-
-
[分享] [ 2019.4.3 ] 针对骚扰电话软件销售推广问题 北京通信管理局约谈搜索服务提供商 | 3月安全资讯
-
发表于: 2019-2-1 09:50
-
2019/4/3 周三
1、针对骚扰电话软件销售推广问题 北京通信管理局约谈搜索服务提供商
4月2日消息,据北京市通信管理局发布的消息,近日,北京市通信管理局针对互联网上发现的骚扰电话软件销售推广信息的问题,集中约谈了奇虎360、搜狗等搜索服务提供商。约谈中,北京管局指出,搜索服务提供商要认真履行社会责任,严格落实工业和信息化部等十三部门综合整治骚扰电话专项行动的相关要求,从源头上切断骚扰电话相关软件、设备的信息来源。
针对网络上依然存在的“喵池”、“改号APP”等骚扰电话软件、设备的变体词、关联词组等问题要进行全面清理排查,建立动态监测和屏蔽机制,对骚扰电话软件和设备信息要发现一起屏蔽一起。
三家搜索服务提供商表示,将严格贯彻落实工业和信息化部及北京管局的要求,深化骚扰电话源头治理工作,全面排查存在的问题,立即进行整改。
此外,北京管局将以首善标准持续深入推进综合整治骚扰电话专项行动工作。一是加强源头打击,通过管理和技术手段全面清理各类骚扰软件和设备的传播。二是充分利用科技创新手段,持续优化骚扰电话精准拦截能力,建立企业间骚扰电话黑名单共享机制,及时共享相关信息。三是督促基础电信企业加强通信资源管控。严格规范语音专线管理,严查利用透传技术虚拟主叫号码的违规行为,对未通过鉴权的呼叫一律拦截。
来源:TechWeb
2、网页被境外黑客入侵篡改未及时处置 中移铁通北京分公司被开罚单
千龙网北京4月2日讯 日前,北京市通信管理局开出的京信管罚字[2019]第01号行政处罚决定书显示,中移铁通有限公司北京分公司未全面履行法律义务,网站网页被境外黑客入侵篡改未及时处置,被处以一万元罚款,对直接负责的主管人员处五千元罚款。
《中华人民共和国网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《中华人民共和国网络安全法》第五十九条第一款则规定,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
来源:千龙网
3、因配置失误 超1.3万iSCSI存储集群已在线上暴露
iSCSI 是一种将工作站和服务器与数据存储设备相连的协议,通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网络附加存储(NAS)设备上找到。然而由于客户忘记启用身份验证,这种错误的配置导致超过 13000 个 iSCSI 存储集群向别有用心的网络犯罪分子敞开了大门。对于设备拥有者来说,这会让他们面临极大的数据安全风险。
(题图 via:ZDNet)
外媒 ZDNet 指出,iSCSI 全称为“互联网小型计算机系统接口”,该协议旨在操作系统查看远程存储设备,并与之交互。在实际体验上,它更像是一种本地组件,而不是基于 IP 的可访问系统。
作为现代计算机行业的核心组件,因 iSCSI 被软件认作是本地设备,所以其允许企业集中存储、甚至让虚拟机(VM)从远程硬盘启动、而不会破坏无法处理基于 IP 的网络存储路径的应用程序。
得益于这方面的特性,iSCSI 成为了许多数据复制解决方案的一个关键组成部分。通常情况下,这套系统中会包含敏感的数据,因此 iSCSI 也会支持各种身份验证措施,防止未经授权的设备访问。
iSCSI 设备所有者可以设置相应的措施,对访问其存储集群的用户进行管理,比如限制数据交互或创建新的存储驱动器。但与所有联网设备一样,总有一小部分会疏于这方面的配置,从而暴露了安全隐患。
此前,我们经常听闻路由器、数据库、网络服务器的泄露报告,只因一小部分设备所有者未能遵循最低限度的安全措施。在最新的案例中,竟有 1.3 万的 iSCSI 存储集群无需身份验证即可访问。
这意味着任何了解 iSCSI 存储系统基本详情的人们,都可以通过简单的教程(比如 YouTube 视频)来非法访问这些存储集群,导致数据中心内的大型磁盘阵列或办公室角落的小型 NAS 数据泄露。
周末的时候,渗透测试人员 A Shadow 向 ZDNet 通报了这个极其危险的配置错误。其在联网设备引擎 Shodan 上,轻松检索到了超过 13500 个 iSCSI 存储集群。
研究人员将本次 iSCSI 暴露描述为一种危险的后门,使得网络犯罪分子能够在企业网络中植入可感染文件的勒索软件、窃取数据、或将后门置于可能被激活的备份档案中。
在对一小部分暴露的 iSCSI 集群样本进行粗略的调查后,ZDNet 发现属于 YMCA 分支机构的 iSCSI 存储系统可被无密码访问,此外还有俄罗斯政府机构、以及来自世界各地的多所大学和研究机构。
从暴露的 IP 地址来看,也有许多群晖等 NAS 设备未妥善配置访问权限。尽管其 Web 控制面板受到了密码保护,但 iSCSI 端口仍有暴露的可能。
在经历了数天的分析后,A Shadow 指出,其中不少 iSCSI 集群属于私营企业,他们是网络犯罪集团的理想攻击目标。如果遭遇不测,勒索软件团伙可能向大型网站索取天价赎金。
2019/4/2 周二
1、让任天堂损失百万美元的黑客认罪,暂时不用蹲监
一款游戏的开发周期很长,很可能在正式发布前好几年就已经立项。这使得关于游戏的种种流言有了生存的土壤。在网上,我们经常能看见有人声称自己是内部人士,或者“黑进了游戏厂商的服务器”,知道了一些内幕消息。
这些所谓的“内幕消息”大部分都经不起推敲。真正的游戏开发相关人员一般会签署严格的保密协议,泄露机密要负法律责任,很少有人会冒这个风险。而“黑进厂商服务器”,更是想想都觉得无比困难。
不过无比困难,不代表做不到。去年,程序员赞密斯•克拉克就利用软件漏洞黑进了任天堂的开发服务器,拷贝走了大量未发布游戏的代码和素材,还顺便窃取了两千多个内部用户名和密码。根据任天堂的估计,克拉克的这次行动可能造成了企业上百万美元的损失。
说来好玩的是,克拉克本职工作是互联网安全专家,是一位所谓的“白帽子黑客”。他所供职的Malwarebytes,是一家相当有名气的信息安全企业。
黑客和白帽子黑客,本质就是硬币的两面。他们同样都会无所不用其极地探寻互联网上的各种安全漏洞,只不过黑客会将这些漏洞用来给自己牟利,而白帽子黑客的目的是帮助企业和软件开发者合作防止这些漏洞被利用而已。
克拉克的技术水平没什么可说的,但是作为一名白帽子黑客,他在发现漏洞之后的处理方式确实有些激进的地方。2015年,20岁的克拉克他就曾经利用教育玩具企业VTech软件的漏洞窃取了500万家长和20万儿童的个人信息。这是当时互联网史上第四大信息泄露案件。
白帽子们的通常做法是和企业合作解决漏洞,但是克拉克却选择直接大众公布自己的所做所为,甚至向媒体发送了一部分他的“成果”。按当时的情况,VTech完全有权起诉克拉克,但是这家公司最终选择放弃起诉,并且独自承担给用户的65万美元赔偿。
克拉克似乎没从这件事中吸取教许。2017年,他又黑进了微软的内部服务器。这次他做的更加过分,把自己的作案手法分享给了其他人,甚至还向微软的系统里上传了更多的病毒和木马。和VTech不同,微软没有选择放过克拉克,而是对他提起诉讼。
这没有阻止克拉克在黑客的道路上越走越远。在他还在候审期间,克拉克完成了黑进任天堂服务器的壮举,不过这次很快就被发现了,两案直接并作一案。
关于克拉克黑进微软和任天堂的案件进行了庭审,克拉克对自己的行为供认不讳,被判处15个月监禁,缓刑18个月,附带其他的一些限制条款。这其实是个很轻微的判决,法官对这个挺有才华的年轻人也表示可惜,希望他能够从这次事件中得到教训。
由于克拉克的律师声称克拉克有自闭症和“脸盲症”(面部识别能力缺乏症Prosopagnosia,一种医学承认的认知障碍),只要未来五年里面他不作出违法行为,实际上一天监狱都不用蹲。这五年应该足够他思考以后如何妥善处理在网上发现的安全漏洞了。
来源:游戏研究社
2、研究人员演示英特尔 VISA 漏洞
3、贝索斯的安全主管:“非常确定沙特入侵了他的手机”
据外媒The Verge报道,继美国八卦杂志《国家问询报》(National Enquirer)曝光亚马逊CEO杰夫·贝索斯和劳伦·桑切斯之间的私人短信及亲密照片后,贝索斯让其安全顾问找出这起泄密事件的幕后黑手。据美媒《The Daily Beast》报道,贝索斯的安全顾问Gavin De Becker 表示,他的调查人员团队“非常确定沙特入侵了贝索斯的手机”。
今年2月,贝索斯发布了一篇关于媒体的帖子,称《国家问询报》及其母公司AMI曾试图勒索并用他与桑切斯勒之间的私人短信与照片勒索他。此前美国总统特朗普曾多次攻击亚马逊及其首席执行官贝索斯和他所拥有的《华盛顿邮报》。特朗普将《华盛顿邮报》描述为“亚马逊一位昂贵的说客”,并包括涉及沙特阿拉伯的国际角度,据报道,沙特将贝索斯和《华盛顿邮报》视为一种威胁。
在贝索斯发表文章后,他指示De Becker弄清楚该小报是如何获得他的图像和短信的。随后有报道称桑切斯的哥哥迈克尔为出版物提供了短信,但其他理论已经出现:贝索斯遭到黑客攻击,情报机构将图像泄露给特朗普政府,或者是外国政府情报机构所为,如沙特阿拉伯或阿联酋。
De Becker在《The Daily Beast》的帖子中指出,细节表明迈克尔·桑切斯可能不是向该八卦杂志提供短信的人的来源:“很明显,初始信息来自其他渠道 - 另一个来源或方法。”
他接着说,他的调查结果非常确定沙特能够窃听贝索斯的手机,并从中获得私人信息。他表示他们已经将他们的调查结果转交给联邦官员。但是,他还指出,虽然他们认为沙特阿拉伯可能已经入侵过贝索斯的手机,但目前还不清楚他们是否将这些信息交给了AMI。
De Becker指出了《国家问询报》的历史以及与沙特的关系,并描绘了一个国家正在使用AMI及其出版物向其视为威胁的对象施加压力,如贝索斯和《华盛顿邮报》。
贝索斯在其帖子中曾提到沙特阿拉伯,称AMI因“他们代表沙特政府采取的各种行动”而受到调查,指出《华盛顿邮报》对贾马尔·卡尔佐吉谋杀案的报道,以及“沙特角度似乎是一个特别敏感的神经。”AMI 此后发表声明,否认沙特阿拉伯参与其中。
2019/4/1周一
1、微软已正式废止 WoSign / StartCom 品牌根证书
2019年3月5日,微软发布最新一期Microsoft Trusted Root Certificate Program,宣布正式废止2张StartCom品牌和4张WoSign品牌根证书,距微软宣布“在Windows 10中移除沃通和StartCom两大证书签发机构”已过去18个月。
至此,曾受信于微软的2张StartCom、5张WoSign根证书已全体废止(WoSign旗下另一根证书WoSign 1999早已废止)。
其他说明:
1、微软宣布废止WoSign品牌根证书,和该根证书被吊销略有差异,2019年3月前已用该根证书签发的终端用户代码签名证书签名且加签时间戳的,数字签名仍有效;
2、沃通旗下经由Certum / DigiCert等CA机构签发的WoSign、WoTrus证书不受本次更新影响。
来源:cnBeta.COM
2、美国女子因频繁受骚扰电话获赔45.9万美金
你在生活中备受骚扰电话困扰吗?家住在美国田纳西州的一位Davis女士也是如此,不过那家频繁用自动电话呼叫装置骚扰这位女性的公司却因此付出了代价。在不堪骚扰电话困扰的Davis向主管部门投诉之后,仲裁机构认定被告公司违反了电话消费者保护法案,因此必须在从3月25日起的30天内向这位女士赔偿45.9万美金。
一切事情起于2015年9月,Davis在家私连锁店Conn's的孟菲斯分店预定了一些家私,并且准备以每月月结的形式分期付清款项。根据合约,Davis必须在每月5日缴清当月款项,不过Conn's的业务员在签订购买合约的时候额外给了Davis每个月10天的宽限期,也就是只要在每月15日之前付清即不算违约。
然而Davis的日子并没有这么美好,因为在每个月这10天的宽限期中,家私经销商一直使用一套自动拨号系统打电话催款。在2017年3月Davis要求家私经销商停止这种做法,然而该经销商在这之后还是给她打了306通电话,最高峰期达到每日十余次。
仲裁员指出,本案中的关键在于这个家私经销商使用了自动拨号机器。如果这些催收电话是由家私公司的业务员人工拨出,那么就不会违反电话消费者保护法案。
目前经销商Conn's已经对这一裁决提起上诉,不过Davis的代理律师Kerney表示对后续的案件处理发展“非常有信心”。
3、芬兰两所监狱内服刑人员尝试新型劳役:训练AI算法
“狱中劳役”通常与体力活动相关,但是芬兰两所监狱内的服刑人员却在尝试一种新型劳役:归类数据,从而训练一家初创企业的人工智能算法。尽管这家初创企业Vainu认为这种合作形式是一种传授有价值技能的劳役改革,但是不少专家认为这种做法剥削了服刑人员的劳动力,因为囚犯的薪资待遇都非常低。
Vainu的联合创始人托马斯·莱斯利(Tuomas Rasila)表示,公司正在全球范围内建立一个综合性数据库,帮助企业找到承包商。为此,人们需要从互联网上阅读成千上万篇商业文章并进行标记,比如说一篇文章是关于Apple科技公司还是仅仅只是一家名字含有“Apple”的水果公司。(这些被标记的数据便会被用于训练管理数据库的算法。)
Vainu与监狱达成合作已有三个月时间。目前合作的两所监狱分别位于赫尔辛基以及图尔库。Vainu向这些监狱运送了10台电脑,并将根据服刑人员完成任务的情况向刑事制裁机构(Criminal Sanctions Agency)支付费用。尽管这笔费用与亚马逊劳务众包平台“Amazon Mechanical Turk”上完成任务支付的金额差不多,但是刑事制裁机构需要弄清楚服刑人员到底能够拿到多少钱并且挑选出能完成数据分类的囚犯。
莱斯利表示,机构的官员很乐于开展合作,尤其是这些新的岗位只需要一台笔记本电脑就够了。“这没有任何暴力风险。”他说道,“目前只有不到100名服刑人员参与这项工作,每天工作时间为几个小时。”(CSA的代表尚未回应置评请求。)
加利福尼亚大学圣地亚哥分校的通信学教授莉莉·伊朗(Lilly Irani)表示,这类工作在其他国家的需求也特别高。她表示,算法需要在特定文化下进行训练,大多数Mechanical Turk平台上的工人都是居住在美国境内的。
尽管莱斯利认为这种技能也许适用于未来,但他也承认这些任务都是“零学习曲线”,只需要识字即可,这就不免让人开始质疑该技能的用处。加州大学洛杉矶分校的信息科学教授萨拉·罗伯特(Sarah T. Roberts)表示,“这种类型的工作往往只是死记硬背、技术含量低的重复性工作”,且不需要具备任何高水平的技能。
2019/3/29周五
1、GeForce Experience曝出高危漏洞:NVIDIA紧急发布更新
GeForce Experience是NVIDIA的驱动程序自动更新工具,当然,如今的它在保留这项核心特性的同时,还加入了游戏优化、录制游戏视频、捕捉游戏画面、添加游戏滤镜等个性化功能点。然而,来自安全研究机构Rhino Security实验室的David Yesland却发现了藏身于GFE中的漏洞,识别码CVE‑2019‑5674,可被别有用心人进行代码注入或者DDos攻击。
NVIDIA已经在3月19日上线v3.18.0.94版本的GFE,用以解决该漏洞。NVIDIA尤其强调,3.18版本之前的软件只能通过升级进行修复,强烈建议用户更新迭代。
当然,v3.18本身也有一些新东西,包括支持200多款游戏的Freestyle Game Filter滤镜功能(Alt+F3开启)、Ansel RTX显卡360度截图功能(Alt+F2开启),最高8K分辨率。
2、研究:同性社交App热拉数据泄露 涉及530万用户信息
新浪科技讯 北京时间3月28日午间消息,据美国科技媒体TechCrunch报道,热门同性交友应用热拉(Rela)近日被披露,由于服务器未受密码保护,应用数据库泄露,涉及530万用户的个人资料及隐私数据遭到泄露。
GDI Foundation的安全研究员维克特·盖维斯(Victor Gevers)告诉TechCrunch,他在本周发现,该应用的包含530万用户资料的数据库被泄露。
盖维斯发现,该数据库自2018年6月就已被泄露。每条记录包括用户昵称、出生日期、身高和体重、民族、以及性取向和爱好。若用户授权,记录还包括用户的精确地理位置。数据库另外还包含2000多万条状态更新,其中也包含隐私数据。
2017年5月,热拉曾从应用商店下架。但一年后,热拉又重回应用商店,根据应用描述,回归的热拉换了一个云服务供应商。
“这五百多万的LGBTQ+人群面临诸多社会挑战,”盖维斯说,“这次的数据泄露已存在较长时间,对那些隐私遭到泄露的人造成的伤害更加严重。”
在一份简短的回应中,该公司发言人证实,数据库目前已经得到保护。
来源:新浪科技
3、微软申诉并成功控制涉及伊朗黑客攻击活动的域名
为了控制伊朗黑客组织使用的域名,微软向美国法院申诉并赢得了限制令,以控制黑客组织(被称为Phosphorus或APT 35)使用的99个网站,这些网站据信被用于各种黑客攻击。微软消费者安全主管Tom Burt在一篇博客文章中表示,法院本月早些时候批准了这项提议。
详细:https://zh.scribd.com/document/403358812/2019-03-15-ECF-No-11-TRO-and-Order-to-Show-Cause-Re-PI-executed-Microsoft-v-Does-19-cv-00716-ABJ-pdf#from_embed
法院下达的限制令允许微软从注册商处控制域名并在自己的服务器上托管,包括“outlook-verify.net”和“yahoo-verify.net”,并将恶意流量安全地重定向到微软的服务器。
“在跟踪Phosphorus的整个过程中,我们与包括雅虎在内的许多其他科技公司密切合作,共享威胁信息并共同阻止攻击,”Burt说。
该黑客组织被认为与前美国空军反情报官Monica Witt有关,后者于2013年叛逃到德黑兰,现在因涉嫌从事间谍活动被联邦调查局通缉,这些黑客的目标通常是学术界和记者,他们的钓鱼页面看起来像雅虎和谷歌登录页面,且可以打败双因素身份验证。
这是微软针对黑客组织采取的最新法律诉讼。去年,该公司提起了针对Strontium的诉讼,称为APT 28或“Fancy Bear” - 与俄罗斯国家情报机构GRU有关。
2019/3/28周四
1、暗网市场Dream Market将于下月底关闭
暗网市场 Dream Market 发表声明宣布将于 4 月 30 日关闭。同一天,欧洲刑警组织、FBI 和美国缉毒署宣布对暗网毒品走私展开大规模打击,执行了数十次逮捕。
Dream Market 是目前最大的暗网市场之一,它宣布关闭的时机在用户中间引发了怀疑:即 Dream Market 可能早就被执法机关扣押了,目前只是把它作为蜜罐运营。
这种情况有过先例,2017 年荷兰警方接管了暗网市场 Hansa Market,然后继续运行了一个月去收集其用户的证据,执法机构还利用收集到的用户密码去访问用户在其它暗网市场的账号。
来源:solidot.org
2、深航App劫持微信 深航表示不会造成用户数据泄露
深航App劫持微信
原标题:多款App点分享至微信会跳深圳航空App?微信:被劫持
3月26日,有数位苹果用户向澎湃新闻记者反映 ,在自己手机中大量App内,点击“分享到微信”链接或拉起“微信支付”时,会自动跳转到“深圳航空”App。
这些用户此前都安装了“深圳航空”App。
在“虎扑”、“国务院”、“网易云音乐”、“澎湃新闻”等大量App中试图拉起微信时,都会发生问题。而卸载“深圳航空”App后,则恢复正常。
对此,腾讯微信团队向澎湃新闻记者回应称,这是由于深航App“劫持”了微信跳转,微信已和对方沟通处理,近期深航将发版修复。
深圳航空方面表示,目前已经修复这一问题,不会造成用户数据泄露。
点击“分享到微信”,却跳转到“深圳航空”App。这不是第一次iOS系统用户发现手机App跳转被劫持。
2018年5月,有苹果iPhone用户反馈,如果在支付宝内尝试打开淘宝App,会自动跳转到另外一个App,仿佛被“劫持”了一样。
经过支付宝和淘宝技术团队排查发现,这个App使用了和淘宝同样的URL Scheme(类似URL网址),从而干扰iOS系统判断,出现跳转错误。
支付宝表示,只有安装了这个App的iPhone手机才会出现这一跳转错误问题,安卓不受影响。
用户可以手动关闭这个被打开的App,将其卸载,就能恢复正常。
当时技术专家表示,这一问题的根源在于苹果iOS系统不完善,允许不同的APP设置同一个URL Scheme,事实上很多APP都曾受到困扰。
不过,微信此次被劫持情况与淘宝被劫持的情况不太一样,这次所有App拉起微信时都会遇到劫持问题,之前只是在支付宝内拉起淘宝会遇到这一问题。
截至发稿,微信团队尚未发布进一步的技术细节解释。
来源:澎湃新网网
3、Firefox Lockbox来到Android平台以减轻用户管理密码的痛苦
Mozilla今天为Android用户带来一款密码管理软件Firefox Lockbox,以减轻Android用户的密码管理痛苦。这个密码管理器基于Firefox中已有的登录信息,可以更轻松地登录应用程序。 Mozilla表示,它与苹果iOS和谷歌Android软件中的登录自动完成系统集成在一起。
它不像密码管理器(如lastpass、bitwarden、1password和dashlane)那样花哨,它唯一能使用的浏览器是Firefox。另一方面,如果用户已经使用Firefox浏览器,它基本上已经为用户设置好了,没有像使用专用密码管理器那样的迁移过程。
不过,Firefox Lockbox缺少一些更高级但非常有用的密码管理器功能,比如生成安全的新密码以及在注册新网站时提供保存用户名和密码的功能。
对此,Mozilla表示,这次发布是为了改善用户的登录体验,为Firefox用户带来了额外的价值,Mozilla正在探索未来功能,以及可能与Firefox用户产生共鸣的方式。
2019/3/27周三
1、微软洪小文:对用户来说,方便和隐私互相冲突
博鳌亚洲论坛2019年年会今日于海南博鳌举办,会议期间,微软全球资深副总裁兼微软亚洲研究院院长洪小文接受采访时谈及5G带来的新趋势,他表示,“5G让带宽变得很宽,所以我觉得跟视频、媒体有关的更多可以进行实时、高清的传输,速度变得很快以后,能够做更多实时的东西,可能往这个方向想大概都可以做。”
对于数据隐私,洪小文表示,“互联网企业产生一个新的东西,不管是社交,不管是搜索引擎,他这么好的服务都是免费的,他为什么可以支撑免费?他就是要做广告嘛!所以我觉得这是他的商业模式造成的,对用户来说,方便和隐私之间是互相冲突的。”
“比如说,加入每个App都知道你的兴趣爱好,你就不用每个App都去设置。假设现在的App提供两种服务,一种是免费的,但会附加广告;另外一种是付费的,然后保证数据不会拿来用。”洪小文猜测,大部分用户会选择免费。
他认为,没有一个公司天生喜欢作恶,一个公司花了那么多人力物力做了这么好的服务,那他一定要从其他地方赚回来。“这些对于一般的老百姓来说,都是可以接受的”。
“关键的是,商家会不会把数据用在我没有预期的地方,所以怎么样才能避免那种意外?”洪小文建议,公司和客户之间应该是合约,商家会拿用户的数据去做什么,不能做什么,这些都应该体现在合同上面,商家要严格遵守合同,以免造成一些意外。
谈及未来,洪小文认为这种情况可能慢慢会变,“因为一个人的经济情况变好了以后,会更重视自己的隐私。这时候,这些人会更愿意付钱嘛,所以有可能会变化,但那也是自愿的嘛”。
对于数据保护,洪小文表示,GDPR《通用数据保护条例》在全世界可以算是比较领先的,这其中基本的因素,从保护用户的角度,叫做“forgettable(忘记)”。他举例表示,“用户今天用的这家互联网,哪一天用户不想用了,那该公司必须要把关于用户的数据清光,这叫忘记。”
具体落地上,洪小文拿微软为例称,欧洲出台GDPR,微软就把所有软件全部翻新一遍,整个过程需要花费很大的人力和时间,成本也高,但是这个过程也是必须的。“用户今后不用,公司就把用户的数据内容清光,我觉得这是个起始点。”
2、华硕回应Live Update软件漏洞:仅数百台受到影响
来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机,向100多万华硕电脑用户发送了恶意软件,导致这些电脑可能存在后门。据台湾地区媒体《中时电子报》报道,华硕今天下午表示,此事件已在华硕的管理及监控之中。
华硕称,媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。
华硕表示,Live Update为华硕笔记本电脑搭载的自动更新软件,部份机型搭载的版本遭黑客植入恶意程序后,上传至档案服务器(download server),企图对少数特定对象发动攻击,华硕已主动联系此部份用户提供产品检测及软件更新服务,并由客服专员协助客户解决问题,并持续追踪处理,确保产品使用无虞。
针对此次攻击,华硕已对Live Update软体升级了全新的多重验证机制,对于软体更新及传递路径各种可能的漏洞,强化端对端的密钥加密机制,同时更新服务器端与用户端的软件架构,确保这样的入侵事件不会再发生。
3、无卡号+动态码:Apple Card将使信用卡盗刷变得更加艰难
在 3 月 25 日的春季发布会上,苹果隆重推出了一项名叫“Apple Card”的支付功能。其内置于 iPhone 的钱包应用,宣称能够帮助客户实现“更加健康”的消费方式。苹果希望 Apple Card 能够取代传统的信用卡,并且为每笔消费提供返点(Daily Cash)。当然,它的最大卖点,还是在于一系列的安全与隐私特性。
Apple Card 服务将于今年夏末在美上市(图 via:TheVerge)
与传统的信用卡发行商不同,Apple Card 不会向第三方机构透露客户的消费地点、购物明细、支付金额等细节。
在卡面上,你看不到卡号和 CVV 码,取而代之的是一次性的动态安全码。对于别有用心的灰色产业者来说,这使得他们几乎不可能盗刷 Apple Card 信用卡。
假使有人通过狡猾的手段,比如在 ATM 机上克隆了你的卡片,那背部的三位验证码(CVV),通常是阻止盗刷的最后一道防线。
此前,黑客多通过网络钓鱼的方式窃取。但是动态的随机验证码,无疑将攻击者的盗刷难度,提升到了一个全新的层级。
其实早在几年前,Oberthur Technologies 就展示了 Motion Code 的动态信用卡卡号概念。
其内置了一个小显示屏,可能在卡背面声称一串随机的号码。然而它的缺点是,若是有人偷走了你的实体卡,这样的功能也就形同虚设了。
从那时起,其它信用卡机构 —— 包括与苹果合作的 MasterCard 组织 —— 纷纷致力于整合生物识别功能的解决方案。
通过在卡上启用指纹传感器,盗刷将成为过去式。然而对于当前占多数的线上盗刷形式,它还是无计可施。
好消息是,Apple Card 将这两套方案无缝结合到了一起 —— 一款带有动态安全码、甚至没有卡号的虚拟信用卡,并且受到 Touch ID 或 Face ID 生物识别机制的保护。
现在,如果有人想要盗刷你的 Apple Card 信用卡,就必须偷得你的手机,以及脸部或指纹特征。但是显然,这样的情况难于登天。
最后,与其它敏感数据一样(比如健康、财务和生物识别数据),Apple Card 会将任何银行 / 信用卡数据,都存储在设备上专门的安全存储芯片上(称作安全区)。
来源:cnBeta.COM
2019/3/26周二
1、ISO发布旨在加强数据保护的信息安全控制评估国际标准
软件攻击、知识产权窃取、信息破坏等诸多信息安全风险会带来严重后果,而这些风险只是许多组织所面临问题的冰山一隅。大多数组织都已经制定了控制措施来保护数据安全,但我们如何能够确保这些控制措施足够有效?ISO刚刚发布的关于安全控制措施评估国际标准可以提供帮助。
对于任何组织而言,信息都是其最为宝贵的资产之一,数据泄露可能会使公司蒙受巨大的业务损失,挽回损失也将付出巨大的代价。因此,必须加强现有的控制措施,以保护数据安全,同时定期进行数据监控,以应对不断变化的风险。
ISO/IEC TS 27008 信息技术-安全技术-信息安全控制评估指南是由ISO 和国际电工委员会(IEC)共同制定,旨在为现有控制措施提供了评估指南,以确保他们发挥应有作用、有力并高效,且契合公司目标。
这项新近修订的技术规范(TS),旨在与ISO/IEC 27000(概述和词汇)、ISO/IEC 27001(要求)和 ISO/IEC 27002(信息安全控制规程)等其他关于信息安全管理标准的新版本。这些补充标准均在更新的技术规范中得到引用。
制定这项标准的工作组负责人爱德华·汉弗莱斯(Edward Humphreys)表示,ISO/IEC 27001标准将帮助各组织评估和审查相应的控制措施, 通过实施ISO/IEC TS 27008 将有助于这些措施的评估与审核。
Edward Humphreys教授表示:“在当今世界,网络攻击不仅更加频繁,而且越来越难以检测和预防。应该对现有安全控制措施进行定期评估和审核,使之成为组织业务流程的一个重要方面。”
“ISO/IEC TS 27008 有助于增进组织自信,确保其控制措施的有效性、充分性和适当性,降低组织面临的信息风险。”
ISO/IEC TS 27008 有益于所有类型和规模的组织,无论是公立组织、私立组织亦或非营利组织,皆可获益。该项标准是对ISO/IEC 27001 中所定义的信息安全管理体系的补充。
该项标准是由 ISO/IEC JTC 1 信息安全技术委员会的SC 27 IT安全技术分技术委员会制定,其秘书处是由ISO的德国成员 DIN承担 。
2、
2019年最强黑客候选人:家里没钱买电脑 手机编10万代码
原标题:恶意篡改短视频App还在网上“炫技”
去年11月,武汉网警在网上公开巡查时发现,有人恶意篡改短视频App软件,并在网络论坛传播。网警当即将此消息反馈给开发这款软件的科技公司。该公司技术人员分析发现,这种篡改会导致核心数据丢失,尤其严重的是,篡改后的软件极易被不法分子利用,将境外一些暴力、色情等视频传入境内。
网安支队迅速会同武昌区公安分局成立专班展开侦查工作。他们通过分析篡改软件,比对相关信息,查明篡改软件的犯罪嫌疑人竟是不到20岁的辽宁青年郭某某。郭某某通过修软件代码并重新打包,使普通用户可突破安全机制随意浏览不良信息。根据该公司后台数据显示,已有40余万人次使用了该篡改软件,在使公司利益受损的同时,也形成很大的网络安全隐患。今年3月8日,工作专班赶赴辽宁本溪,将郭某某抓获归案。
经审查,郭某某交代了全部作案过程。他是一所大专学校就读的在校生,所学并非计算机专业。自高二起就对计算机编程产生浓厚兴趣的他,由于家里没有经济条件买电脑,竟用手机编代码10万条。他篡改这款短视频的初衷并非为谋利,只为“炫技”。
他将篡改后的“版本”连同篡改的技术细节在网络论坛上分享给网友们,一时间数万粉丝称之为“大神”。大受“鼓舞”的他又进一步篡改软件,并将其分为“免费版”“收费版”两个版本,并获利3000余元。
办案民警介绍,社交能力较差,还有点结巴的郭某某,兼职写代码、送外卖补贴家用。今年1月初,他发现经过篡改的软件的扩散已经不受控制,有些害怕,遂停止了更新。
3、盗30万条个人信息叫价1比特币 “网偷”被警方抓获
暴力破解汽车金融服务平台后台管理权限,盗取大量数据放至“暗网”叫卖;篡改短视频软件,破坏系统安全防护机制,还在网上“炫技”,24日,武汉警方通报上述两起案例,嫌疑人均被收入法网。去年11月,一篇微信公众号信息引起人们关注,“‘暗网’上有人挂售某网站30余万条用户资料信息,叫价1个比特币”这个涉事网站负责人获此消息,焦急万分,匆匆到江汉区公安分局报警。
在互联网上,暗网犹如沉入水中的冰山,追查暗网信息的幕后黑手,相比一般的网上追踪困难得多。这名作案的黑客还声称,他不仅攻克了数据库,还拿到了包括服务器在内的全部权限,并晒出网站管理后台信息。
武汉市公安局网安支队迅速介入调查。经查,这家网站后台管理权限已被盗取,被偷走的客户信息包括身份证、手机号、银行卡、家庭住址、工作单位、贷款情况等,在暗网上的售价是1个比特币(时值3.5万元)。
网安支队会同江汉区分局组织专案组立案侦查。专案组民警最终查明这只幕后黑手,指向四川省成都市双流区华阳镇的一个青年男子吴某。今年1月22日,专案组在成都警方的配合下,将吴某抓获归案。
年仅22岁的吴某交代,他利用一个软件以暴力破解手段入侵受侵网站后台。他找到服务器的用户注册信息,盗取这家网站大批量、多维度的用户数据,共计30余万条。因为不了解“暗网”相关技术,他还曾向一网友交180元学费。
他没有想到,两个月时间,武汉警方就追查并抓捕了他。目前,武汉警方正进一步围绕吴某贩卖的公民个人信息流向,深挖案件线索,追查犯罪链条、犯罪团伙。
4、立陶宛男子承认从 Facebook 和 Google 骗走一亿多美元
立陶宛公民 Evaldas Rimasauskas 承认制定骗局从 Facebook 和 Google 骗走一亿多美元,其中 Google 2300 万美元,Facebook 9900 万美元。他被控于 2013 年到 2015 年之间在拉脱维亚注册了一家公司,名字与另一家合法的亚洲计算机硬件制造商非常相似,Facebook 和 Google 与这家制造商有合作关系,定期向其汇款。
Rimasauskas 的骗局向目标公司的雇员发送电子邮件,诱骗其向他控制的不同银行账号转账。
他于 2017 年遭到起诉,骗取的大部分钱已经追回。
2019/3/21周四
1、FBI取缔DDoS服务网站之后 此类攻击规模降低85%
美国联邦调查局(FBI)在去年12月份关闭了15家全球最大的分布式拒绝服务网站,导致全球DDoS网络攻击规模降低了85%。Nexusguard(一家减轻DDoS攻击的网络安全公司)今天发布报告称,在去年12月20日FBI的DDoS专项打击活动中,查处了大量以“压力测试”为幌子出售高带宽互联网攻击服务的网站,有效遏制了这种攻击行为。
这些DDoS-for-hire网站中最出名的就是Lizard Stresser,这是由Lizard Squad(曾在2014年圣诞节对Xbox Live和PlayStation网络发起攻击的黑客组织)提供的犯罪服务。Nexusguard表示,以Stressers为代表的网站允许用户付费购买从而对特定服务发起如海啸般的网络攻击,并使其宕机一段时间。
这些攻击服务往往会利用互联网设备(例如互联网摄像头、无线路由器、智能产品甚至是云服务)中发现的漏洞,使用机器人来生成无用的网络流量来攻击服务和网站。根据卡巴斯基实验室最新的一份报告,DDoS网络每次可以使中小型企业损失12.3万美元,而针对大型企业组织的效果往往不是很明显,但是每次攻击的平均费用超过230万美元。
Nexusguard的研究表明,在FBI取缔了这些非法网站之后DDoS网络攻击规模下降了24%。该公司还认为FBI取缔的这15家服务网站占全球DDoS攻击服务的11%的。Nexusguard首席技术官Juniman Kasman表示:“成功缴获command-and-control服务器、引导程序和其他资源一直是FBI打击网络最烦的重要组成部分,但是这种打击行为依然只触及了表面。”
来源:cnBeta.COM
2、微软升级病毒库导致Windows 7/8.1端Defender无法正常工作
根据多家外媒报道,在安装微软本周早些时候发布的病毒库之后,Windows 7/8.1端的Security Essentials和Windows Defender无法正常工作。从初步掌握的情况来看,部分用户升级病毒库至v1.289.1521.0之后导致实时保护功能处于关闭状态,而且诸多安全应用发出警告称病毒库已经过期。
在部分受影响设备上运行手动扫描之后会跳出“error 0x800106ba”,而且Microsoft Security Essentials和Windows Defender都无法检测并删除Windows设备上的恶意软件。根据ZDNet的 Mary Jo Foley报道,Windows 10系统不受影响,运行该版本病毒库的Windows Defender能够正常运行。
在今天早些时候提供的声明中,微软承认确实存在这个问题,表示即将会推出更新修复这个问题。尽管部分用户反馈Windows 8.1也存在这个问题,但是微软表示目前只有Windows 7和Windows Server 2008受到影响。一位微软公司发言人表示:“我们已经部分解决了这个问题,目前受影响的系统只有Windows 7和Windows Server 2008。”
来源:cnBeta.COM
3、儿童隐私贩卖成数据泄露新趋势
近期,在暗网上出现了一波涉及3-20岁未成年人的信息数据贩卖,具体来说是1998年到2015年出生的儿童的就诊记录,贩卖者声称他们收集的数据来自医院。
数据泄露新趋势——儿童隐私贩卖
谈到数据泄露,我们本能就会联想到这些事情发生在成年人身上。从客户、消费者、员工到管理人员,似乎与儿童无关。
不幸的是,事实并非如此。大量的儿童数据泄露同样存在,并且可能产生更严重的后果。
智能设备涉嫌侵犯儿童隐私
当今社会,父母都会给孩子购买智能玩具、智能手表、智能手机等智能设备,而各种针对孩子们推出的APP也是层出不穷。
2018年3月,苹果官方披露App Store 中上架的教育类应用数量已达 20 万个。而据移动互联网大数据公司QuestMobile发布的《在线教育行业洞察报告》显示,教育类App的月活跃用户数已经突破2.2亿。
这些智能设备和教育应用真的安全吗?
国际计算机科学研究所近期的一份研究报告指出,市面上大量安卓手机应用涉嫌违反《儿童在线隐私保护法案》(COPPA)。研究人员通过自动化工具对五千款针对儿童开发的应用进行分析,发现其中三千多款存在违规采集儿童隐私数据的情况。
而在苹果手机中,儿童数据信息泄露问题同样不可小觑。
2018年5月,一款名为TeenSafe的App被曝光存在儿童信息数据泄露。据了解,该平台将孩子的数据放在两台亚马逊服务器上,涉及几千个帐户,却没有好好保护起来。其中一台保存孩子的Apple ID邮箱地址、密码以及孩子父母的邮箱地址,入侵者用另一台设备登录查看孩子iCloud数据非常容易。
儿童数据泄露事件盘点
儿童数据泄露事件并非个例,近几年已经发生很多影响严重的有关儿童信息的泄露事件,我们盘点一下:
2017年1月,联网玩具 CloudPets 的生产商 Spiral Toys遭遇数据泄漏事件,泄漏了超过 2 百万儿童及其父母的语音信息,以及超过 80 万电子邮件和密码。
2017年5月,华尔街时报报道,德国在全国范围内强制下架一款有智能对话功能的玩具娃娃Cayla,称其会成为安插在孩子房间里的窃听器,有严重安全隐患。亚马逊表示,已经将一款智能玩具CloudPets从其平台上下架,随后沃尔玛和Target也停止了销售这款玩具。
2017年11月,挪威消费者委员会(NCC)和安全公司Mnemonic最近在BoingBoing上发表的最新研究报告指出,通过对 Gator 2、GPS 、Tinitell、Viksfjord 和 Xplora 等多家在欧洲出售的智能手表厂商进行了测试,结果发现大部分智能手表存在安全漏洞,黑客可以跟踪、偷听佩戴者,甚至可以与佩戴者进行交流。
2018年9月,有报道称儿童安全应用MSpy发生数据泄露,过百万被监控人信息遭曝光。MSpy 是一款帮助父母对孩子或合作伙伴的电话实施监控的软件,官方声称已有一百万付费用户选择了MSpy。此次泄露的数百万条在线敏感记录,具体包括密码、通话记录、短信、联系人、笔记和位置数据等。
儿童信息数据保护现状
相关数据显示,国内教育类APP总量超过7万个,约占全国APP市场份额的10%,这类软件不但可能窃取用户隐私,而其附带的追踪用户位置功能可能会对儿童的人身安全带来更多威胁。
针对儿童信息数据保护,欧洲 GDPR(通用数据保护条例)可能对我们有借鉴作用。
GDPR 对未成年人的数据保护有特殊要求,它规定企业和组织必须取得父母的同意,才能处理 16 岁以下儿童的个人数据,这意味着,未来取得儿童的数据将变得更为困难,而父母作为监护人也将承担更大的责任。
如何有效保护未成年人数据隐私,这是一个全球共同面临的大课题。
2019/3/20周三
1、中国计划投资数十亿美元重夺最快超算的称号
2、39% 的反恐精英 1.6 服务器是恶意的
3、Mirai 出现了新的变种方
2019/3/19周二
1、18岁日本少年被控窃取13万美元数字货币
一名 18 岁日本少年被控窃取了价值 13 万美元的数字货币。日本警方称这是第一次有人因为数字货币相关的黑客案件面临刑事指控。去年 8 月 14 日到 9 月 1 日期间,这名少年利用礼品卡功能漏洞重复给自己充值,从萌奈币钱包服务 Monappy 的 7735 用户账号窃取了 93078.7316 个萌奈币。
他使用了智能手机和 Tor 尝试隐藏身份,但未能成功,警方通过分析 Monappy 提供的服务器日志识别了他的身份。他声称就好象玩电玩发现了一个没人知道的技巧。
来源:solidot.org
2、Chrome Canary更新:让网站更难以追踪用户行为
在丰富的浏览器 API 的加持下,网站可以实现许多近乎应用程序的功能,但这也意味着有更多地方法去监视用户。比如几年前发现的一种方法,就可以通过分析加速度计的数据(通过 JavaScript API 实现),来检测某些未明确告知网站的隐私信息。与地理位置信息类似,运动信息可以识别用户是否在静坐、行走、或搭乘交通工具。结合模式识别算法,甚至能够了解用户独特的行走步态。
早在 2016 年的开创性研究论文中,伊利诺伊大学的研究人员就已经指出:
现代智能手机包含的各种运动传感器,例如加速度计和陀螺仪,可能具有很多潜在的应用。此外,我们可以通过测量信号中的一些异常,来识别特定的通话。
基于此,网页发布者可以与广告商合谋,将之用于跨应用程序和网站的服务,来追踪它们的访客,比如我们可以创建一种高精度的‘行为指纹’识别机制。
假设结合多个运动传感器,且利用听不见的音频刺激来改善检测的结果。我们可以在实验室和公共环境下,通过大量智能机的测试,来评估这种方法的可行性。
万幸的是,作为 Chrome 浏览器的开发商,谷歌正在努力应对这样的隐私威胁 —— 让用户选择是否阻止网站访问设备上的陀螺仪、加速度计、光传感器的数据。
这项功能已经向最新版本的 Chrome Canary 推送,预计可在未来几月引入 Chrome 75 稳定版。
即便默认会允许网站会设备传感器的访问,但新版 Chrome 会在地址栏右侧显示一个图标。
注重隐私的用户,可以逐个设置是否屏蔽,或者直接在设置选项里屏蔽运动或光线传感器。
来源:cnBeta.COM
3、微软修复了Windows 10 1809中的一个网络服务bug 升级屏蔽已解除
外媒报道称,微软刚刚解决了一个困扰 Windows 10 1809(又称 2018 十月更新)用户的重大 bug,此前针对这部分受影响设备的升级屏蔽措施已经被解除。该公司称,他们在 KB4482887 累积更新中,修复了与 F5 等虚拟专用网客户端的兼容性问题,使用该软件的 Windows 10 用户,现在终于可以获取到 2018 十月更新了。
(截图来自:F5 Networks 官网)
在 2018 年末的时候,微软嘴上不大愿意承认这个影响 Windows 10 1809 和 Windows Server 2019 / 1809 的问题。但为了避免出现其它不可预料的问题,软件巨头还是暂时屏蔽了这部分设备的 1809 更新。
微软解释称,在更新到 Window 10 Verizon 1809 之后,当服务启用了拆分隧道配置时,F5 虚拟专用网客户端可能会失去网络连接。现在,该问题已在 KB4482887 中得到解决,原先的升级屏蔽措施也已被解除。
在继续推送 Windows 10 Version 1809 更新的同时,微软还在积极酝酿 19H1 分支的“2019 四月更新”,预计在今年 4 月份正式向全球 Windows 10 用户开启分批次推送。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/18周一
1、Facebook指控比基尼照片应用开发商泄露其机密文件
Facebook指控一家公司泄露其机密文件。这些文件称,Facebook利用用户数据来协助盈利。加州一名法官认为,有证据表明,这些Facebook记录被披露涉及“犯罪或欺诈”。这是来自一起诉讼的保密文件,最终被英国议会一个委员会公开。
Facebook目前可以获得这家公司及其律师的邮件往来。根据律师和客户之间的保密协议,这些通信通常是保密的。这家公司开发的应用帮助用户查找好友的比基尼照片。
在保护用户数据方面,Facebook正面临越来越大的争议。在这起案件中,Facebook的举措是想要证明,这家比基尼应用的开发商Six4Three试图通过选择性地披露内部信息,曲解Facebook的商业行为。
圣马特奥郡最高法院法官雷蒙·斯沃普(V. Raymond Swope)周五表示,尽管法院发布了全面禁令,禁止在Six4Three的这起诉讼中披露任何证据,但该公司及其律师仍在协同,向议会和媒体披露敏感信息。
他表示:“证据表明,Six4Three的律师参与了向第三方分析和总结Facebook机密信息的‘繁重任务’,而不仅仅是向该公司提供咨询服务。”
Six4Three的律师和公司法务团队尚未对此做出回应。
来源:新浪科技
2、三星商城被黑客攻击:Galaxy S10订购页面出现Bug价格遭疯抢
近日,三星中国官网上线了S10系列的“以旧换新”活动,旧机可抵购新机款,同时最高可享800元换新补贴。S10系列“以旧换新”回收流程如下:选择机型——旧机估值——花呗预授权——下单购机——回收旧机。最终支付的购机款=产品建议零售价,减去旧机最高抵扣金额,再去掉换新补贴金额。
不过该服务上线后,有网友发现网页疑似出现Bug,即便不换新也可以使用优惠选购三星S10手机,根据不同机型出现过金额不等的优惠,最高优惠可达2400元,部分S10遭到了羊毛党的疯抢。
随后三星发现此问题,并于3月16日发布公告,公告表示三星网络商城受到了黑客攻击而产生错误,至于已经产生的订单,则会交由客服与消费者沟通解决。
三星公告原文如下:
三星网上商城公告
尊敬的商城用户:
3月16日0时起,三星网上商城受到网络 黑客攻击,部分订单显示异常,数据生成错误。对于此事,我公司已向公安机关进行报案。对于因黑客攻击产生的异常订单,我公司客服人员会与相关用户沟通解决, 给您带来的不便我们深表歉意。如有任何问题,请联系商城客服。
特此公告
三星网上商城
2019年3月16日
来源:快科技
3、排名前一千万的网站有三分之一使用 WordPress
开源内容管理程序 WordPress 官方博客庆祝了它在流量排名前一千万网站中的市场占有率达到了三分之一。根据 W3Techs 的数据,WordPress 在前一千万网站的市场份额从一年前的 29.9% 增加到了 33.4%。
WordPress 表示对此非常自豪:它在 2005 年庆祝了 5 万次下载,2011 年 1 月市场份额达到 13.1%,2019 年达到了 33.4%。
它在 2 月 21 日发布的最新版本下载量已经接近 1400 万次。
2019/3/15周五
1、报告称与网络犯罪相比 英国人更害怕蜘蛛
据外媒Betanews报道,网络犯罪和黑客入侵已经超过飞行、狗和小丑,成为英国人最害怕的十大事物之一,但仍然落后于蜘蛛、高度、蛇,牙医和狭小空间,仅排在第六位。虽然被蜘蛛咬伤去医院的可能性不足百万分之一,但是蛛形纲动物仍名列榜首。
网络安全公司McAfee发布了这些调查结果,以配合本周万维网30周年(以及英国的国家蜘蛛日)。根据该报告,23%的英国人承认担心政府和企业每天至少被黑客攻击或追踪一次。
人们对人工智能(AI)也存在担忧,因为英国超过1000万人担心这可能对他们的数据安全构成最大威胁。五分之一(21%)的人担心这可能会导致数据安全漏洞,影响内部系统,导致纪律处分或甚至被解雇。更重要的是,与工作相关的焦虑导致缺乏自信,失眠甚至在某些情况下患病。
Wi-Fi热点(32%),云存储/应用程序(22%)和连接到移动网络的设备(21%)被英国人视为面临的最大网络安全威胁。另外,有趣的是,50%的人认为现在正在发生网络战,四分之一的人认为这场战争是对国家的最大威胁。
“虽然技术和互联网已经增强了我们生活的许多方面,但它也引发了对隐私和数据使用的担忧,因为人们试图掌握数字化,新常态,” McAfee网络调查负责人John Fokker说道。“每一天,都有一家新公司处于数据泄露中,或者一个家喻户晓的品牌因为他们对我们的敏感信息管理不善而被质疑。不幸的是,在追求利润的过程中,犯罪分子不断将他们的策略转移到此。尽管如此,英国公众不应该感到恐慌;每个人都可以通过简单的步骤来保证所有设备的数据安全。“
McAfee发布的安全提示包括用户在点击之前进行思考以避免网络钓鱼攻击,使用在线帐户的强密码和密码管理器来管理它们,而不是在社交媒体上进行过度共享。其他安全措施包括警惕公共Wi-Fi热点,并确保所有设备免受恶意软件和移动威胁的侵害。
来源:cnBeta.COM
2、三分之二的 Android 杀毒应用没有价值
3、原型设备使用用户的身体来防止可穿戴设备和植入物遭黑客攻击
据外媒New Atlas报道,我们已经习惯了有人侵入我们的计算机、平板电脑和智能手机所带来的安全风险,但是心脏起搏器和其他植入式医疗设备呢?为了帮助防止可能的黑客攻击,普渡大学的工程师们提出了一种类似手表的设备,将人体变成自己的网络,以此来保护个人技术的私密性。
自从在15年前变得司空见惯以来,Wi-Fi和蓝牙等无线技术一直是一种解放的体验。这些使得在没有电缆或电线的情况下登录互联网变得正常,并且还使无线耳机,耳塞和智能家居成为可能。此外这还使得出现非常个人化的技术,如健身追踪器、智能手表、高级心脏起搏器、胰岛素泵、机器人假肢和其他医疗设备等。
根据普渡大学的研究小组的说法,这会导致一个潜在的问题。目前,所谓的体域网络使用蓝牙技术在我们的人的各种设备之间发送和接收信号。不幸的是,这些设备传输的距离最远可达10米(33英尺),这意味着任何靠近的人都可以拦截信号并进行入侵。虽然还没有人这样做,但理论上也可能进入类似高级起搏器的事情并按下ENTER键进行谋杀。
为了防止这种情况,由电气和计算机工程助理教授Shreyas Sen领导的普渡大学团队正在研究如何将人体转变为自己的封闭网络。通过使用电准静态场人体通信(EQS-HBC)和身体的导电特性,沿着皮肤与周围环境之间的界面传输低频无载波无线电信号,结果导致信号的私密空间是人体附近0.15米的范围。这不仅使其变得非常难以入侵,而且使用的能量比普通蓝牙连接少100倍。
目前,Sen和他的团队正在研究如何将原型设备的尺寸缩小到可以安装在其他设备中的集成电路的大小。当技术成熟时,它不仅可以提高安全性,还可以使医生能够实现无需外科手术即可重新编程的医疗设备,用于替代药物的闭环生物电子医疗设备,以及用于神经科学应用的高速脑成像。
“我们将越来越多的设备连接到人体网络,从智能手表和健身追踪器到头戴式虚拟现实头显,”Sen表示。“挑战不仅仅是将这种通信保持在体内,以至于没有人可以拦截它,但也获得更高的带宽和更少的电池消耗。“
该研究发表在《科学报告》上。
视频:http://my.tv.sohu.com/us/265921334/124099043.shtml
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/14周四
1、GoDaddy、苹果和Google错误签发了一百多万个63位序列号证书
错误配置的EJBCA开源软件包致使 GoDaddy、苹果和 Google签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书,工程师发现 64 位中必须有一个定值才能确保序列号是正整数,这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。
63位 和 64 位虽然只相差一位,但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的,实际上几乎不可能被恶意利用。但这不符合行业规定的要求。
Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书,不过到目前只有 7000 个证书还有效。
来源:solidot.org
2、警方破获大型流媒体账号盗卖案 澳大利亚一21岁男子被逮捕
尽管多人分享流媒体订阅服务账号的现象很是常见,但一些头脑过于灵光的人,却打起了这方面的歪脑筋。近日有外媒报道称,因涉嫌在网上销售大量偷盗得来的账户登陆材料,澳大利亚警方在本周二逮捕了一名 21 岁的男子,据说案值高达 30 万澳元(21.1 万美元)。涉案账号多达 100 万,涵盖 Netflix、Spotify、Hulu 等知名流媒体服务提供商。
作为 WickedGen.com 网站的幕后人物,其宣称拥有 12 万名用户。警方披露:
这些账号通过撞库得来,其中包含了之前已经泄露或被盗过的用户列表、电子邮件地址、以及相应的密码。
这批资料被打包重新出售,并用于未经授权的访问。受害者遍布澳大利亚本土和国际上其它地区,比如美国。
账号分享是一回事,但像这名男子一样通过窃取再贩卖的方式来盈利,显然已经触碰到了法律的红线。
澳大利亚联邦警察局(AFP)打击网络犯罪行动指挥官 Chris Goldsmid 指出 —— 这类犯罪通常是更加阴险的数据窃取和操纵的千兆,可能对受害者产生更大的影响。
在此,我们建议大家务必妥善保护好自己的账号。除了养成良好的上网习惯,还应该定期更换复杂程度较高的强密码。
来源:cnBeta.COM
3、征信App乱象难禁 存泄露个人隐私风险
第三方个人征信在生活场景中的普及应用,也催热了个人征信查询业务。但北京商报记者注意到,在央行明确无授权的情况下,仍有不少App明确标注直连官方征信中心。另有部分App在输入银行卡账号和密码时才能获得查询权限。分析人士认为,这类App很有可能收集个人信息后交易给非法机构,衍生出新的“买卖”,导致信息泄露。
乱象难禁
央行征信中心官网首页标注,“征信中心未授权任何第三方应用程序提供个人信用报告查询服务,敬请广大用户注意”。
但提供个人征信查询的App仍未绝迹,通过安卓应用商店输入“征信”后,跳出多款标明个人征信查询的App。北京商报记者注意到,这些App名称中普遍带有“征信”二字,如查征信、安牛征信查询、征信报告等。打开一款名为“征信报告”的App,该平台有一款自制查询信用分的项目“有鱼分”,登录“有鱼分”之后,需要输入姓名、身份证才能查询。
北京商报记者发现,上述信用分报告并不能与央行征信报告对接,只是通过审核用户的资质提供贷款服务。在上述App的评论区可以看到,有多条用户留言显示并没有查到自己真正的征信报告信息。另一款名为“征信查查”的App只有在输入银行卡账号和密码时才能获得查询权限。
麻袋研究院高级研究员王诗强认为,通过相关征信App查询个人征信可能会被第三方平台私下保存,导致信息泄露,也可能导致相关信息被卖给其他机构,引来一堆骚扰电话,影响个人生活工作。
存泄露个人隐私风险
据了解,目前,个人信用报告的正规查询渠道有三种:在央行各分支机构现场查询;通过个人信用报告自助查询代理点查询;登录央行征信中心官网查询。一位业内人士介绍,市场上的第三方App本身无法与央行直连,查询的方法其实是用户在App上填写自己的个人信息,App通过抓取技术帮助用户进入央行征信中心的个人信用信息服务平台进行查询,并在收到征信报告后为用户有重点地在App上展示出来。
部分个人征信查询App明确标注直连官方征信中心、权威可靠。上游财经专家顾问江瀚表示,个人征信App的数据并不会来源于央行征信中心,因为央行征信只接入了商业银行、农村信用社、信托公司、财务公司、汽车金融公司、小额贷款公司等机构。个人征信App一般是采用自己的一套征信评分体系,但也不排除通过某些金融机构间接接入央行征信系统的操作可能。
此外,还有许多查询用户网贷征信记录的App。北京商报记者注意到,一款名为“安牛征信查询”的App需要付费29元后才能查询,征信报告中有7项风险信息扫描,包括网贷黑名单、欺诈风险名单等。虽然并未有任何逾期记录,但记者的名字仍存在于网贷黑名单、高风险关注名单当中,与客观事实不符。报告下方提醒,用户可以优化风险,但也同样需要5元手续费,如果按照要求填写,用户信息、通讯录权限等核心的个人信息就相当于给了App。
上述业内人士表示,第三方征信的数据能应用到各类日常生活场景中,但第三方征信数据多数不受传统银行的认可,并不能作为申请贷款时的依据,此类App有假借查征信报告收集个人的信息的嫌疑。针对用户个人信息保护以及隐私问题,北京商报记者致电安牛征信查询,但并未有人接听。
应加大居民信息泄露危害教育
3月6日,央行副行长陈雨露在全国政协十三届二次会议小组讨论时指出,机构从事征信业务,需要严守信息保护底线,下一步将对打着信用的名义在做征信业务的进行治理。“目前很多征信机构、互联网公司以及金融科技公司信息泄露事件较为普遍,影响很大。”
来源:新浪财经
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/13周三
1、内置指纹阅读器的借记卡即将在英国开始试用
英国Natwest银行将测试一种内置指纹扫描仪的新NFC支付卡。该测试将于4月中旬开始,届时将有200名顾客参加,参与者无需输入密码或提供签名即可进行非接触式支付,使用指纹时,非接触式支付30英镑的标准限额将不再适用。
目前,在英国,任何人都可以通过在终端上使用自己的银行卡进行非接触式支付。由于缺乏安全性,这类支付的限额为30英镑,零售商要求您将银行卡放入读卡器,并输入密码用于30英镑以上的购买支付。虽然移动支付需要认证,但客户通常会发现他们受到相同的30英镑限制。
指纹数据存储在卡上,这意味着黑客无法从银行的中央数据库中窃取任何安全信息。这并不是万无一失,一个足够坚定的小偷总是有可能窃取和模仿你的指纹,但它比输入密码更安全。生物识别认证已经成为NFC移动支付的标准组成部分,但尽管自2015年以来已经在信用卡上进行了试用,但还没有在传统银行卡上进行。现在该卡生物识别技术背后的公司Gemalto于2017年在南非进行了一次试验,并于去年在意大利联合圣保罗银行进行了一次试验。然而,这些卡通常要求用户访问银行进行指纹登记,而不是自己在家里完成指纹登记(就像苹果支付或谷歌支付等移动支付服务一样)。
英国Natwest银行进行的测试并不能解决这个问题。参加测试人必须去他们银行注册指纹,但是它希望未来版本的系统能让客户使用自己的手机注册指纹。
2、加大泄露数据单位惩处力度,可借鉴外部经验
今年全国两会上,个人信息保护再次成为热点。全国政协委员刘伟建议加大对数据泄露的惩罚力度。
大数据时代,用户处于相对劣势地位,个人信息被不法企业肆意兜售买卖,骚扰电话和短信缠身,苦恼于隐私遭侵犯、不知如何维权,已成为多数人的共同遭遇。中国互联网协会公布的《中国网民权益保护调查报告2016》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。数据安全和隐私边界等问题变得愈加重要。
政协委员关于加大对数据泄露惩罚力度的建议,反映了当前人民群众的关切。现在一提到信息泄露问题,舆论倾向于抨击利用信息进行诈骗的人,或是感叹老百姓信息保护意识淡薄,却很少提及泄露数据信息的企业单位的责任。
实际上,这恰是问题的要点所在。泄露源头太多,让人们防不胜防。要从根本上遏抑信息外泄的现象,必须加大对数据泄露的企业单位的惩罚力度,倒逼其履行企业责任。
这一方面,欧洲已走在前列。去年五月,欧盟《通用数据保护条例》(以下简称“《条例》”)正式生效。这被认为是有史以来最严格的网络数据管理法规,监管和惩罚力度空前。《条例》大大强化了企业的数据保护责任,要求企业必须用合法、公平和透明的方法收集、处理用户信息,并以通俗的语言向用户解释收集数据的方式。其还规定企业有义务采取一切合理措施,删除或纠正有误的个人数据,否则将被处以最高2000万欧元的罚款;一旦发现用户数据泄露,有责任在72小时内向监管机构报告。
严苛的惩戒机制是对用户最起码的尊重,也是企业行稳致远的根基。一个不被用户信任的企业注定是走不长的。防范数据信息泄露,有必要给掌握信息的企业单位立规矩,设置高压线,要么保护好手里的信息,使用户安全得到有效保障,要么鞠躬致歉,自觉退出市场。惟有如此,才可能还信息时代一个风清气正的良好环境。
来源:中国经济网
3、云盘服务Box帐号配置不当 致数十家公司敏感数据泄露
新浪科技讯 北京时间3月12日上午消息,据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接,而无意间泄露了敏感的企业和客户数据。
虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。但Adversis表示,这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式,Adversis发现有90多家公司的文件夹都可以公开访问。
Box自己的员工也未能幸免。
该公司表示,虽然多数数据都是合法公开的,而且该公司也向用户发送了建议,帮助其尽可能减少风险。但很多员工可能并不知道敏感数据被分享出去,甚至可以被其他人找到。
更糟糕的是,一些公共文件夹还可以被搜索引擎索引,导致信息更容易被发现。
Adversis表示,Box应该重新配置默认共享链接,限制为“公司内部的人员”,从而降低意外暴露敏感信息的概率。(樵夫)
来源:新浪科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/12周二
1、潘建伟:“墨子号”已满足初步安全通信需求
全国政协委员、中科院院士潘建伟10日表示,“墨子号”性能不断改进,星地之间密钥的成码量大概在过去两年当中提高了40倍,现在一秒钟能够传送40万个密钥,已能满足一些初步的安全通信需求。全国政协十三届二次会议第三场记者会当天举行。在回答记者提问时,潘建伟作上述表示。
潘建伟介绍,2016年发射的“墨子号”作为一颗科学实验卫星,实现了超远距离星地之间的量子保密通信,同时在空间尺度开展严格意义的“量子力学非定域性”验证。
谈到未来打算,他表示,希望把相关成果推向实用化。由于目前“墨子号”只能在晚上工作,未来希望能够研制一颗中高轨卫星,使其全天候工作,确保在更长时间里产生密钥,满足业务化运行的信息安全传输需要。
潘建伟提到,公众常常对量子科技会有两方面疑问:一是它本身的科学性和正确性如何?二是在推向实用过程中,这项技术是否已经成熟?
他解释,其实今天每个人用的手机、电脑等都是量子力学的基本成果,所以其科学性经过近百年的证实已经很好地建立,只不过大家不太了解,所以有疑虑。
他说,去年,在全国政协安排下,他为科协界别委员做了有关量子力学的科普讲座,效果不错。尽管委员来自不同领域,但都对量子科技表现出浓厚兴趣。
他还建议,要尽快实质性启动量子信息领域国家实验室建设。
来源:中新网
2、利用恶意插件收集用户数据 Facebook起诉两名开发者
当地时间星期五,Facebook起诉两名乌克兰人利用测试应用收集用户的私密数据,在用户的消息流中插入广告。在2017年至2018年期间,两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。
被告的应用利用了Facebook的登录功能,承诺只收集有限的信息。应用会诱导用户安装浏览器插件,从而使他们能获得用户Facebook(和其他社交网络)账户的访问权限。
起诉书称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关。
Facebook在起诉书中称,被告“给Facebook的声誉造成不可挽回的损害”。
起诉书还指出,Facebook认为,通过安装插件,用户“实际上自己破坏了浏览器的安全性”。这使得这一事件与剑桥分析数据泄露丑闻之间存在重大区别。起诉书表明,Facebook不是唯一受到影响的社交网络,但没有提及具体的其他社交网络。
但是,如果Facebook没有把被告批准为开发者——可以使用其登录功能,他们的攻击就不可能得逞。起诉书称,被告在2016至2018年期间使用虚假名字注册了账户,Facebook“通过恶意插件调查”发现了他们的行为,在2018年10月12日前后关闭了所有相关账户,然后与浏览器开发商接洽,确保恶意插件被清除。
Facebook起诉两名被告在未经授权的情况下访问其数据触犯了《计算机欺诈和滥用法案》,把自己“伪装”成开发者违犯了合同,涉嫌欺诈。Facebook调查这一事件的支出超过7.5万美元,这一事件“妨碍和破坏了Facebook与其用户的关系”。
来源:凤凰网科技
3、Citrix收FBI警告:6TB至10TB敏感数据被窃
软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者,导致国际黑客窃取了大量的数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件。
图片来自于 Flickr
针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害,但也承认并不清楚有多少或者哪些文件被访问过。
根据披露的细节显示,黑客使用了一种名为“password spraying”的策略,他们利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。在3月6日被FBI通知之前,网络安全公司Resecurity表示,它已于12月28日联系该公司。Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。公司认为在最近的两次袭击中,有6-10TB的数据被盗,重点是与FBI,NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。
虽然Citrix表示它正在努力控制这一事件并确保其产品和服务保持安全,但真正的问题是,作为政府承包商,该公司拥有大量敏感数据,现在就怕这些数据已经被访问。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/11周一
1、黑客成功在Pixel 3 XL上启动Windows 10系统
Windows 10系统俨然成为了新的《毁灭战士》(DOOM),从陈旧的Lumia手机,到树莓派主板再到任天堂的Switch主机,那些搭载ARM架构处理器的设备基本上都能运行。但是你相信Android智能手机也能运行Windows 10吗?
近日知名黑客NTAuthority在个人推特上了发布了一条简短视频,显示成功在Pixel 3 XL上启动进入Windows 10系统界面。当然现在的破解还处于早期阶段,如果想要让Windows 10系统充分利用Pixel 3 XL上的功能,还需要很多驱动程序。
2、联合国专家指责朝鲜发动黑客攻击盗取密码货币
联合国专家报告显示,朝鲜利用网络攻击获取资金,绕开联合国制裁。
日本经济新闻获得了一份一个联合国专家小组递交给联合国安全理事会朝鲜制裁委员会的年度报告。报告说,在2015至2018年间,朝鲜多次通过网络袭击国外的金融机构。朝鲜政府通过这些网络袭击偷取资金,且资金总额自2016年起不断上升。
2017至2018年间,朝鲜还对亚洲的网络货币交易机构发起了至少5次成功的网络攻击,委员会估计,攻击造成的损失达5.71亿美元。专家怀疑朝鲜还通过虚拟货币的区块链技术躲避来自国际的金融制裁。
撰写报告的专家们相信这些网络攻击的来源是朝鲜军队内的一个专业部队。如今,这样的攻击已经成为朝鲜政府政策的一个重要部分。
此外,该报告还指出,在海上船对船走私活动中,朝鲜还用中国的通讯软件微信发送定位信息以及确认货船身份。
朝鲜的公司在包括YouTube和Instagram在内的社交媒体上也非常活跃,兜售其军事设备,而这些交易都属于联合国制裁之内。
专家们还指出,目前朝鲜的核武器和弹道导弹项目“完好无损”。来自去年2月和11月的卫星图像显示,朝鲜似乎正在其核反应堆附近建造新的楼房,并开采铀元素。
来源:美国之音
3、微软公布Windows Update服务在一月份发生中断的细节
几个互联网服务提供商遇到的DNS问题,让微软的系统更新服务Windows Update于1月下旬出现大规模中断事故,导致包括美国和英国在内的多个地区的客户无法更新其设备。2月份,微软曾短暂发出通告解释说,他们正在与合作伙伴一起解决问题,并指示用户与他们的ISP取得联系以刷新他们的DNS记录。
“运营商的DNS服务器的软件更新导致了DNS记录分发过程出现问题,这些记录影响了与Windows Update服务的连接,”微软在那时解释道。
而在3月8日的更新中,该公司还专门发布知识库KB4493784,解释了包含有关如何解决Windows Update问题的信息。
“如果由于此问题导致至今仍然无法连接到Windows Update服务,请联系您当地的ISP或网络管理员,并将他们引荐到此知识库,这将帮助他们解决您的DNS问题,”微软解释说。
简而言之,微软整理了有关如何判断网络是否受DNS损坏错误影响的指导,向系统管理员提供刷新DNS记录以恢复Windows Update的方法,并公布了受影响的Windows Update服务主机名,详情如下:
sls.update.microsoft.com
fe2.update.microsoft.com
fe3.delivery.mp.microsoft.com
au.download.windowsupdate.com
sls.update.microsoft.com.nsatc.net
fe2.update.microsoft.com.nsatc.net
fe3.delivery.dsp.mp.microsoft.com.nsatc.net
audownload.windowsupdate.nsatc.net
Windows Update自身的问题虽然已经解决,但是用户在Reddit和其他技术论坛上发表的一些报告说明,他们的设备仍然无法正常更新。
这也是微软发布关于这个bug的新指南的原因,很难估计有多少用户可能仍有问题,但随着新的Patch Tuesday即将到来,每个人都必须尽快启动并运行Windows Update服务。
2019/3/8周五
1、 微软宣布已经识别出与伊朗黑客相关的网络攻击
微软今天表示,在过去两年中发现并识别出与伊朗黑客有关的网络攻击,这些黑客攻击了200多家公司的数千人。据“华尔街日报”周三的报道,黑客攻击活动窃取了大量企业机密,造成了经济损失,并还包含从计算机中删除数据的破坏情节。
微软通过华尔街日报描述道,网络攻击影响了包括沙特阿拉伯,德国,英国,印度和美国在内的几个国家的石油和天然气公司以及重型机械制造商,并造成了数亿美元的损失。
微软将这些攻击归咎于一个名为Holmium的组织,安全研究人员称之为APT33。微软表示,它发现有超过2200人收到了来自他们的可以安装恶意代码的网络钓鱼电子邮件。
研究人员发现,过去复杂恶意软件的创新及建立多半是由基于经济利益考虑的国际黑客组织所贡献,但现在这个角色已被国家级黑客所取代,这些国家级黑客致力于打造可长期潜伏在关键基础设施网络中的恶意软件,以便展开间谍行动并进行破坏,同时他们不只瞄准关键基础设施,还企图入侵各国官员的家中运算装置。
来源:cnBeta.COM
2、公安部:集中打击藏匿东南亚地区的黑客攻击网络赌博犯罪团伙
公安部网络安全保卫局党委书记王瑛玮3月7日在公安部新闻发布上表示,要加强国际警务执法合作,特别是对藏匿在东南亚地区的黑客攻击、网络赌博等突出网络犯罪团伙、窝点开展集中打击。
谈及“净网2019”专项行动,王瑛玮介绍,公安部党委决定今年继续在全国范围内开展“净网2019”专项行动。公安机关要坚持攻小案、破大案,抓住网上突出问题和群众反映热点,以打团伙、断链条为重点,快侦快破快诉涉网违法犯罪案件。
此外,公安机关将进一步强化企业整治。健全完善“一案双查”制度,督促联网单位落实安全管理责任制度及应急响应措施,对拒不履行单位要依法从严查处。要以防范网络诈骗、侵犯公民信息等犯罪为重点,全面整治网络运营秩序,打击网络黑产黑市,净化网络环境。进一步加强信息治理。坚持边清边打,将信息清理工作与打击同谋划、同推进、同落实,全力遏制“黄赌毒”、“枪爆盗”等违法信息滋生蔓延。
王瑛玮还表示,公安机关将进一步深化体系建设。建立健全网络综合治理体系,以专项行动为抓手,坚持打击与整治相结合,坚持以打促管、以打促建,全面提升社会治理、网络治理能力,推动提升国家治理体系和治理能力的现代化水平。
来源:澎湃新闻
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
3、全国政协委员朱新力:数据采集不是原罪,要鼓励全社会沉淀和使用数据
经济观察网 记者 任晓宁 3月5日,国务院总理李克强在《政府工作报告》中指出,要促进深化大数据、人工智能等研发应用,壮大数字经济。数字经济以及大数据成为2019年“两会”上的热点话题之一。
3月7日,经济观察网记者获悉,全国政协委员、浙江大学光华法学院原院长朱新力聚焦信息时代的数据安全政策,提交了一份《数据安全政策要立足推进数据流通利用》的提案。
朱新力认为,数据安全政策首先要具有全球视野,要鼓励全社会沉淀和使用数据,重塑公众对科技和数字经济的信心。其次,要避免过去自上而下、事先管控的模式,探索自下而上、市场自我规制为先导的路径。
他表示,数据安全治理涉及三个维度,包括个体层面的隐私保护,产业层面的科技竞争、创新和发展,以及国家层面的数据安全和全球数字竞争力。任何仅从单点出发的政策,都不可避免带来正负效应。当前国内围绕数据产业的研究热情高涨,但也有将科技创新与数据共享妖魔化的倾向,呈现激进和保守两个极端。在中美竞争加剧的背景下,如果我们不能尽快找到方法实现发展与安全之间的平衡,可能丧失一次发展机遇或者陷入安全危机。
朱新力认为,如今数据已成为重要生产要素,我们需要与时代发展趋势相适应的数据治理政策。首先,应当能够激励社会更好的沉淀和使用数据,数据采集并不是数据安全和隐私侵害的原罪。若仅以事先限定数据采集使用目的并获得用户授权作为解决路径,不符合数字经济的发展趋势,也很难真正起到隐私保护的作用。其次,数据安全能力薄弱是数据泄露和隐私侵害的重要原因。徐玉玉电信诈骗案、FB剑桥分析事件等等,都说明现实中攻击者更容易从安全薄弱的服务器或组织下手,而不是和防护严密的数据公司对抗。最后,要科学地认识到成文立法的局限性,为市场自我规制、先试先行留出适当空间。
朱新力建议,在今后个人信息保护立法中合理设定无需取得用户同意的数据使用情形,促进数据的流通利用。包括但不限于以下四种方案:一是通过界定“个人数据”概念内涵与外延的方式避免大数据背景下个人数据保护范围的过度膨胀;二是对“个人数据”加以分类,以敏感或不敏感为标准,集中力量对敏感个人数据加以保护,对不敏感个人数据则侧重流通利用;三是从信息技术入手,重点推进“脱敏”后个人数据(去“可识别性”)的流通利用;四是导入“风险”理念,根据个人数据的性质、使用场景以及产生的风险,来限定用户同意的范围和数据二次利用的风险管理机制。具体采取哪一项方案不可一概而论,需综合考虑行业特征、隐私偏好、风俗习惯等各项因素广泛论证。
他还建议,在立法之外给产业留出先行探索、试错容错的空间。当前,网络安全法及《信息安全技术个人信息安全规范》已经确立了符合行业发展的基本原则,建议在后续立法立规尤其是部委规章层面坚守上位法的原则,但对于看不清的问题不要急于定规矩设限制,不是所有问题都能靠立法来解决。建议明确市场自我规制为先导的治理思路,予以组织相当程度的灵活性,在一定时期内以负面清单思路重构数据政策,为组织的自律性规制设定外在制度约束,从而在实施环节推动形成公私互动的良好治理格局,激励组织更好地保障数据安全。
来源:经济观察网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多资讯:
2019/3/7周四
1、所有英特尔处理器面临新的 Spoiler 攻击
2、攻击者利用 GitHub 推广后门版应用
DFIR.it 的安全团队发现恶意攻击者利用 GitHub 推广后门版应用。所有托管后门应用的账号目前全部移除。对样本的分析发现,恶意应用会下载名叫 Supreme NYC Blaze Bot (supremebot.exe)的 Java 恶意程序。攻击者建立了一批账号,有的账号托管了几十个恶意应用,还有的账号没有恶意应用但通过给恶意应用加星等方法来增加其流行度。黑客创建了许多合法应用的后门版本,其中包括 MinGW、GCC、Ffmpeg、EasyModbus 和一些 Java 游戏。
3、NSA公布逆向工程框架Ghidra 可用于分析病毒与恶意代码
NSA 正式开源了它开发的软件逆向工程框架 Ghidra,下载地址屏蔽了部分国家IP,但用代理很容易绕过。Ghidra 可用于分析恶意代码和病毒等恶意程序,帮助网络安全专业人士更好的理解其网络和系统的漏洞。
Ghidra 能运行在 Windows、Mac OS 和 Linux 上,支持多种处理器指令集,包含了你预计会在高端商业工具看到的所有功能。
源代码托管在 Github 上,采用 Apache License 2.0 许可证。
来源:solidot.org
2019/3/6周三
1、IBM研究:访客管理系统存在漏洞 黑客可潜入敏感区域
IBM安全研究人员发现,在最流行的5大访客管理系统中有19个漏洞,黑客可以利用漏洞窃取相关数据,甚至可以潜入办公大楼敏感、禁止区域。办公楼大厅、待客区经常装有访客管理系统,用来检查员工或者访客,让他们进入工作场所。如果是访客,会通过触摸屏、平板检查姓名与拜见的人,通过之后会打印或者派发卡牌。
不过IBM安全研究人员发现,这些系统有一些不安全漏洞。IBM检查了五大流行系统,分别是Lobby Track Desktop、eVisitorPass(最近将品牌换成了Threshold Security)、EasyLobby Solo、Passport和The Receptionist,它们分别有7个、5个、4个、2个和1个漏洞。
入侵者可以利用漏洞下载访客日志,掌握姓名、驾照、社保数据及手机号等信息;利用有的漏洞甚至可以进入底层操作系统,连线之后就能跳到其它应用和网络。
更糟糕的是,入侵者甚至可以获得默认管理证书,完全控制应用,比如编辑访客数据库。
来源:新浪科技
2、Android TV曝出bug 或导致用户私人照片泄露
近日,Twitter 网友 prashanth 爆料称,他发现了 Android TV 的一个 bug,或导致用户私人照片被泄露。当他连接到一台 Vu Android TV、并选择“切换其他账号”时,竟然能够查看到所有用过这台电视的人的名字和头像,实在是太令人震惊了!由 prashanth 晒出的视频可知,你还可以通过 Android TV 的幻灯片功能,来查看其他用户的私人照片。
尽管后续在与谷歌沟通的过程中,官方给出的回应是他无法访问任何人的 Google Photos 。
据悉,Android TV 的这个 bug,会将其它用户错误地列为 Google Home 应用中的关联账户,从而引发了可能暴露私人照片的风险。
在致 XDA-Developers 的一份声明中,谷歌表示该公司在“非常严肃地”保护用户的隐私,并在调查汇报的问题时禁用了此功能。
我司相当注重保护用户的隐私,调查该 bug 期间,我们已经禁用了 Google Assistant 的远程投射、或在 Android TV 上查看 Google Photos 相册中照片的功能。
Android TV bug may have exposed private user photos(via)
查看视频 :https://v.youku.com/v_show/id_XNDA4NjA2ODgyMA==.html?spm=a1z3jc.11711052.0.0&isextonly=1
遗憾的是,谷歌没有披露更多有关该漏洞的细节、以及后续将作出怎样的改进。感兴趣的朋友,请留意我们的后续报道。
3、万豪CEO将在美国参议院数据泄密小组面前作证
北京时间3月5日早间消息,万豪国际集团首席执行官阿恩·索伦森(Arne Sorenson)将于周四在美国参议院数据泄密小组面前作证。该调查结果显示,该公司去年12月被曝其喜达屋酒店预订系统中多达5亿客户信息记录遭到泄露。
参议院常设调查小组委员会正在举行听证会,“审查私营部门数据泄露的原因和范围,揭露数百万美国人最敏感的信息。”
听证会还将包括Equifax Inc首席执行官马克·贝戈(Mark Begor),他将讨论该公司2017年披露的超过1.45亿人敏感数据被黑客入侵。
来源:新浪科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/5周二
1、19岁白帽子通过 bug 悬赏赚到一百万美元
19 岁的 Santiago Lopez 通过 bug 悬赏平台 HackerOne 报告漏洞,成为第一位通过 bug 悬赏赚到一百万美元的白帽子黑客。他的白帽子生涯始于 2015 年,至今共报告了超过 1600 个安全漏洞。
他在 16 岁时赚到了第一笔 50 美元赏金,激励他从事白帽子生涯。
政府机构和企业如五角大楼、GM、Google、Twitter、GitHub、Nintendo、Lufthansa、Panasonic Avionics、Qualcomm、Starbucks、Dropbox 和 Intel 等与 HackerOne 合作发现了超过 10 万个漏洞,发放了 4500 多万美元赏金。
来源:solidot.org
2、马化腾:数据利用和数据保护之间有矛盾 对用户数据搜集应遵循“最小原则”
据财新报道,3月3日,全国人大代表、腾讯董事会主席兼首席执行官马化腾就用户隐私等问题接受媒体采访。马化腾表示,过去一段时间,国内外的互联网企业发生了信息泄露事件,引发全球用户对互联网数据和个人隐私的关注。中国用户对个人隐私的关注也在提升。
他认为,目前,数据利用和数据保护之间有矛盾:过度保护用户数据,一些优化用户体验、提升效率的个性化设计就无法实施,而如果过度强调算法和个性化,那么用户隐私就可能被侵犯。
“这里面的度,需要有一个标准、一个指引。希望大家多做研究,舆论以及政府更多关注,监管部门也要给出一些指引,否则产业就会比较混乱,都没有统一的规则去执行。”马化腾说。
马化腾认为,业界应该遵循“最小原则”,即不需要的用户数据,企业不应该索取。同时,用户也能清晰地知道个人信息是用什么样的方式保存的、如何受到保护的,这是未来业界需要建立起来的规范。
而另一方面,伴随着各行各业的数字化升级,传统的数据处理方式已经不够用,必须利用人工智能处理和分析数据。未来所有行业的发展都要与AI结合,这其中衍生出很多伦理问题。马化腾举例说,像自动驾驶或者机器人,已经充分利用了AI技术,有一定自主能力。但如果出现了意外伤害事故,究竟是制造商、算法开放商还是使用者本人负责?这些在法律上都是空白的,需要更多研究。
再比如,有一个网站,用户刷新就能生成一个人脸照片,栩栩如生,但这个世界上完全不存在这个人,完全是虚构出来的。这其中是有伦理问题的。马化腾指出,业界应该要更多的关注。首先从研究和倡议开始,这是第一步,现在还远远不够。
来源:搜狐IT
3、以明确大数据法律属性遏制信息泄露
随着全球大数据产业的蓬勃发展,数据存储安全问题也不时显现。2018年初,Facebook泄密事件使大数据产业中的“地下交易”浮出水面。2018年末,我国铁路12306网站又被曝出用户信息被泄露、兜售,且此次事件涉及超60万个账户410万条数据信息。尽管12306事件被官方澄清为不实信息,但类似泄露事件多发趋势的背后,折射出风险和法律保护的不完善等问题。因此,规范大数据法律属性,完善监管迫在眉睫。
大数据基础法律属性的不明与数据交易监管的空白是造成以上问题的两大根源。大数据法律属性不明导致大数据交易发展停滞不前。
我国目前虽然有10家地方性大数据交易所(中心)以及超过20家大数据交易平台,但即便是最具代表性的唯一被批准冠名交易所的贵阳大数据交易所,也直到2018年4才宣布盈利,而且年交易额仅为2亿多元人民币,法律属性不明、监管空白,致使大部分企业对于大数据交易敬而远之。
为此,在法律中应当确认大数据属于无形之物,即承认其财产法律属性,从而更好推动创新创业和保护产权。在此基础上,应尽快推出新政,完善行政监管。
提升大数据安全保护措施。针对网站、手机APP,建议引入更深层次的加密技术,如密钥与区块链钱包。此外,建议尝试研究“B to C”的私有区块链技术,即在网站/客户端与每个用户之间建立私有区块链,记录下用户每一次操作,这样即便账号被盗、甚至发生经济损失,也可以退回未被盗之前的节点,用户可以在修改密码后继续使用。
引入可选择遗忘权。我国《电子商务法》并未规定网络平台具有保护用户信息数据不被盗用、不受攻击的绝对义务(第57条),因此可以在网站/客户端与用户之间的合同条款中增加一条,即“在用户保留所有浏览痕迹的情况下,因发生网络攻击而造成用户损失的,网站/客户端承担60%的损失”。
接受社会公开监督。由大数据管理部门联合各大产业联盟定期发布《大数据交易与安全使用信息披露报告》,将各大企业成员对大数据的使用情况与交易去向定期或不定期向公众展示,提高行业透明度。不仅可以全面反映当地乃至全国云计算、大数据的发展、应用、交易等情况,更可以为公众的社会监管提供便利。
强化大数据企业自我监督责任。从企业内控与内审出发,一方面在年审或阶段审中增加对大数据管理与使用的相关评估,另一方面增强独立董事的行政职能和监察权限,将对大数据的使用与交易去向的审查也列入工作范围,并赋予其随时查阅、复制的权利(不设独立董事的由监事履行相关职能)。基于此,在企业治理方式上还需要对其进行制衡,在已有独立董事以及监事的制度基础上,将涉大数据业务的监管权统交独董或监事,以保障大数据使用与交易的合法进行。
建设规范安全的大数据交易平台。总结和推广贵阳大数据交易所的业务经验,积极引进区块链、数据确权等高新技术,保障市场安全的同时尽早实现盈利。贵阳大数据交易所在成立之初,就划定了绝不交易涉及国家机密、商业秘密、个人隐私的数据,涉敏底层数据必须经隐身份化后方可交易的底线。另外,近些年不断引进区块链、数据确权、数据撮合等最新技术,最终实现盈利。因此可以借鉴、吸收有益经验,完善数据隐身份、分析等业务,提升工作效率,并确保合法、合规。
□周汉民(全国政协常委、民建中央副主席、盘古智库高级研究员)
来源:新京报网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
2019/3/4周一
1、微软,苹果,Facebook,Twitter都被报告违反GDPR 罚单已在路上
欧盟的通用数据保护法规或GDPR旨在为用户提供对其个人数据的更多控制。而该法律在提出和通过过程中就被广泛诟病制定过严,有“严格立法,普遍违法”的嫌疑。很快,在施行后不久,科技公司就发现他们在收集和共享用户数据方面的行为会给他们带来麻烦。
现在,欧洲数据监管机构开始追踪这些“大鱼”。爱尔兰数据保护委员会(DPC)认为Facebook违反了去年4月生效的GDPR,共有十个案例。
在臭名昭着的剑桥分析公司案带来的惨败之后,社交媒体巨头Facebook被多次报道数据泄露事件,其中两次的体量非常大。其中一个是由于使用了安全令牌,超过5000万用户的个人资料受到了损害。另一个更糟糕。在没有用户知情的情况下,近七百万用户的照片进入了第三方应用。但不仅仅是Facebook,他们对WhatsApp和Instagram的收购也让他们也被列入监管黑名单。
WhatsApp目前面临的问题主要是由于两个原因 - 一个是隐私问题,另一个是它如何在应用程序之外与Facebook分享信息。
Twitter,微软,苹果也都不是安全的天堂,他们都或多或少违反了欧盟法律。
尽管Twitter在数据泄露方面始终保持透明,并且在GDPR中提到的最后期限内有关于告知此类错误的记录,但监管机构现在想知道用户对Twitter网站上的数据有多少访问权限。
微软和苹果在这个名单中是奇怪的。前者在话费262亿美元收购LinkedIn时第一次扮演“恶棍”, LinkedIn现在必须通过调查来分析其用户和定向广告。另一方面,由于透明度问题,苹果也已被列入名单。谷歌则已经收到了5700万美元的罚单。
所以情况清楚了,“没有地方是安全的”,一系列调查还在持续,罚单也已经在路上。
来源:cnBeta.COM
2、国外男子贩卖破解版PS4和游戏 索尼要求赔偿2万多美元
去年10月,国外男子Eric David Scales因为在eBay上贩卖被破解的PS4和盗版PS4游戏而被索尼告上法庭,要求1万6800美元的赔偿金以及3500美元的官司费用,共计2万300美元。当时被告没有出席法庭陈述他的案情,索尼最近又向法院提交了一个缺席判决。
“被告Eric David Scales在eBay上宣传和贩卖被破解的PS4游戏主机。这些被破解的PS4主机还装有未被授权的PS4游戏拷贝。根据被告,购买了他的PS4主机的玩家可以不用购买(正版)游戏了。”
根据外媒,索尼1万6800美元的赔偿金是这么计算的:
对被告人Scale网站上售卖的每个盗版游戏和PS4主机分别以200美元和800美元计算。Scale网站上待售的游戏为76款,主机有2台,这样加起来就是1万6800美元。
对于被告,索尼表示:“这份赔偿金是基于被告故意侵犯和违反DMCA(美国数字千年版权法)、他的拒绝现身这一举动以及他深知自己的产品可被用来剥夺索尼出售正版PS4游戏机会的基础上。”
盗版游戏在PS1和PS2时代就非常猖獗,但最近几年,索尼的回击做得非常好,PS4虽然也曾被破解过,但很快被官方堵上了漏洞。
来源:3DMGame
3、周鸿祎:望网络安全单位联合起来 统一大数据守卫安全
3月3日晚间消息,“我今年的提案会关注网络安全。当前中国面临的网络攻击威胁,只有通过统一大数据来感知网络中未知的攻击才能解决” ,全国政协委员、360集团董事长周鸿祎在十三届全国政协二次会议上透露了他本次会议的提案方向。
周鸿祎表示,人工智能、物联网、5G通信技术的迅速应用与普及,让我们的经济、社会、生产、生活越来越多地运行在网络上,全球进入万物互联时代。
他认为,从网络安全角度来看,“万物均要互联,一切皆可编程”,这意味着物理世界和虚拟世界已经打通,线上线下的边界正在消失,网络空间的攻击将会穿透虚拟空间,直接映射到物理世界的安全。加之物联网的发展,联网的智能设备增长可多达百亿计,每个智能设备都可能成为攻击的切入点。但目前的网络安全观念和防御体系并不能应对未来的安全问题。
“我们做了十来年的网络安全,感觉我们的网络安全防御有一个很大的问题,就是各个单位基本上是各自为战,各守自己的‘一亩三分地’、‘自扫门前雪’,大家都只掌握自己的局部信息,也只关心局部的安全问题”,周鸿祎坦言,随着网络攻击越来越复杂、越来越隐蔽,如果仅仅从一个单位内部来看网络攻击,就像“盲人摸象”,很难准确识别,更难有效防御。面对万物互联时代复杂多变的网络环境,网络安全大数据的高度整合、整体防御尤为关键。大安全时代的网络安全,没有一个企业或者政府可以独自应对。
对此,周鸿祎3日在接受媒体采访时表示,希望国家能够把运营商、国家的科研单位、以及国企和民间的网络安全研究单位联合起来,共建网络安全大脑,实现网络安全大脑联防联动,形成网络安全的整体合力。
“这是今年我很重要的一个提案”,周鸿祎说。网络安全大脑将在三个层面解决未来的网络安全问题,“国家安全大脑”解决国家间的网络战和网络犯罪问题,“城市安全大脑”解决城市运行安全问题,“家庭安网络安全大脑将在三个层面解决未来的网络安全问题,“国家安全大脑”解决国家间的网络战和网络犯罪问题,“城市安全大脑”解决城市运行安全问题,“家庭安全大脑”将致力于解决每个家庭的安全问题。
来源:新浪科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/3/1周五
1、新发现的thunderclap漏洞允许黑客使用Thunderbolt/USB-C外设攻击PC
今天早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap,影响所有主要平台,包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备,并允许黑客通过插入数据线来黑入PC。
相关论文发表在加利福尼亚州圣地亚哥举行的网络和分布式系统安全研讨会上。它描述了macos、freebsd和linux中的一组漏洞,这些漏洞名义上利用iommus来抵御DMA攻击者。该问题与Thunderbolt启用的直接内存访问有关,现有IOMMU保护系统未正确阻止该问题。
根据该论文,大多数现代电脑都受到这种问题的影响,包括通过USB-C型端口提供Thunderbolt 3的电脑,通过Mini DisplayPort端口提供旧版本Thunderbolt的电脑,自2011年以来生产的所有苹果笔记本电脑和台式机,但12英寸MacBook除外。自2016年以来生产的支持Thunderbolt的Windows或Linux笔记本电脑和一些台式机也受到影响。
2016年,操作系统供应商在其平台上添加了Thunderclap缓解措施,但这些措施并非100%有效,安全漏洞仍会影响使用IOMMU保护的系统。虽然某些平台(如Windows 7)甚至没有配备IOMMU,但在其它操作系统上,IOMMU要么作用有限(Windows 10企业版),要么是禁用的,唯一启用的平台是macOS,但即使这样,用户也不安全,因为Thunderclap漏洞仍然可以绕过IOMMU保护。
目前,抵御这个漏洞的最佳方法是确保禁用所有Thunderbolt端口,并且不要共享硬件,如充电器,因为它们可能会被更改为目标设备。保持安全的最佳做法是确保不要让笔记本电脑无人看管。安全人员表示,这种攻击在实践中是非常合理的。Thunderbolt 3端口上的电源、视频和外围设备DMA组合有助于创建恶意充电站或显示器,这些充电站或显示器功能正常,但同时控制连接的机器。
来源:cnBeta.COM
2、安全专家警告称:Ring Doorbell智能门铃可被黑客攻击并显示虚假图像
在最近推送的一个补丁中,亚马逊旗下的智能门铃企业 Ring,修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击,将虚假的图像内容注入到视频源中。需要指出的是,尽管 Ring 会定期发布修复固件,但那些使用旧版 Ring 应用程序的客户,仍有暴露于这方面的风险。
在今日公布的一份报告中,BullGuard at Dojo 的安全研究人员,披露了有关该漏洞的详细信息。其支出,借助适当的技术手段,任何有权访问传入数据包的人,都可以收听到实时的反馈。
问题在于,Ring 所采用的方案,并未引用强加密。那些能够访问目标 Wi-Fi 的黑客,甚至可以在数据到达 App 端之前,就将虚假内容注入到消息流中。
举个极端点的例子,狡猾的攻击者能够利用该漏洞,向房主发送经过篡改的图像,以欺骗其打开门锁。当然,这并不是我们首次听说有关 Ring 设备的安全漏洞。
今年早些时候,有报道称 Ring 允许其员工观看客户家中的视频。对于此事,该公司拒绝了媒体的置评请求,只是声称不会在官网上暴露、且会采用其它安全措施来保护用户的数据安全。
去年 5 月,The Information 还报道了 Ring 允许密码修改,但不强制用户退出并重新登陆。
2017 年 3 月,一些用户发现,他们的 Ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。
Ring 没有给出更多的解释,只声称这是一个 bug,且该公司会定期更新固件,不至于引发这么大的关注。
3、CentOS 6和Red Hat Enterprise Linux 6获得重要的内核安全更新
针对CentOS 6和Red Hat Enterprise Linux 6操作系统系列的重要内核安全更新已经发布,以解决最近发现的漏洞和其他错误。最主要的漏洞由红帽产品安全团队标记为具有“重要”安全影响。新内核安全更新包含针对影响原始MIDI内核驱动程序的竞争条件漏洞的修复,该漏洞可能导致双重释放或双重重新分配,以及作为导致使用GCC 4.4.7编译的应用程序触发分段错误的修复程序。
此内核更新在使用GNU编译器集合(GCC)版本4.4.7编译的应用程序中的页面错误处理程序中删除了64k限制检查,确保这些应用程序的平稳运行,而不会触发分段错误。
但是,Red Hat指出,删除限制检查对内核本身的完整性没有影响。
“发现原始MIDI内核驱动程序不能防止并发访问,导致snd_rawmidi_input_params()和snd_rawmidi_output_status()中的双重realloc(双重释放),它们是rawmidi.c文件中snd_rawmidi_ioctl()处理程序的一部分。本地攻击者可能会使用它进行权限提升“ - NVD报告CVE-2018-10902如此叙述。
“红帽企业Linux 6和CentOS 6用户必须尽快更新他们的系统”
建议用户尽快安装更新到各自系统的新内核版本。 kernel-2.6.32-754.11.1.el6更新适用于所有支持的体系结构,包括32位(i386),64位(x86_64),s390x和PPC64(PowerPC 64位)。
受影响的系统包括红帽企业Linux服务器6,红帽企业Linux服务器6,红帽企业Linux工作站6,红帽企业Linux桌面6,用于IBM z Systems 6的红帽企业Linux,用于POWER体系的红帽企业Linux,big endian 6,Red Hat Enterprise Linux for Scientific Computing 6和CentOS Linux 6。
了解更多:
https://nvd.nist.gov/vuln/detail/CVE-2018-10902
2019/2/28周四
1、研究发现人们担心隐私 但并不愿意采取行动
根据 IBM 的一项隐私调查,人们确实对隐私越来越关心了,然而他们并没有因此愿意采取行动。调查显示,81% 的消费者表示他们关心企业如何使用数据,87% 的消费者认为需要严格监管个人数据管理,75% 的人认为他们不太信任拥有其数据的公司,89% 的人表示企业在产品如何使用数据上需要更明确。
与此同时,71% 的人表示愿意放弃隐私换取服务,45% 的人修改了产品的隐私设置,16% 的人因数据滥用而选择离开。显而易见,大数据泄露对企业财务风险很小,即使有数据大规模泄漏,企业也无需担心,因为大多数人仍然会继续用他们的服务。
访问报告全文:
https://www.ibm.com/security/data-breach
2、为期半年的净网 2019 将从下个月开始
3、黑龙江省网信办依法关闭一泄露个人信息违规网站
近日,黑龙江省网信办接网民举报,网站“清晰的空气”(备案域名:m.9i0.com;备案许可证号:黑ICP备18004131号—1)在网页中发布大量含有公民个人姓名、身份证号等个人信息,严重侵害了公民个人隐私,造成恶劣的社会影响。经核查,该网站违反《网络安全法》第四十条、第四十一条“网络运营者不得泄露、篡改、毁损其收集的个人信息”“未经被收集者同意,不得向他人提供个人信息”等相关规定。省网信办与该网站负责人马某多次联系未果后,依据《网络安全法》第四十二条“可以责令暂停相关业务、停业整顿、关闭网站”相关要求,迅速协调相关部门和平台,依法注销其主体备案号。
据了解,省委网信办此次处置违规网站重在依法严厉打击侵犯公民个人隐私的违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。
黑龙江省委网信办将继续保持对属地网站的严管态势,并欢迎广大网民向黑龙江省互联网违法和不良信息举报中心举报有关违法违规线索,举报电话:0451—87212377,举报邮箱:hlj2377@126.com。
来源:东北网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/27周三
1、Ubuntu 19.04(Disco Dingo)已进入功能冻结阶段
在Canonical的努力推进下,Ubuntu 19.04(Disco Dingo)近日进入了一个新的重要开发阶段--功能冻结(Feature Freeze)。Ubuntu 19.04已经于2019年2月21日正式进入功能冻结阶段,意味着在4月18日正式版发布之前都不会再引入新的功能。新版将会搭载GNOME 3.32桌面环境和Linux Kernel 4.20内核。
因此Canonical已经敦促所有Ubuntu开发人员和软件包维护人员集中精力修复各种BUG,除了在https://wiki.ubuntu.com/FreezeExceptionProcess允许的例外之外,Ubuntu 19.04(Disco Dingo)系列中不会再添加新功能。
在上周四发布的邮件列表中 Adam Conrad 表示:“根据发布时间表,Disco Dingo现在已经处于功能冻结阶段。理想状态下,开发者将专注于修复错误而不是注入新的功能。”
来源:cnBeta.COM
2、ICANN呼吁全面推进部署DNSSEC 有效阻止“中间人”域名攻击
网络域名管理者互联网名称与数字地址分配机构(ICANN)近日发布警告称,DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统(DNS)来监督管理全球的互联网通信地址,系统将用户在浏览器中输入的地址转换成为唯一的数字地址,从而让用户访问对应的网站。不过ICANN本周五发布公告称,DNS基础设施正成为“恶意活动”的攻击目标。
针对此类DNS攻击,ICANN呼吁全面部署“域名系统安全扩展”(DNSSEC)。 DNSSEC是一种对数据进行数字“签名”的有效技术,可以阻止受害者重定向至恶意网站。通过部署DNSSEC,可以有效阻止“中间人”攻击方式。通过这种攻击方式,欺诈者可以将受害者重定向至精心制作的虚假网站,并诱骗他们提供登录凭证、付款信息以及其他个人信息。
虽然ICANN承认他们提出的解决方案(包括全面部署DESSEC)无法解决所有互联网的安全问题,但应该可以有效降低网络安全风险。不过目前DESSEC的部署情况并不乐观,财富1000强企业中DNSSEC的使用量低至3%。虽然这个数字现在增加到20%,但距离全面部署仍有很长的路要走。
来源:cnBeta.COM
3、新版Android已支持FIDO2标准 免密登录应用或网站
谷歌刚刚宣布了与 FIDO 联盟达成的最新合作,为 Android 用户带来了无需密码、即可登录网站或应用的便捷选项。这项服务基于 FIDO2 标准实现,任何运行 Android 7.0 及后续版本的设备,都可以在升级最新版 Google Play 服务后,通过指纹或 PIN 码来登录常用的应用或网站。
尽管定期更换复杂密码是保证账户安全的一个有效途径,但它们通常冗长且难以记忆(除非你使用统一的密码管理器)。
此外,双因素认证也是一个实用的选项,只是用起来可能较为繁琐,尤其是经常需要满世界跑的人们。
好消息是,得益于谷歌与 FIDO 联盟达成的这项最新合作,我们有望迎来更加安全、便捷的登录选项,比如通过难以窃取或复制的生物识别数据。
值得一提的是,FIDO2 标准还规定了对身份验证数据进行本地处理,因此不会将任何私密信息传输到服务端。
谷歌身份安全产品经理 Christian Brand 表示:“这项技术有一个经常被忽视的要点 —— 不允许用户使用生物识别技术登录,而是秘密已经被共享的模式化身份验证。
如果你的设备未配备指纹传感器,Android 也允许通过其它方式(PIN 码或点线图)进行身份验证。
实际上,以移动网银为主的许多 App(以及 Chrome、Edge、Firefox 等现代浏览器),都已经支持类似的便捷登录功能(点线图、扫脸、或指纹登录)。
尽管当前并非所有 App / 服务提供商都支持 FIDO 登录,但只要开发者有心,都可以借助相关 API 来提供支持。
根据谷歌仪表板上的最新数据,全球约一半的 Android 设备,已做好了对 FIDO 登录提供支持的准备。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
2019/2/26周二
1、三个4G/5G漏洞曝光:可拦截电话和追踪用户位置
多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞,可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示,这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护,并对窃听手机行为提供了更妥善的保护措施,但研究人员表示新型攻击方式可以绕过这些措施。
该论文的共同作者之一Syed Rafiul Hussain向外媒TechCrunch透露:“任何对蜂窝寻呼协议有所了解的人都可以发起此类攻击。”Hussain,以及来自于普渡大学的Ninghui Li和Elisa Bertino,来自爱荷华大学的Mitziu Echeverria和Omar Chowdhury,计划于本周二在圣地亚哥的网络和分布式系统安全研讨会上展示他们的发现。
根据论文描述,这三个漏洞分别为Torpedo、Piercer和IMSI-Cracking攻击。其中最为严重的就是Torpedo,它利用了蜂窝寻呼协议(paging protocol,运营商用于来电或者短信之前通知手机)的弱点,在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议,从而让攻击者追踪受害者的位置。研究人员说,知道受害者的寻呼时机还可以让攻击者劫持寻呼通道,并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。
而基于Torped漏洞,攻击者还可以推进另外2个漏洞。研究人员表示Piercer允许攻击者在4G网络上确定国际移动用户身份(IMSI),而另外一个漏洞名为IMSI-Cracking攻击,它可以在4G和5G网络中暴力攻击IMSI号码,而IMSI号码都是加密状态的。
Hussain表示美国四大电信运营商(AT&T,Verizon、Sprint和T-Mobile)均存在Torped漏洞,攻击者只需要花200美元购买一台无线电通讯设备就能发起攻击。一位不愿透露姓名的内部人士表示,美国的一家运营商已经遭受到了Piercer漏洞的攻击。
来源:cnBeta.COM
2、软件故障导致Lime电动滑板车行驶中锁定 有数十人因此受伤
瑞士和新西兰的用户报告,他们的电动滑板车车轮在行驶过程中突然锁定,导致他们摔倒在地,有数十人因此受伤。当相关报道之后,Lime 于今年一月在瑞士停止了其电动滑板车租赁服务。
上周新西兰奥克兰市也投票暂停其服务。Lime 承认是软件故障导致了这一问题,该公司声称受影响的滑板不到总数的 0.0045%。
Lime 称初步的修正减少了事故发生数量,最终版更新预计将会更快完成。
Lime 称,bug 存在于滑板车的固件中,在极其罕见的情况下它会导致使用过程的过多刹车。这种罕见的情况通常是以最高速度下坡碰到路面坑洞或其它障碍物,前轮制动力过大,导致滑板车意外停止。
3、收买"黑客"盗取海量公民信息出售 32人获刑
正义网讯(记者李立峰 通讯员张海波)近日,重庆市忠县法院对忠县检察院依法提起公诉的汪某等32人侵犯公民个人信息、非法侵入计算机信息系统一案作出有罪判决,32名被告人分别被判处有期徒刑或宣告缓刑,各并处罚金。
2012年左右,任职于重庆某装饰公司的汪某,发现装饰行业需要大量房屋业主个人信息用于电话联系业务。敏锐嗅到“商机”的汪某将自己及公司之前收集的房屋业主个人信息,以及通过购买、交换等方式从他人处获取的大量公民个人信息,向其他装饰公司以及装饰公司业务员出售赚钱。
这种既省力又来钱快的“业务”让汪某尝到了甜头,为赚取更大非法利益,汪某通过网络联系上“黑客”廖某和荣某,对二人以重金收买、送无人机作为生日礼物等手段进行笼络。廖某、荣某二人按照汪某的授意,通过“黑客”技术手段,非法侵入甘肃天水、江西南昌、山东青岛等地政府部门网站,非法获取大量房屋业主信息。汪某将非法获取的信息以每条2元至6元不等的价格向昆明、上海、杭州、贵州、四川、重庆等地的装饰公司出售,获取巨额利益。
2016年8月,忠县公安局以被告人汪某、任某非法买卖公民个人信息为突破口,经过数月侦查,抓获非法买卖、交换公民个人信息及以非法获取公民个人信息为目的的“黑客”、公司“内鬼”、中间商等共50余人。通过对前述人员的审查,一条以“黑客”窃取、非法出售、加价转卖、非法收买、交换公民个人信息,用于商业推销或犯罪活动的黑色产业链清晰显现。
据承办检察官介绍,上述人员为获取价值较高的第一手信息,利用“黑客”手段非法侵入了上海、江苏、广东、浙江等地计算机系统,获取包括姓名、电话号码、出生日期、身份证号码、家庭住址等在内的大量公民个人信息。
通过对上述被告人作案使用的电脑、U盘和QQ进行检查,查获大量公民房产信息、学生信息、新生儿母婴信息、车主信息、住院病人信息等上亿条。经去掉重复信息后统计,涉案信息共3890万条,其中房产信息3120万条,车主信息104万条,学生信息540万条,新生儿母婴信息6000余条,病人信息7万条,银行卡客户信息4万条,另外还有部分贫困户信息、个人征信信息等。涉案信息数量之大、种类之多、信息内容之详尽让人瞠目结舌。上述信息被层层加价转卖获利,其中部分信息被商家买走用于推销产品,部分则被用于电信网络诈骗犯罪等,严重侵犯了公民人身权利和财产权利。
忠县检察院检察官表示,要继续通过办案打击目前侵犯公民个人信息犯罪的猖獗势头,保护公民个人隐私,还老百姓有尊严和安全感的生活环境。
来源:正义网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/25周一
1、Linus Torvalds 谈为什么 ARM 无法赢得服务器市场
2、黑客利用虚假谷歌 reCAPTCHA 隐藏恶意软件
雷锋网(公众号:雷锋网)消息,美国时间 2 月 21 日,据网络安全公司 Sucuri 的博客称,其研究人员发现了冒充谷歌 reCAPTCHA 针对波兰银行用户网络钓鱼活动。
研究人员首先发现了一个与针对波兰银行的网络钓鱼活动相关的恶意文件。攻击者在电子邮件中采用模仿和恐慌/诱饵技术,诱使受害者下载银行恶意软件。
这些钓鱼邮件要求用户确认交易的虚假内容,包含了指向恶意PHP文件的链接,访问者被专门定义了用户代理,显示虚假的 404 错误页面。如果用户使用代理过滤器,将显示虚假的谷歌 reCAPTCHA页面,然后恶意PHP文件会再次检查受害者的浏览器用户代理,根据手机系统执行相关操作,下载对应版本的恶意软件。
原文链接:
https://www.leiphone.com/news/201902/BZgb3rgIvyu0uuCk.html
来源:雷锋网
3、iOS 12全版本越狱工具发布:最高支持iPhone X
经过数月时间编译后,pwn20wnd团队终于发布了unc0ver 3.0.0(最新beta 31,IPA格式),实现了对iOS 12~iOS 12.1.2的越狱。截止发稿,仅A8X~A11芯片的设备支持,也就是最高iPhone X。对于A12芯片,还需要一段时间等待后续更新。
目前,iOS 12最近的两个正式版分别是iOS 12.1.3和iOS 12.1.4。如果你处于上述两大版本但是想越狱的话,可以降级到iOS 12.1.1 Beta 3(IPSW下载,越狱后屏蔽测试通知即可),目前苹果诡异地仍未关闭验证通道(12.1.2正式版已关闭)。
越狱前只要保证设置里没有已下载的OTA文件,就几乎是100%安全,不会在重启后出现引导错误。
另外,unc0ver对Cydia和Substrate有着完善的支持,确保越狱后拥有完善的体验。
虽然越狱日渐式微,但是对于T9拨号、通话录音、通知横幅UI、跨区下载软件等有需求的用户来说,仍然是刚需。
来源:快科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/22周五
1、英国网络安全主管认为华为风险可控
2、部分用户路由器被黑客攻击 或造成访问延迟或失败
2月20日下午消息,近日,部分网友反馈路由器信号不好、网速不快。对此,域名解析服务商DNSPod发布公告解释称,近日监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件。
DNSPod称,该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。
DNSPod为用户提供了临时解决方案,详情如下。
以下为NSPod公告全文:
尊敬的DNSPod用户
近日我们监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件,非DNSPod问题。该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。
临时解决方案:
1、引导报障用户检查无线路由器DNS是否被黑客篡改,并及时修正DNS。可改为运营商默认DNS或者我们对外提供的公共DNS:119.29.29.29或119.28.28.28。
2、建议DNSPod客户临时将江苏电信线路调整使用BGP节点进行覆盖。
3、目前DNSPod也在联合第三方和有关部门(CNCERT等)进一步分析处理,有最新消息将及时同步,详情请关注后续DNSPod及CNCERT的公告。
来源:新浪科技
3、美企给各国黑客排名却没排自己,专家斥:美国黑客才是世界第一
【环球时报记者 王盼盼 王会聪】“黑客技术哪家强?”美国网络安全企业CrowdStrike 19日发布“年度全球威胁报告”,除了老调重弹称“中国、俄罗斯、朝鲜、伊朗政府支持的黑客攻击美国网络”外,还别出心裁地为各国黑客的技术能力做了“排名”,一直被西方媒体热炒的“中国黑客”技能竟然排名倒数。
美国《连线》杂志19日报道称,CrowdStrike 公司曾发现俄罗斯政府支持的黑客两次侵入美国民主党全国委员会网络,试图影响美国大选。报告引入一种衡量黑客技能的新“标尺”——“突破速度”,即从黑客首次入侵一台电脑到扩大其“特权”或从受害者网络进入其他机器的时间。报告自称分析了2018年的3万多次网络攻击,以“俄罗斯熊”“中国熊猫”“朝鲜千里马”“伊朗波斯猫”代称各国黑客,比较其“突破速度”。结果显示,“俄罗斯熊”仅用18分49秒就能入侵目标计算机并盗取信息,速度远快于第二名“朝鲜千里马”的2小时20分钟,“中国熊猫”名列第三,需要4个小时,“伊朗波斯猫”需要5个小时,而以获利为核心目的的网络犯罪黑客“蜘蛛”需要近10小时。
CrowdStrike公司首席技术官Alperovitch称,“俄罗斯(黑客)确实是最好的对手,我们曾与他们打斗,他们快得令人难以置信”。不过他同时承认,CrowdStrike公司的数据并不包括来自“五眼联盟”国家的黑客攻击,“我猜想他们可能在名单中位居最前列”。
针对西方政府和媒体频繁炒作“中国黑客”问题,中方曾多次表示,坚决反对并打击任何形式的网络攻击、窃密活动,反对个别人借此抹黑中国。中国网络空间战略研究所所长秦安20日对《环球时报》记者表示,网络攻防比的是信息网络技术的积淀、网络安全产业的根基。从这方面来说,美国的黑客技术才是世界第一。美国是互联网缔造者和网络战始作俑者,无论是资源还是技术,都有极大的优势,其133支全球作战的网络战部队早已部署到位,最近又要扩编网军。但另一方面,网络攻防是一种非对称极强的技术行为,传统强国不一定强,弱国也不一定弱,我们要从中看到差距,抓紧补短板。
来源:环球网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/21周四
1、CrowdStrike发布2019网络安全威胁报告 黑客最快20分钟内得逞
CrowdStrike 刚刚发布了最新一期的全球网络安全威胁报告,指出在安全漏洞曝出之后,黑客最快可在不到 20 分钟的时间内展开行动。去年的时候,这家安全研究机构引入了“突破时间”的概念,特指首个节点设备遭到黑客入侵后,攻击者在网络中横向移动所需的时间。
CrowdStrike 表示,最新报告基于超过 3 万次企图入侵的数据。
CrowdStrike 衡量了各个地区的平均行动速度,发现在利益的驱使下,网络攻击者的行为,呈现出了一定的差异化。
以俄罗斯为例,CrowdStrike 发现那里的黑客是行动最快的。在最初攻击开始后的第 18 分钟,即可在网络中横向移动。
不过排名第二的组织,平均耗时已达 2 小时 20 分,最慢的更是接近 10 个小时。
2018 年开始的调查还显示,针对大型组织发动的勒索软件攻击、以及黑客之间展开的复杂合作,已经变得愈发常见。
来源:cnBeta.COM
2、独立安全评估公司在流行的密码管理器中发现重大安全漏洞
据外媒Softpedia报道,对于那些希望抵御不断增长的攻击数量的计算机用户来说,密码管理器几乎是强制性的,但是最近的研究发现了Windows 10中四个最受欢迎的此类应用程序中的一个重大安全漏洞。
独立安全评估公司(ISE)在Windows 10上对1Password,Dashlane,KeePass和LastPass 进行了安全审计,结果令人担忧。所有这些都将主密码以明文形式保存在PC内存中,这意味着有权访问计算机的黑客可以轻松读取,然后访问存储在密码管理器中的所有数据。主密码是密码管理器用来保护应用程序的密钥,用户在解锁时需要提供密码。
安全研究人员发现,只要密码管理器本身处于锁定状态,该主密码就会以明文形式保留在设备的内存中。这意味着密码管理器已经启动,解锁,然后出于安全原因自动锁定。
“使用专有的逆向工程工具,ISE分析师能够快速评估密码管理器在锁定状态下对密码的处理。ISE发现标准内存取证可用于提取主密码及其应该保护的密码,“研究人员解释说。重要的是要知道从PC内存中读取主密码需要访问设备,无论是物理还是远程。
此外,该报告还强调,尽管此处发现了明显的安全风险,但仍建议使用密码管理器,因为它们会针对依赖弱密码的典型攻击添加额外的保护层。虽然ISE建议开发人员改进密码管理器清理内存的方式,但用户应避免将密码管理器保持在其设备上的锁定状态。
了解更多:
https://www.securityevaluators.com/casestudies/password-manager-hacking/
来源:cnBeta.COM
3、隐藏在 USB 线里的 WIFI
2019/2/20周三
1、旅客发现新加坡航空公司的信息娱乐系统配有嵌入式摄像头
信息娱乐系统在航班上变得越来越普遍,虽然并不是每个人都觉得它们非常有用。但是,如果您碰巧乘坐新加坡航空公司升级后的飞机之一,可能会担心这套系统会默默地盯着您。因为有旅客意外发现,这些新的机上娱乐系统默认配有摄像头,但该航空公司坚持认为它们是被默认禁用的。
鉴于嵌入式摄像机几乎难以看到,很少有人注意到这一点或者提出异议。然而,它没有逃脱Twitter用户Vitaly Kamluk敏锐的目光,消息很快被捅到社交媒体上。
新加坡航空公司对此做出了回应,但并没有给任何人带来解决方案。公司承认每个系统都有一个摄像头,因为它包含在OEM提供的硬件中,无法被移除。不过,该航空公司还澄清说,这些摄像机已被禁用,并且他们没有使用它们的计划。
为什么一个机上娱乐系统会安装一个嵌入式摄像头?一些评论提到,无论是新加坡航空公司还是机上设备的原始制造商都只是使用了改装的廉价平板电脑当成机上娱乐系统而已,而现在几乎所有平板电脑都配备了前置摄像头,因此这很有可能并非是有意为之,但无论如何,一个摄像头总是看着你是非常令人不安的。
来源:cnBeta.COM
2、Firefox Monitor已经被集成到Firefox 主动向用户提醒账户被盗用
早在去年9月,我们就报道了Mozilla与Have I Been Pwned合作,让用户知道他们的帐户是否在数据泄露期间遭到入侵。当时该公司正在使用Have I Been Pwned并将其服务命名为“Firefox Monitor”。现在,Mozilla正在将该功能直接集成到Web浏览器中,因此您无需访问Firefox Monitor来检查您的帐户是否已被盗用。
该功能目前正在测试中,很快将推出给Firefox用户。目前,如果您想尝试一下,可以下载Firefox Canary版本并找到首选项“extensions.fxmonitor.enabled”并将其值更改为true。
启用该功能后,一旦您前往最近被黑客入侵的网站,您将收到一个弹出窗口,上面写着“在此网站上拥有一个帐户?”单击弹出窗口,就将被重定向到Firefox Monitor,从而可以检查您的帐户是否已被盗用。
对于那些并不总是掌握安全漏洞最新更新的人来说,这是一个很好的功能,但Mozilla肯定不是第一家实现该功能的公司。谷歌最近发布了一款名为“密码检查”的Chrome扩展程序,它使用类似的机制在帐户遭到入侵时向用户发出警告。
该特性有望在Firefox 67上与用户见面。
来源:cnBeta.COM
3、瑞典医疗热线泄露270万条通话记录:涉及诸多敏感信息
援引瑞典科技媒体Computer Sweden报道,拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上,并且没有经过任何的加密和身份认证,意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。
外媒Computer Sweden表示曾聆听了部分录音信息,其中包括患者的疾病、目前服用的药物以及相关病史等敏感信息。甚至在部分通话中要求描述孩子的症状并要求提供他们的社会安全号码。
部分文件中还包括这些通话的个人电话号码。数据库中出现了大约57,000个号码,其中许多是呼叫者的个人号码,因此可以轻松地将信息与特定人员匹配。目前还不清楚这些电话可用多长时间,谁应该为违规行为负责,以及是否有任何不良恶意成员已经访问过这些信息。
以上图片均来自于 Computer Sweden
不过似乎这些泄露的通话都发给1177Vårdguiden的分包商Medicall,后者是一家总部位于泰国,由瑞典人创办的公司。当被问及违规行为时,尽管存在压倒性的相互矛盾的证据,但医疗保健首席执行官大卫·尼布洛姆否认了这一情况。芬兰安全技术公司F-Secure的首席风险官Mikko Hypponen在推文中表示:“拨打给MEDICALL服务热线的通话记录以WAV音频格式存储在不安全的服务器上。”
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
2019/2/19周二
1、澳大利亚议会遭黑客攻击,莫里森称攻击者是海外政府
新京报快讯(记者 黄钟方辰)据《联合早报》,当地时间2月18日,澳大利亚政府称,该国主要政党与议会的电脑系统遭到外国政府的攻击。
据路透社,澳大利亚总理莫里森称,黑客入侵了澳大利亚主要政党的网络。“我们的网络专家认为,一个成熟的国家行为体应对这种恶意的行为负责。”他说。由于澳大利亚将于今年5月举行选举,立法者称,在网络情报机构发现对国家议会计算机网络的攻击后,他们紧急更改了密码。
法新社报道,莫里森没有点名任何国家。他表示,目前,没有证据显示选举遭到了干预。他也表示,当局已采取多项措施让选举不受海外干预。
来源:新京报
2、安全研究人员:Twitter私信被删除后仍会被存档数年
外媒Mashable援引TechCrunch报道称,安全研究人员Karan Saini近日发现,他能够检索他多年前删除的旧的Twitter私信(DM)。 Saini表示,他从属于Twitter帐户的收件人档案文件夹中删除了旧的已删除的Twitter消息。
Twitter允许发件人删除他们的DM消息,但消息只从发件人那边删除而不是从收件人那边删除(反之亦然)。
“DM从未被'删除' - 而只是被禁止出现在用户界面中,”Saini在Twitter上说道。“存档功能可让您查看这些DM,以及其他已暂停或已停用用户的DM。”Saini还能够使用现已弃用的Twitter API来恢复发件人和收件人的旧私信。
Saini的发现与Twitter的隐私政策不符,该政策规定数据仅在“停用后最多30天”存储,以允许用户恢复其帐户。
30天后,如果用户尚未恢复其帐户,数据应该已经消失...... 而Saini和TechCrunch的调查结果认为情况并非如此。TechCrunch的记者表示,他们能够“恢复多年前的私信 - 包括以后已暂停或删除帐户的旧消息。” 他们能够检索2016年删除的私信。
Twitter尚未回复置评请求。
3、2018年近50亿条个人信息被泄露 内部漏洞远高于黑客攻击
如果问你互联网有哪些坏处,个人信息泄露肯定要“高居榜首”。
与2017年相比,2018年公开的数据泄露事件有所下降。数据泄露数量下降了三分之一,从79亿条下降到50亿条。
据安全情报提供商Risk Based Security(RBS)的一份报告显示,2018年公开披露的超过6500起数据泄露事件中,有三分之二来自商业部门。同时,政府部门占13.9%,医疗部门占13.4%,教育部门占6.5%。
RBS收集和分析的数据显示,非常严重的数据泄露事情还将继续发生,而这对人们的个人隐私有着很大影响。2018年,有12起数据泄露事件涉及人数超过1亿或更多,这些泄露事件占2018年所有记录的74%。
截至目前,2018年最大的数据泄露事件是Aadhaar印度国家身份认证系统。该泄露事件于2018年3月被曝光,涉及11亿印度个人信息,包括国家公民身份号码、姓名、电话号码、电子邮箱、住址及照片等。
其他较大规模的数据泄露还有万豪集团旗下喜达屋酒店的一个顾客预订数据库被黑客入侵,近5亿人次的详细个人信息被泄露;华住酒店集团1.3亿消费者的个人信息在暗网售卖,泄露内容包括卡号、姓名、手机号、身份证号、登录密码、入住时间、离开时间等。
从这些泄露发生的原因看,有些数据泄露并不是黑客利用安全漏洞所致,而是错误的行为导致数据可被网上公开访问。
比如美国的市场营销公司Exactis,因数据库配置错误,导致2.3亿用户和1.1亿商业联系人的个人详细信息可被公开访问。
泄露的另一个常见原因是欺诈或社工,公司内部人员有意或无意地与未经授权的第三方共享数据。政治咨询公司剑桥分析通过第三方应用程序从8700万Facebook用户档案中获取数据的事情属于这一类。
根据RBS的分析,在去年4508起数据泄露事件中,黑客攻击是导致数据泄露的最常见原因,其次是略读(453)、网络相关泄密(268)、网络钓鱼(177)和恶意软件(160)。
但是,在查看每个数据泄露的公开记录数时,网络类别占39%,其次是黑客占28%,欺诈占25%,数据处理不当占7%。
“在2017年以前,黑客攻击是最常见的漏洞类型,也是数据泄露事件的主要‘贡献者’,”RBS分析师在他们的报告中说。
大部分泄露事件(5433起)是外部威胁造成的结果,其中有925起是内部威胁造成,无论是恶意的,还是偶然的,有157种都是因未知原因造成。换句话说,因内部因素的漏洞暴露的数据记录远远超过黑客窃取,比如错误配置的错误和其他数据处理器错误。
数据泄露发现和报告之间的平均天数为49.6%,这与2017年相比略有增加。考虑到2018年欧洲生效的《GDPR》法规要求,数据泄露被发现的72小时内需要向监管机构报告。
然而,值得关注的是72小时窗口期仅仅是向监管者报告,而不是公众。如果确实存在高风险,公司有义务通知受影响的个人。
来源:天极网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/18周一
1、Debian 9.8发布 修复48个安全问题与90个 bug
Debian 9.8 发布了,9 系列代号 stretch,这是其第 8 个更新,此版本主要是修复了安全问题,以及对其它严重问题的解决。这类“point release”不是全新的发布版本,而只是更新了一些包含的软件包,用户没有必要扔掉之前的 9 版本,只需要使用最新的 Debian 镜像将软件包升级到当前版本。
此版本共修复了 90 个 bug、打了 48 个安全补丁,覆盖了 curl、openssh、php 7 与 ceph 等众多软件包,此外还移除了一些包,详情查看更新公告。
来源:开源中国
2、微软新专利:“恶意屏蔽”功能来减缓网络欺凌问题
多年来多公司努力尝试解决网络欺凌问题,甚至尝试利用机器学习等AI技术来识别在线欺凌事件。不过在可以自由表达自己情绪的互联网世界里,“恶意”的虚拟环境反而成为此类事件猖獗的温床。然而每个人对“恶意”网络环境的定义都存在差别,对于可能冒犯他人的话语有不同的观点和解释。
微软似乎带来了一个非常有趣的解决方案,在最新专利中设想了一个个性化的“恶意屏蔽”功能,可以根据用户的喜好监控通信和审查数据。这些通信可以包括基于语音或基于文本的聊天,例如多人游戏会话中的聊天,甚至可以扩展至视频直播中的图形展示。此外该系统还可以部署到在线Web会议或者VR/AR会话中。
“恶意屏蔽”会过滤的内容不仅包括咒骂,还可能包括各种不良行为,例如有人在麦克风前大口喘息,或者在虚拟环境中离你靠的太近。“恶意屏蔽”可以分析“公差数据”以部署特定于用户的毒性屏蔽模块(TSM),这些TSM还可以基于通过机器学习引擎生成的预测模型,该机器学习引擎分析对毒性行为的反应。可以选择默认配置文件以向引擎提供其所需的所有信息,而用户也可以为相同目的手动设置。
来源:cnBeta.COM
3、1.8 万 Android 应用违反 Google 政策跟踪用户
AppCensus 的分析发现,安装量从数千到数亿次的 1.8 万 Android 应用违反了 Google Play 的广告 ID 政策,收集用户的永久性设备标识符如序列号、IMEI、WiFi MAC 地址、SIM 卡序列号。
这些应用将永久性标识符和广告 ID 发送到各种广告服务的域名。Android 广告 ID 禁止广告标识符在未获得用户明确许可的情况下与个人身份信息或任何永久性设备标识符(例如:SSAID、MAC 地址、IMEI 等)相关联。
违反这一政策的流行应用包括 Clean Master、Subway Surfers、Fliboard、My Talking Tom、Temple Run 2 和 Angry Birds Classic。这些应用的安装量都过亿次。
Google 发表声明称它将对此采取行动。
来源:solidot.org
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/15周五
1、研究人员使用 Intel SGX 让杀毒软件无法扫描恶意程序
2、欧盟达成一致:加强打击谷歌等科技公司不公平竞争
欧盟国家、欧盟委员会和欧盟立法人员今日达成一致,准备通过立法来遏制谷歌和苹果等科技公司不公平的竞争行为。去年4月,欧盟委员会提出了一项名为“平台到企业监管”(platform-to-business,P2B)的立法提案,希望阻止应用商店、搜索引擎、电商网站和酒店预订网站的不公平商业行为,以此确保科技公司与传统企业获得公平待遇。
该立法提案需要得到欧盟国家和欧洲议会的批准才能正式生效。一旦生效,亚马逊市场(Amazon Marketplac)、eBay、苹果App Store、Google Play、Facebook市场、Booking.com和Leboncoin.fr等都有可能受此影响。
由于担心隐私和数据安全等问题,欧盟最近几年出台了许多更加严格的法规,对谷歌、苹果和亚马逊等美国科技巨头主导的在线市场进行监管。
去年5月,欧盟新的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)正式生效,谷歌、 Facebook,以及Facebook旗下WhatsApp和Instagram等均第一时间被投诉。
GDPR旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款,而代表谷歌、亚马逊和eBay等公司利益的科技行业游说团体CCIA表示,没有证据显示目前存在系统性问题,因此不应该施加更多监管。
上周,德国反垄断监管机构“联邦卡特尔局”宣布,将打击Facebook的数据收集行为。之前,联邦卡特尔局曾裁定Facebook滥用其市场主导地位,在用户不知情或不同意的情况下收集用户信息。
来源:新浪科技
3、盗版者利用苹果技术漏洞 发布破解版iPhone应用
软件盗版者利用苹果公司设计技术存在的漏洞,在iPhone上分发破解版Spotify、《愤怒的小鸟》(Angry Birds)、《口袋妖怪GO》(Pokemon Go)、《我的世界》(Minecraft)以及其他流行应用。
非法软件分销商TutuApp、Panda Helper、AppValley和TweakBox,已经找到了使用数字证书的方法来访问苹果推出的程序,该程序允许企业在不经过App Store的情况下,向他们员工分发商业应用程序。
利用企业开发者证书,这些盗版操作向消费者提供了流行应用的修改版本,使他们能够在没有广告的情况下播放音乐,并规避游戏内的收费和规则,从而剥夺了苹果和合法应用开发商的收入。
盗版应用发行商的这种行为违反了苹果开发者项目规则,这一规则只允许通过App Store向公众分发应用程序。而下载这些经过修改的版本,违反了几乎所有主要应用程序的服务条款。
来源:网易科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
2019/2/14周四
1、VFEmail遭黑客攻击 美国区所有数据被删除且无法恢复
援引外媒Ars Technica报道,VFEmail所有者Rick Romero近期发现有黑客试图系统性破坏公司的服务硬盘,其中包括备份和冗余。根据该电子邮件服务提供商在官网上发布的通告,其美国服务器上的“所有数据”已经完全消失,而且似乎无法恢复。Romero在推文中表示:“是的,@VFEmail已经彻底消失了。我从未想过有人会如此关心我心爱的产品,以至于他们想要彻底摧毁它。”
Romero表示攻击者使用“aktv@94.155.49.9”的IP地址,应该是使用虚拟机和多种访问方式来进行攻击的,包括双因素身份认证在内没有一种现成的保护方法能够让VFEmail免受攻击。目前攻击者的动机不明。攻击者并没有勒索赎金。
来源:cnBeta.COM
2、瑞士电子投票系统邀请黑客来寻找漏洞 总奖金达到15万美元
瑞士政府在本月晚些时候将测试基于互联网的电子投票系统。瑞士政府表示,在这次测试当中任何能找到系统Bug的人可以获得高达50000瑞士法郎(约合50000美元)的奖金。瑞士政府这次提供的总奖金达到150000瑞士法郎(约150000美元)。
想要参与测试的白帽黑客可以注册“公共入侵测试”(PIT)项目。瑞士邮政系统将在2月24日至3月24日之间进行一次选举测试,这是一次典型的瑞士联邦选举,在此期间,任何注册的白帽黑客都可以自由发现和报告漏洞。
瑞士政府计划在2019年10月前将其电子投票能力扩大到瑞士联邦所有26个州的三分之二。在过去的14年中,该国已经进行了300多次电子投票系统的试验,但现行规则将电子投票的数量限制在全民公投总数的10%和宪法修正案投票总数的30%。然而,电子投票扩张计划遭到了政客们的反对,他们声称目前的电子投票系统不安全,昂贵且容易被黑客入侵。
瑞士政府表示,对于操纵无法检测到的投票,奖金范围从30000至50000瑞士法郎(30000至50000美元)不等,如果审计员能够检测到操纵,奖金将降至20000瑞士法郎(20000美元)。这次测试当中,黑客最低可以获得100瑞士法郎(100美元)的奖金。
瑞士法律保证每个瑞士公民都有投票权,无论他们目前是否居住在该国。此前,海外公民一直在推动电子投票,他们认为邮寄选票的方式经常被延迟,让投票变得不可靠。投票行为在瑞士常见,瑞士的直接民主制度意味着,仅在过去两年就有十几次国家级投票。
来源:cnBeta.COM
3、微软产品过去12年曝出的七成漏洞源自内存安全问题
微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露,软件巨人旗下产品过去 12 年修复的所有漏洞,七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语,描述应用程序以不会导致错误的方式访问操作系统内存。
当软件无意或有意以超出其分配大小和内存地址的方式访问内存时,就会出现内存安全漏洞。
缓冲区溢出、竞争条件、分页错误、空指针,堆栈耗尽,堆耗尽/损坏、释放后使用或双重释放等术语描述的都是内存安全漏洞。
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多资讯:
2019/2/13周三
1、安全专家发出警告:黑客正在测试感染Mac的新方法
趋势科技发出警告,黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性,将包含恶意软件的可执行文件部署到受害者的计算机上。据悉,这家安全企业是在分析 Little Snitch 时,发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为,黑客仍在研究恶意软件及其使用方式。
需要指出的是,Mac 用户无法安装 EXE 文件,这是 Windows 使用的可执行文件格式。如果 macOS 用户尝试安装 EXE 文件,那他们将看到一条错误提示。
然而黑客似乎已经找到了这个问题(尤其是攻破 Gatekeeper)的解决办法 —— 将 EXE 文件打包在 DMG 文件中(后者是 Mac 上的应用程序封装格式)。
趋势科技在报告中指出,自家安全研究人员在野外发现了其中一种恶意软件。它能够绕过 Gatekeeper,因其只检查和验证 macOS 上的本机文件。
在对 Little Snitch Setup.dmg 安装程序进行分析后,我们发现其中包含了 EXE 格式的可执行文件。
不过,目前在未发现与恶意软件相关的特定攻击模式,大多数感染发生在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国地区。
由于 EXE 文件无法在 macOS 上运行,因此攻击者需要将之与 Mono 捆绑在一起。后者是一个免费框架,可让 Mac 用户运行 Windows 可执行文件。
据悉,在感染系统之后,恶意软件能够收集大量数据,包括已安装的其它应用程序、型号、名称等内容。最终,研究人员指出:
这类恶意软件是专门针对 macOS 用户设计的,因为当尝试在 Windows 上运行恶意软件时,反而会发生错误。
对此,我们的建议依然是 —— 避免从未经验证的来源下载软件和其它文件、并在 Mac 上启用多层防护。
来源:cnBeta.COM
2、WordPress曝出插件漏洞 允许任何用户接管网站
使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。
然而最新曝光的漏洞,允许任何能够在网站上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。
安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已超过 50 万次。WordPress 声称,其已被超过 4 万网站采用。
这意味着平台上搭建的诸多网站,可能已经受到了该漏洞的影响。万幸的是,安全研究人员已于上周向 WordPress 汇报了这个问题,而官方在第二天就已经发布了更新。
当然,为了确保安全,请务必将该插件升级到最新的 2.0.22 版本。
来源:cnBeta.COM
3、微软称无法访问Windows Update故障已修复 如仍故障请联系当地ISP
本月早些时候,部分Windows 10用户反应其PC无法访问Windows Update更新服务,也无法从Mcirosoft获取更新的问题。微软在随后称已经获悉该问题,确认系由外部DNS提供商的中断导致,在最近的支持文档中,微软称Windows Update服务已经修复,更新功能应该恢复正常。如果Windows Update仍然无法正常工作,Microsoft建议用户与其ISP联系。
Microsoft解释说
因受到外部DNS服务提供商全球中断导致的网络基础设施事件影响,Windows Update用户在近期无法服务。由于外部DNS供应商的一项服务器端更新,导致DNS记录损坏,影响了Windows Update的更新分发服务,影响了访问连接。 DNS记录在2019年1月30日(UTC时间00:10)恢复,但下游效应仍在继续。我们观察到这个问题已经得到充分缓解,大多数本地互联网服务提供商(ISP)已经更新了他们的DNS服务器,Windows Update服务已经恢复。如果您仍然遭遇下载失败,请联系您当地的ISP供应商。
虽然这并非微软服务的问题,但我们会严肃对待客户的任何服务中断。我们将与合作伙伴共同努力,以更好地理解这一点,以便我们能够在未来提供更高质量的服务,无论全球网络供应商如何复杂多元。
2019/2/12周二
1、肯尼亚国家身份证强制关联DNA Mozilla为此发出警告
Mozilla 对肯尼亚的新国家身份证发出了警告。肯尼亚议会上个月通过了对国家身份法的修订,国家综合身份管理系统(National Integrated Identity Management System,缩写 NIIMS)现在要求所有肯尼亚人,移民和难民交出 DNA,住宅地址 GPS 坐标、视网膜扫描、虹膜,语音波形和耳垂几何图。
NIIMS 将整合其它政府数据库信息,生成名为 Huduma Namba 的唯一识别码。
修正案是在没有公开辩论的情况下通过的,Mozilla 对中心化身份识别系统的安全问题、监控问题和歧视问题提出了担忧,认为推行数字身份识别系统至少需要配合强有力的隐私数据保护法规。
来源:solidot.org
2、使用 IE 作为默认浏览器的危险
3、用户投诉美国交友平台OKCupid:系统漏洞致帐号遭攻击
北京时间2月11日早间消息,据美国科技媒体TechCrunch报道,有用户投诉称,自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码,导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址,使得他也无法重置自己的密码。
用户表示,OKCupid并没有发送邮件让他对信息修改做出确认,而是盲目地接受了更改。
OKCupid客服在回应投诉时表示:“不幸的是,我们无法提供任何未连接到你电子邮件地址的帐号的详情。”随后,黑客还发送奇怪的短信骚扰他。
报道称,这并不是孤立事件,过去几天已有多人表示,他们的OKCupid帐号被黑。
另一名用户最终找回了自己的帐号。他表示:“在两天持续的破坏控制后,OKCupid终于为我重置了帐号。”
一些用户表示,他们无法解释,自己的密码是如何泄露的。他们在OKCupid上使用独有的密码,这些密码没有在其他任何应用或网站上使用。
OKCupid发言人表示:“OKCupid没有发生信息安全事故。所有网站都会面临黑客攻击的尝试,但OKCupid账号被黑客控制的情况并没有增加。”
关于OKCupid计划如何防止未来的黑客攻击,该发言人表示,公司没有进一步的评论。
评论称,对OKCupid这样的平台来说,有效解决这方面问题的一种方式是启用双重认证。但许多主要交友平台,包括Match、PlentyOfFish和Zoosk,都没有启用双重认证。
来源:新浪科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/11周一
1、SHECA根证书已经被纳入Mozilla证书库
2018年末,Mozilla发布更加安全的网络安全服务NSS 3.41版本,SHECA(Shanghai Electronic Certification Authority Co., Ltd. 上海市数字证书认证中心)根证书 UCA Extended Validation Root 和 UCA Global G2 Root 正式纳入Mozilla根证书库,并已在火狐V65更新到浏览器中。
这是自NSS 3.34 GDCA TrustAUTH R5 ROOT受信于Mozilla后,国产品牌数字证书再一次被纳入NSS。
NSS 3.41更新详情:
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.41_release_notes
UCA Extended Validation Root 证书链演示网站
https://rsaevg1.good.sheca.com/
UCA Global G2 Root 证书链演示网站
https://rsaovg3.good.sheca.com/
小知识:
NSS(Network Security Services)是由Mozilla主导,火狐浏览器和其他许多软件(包括Google Chrome(非Windows平台)、安卓、Apache、Java、Red Hat等)共用的一组支持客户端和服务器端安全通信服务的跨平台开发库,客户端支持智能卡,而服务器端支持硬件SSL加速。NSS提供了支持安全套接字层(SSL)/传输层安全(TLS)和S/MIME加密库的一个完整的开源组件。
来源:cnBeta.COM
2、 谷歌Play应用商店又现恶意软件 窃取用户的虚拟货币
研究人员日前表示,谷歌Play应用商店被发现存在一款恶意应用,其目的是窃取用户的虚拟货币。计算机安全软件厂商Eset研究人员卢卡斯·史蒂凡科(Lukas Stefanko)发表博文称,这款恶意件伪装成合法的虚拟货币应用,能利用属于黑客的钱包地址取代拷贝到Android剪贴板中的钱包地址。利用这款应用把虚拟货币转入自己选择的钱包中的用户,会把虚拟货币转入黑客的钱包。
谷歌Play中的这款剪贴恶意件模仿了一款被称作MetaMask的服务,MetaMask使浏览器能运行支持虚拟货币以太坊的应用。被Eset称作Android/Clipper.C的这款恶意件,主要目的是窃取可以控制以太坊的证书。它也可以利用属于黑客的钱包地址取代被拷贝到剪贴板中的比特币和以太坊钱包地址。
在2月1日登陆谷歌Play不久后,Eset就发现了Android/Clipper.C。谷歌已经下架了这款恶意应用。史蒂凡科表示,这是剪贴恶意件首次现身谷歌Play。
Android/Clipper.C被发现是谷歌不能确保其应用商店中不会存在恶意件的又一个证据,这意味着用户在谷歌Play下载应用时也需要小心谨慎。
来源:凤凰网科技
3、谷歌浏览器又开始隐藏网址的HTTP/HTTPS/WWW前缀
谷歌浏览器在去年的十周年版里开始隐藏网址WWW前缀,不过这个做法引起争议之后谷歌又迅速对其恢复。但是当时谷歌已经提前预告后续版本依然还会继续进行隐藏,蓝点网在谷歌浏览器测试版中发现果然又隐藏了。当然此前提前预告也说明谷歌将会强力推行这个变更,所以后续估计谷歌也不会再提供选项让用户进行恢复。
HTTPS/HTTP/WWW被隐藏:
说实话目前谷歌这种做法具体原因是什么我们并不清楚,如果说为简化网址方便用户们记忆或许倒是个优点。但这种做法实质不但会影响众多网站部署习惯,同时隐藏 WWW 前缀和HTTPS或HTTP也存在潜在安全问题。
按照域名属性来看带WWW和不带WWW分别属于两个域名,尽管绝大多数网站都将不带WWW做跳转处理。潜在的安全问题主要是用户在网页完成 HTTPS 握手前无法知晓当前的网页链接是HTTP连接还是HTTPS连接。谷歌浏览器极力推动 HTTPS 也让用户更习惯加密连接,所以不少用户对于HTTP连接网站已经直接选择放弃。而谷歌浏览器新版则必须完成握手才能通过地址栏小锁来分辨,追求极致安全的用户可不愿使用 HTTP 连接。
移动版的M前缀暂时还会保留:
不少非HTML 5网站分为电脑版和移动版本,其中电脑版多数使用WWW前缀而移动版本则使用M这个前缀。这次变更虽然会隐藏WWW前缀但至少暂时还不会对M前缀下手,所以移动版本中的M前缀还会继续被显示。但同理即便保留M前缀也不会显示HTTPS或者HTTP协议, 只能通过网址前面是否带有小锁来判断连接类型。
暂时还会可以恢复显示WWW前缀:
复制下列地址在谷歌浏览器地址栏中粘贴并回车, 然后将其默认的Default选项修改为Enabled再重启即可。当然正如前文所提未来谷歌大概率会移除这个设置选项, 然后就再也不能恢复网址的HTTPS和WWW前缀。
chrome://flags/#omnibox-ui-hide-steady-state-url-scheme #修改后点击右下角的按钮重新启动谷歌浏览器即可恢复WWW前缀
来源:蓝点网
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
2019/2/1周五
1、数以百万的Xbox One用户突然发现主机黑屏变砖
太平洋时间1月30日上午,数以百万计的Xbox One主机用户发现他们的主机在开启电源后,出现了长时间的黑屏。许多用户以为他们的主机彻底变砖没救了,并开始在社交媒体平台抱怨。
这让数以百万的玩家面临恐慌
推特和红迪网涌入了绝望的用户,声称不管是软重启还是硬插拔,他们的XB1主机就是无法正常启动。一位用户声称,他尝试长按用Xbox键+A键的组合时,差点成功把主机救活,但最后只出现了一个提示“需要更新至最新软件”的界面,而这一更新此时尚未发布。
上午10点时,Xbox支持团队声称已经获知了这一问题,并在紧急调查研究起因。在半小时后,Xbox项目经理Brad Rossetti声称他们已经发现了原因,本次故障由一次“服务器变更”引起,Rossetti称团队正在努力工作回滚至原先的服务版本,当时未给出具体完成时间。
不幸的是这种情况并不罕见,尤其是在假期季索尼和微软的主机网络服务经常发生服务中断故障,导致大量玩家受到影响。
来源:cnBeta.COM
2、Google 谈论杀死网址的第一步
去年 9 月,Google Chrome 团队透露了受争议的杀死 URL 的计划。URL 是 Uniform Resource Locator(统一资源定位符)的缩写,用户无需记住复杂的 IP 地址而只需要记住域名就能访问一个网站。但随着 Web 功能的扩展,组成网址的字符串日益复杂和难以理解。
Google Chrome 团队设想在增强 Web 安全和确保网站身份完整性的同时为用户分享链接提供方便。
Chrome 可用性安全团队负责人 Emily Stark 在湾区 Enigma 安全会议上谈论了搜索巨人杀死网址的第一步。
Stark 强调,Google 没有试图在消除 URL 的同时引发混乱,相反它想要让黑客更难利用用户对网站身份的混淆。目前复杂的 URL 让黑客可以进行钓鱼或其它欺骗性攻击。
Chrome 团队当前的重心是在防钓鱼攻击上,其基础是名叫 TrickURI 的开源工具,它可以检查 URL 是否准确和一致,对潜在的钓鱼 URL 向用户发出警告。
来源:solidot.org
3、路透:阿联酋利用间谍工具Karma监视iPhone用户
据路透社报道,由美国政府前情报人员组成、为阿拉伯联合酋长国效力的一个团队,在一款名为“Karma”的复杂间谍工具的帮助下,侵入了政治活动家、外交官和其他外国领导人的iPhone手机。报道称,此举表明,强大的网络武器正从世界超级大国扩散到较小的国家手中。
据路透社接触到的6名前政府情报人员和一些项目文件显示,这款网络工具允许这个海湾小国从2016年就开始监视数百个目标,从卡塔尔的埃米尔(伊斯兰教国家对上层统治者、王公、军事长官的称号)和一名土耳其高级官员,到也门的一名诺贝尔和平奖得主和人权活动家。
据悉,Karma被阿布扎比一支具有进攻性的网络作战团队使用,该团队成员由阿拉伯联合酋长国安全官员和美国前情报人员组成,为阿拉伯联合酋长国的情报部门效力。
知情人士称,Karma作为一款工具,只需将电话号码或电子邮件帐户上传到自动定位系统,即可远程获得对iPhone的访问权。但该工具也有其局限性,即不能在Android设备上使用,也不能拦截电话。
虽然如此,Karma的能力还是异乎寻常的强大,因为不像其他攻击方法,Karma不需要用户参与点击一个链接。
报道称,在2016年和2017年,Karma被用于从目标iPhone上获取照片、电子邮件、短信和位置信息。这项技术还帮助黑客获取了用户在手机上保存的密码,可以用来进行其他攻击。
目前尚不清楚Karma是否仍在使用中。据这些前特工人员称,到2017年底,苹果对iPhone软件进行的安全更新已经大大降低了Karma的效力。
来源:新浪科技
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
