洞影响的 Web 服务进行识别（分别是 CVE-2021-44228 和 CVE-2021-45046)。

这套扫描解决方案建立在类似的工具之上，包括由网络安全公司 FullHunt 开发的针对 CVE-2021-44228 漏洞的自动扫描框架。

2、Ruby 3.1.0发布 带来速度更快的实验性JIT编译器

Ruby 3.1在这个圣诞节发布了，它是这个编程语言的一个重要功能版本，在引入编译器大范围改进的同时保留了与Ruby 3.0的兼容性。Ruby 3.1中最令人激动的是"YJIT"，它是一个新的、实验性的进程中即时编译器（JIT）。

Ruby 3.1的新JIT编译器是由Spotify开发的，用于提高其Ruby on Rails应用程序的性能，YJIT非常有利于提高Rails现实世界的应用性能。

与Ruby现有的使用外部C编译器的MJIT编译器不同，YJIT利用了基本的区块版本控制，并在内部提供了一个JIT编译器。YJIT支持快速预热，对Railsbench的性能提升高达22%，对液体渲染测试的性能提升高达39%。不过需要注意的是，YJIT在Ruby 3.1中仍被认为是实验性的，默认情况下不启用。

Ruby 3.1还具有重写调试器、IRB自动完成支持、小语种语言改进、实验性IDE对TypeProf静态类型分析器的支持，以及对现有MJIT编译器的一些性能改进。

3、微软修改 MIT 项目原作者版权声明，自动化脚本背锅

MIT 是众多常见的许可协议中相对宽松的许可协议，其赋予软件「被许可人」更多的权利与更少的限制。其限制主要在于，「被许可人」需要在软件和软件的所有副本中包含「原作者」的著作权声明和该许可声明。

日前，微软 fork 一个基于 MIT 协议的开源项目后，将原作者的著作权声明修改为了微软自己，这一举动引发了争议。

微软 fork 的原项目是由开发者 LesnyRumcajs 所开发的 grpc_bench，这是一个比较各种 gRPC 库在不同编程语言和技术中的性能和资源使用情况的项目，该项目基于 MIT 许可协议。

正如第一张截图所显示，微软在 fork 后保留了原项目的 MIT 许可协议，但将原作者的著作权声明修改为了微软自己。这一行为引发了网友的讨论，有的向微软发出询问为何要这么做；有的向微软发动了“嘲讽技能”；还有人打算向微软“学习”，把微软所开发项目的著作权声明改成自己的名字。

目前微软已修复该问题，将著作权信息重新改回原作者。微软官方没有公开说明其中的原因，但项目原作者 LesnyRumcajs 透露，微软已通过邮件向他确认了该问题，并指出这是微软自动化脚本惹的祸。

4、央视曝光：App 禁止全部权限仍可获取用户信息

12 月 25 日消息，央视网快看报道，App 禁止全部权限仍可获取用户信息。

某移动应用程序安全检测实验室的负责人汤啸骅称，一些 App 在后台运行时可能就在偷偷窃取你的个人信息，他现场随机安装了一款 App，打开软件并禁止了所有权限，退出等待几分钟之后，检测系统有了惊奇的发现。

汤啸骅 手机安全工程师：“他（App）退到后台的时候，还有对于位置的一些访问信息和访问动作”。

此外，工程师还对另外一款 App 设置了在使用期间可用位置信息，但是在没有对手机进行任何操作的情况下，这个 App 依然在不断地获取用户位置信息，短短几分钟之内就多达 14 次。

据悉，目前 App 窃取个人隐私的方式，主要是通过获取位置以及通讯录和照片等权限，因此专家也建议，手机用户在使用手机的过程中，应该尽量最小化地赋予 App 权限。

综合整理：技术最前线（ID：TopITNews）

参考：程序员的那些事、开源中国、solidot、cnBeta、腾讯科技等

- EOF -

觉得这些资讯有帮助？请转发给更多人

推荐关注 技术最前线，看 IT 要闻

点赞和在看就是最大的支持❤️