各位Buffer早上好,今天是2019年6月12日星期三。今天的早餐铺内容主要有:手机APP应用权限规范发布;游戏网站Emuparadise的数百万会员账号再遭泄露;数据显示:中国遭受的网络攻击主要来自美国;微软删除世界最大公开人脸识别数据库;黑客利用WordPress聊天插件漏洞注入文本、窃取日志;国泰航空曾遭遇两次入侵。

安全资讯早知道,三分钟听完最新安全快讯~

Egg-Tomatoes-Salmon-Brunch-Roll-Food-Breakfast-4060711.jpg

手机APP应用权限规范发布

全国信息安全标准化技术委员会发布了《网络安全实践指南 —— 移动互联网应用基本业务功能必要信息规范》,根据个人信息收集最少够用原则给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易 16 类基本业务功能正常运行所需的个人信息,但仅供参考,也就是并不会强行推广或执行。《规范》称地图导航应用的必要权限是定位,但以百度地图为例,流行导航应用索要的权限包括用户帐户、修改系统设置、手机号码和通讯录等敏感权限。[来源: tc260.org]

游戏网站Emuparadise的数百万会员账号再遭泄露

Emuparadise游戏网站是全球知名的游戏下载网站,曾在2018年4月爆出过数据泄露事件,约110万网站会员信息受影响。2018年8月份,Emuparadise决定关闭所有游戏下载。据外媒BleepingComputer报道,最近一个包含1131229份Emuparadise会员账户的数据库再次流出,数据详情涵盖邮箱地址、IP地址、使用MD5哈希存储的密码以及用户名等。在黑市中,该数据库也从2019年1月开始被频繁交易。目前,Emuparadise尚未对此作出回应。[来源:bleepingcomputer]

数据显示:中国遭受的网络攻击主要来自美国

国家计算机网络应急技术处理协调中心(CNCERT)日前发布《2018年我国互联网网络安全态势综述》。数据显示,来自美国的网络攻击数量最多,且呈愈演愈烈之势。

根据CNCERT的监测数据显示,在木马和僵尸网络方面,2018年位于美国的1.4万余台木马或僵尸网络控制服务器,控制了中国境内334万余台主机,控制服务器数量较2017年增长90.8%。在网站木马方面,2018年位于美国的3325个IP地址向中国境内3607个网站植入木马,向中国境内网站植入木马的美国IP地址数量较2017年增长43%。根据对控制中国境内主机数量及控制中国境内遭植入木马的网站数量统计,在境外攻击来源地排名中,美国“独占鳌头”。有关专家表示,一直以来,美国都指责中国是美国网络安全的主要威胁,但从上述数据可以看出,美国才是网络攻击的最大来源国。[来源: xinhuanet]

微软删除世界最大公开人脸识别数据库

英国《金融时报》日前报道,微软目前已经悄然删除人脸识别数据库——MS Celeb。微软称该数据库是全球最大的公开人脸识别数据库。MS Celeb数据库2016年建立,拥有超过1000万张图像以及将近10万人的面部信息,用于培训全球科技公司和军事研究人员的面部识别系统。

这些照片获取自网络,照片中的面孔来自公众人物,但未获得本人许可。今年4月媒体曝光其商业用途后,微软解释称,此数据库用于学术目的,且运营人员已非微软员工。微软随后将该数据库删除。不过已下载的公司仍可使用库中信息。有媒体发现,根据人工智能论文中的引文资料统计,在微软删除该资料库前,已经有多个商业组织在使用MS Celeb数据库,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技均有使用。[来源:sina]

黑客利用WordPress聊天插件漏洞注入文本、窃取日志

WordPress的聊天插件WP Live Chat Support中出现了严重的身份验证绕过漏洞( CVE-2019-12498),可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整记录,将文本注入正在进行的聊天会话,编辑注入的消息,并“随意结束正在进行的会话”,发起DoS攻击。据报道,安装了这款插件的网站数量累计超过5万个。目前,8.0.32及以前版本的插件均会受到这个漏洞影响。不过,研究人员暂时没有观察到攻击实例,且漏洞在5月29日首次披露后的三天内已经得到修复。[来源: bleepingcomputer]

国泰航空曾遭遇两次入侵

去年 10 月,香港国泰航空披露包含 940 万乘客资料的信息系统被未经授权获取。未获授权获取的资料包括了个人身份信息和飞行记录,此外还有部分信用卡。香港个人数据隐私专员上周公布了调查报告,称国泰航空的网络先后遭遇了两次入侵。第一次入侵发生在 2014 年 10 月,攻击者在系统中植入了按键记录器去收集登录凭证,他们在 2018 年 3 月 22 日停止了活动,国泰不知道攻击者是如何进入系统的。第二批攻击者利用了服务器的一个有十年历史的漏洞绕过身份验证访问了服务器上的管理工具。国泰声称由于空客飞行手册应用的兼容性问题它无法更新系统。国泰实现了二步认证,但仅针对于 IT 支持人员。国泰航空首次检测到可疑活动是在 3 月 13 日,原因是一次暴力破解攻击导致了 500 名员工的账号被锁定。随后的内部调查发现了两次入侵,但它直到 10 月才披露入侵。[来源:solidot]

各位Buffer早上好,今天是2019年6月6日星期四。今天的早餐铺内容主要有:苹果限制儿童类别的广告和跟踪;Firefox 默认启用跟踪保护;黑客可劫持远程桌面会话,绕过Windows锁屏;2019年6月Android补丁发布:共计修复22处安全漏洞;Google 解释周日宕机事故原因;公司信息遭泄露后,特斯拉禁止员工使用匿名聊天应用程序。

安全资讯早知道,三分钟听完最新安全快讯~

早餐.png

苹果限制儿童类别的广告和跟踪

苹果宣布了另一项加强儿童隐私保护的规定,应用商店“儿童类别”应用不再允许包含第三方广告或分析工具。苹果更新了应用审核中有关“儿童类别”的规定。儿童类别可帮助用户找到专为儿童设计的 app。如果开发者希望进入 “儿童类别”,那么这些 app 不得提供 app 外链接、购买机会或其他会对儿童造成干扰的内容。苹果明确,“儿童类别”app 不能包含第三方广告或分析工具(中文版尚未更新),此外开发者还应特别留意世界各地与在线收集儿童数据相关的隐私法。[来源:solidot]

Firefox 默认启用跟踪保护

Mozilla 宣布 Firefox 默认启用跟踪保护,屏蔽已知第三方跟踪器。Mozilla 称,对于新用户,在 Firefox 在安装时将会默认启用被称为 Enhanced Tracking Protection 的跟踪保护功能;对于现有用户,它将在未来几个月通过推送启用该功能。现有的用户也可以手动启用该功能,方法是打开菜单,在内容拦截里找到自定义和Cookie,选择第三方跟踪器或所有第三方 Cookie。但Mozilla也警告,该功能可能导致网站异常。[来源:solidot]

黑客可劫持远程桌面会话,绕过Windows锁屏

卡耐基梅隆大学的CERT协调中心近日发布预警称, Windows远程桌面服务的网络级身份验证(NLA)功能可被黑客利用,绕过Windows的锁屏。黑客主要是通过0-day漏洞(CVE-2019-9510)劫持现有的远程桌面服务会话,绕过锁屏并获取对计算机的访问权限。即使计算机开启双因素认证也无济于事。这个漏洞主要影响 Windows 1803之后的Windows 10 版本,以及Server 2019或更新版本。目前,微软尚未发布相关补丁。[来源:securityweek]

2019年6月Android补丁发布:共计修复22处安全漏洞

面向所有支持的Pixel系列以及来自其他厂商的设备,谷歌于今天发布了2019年6月的Android安全补丁,修复了近期发现的安全漏洞并且修复了各种问题。2019年6月的Android安全补丁包括2019-06-01和2019-06-05两个安全补丁级别,共计修复了22处安全漏洞,涵盖Android系统、框架、Linux内核组件、高通组件(包括闭源)、Media组件等等。

除了安全问题之外,2019年6月的Android安全补丁还修复了尚处于支持状态的Pixel设备中存在的各种问题。本次更新修复了Pixel 2设备上的引导加载程序问题,它导致它们在引导期间冻结;修复了Pixel 3和Pixel 3 XL手机上的相机问题,会导致相机在视频录制期间崩溃,以及导致Netflix应用程序在Pixel 2、Pixel 2 XL,Pixel 3和Pixel 3 XL上卡顿的问题 。[来源:cnbeta]

Google 解释周日宕机事故原因

美国时间周日 Google 发生了持续数小时的严重宕机事故,影响到了几乎所有 Google 服务如 Google Cloud、G Suite 和 YouTube,以及托管在 Google 云上的服务如 Snapchat、Nest、Discord。Google 官方博客解释了事故原因:服务器配置变更导致。Google 称,配置变更原意是应用于单一区域的少数服务器,但却错误应用于多个毗邻区域的大量服务器,导致这些区域停止使用一半以上的可用网络容量,进出这些区域的网络流量试图适应剩余的网络容量,但未能成功。网络开始拥堵,网络系统对过载流量进行分类,丢弃了大部分对延迟不那么敏感的流量,以保护少数对延迟敏感的流量。Google 称它的工程师团队立刻探测到了问题,但诊断和修复花了更长时间。在事故期间,YouTube 流量下降了 10%,Google Cloud Storage 下降了 30%,1% 的 Gmail 活跃用户无法接收和发送邮件。[来源:solidot]

公司信息遭泄露后 特斯拉禁止员工使用匿名聊天应用程序

据外媒CNET报道,Blind已经确认,在公司消息遭泄露后,特斯拉已阻止员工使用这款匿名工作场所社交网络应用程序。Blind表示特斯拉正在阻止其员工接收验证电子邮件,因此员工将无法验证其帐户。5月份,曾有一名特斯拉员工公开宣称公司不允许他们使用该应用程序。外媒Verdict也报道称,特斯拉员工无法通过特斯拉的Wi-Fi网络使用Blind。目前,特斯拉没有立即回应评论请求。[来源:cnbeta]

各位Buffer早上好,今天是2019年5月30日星期四。今天的早餐铺内容主要有:Office 365出现网络钓鱼;GDPR实施一周年,开出5600万欧元罚单;Flipboard发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码;Android系统的DuckDuckGO浏览器易受URL欺骗攻击;近100万台设备存在高危漏洞BlueKeep隐患 黑客已扫描寻找潜在目标;后台刷新功能有风险 大批iOS应用被曝发送用户数据。

安全资讯早知道,三分钟听完最新安全快讯~

Egg-Avocado-and-Bagel-Egg-in-a-hole-CMS2.jpg

Office 365出现网络钓鱼

近日,一种新形式的钓鱼活动出现在网络中,攻击者会将钓鱼内容伪装成Office 365点警告邮件,并告知用户他们的账户中出现异常数量的文件删除。钓鱼攻击以Office 365警告内容的形式出现,声称用户已触发中级威胁警报,并告知用户在其账户中发生了大量文件删除行为,诱使用户点击警告框。如果用户点击警告框并,会进入伪造的登录页面,一旦输入账号密码,就会被钓鱼网站获取并保存。随后,登录页面会刷新并将用户重定向至正常登陆页面,以掩盖钓鱼行为。微软提醒用户,Microsoft账户和outlook账户的登录表单只会来自microsoft.com、live.com或outlook.com。如果发现有任何来自其他URL的Microsoft登录表单,请不要使用。 [来源:bleepingcomputer]

GDPR实施一周年,开出5600万欧元罚单

欧盟《通用数据保护条例》(GDPR)被称为史上最严数据保护条例。自2018年5月25日正式实施至今,已有一周年时间。欧盟EDPB发布的报道称,一年来,整个欧洲经济区的各个国家监管机构则一共上报了206326起案例,监管机构共解决了52%的案例,并判处约5600万欧元的行政罚款。其中,法国数据保护机构CNIL向谷歌发出的5000万欧元罚款占所有罚款金额的90%左右。此外,苹果、微软、Twitter、WhatsApp、Instagram、Uber、领英等多家企业也因数据或隐私保护问题而遭遇投诉、调查或处罚。[来源: freebuf]

Flipboard发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用Flipboard今天发布安全通告,公司内部多个系统遭到黑客攻击,已经持续超过9个月时间。外媒ZDNet报道称,Flipboard表示黑客获得了存储客户信息的服务器访问权限,该服务器上存储了用户名、哈希值、加密密码,以及和第三方服务捆绑的Flipboard个人资料。不过好消息是服务器上存储的密码都是通过名为bcrypt的强密码哈希算法进行加密的,目前业内这种算法很难被破解。公司也表示一些密码是使用比较弱的SHA-1算法加密的,但是数量并不多。目前,事件详情正在进一步调查中。[来源: cnbeta]

Android系统的DuckDuckGO浏览器易受URL欺骗攻击

安全研究员Dhiraj Mishra发现安卓版本5.26.0的开源DuckDuckGo隐私浏览器存在URL欺骗漏洞(编号为CVE-2019-12329)。利用这个漏洞,可以在特制JavaScript页面的帮助下欺骗DuckDuckGo的omnibar,并针对用户发起针对欺骗攻击。这个特制页面利用setInterval函数每10到50毫秒重新加载一个URL,而真正的DuckDuckGo网站则是每50ms自动加载一次。该安全研究员表示,这个漏洞早在2018年10月底就已通过HackerOne提交。不久之前,DuckDuckGo给其发布了漏洞赏金。[来源: bleepingcomputer]

近100万台设备存在高危漏洞BlueKeep隐患 黑客已扫描寻找潜在目标

据外媒SecurityWeek报道,将近100万台设备存在BlueKeep高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708,存在于Windows远程桌面服务(RDS)中,在本月的补丁星期二活动日中已经得到修复。该漏洞属于蠕虫式(wormable)漏洞,可以利用RDS服务传播恶意程序,方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码,并通过远程桌面协议(RDP)来发送特制请求,在不需要用户交互的情况下即可控制计算机。

目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击,并且还可以通过阻止TCP端口3389来缓解威胁。[来源:cnbeta]

后台刷新功能有风险 大批iOS应用被曝发送用户数据

根据《华盛顿邮报》进行的一项隐私实验,当允许后台应用刷新时,一些iOS应用会利用这项功能定期向追踪公司发送数据。《华盛顿邮报》记者乔福瑞·福勒(Geoffrey Fowler)与隐私公司Disconnect合作使用专有软件来查看自己的iPhone运行情况。虽然有应用使用追踪器并分享用户数据并不令人意外,但利用后台刷新功能发送数据的频率还是令人惊讶。这些应用会发送手机号码、电子邮箱、地理定位、IP地址等信息,其中包括微软OneDrive、Mint、Nike、Spotify、The Weather Channel、DoorDash、Yelp、Citizen甚至《华盛顿邮报》自己的iOS应用。其中,Citizen共享的个人身份识别信息违反了它的隐私政策,而Yelp每过5分钟就会发送信息,但该公司随后表示这是一个漏洞。[来源: cnbeta]

2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式实施,旨在保护欧盟公民的个人数据,对企业的数据处理提出了严格要求。2019年5月25日,GDPR实施一周年,数据保护相关的案例与公开事件数量攀升。同时,全球多个国家或地区也以GDPR为参考,制定或补充了不同的数据保护细则。全球隐私数据保护领域迎来了较大发展。

关于GDPR的具体规定,可参考一年前FreeBuf的专题文章:《史上最严数据保护条例GDPR今日生效,对你我而言意味着什么?》 

GDPR.jpeg

数据泄露事件通报数量走高

GDPR实施之后,牛津大学的一项研究发现,未经用户同意而设置的新闻网站上的cookie数量下降了22%。DLAPipe的调查结果显示,在2018年5月至2019年1月期间,监管机构共收到59,000多份个人数据泄露事件的通报(来自荷兰、德国和英国的案件占比最多),并处以91次罚款,其中大多为小额罚款。EDPB的报告显示,GDPR实施一年以来,欧盟当局收到了约145000份数据安全相关的投诉和问题举报;整个欧洲经济区的各个国家监管机构则一共上报了206326起案例(近一半是投诉;约三分之一涉及数巨泄露通知;剩下的是其他问题)。

在一年时间内,监管机构共解决了52%的案例;共判处55,955,871欧元行政罚款。其中,较为重大的处罚或调查、投诉案例如下:

1.    爱尔兰数据保护委员会(Data ProtectionCommission, DPC)近日启动19项法定调查,其中11项重点关注Facebook、WhatsApp和Instagram。此外,谷歌/Twitter和领英也在接受调查;

2.    法国数据保护机构CNIL向谷歌发出了5000万欧元的罚款,原因是因谷歌在个性化广告方面缺乏透明度,信息提供不充分,且未获得用户的有效同意

3.    荷兰数据保护执法机构向Uber开出60万欧元罚单,因为Uber发生数据泄露事件但未按规定进行报告;

4.    奥地利先后开出三次罚单,但金额在300欧元至4800欧元之间,合计金额很小

此外,苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到投诉或调查、处罚。不过,沸沸扬扬的FaceBook剑桥分析事件却因为发生在GDPR正式实施之前,因此其处罚并未按照GDPR的规定实施,而是遵循旧有《1998数据保护法案》,对FaceBook开出最高额罚款50万元。此外,2018年12月,意大利竞争管理局对Facebook处以两项总计1000万欧元的罚款,理由之一是FaceBook在劝说用户在其平台上注册过程中并未告知其可能会被收集数据,并用于商业目的;理由之二是FaceBook将用户数据提供给第三方。但这些处罚也并非是基于GDPR,而是由于意大利2018年4月开展的独立调查。

促进全球其他各地区立法

GDPR正式实施之后,全球其他国家或地区也先后加强数据保护立法:

美国加州:制定《加州消费者保护法案》,将于2020年生效

印度:制定本地数据保护法草案,与GDPR性质类似

新加坡:成立公共机构数据安全检讨委员会,以加强对公民数据的保护

中国:《数据安全管理办法(征求意见稿)》 发布

 此外,包括中国在内的其他国家或地区也在逐步设立或细化能够支撑数据保护相关条例实施的细则。很明显,GDPR带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。在全球范围类,数据保护法规都将变得越来越严格,企业也依旧面临着挑战。

GDPR-Compliance.jpg

前路漫漫

与投诉或公开的数据泄露事件数量相比,GDPR实际的诉讼与处罚案例数量并不算多,罚金也没达到天价。企业逐渐从当初自查与整改的手忙脚乱切换到如今的审慎与从容。有专家认为,GDPR的实际处罚案例数量少,处罚力度小,可能会导致很多公司松懈或降低要求。但事实上,没有处罚不代表企业没有问题。监管机构在不断探索,寻求以最有效的方式来实施GDPR。按照GDPR的规定,除罚款之外,各国家监管机构还有权对违规数据处理者或控制者拥有不同类型的纠正权,包括发出警告、宣告申斥、责令合规等。

很多被投诉的企业没有受到实际处罚,但也接受了严谨的调查、评估,并在此过程中完善了自身的隐私保护策略与实践。在法律法规的监管下,公司企业需要经常进行内部审计以评估合规情况。而一旦发生数据泄露或遭遇投诉,审计记录可以作为证据,证明企业曾在合规方面做出努力,这有助于避免重大处罚。因此,就算遭遇投诉的企业没有受到GDPR的处罚,也不意味着就能高枕无忧,他们依旧要遵守合规要求。

Varonis最近对785个组织和超过500亿个文件进行的研究发现,平均每家公司拥有超过500,000份敏感文件(包含信用卡数据、健康记录或受GDPR、HIPAA和PCI等法规约束的个人信息),而其中至少有17%的文件可被公司任意员工访问。另外,尽管GDPR规定了“数据被遗忘的权利”,但87%的公司持有超过1000份包含敏感信息的旧文件,71%的公司持有5,000多份包含敏感信息的旧文件,这些文件都未得到妥善处理。以上的调查结果表明,还有大量公司远远未达到GDPR合规要求,仍需要不断改进。

另一方面,由于相关监管机构并未处理完所收到的全部投诉或数据泄露通报案件,因此2019年后半年,待调查完毕之后,GDPR相关的罚款或其他处罚也将会不断出现,且罚款金额可能是之前的数倍。这期间,还会有其他投诉或违规案例出现。

欧洲数据保护委员会(EDPB)在GDPR实施一周年报告中指出,自GDPR实施至今,由于案例涉及跨境及大量调查,GDPR的实际协作机制还有待改进、IMI系统的效率有待提升、各国监管机构需要更多资源,甚至还需要增加人手来完成更多工作。而外部分析师认为,GDPR促使很多企业所作出的改变大多浮于表面,在未来,有必要让企业从架构上真正考虑并落实数据保护政策。但这种从根本上的改变,还需要时间去准备。

可以预见,隐私与数据保护将一直是监管部门与企业需要直面的挑战,将成为企业在正常运转中需要持续关注的问题。

企业将如何做?

随着全球多个国家或地区逐步制定、完善数据或隐私相关的法律法规,企业面临更为严格的监管。拥有跨国或跨区域业务的企业将面临更为复杂、严峻的合规挑战。在这种情况下,做好合规就意味着避免损失、节约成本。企业可以从以下几点出发,防范于未然。

1.    让董事会意识到数据保护的重要性,提升合规的优先级:保持沟通,定期更新全球立法与合规动态以及企业面临的风险,让数据保护相关的工作更容易获得董事会认可,也更容易开展落实。

2.    研究当前关于数据保护的法律法规,立足现状对业务进行调整规划,以便能更好地应对未来的发展与变化:未来一段时间出台的新数据保护法规必然会以当前的相关规定为基础,加以改进或演变。因此,了解并把握现数据保护立法现状,结合自身业务进行分析与调整,就能为未来的变化做好准备。

3.    2019年开始,欧盟还将逐步制定关于电子通信隐私安全的ePrivacy规则,作为GDPR的补充规则。可以预见,ePrivacy将成为新的全球焦点与参考框架,值得企业尽早关注;

4.    定期开展企业内部合规审计:数据保护相关法规在实际执行中,都会涉及到对企业的问责,而公司企业的合规操作也包括对隐私及合规项目的监理。因此,企业内部定期开展合规审计有助于企业捕捉到自身项目的漏洞,并在发生违规或遭遇投诉时,向监管机构展现出自身的尽职努力。

无规矩不成方圆。在整个信息技术领域,合规是永远无法规避的话题。GDPR从正式实施至今,也许颇有些雷声大雨点小的意味,但其对全球隐私及数据保护的推动效果有目共睹。下个一年,GDPR仍将继续生效,而其他国家或地区的数据保护法律法规,也将逐渐彰显成效。

*参考来源:EDPB report等,转载请注明来自FreeBuf.COM。

各位Buffer早上好,今天是2019年5月27日星期一。今天的早餐铺内容主要有:易到用车服务器遭连续攻击:攻击者索要巨额比特币;安全人员发现macOS Gatekeeper认证漏洞,可获取系统shell;后院失火:报告显示NSA被盗黑客工具现正危及美国多座城镇;Chrome等移动浏览器曾有1年多空窗期,没有警告钓鱼网站;Canva 1.39亿用户数据泄露。

20170111000532_96.jpg

易到用车服务器遭连续攻击:攻击者索要巨额比特币

据易到用车官微消息,2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。据悉,攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。相关技术人员正在努力抢修。

易到表示,我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。

5月22日,针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示,在紧急调试全新模式的用户充返活动时,技术工作发生了故障与失误,导致部分用户的账户余额受到影响。

易到表示“已及时的进行了系统修复,此次受影响的用户账户将在7个工作日内陆续恢复。”[cnbeta]

安全人员发现macOS Gatekeeper认证漏洞,可获取系统shell

安全研究人员filippo cavallarin近日发现了在macOS 10.14.5上的一个安全的漏洞,可以忽略掉系统安全的第一个屏障Gatekeeper来直接运行不安全的应用,并且从而获得了系统的Shell权限。

Gatekeeper是Mac App Store的一个很关键的防御措施,当你的应用没有被安全签名,系统是无法运行这个应用的。这个漏洞可以让不太了解的用户,通过获取恶意邮件等方式在不知情的情况下运行此应用而给系统带来一定的风险。但是获取Shell是需要系统打开ssh登录等后门。这个对于一般用户来说影响不大。因为一般用户不会激活共享设置里的远程访问功能。

此问题已经提交给苹果。预计很快会进行修复。[fcvl]

后院失火:报告显示NSA被盗黑客工具现正危及美国多座城镇

据报道,由美国国安局(NSA)开发的一种网络攻击工具现正在被用来危害美国各城镇。代号为EternalBlue的黑客工具中含有恶意软件,其于2017年被一个叫做Shadow Brokers的组织泄露。

而就在同年,有黑客使用了该工具在全球范围内发起了WannaCry勒索网络攻击。该年针对乌克兰展开的NotPetya攻击也用到了这种工具,据悉,该场网络公司被称为是有史以来最具破坏力的网络攻击之一。更糟糕的是,现在EternalBlue机构总部被发现登陆了NSA自己的后院:巴尔的摩。据悉,自5月7日开始的一起勒索软件攻击之后这座城市的政府电脑就陷入了混乱,这使得其市政服务变得步履蹒跚。巴尔的摩的IT部门现只能慢慢地让系统重新启动并运行。

多年来,美国执法部门和情报机构一直主张应该在加密系统中设置后门,进而使他们可以访问嫌疑人的电脑。而NSA就经常开发入侵机器和网络来收集数据的工具。对此,批评人士长期以来一直认为,任何这样的后门都将不可避免地被黑客发现,届时,间谍机构的努力将可能会失控。赛门铁克安全响应主管Vikram Thakur表示,情报部门曾经使用过的一种工具现在居然可以公开使用,而且被使用得如此广泛,这着实令人难以置信。一位不愿透露姓名的官员则表示,NSA需要承担更多的责任。针对此事,NSA拒绝置评。[cnbeta]

Chrome等移动浏览器曾有1年多空窗期,没有警告钓鱼网站

根据本周发布的研究报告,在过去一年多时间里包括Google Chrome、Mozilla Firefox和Safari在内的浏览器均没有及时更新钓鱼网站黑名单,无法在用户上网过程中提供妥善的保护。

研究小组表示:“我们发现主流移动浏览器在保护措施方面存在巨大漏洞。令人震惊的是,移动端Chrome、Firefox和Safari尽管在安全设置中启用黑名单保护,但是无法对2017年年中至2018年末的钓鱼网站发出提醒。”这个问题只有使用Google Safe Browsing link blacklisting技术的移动端浏览器受到影响。

该研究小组由亚利桑那州立大学的学者和PayPal工作人员组成,随后他们向谷歌通报了这个问题,直到2018年年底才正式修复。在调查期间,研究人员创建并部署了2,380个模仿PayPal登录页面的网络钓鱼页面。研究人员没有测量他们的网址在网址黑名单上的速度,而是使用使用“隐藏技术”部署网络钓鱼页面,旨在欺骗URL黑名单技术,然后记录这些“隐形”网络钓鱼页面落在“危险网站”列表上所花费的时间。[cnbeta]

Canva 1.39亿用户数据泄露

自称GnosticPlayers的黑客声称窃取了澳大利亚网站Canva的1.39亿用户数据。Canva是一个非常受欢迎的平面设计服务,Alexa排名在200以内。黑客窃取的数据包括了用户名字、真名 、电邮地址、城市国家信息,其中6100万用户有哈希密码,其他用户的信息还有用于登陆的Google令牌。有7800万用户使用了Gmail地址。Canva证实它的数据库遭到非法访问,表示尚未发现账号被入侵,出于谨慎考虑它已经鼓励用户更改密码。[solidot]

各位Buffer早上好,今天是 2019 年 5 月 23 日星期四。今天的早餐铺内容主要有:福布斯全球2000强企业HCL泄露大量员工和商业信息;数千万条Instagram名人信息泄露;Win10计划任务程序0-day漏洞攻击代码发布;谷歌发现G Suite漏洞,部分密码明文存储长达十四年;微软呼吁行业数据隐私问题需要联邦监管;禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%。

chinese-dim-sum-char-siu-pao-har-gao.jpg

福布斯全球2000强企业HCL泄露大量员工和商业信息

近日,UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司(HCL)存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面,导致大量员工和商业信息公开暴露。UpGuard研究团队最早在5月1日就发现这些安全隐患,当时他们在HCL域中检测到一个可免费下载的文档(包含客户关键字),随后发现了“其他可公开访问的页面,包含个人和商业数据”。暴露的数据“包括新雇员的个人信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”目前,HCL仍未对此事发表公开回复,不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为,HCL及时有效的响应值得其他存在泄露风险的企业学习。[来源: bleepingcomputer]

数千万条Instagram名人信息泄露

据外媒TechCrunch报道,安全研究人员Anurag Sen发现Instagram位于AWS存储桶上的一个大型数据库保护不当,可被任意没有访问权限的人访问。该数据库包含4900多万条Instagram账户的联系信息,其中大部分都是网红和大V的个人信息,如个人经历、资料图片、粉丝数量、所在城市、私人联系方式、电子邮件地址以及电话号码等信息。另外,该数据库中还包含了计算每个账户价值的具体字段,可以估算账户的商业价值。据TechCrunch调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度,主要业务就是让网红和网络大V发布广告。目前事件正在进一步调查当中。[来源: securityaffairs]

Win10计划任务程序0-day漏洞攻击代码发布

在微软发布本月安全更新之后,研究人员SandboxEscaper发布了Win10计划任务程序0-day漏洞的攻击代码。该漏洞的利用目标主要是提升本地权限,让权限有限的用户可以完全控制SYSTEM和TrustedInstaller等高级权限用户才能访问的文件。通过将遗留任务文件导入Windows 10上的计划任务程序,就可以利用该漏洞。运行从旧系统复制的可执行文件’schtasks.exe’和’schedsvc.dll’命令可以触发远程过程调用(RPC) ),并触发“_SchRpcRegisterTask”。这个过程中,触发特定功能就能实现上述提升权限的目标。目前,该攻击可以在Windows 10 系统上成功复现,而在Windows 7 和 Windows 8系统上则未复现成功。[来源:bleepingcomputer]

谷歌发现G Suite漏洞:部分密码明文存储长达十四年

据美国科技媒体The Verge报道,谷歌在博客文章里披露,公司最近发现一个漏洞,导致部分G Suite用户的密码以明文方式存储。博文中称,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明,任何人的密码被非法访问过。公司正在重置可能受影响的密码,并已告知各G Suite管理员。谷歌并未说明具体有多少用户受到这一漏洞的影响,只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据,但我们也无法清楚地知道究竟谁访问过这些明文密码。目前这个漏洞已经修复,同时谷歌在博文最后表达了歉意。[来源: sina]

微软呼吁行业数据隐私问题需要联邦监管

据外媒报道,最近的隐私问题使得数据收集成为公众关注的焦点。在过去,科技公司采用的都是自我监管的方式,但现在,这个行业开始呼吁联邦监管。当地时间周一,微软副总裁兼副总法律顾问Julie Brill在一篇博文中对欧盟近一年前颁布的《通用数据保护条例(GDPR)》进行了反思。Brill认为,GDPR在改变科技公司处理个人数据的方式方面非常有效。Brill指出,GDPR已经激励其他一些国家采取类似的规定。她还赞赏自己的公司是“第一家将GDPR核心的数据控制权提供给全球客户,而不仅仅是欧洲客户的公司”。然而,这种自我监管在Brill看来还不够好。尽管加州和伊利诺斯州等州已经拥有强有力的数据保护法,但Brill认为,美国需要类似于联邦级别的GDPR。

微软并不是唯一一家呼吁联邦监管的大型科技公司。同样强调其强大隐私政策的苹果最近也表示,自我监管的时代已经结束。今年4月,该公司CEO蒂姆·库克在Time 100峰会上表示:“我们都必须在理智上诚实,我们必须承认,我们正在做的事情并不奏效。技术需要被监管。”[来源:cnbeta]

禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。

事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。但是禁用超线程的性能代价实在有点高。

Intel 发言人表示,大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响,而在数据中心环境中可能会是 9%。而PostgreSQL 基准测试发现,禁用超线程后,性能下降了近 40%;Ngnix 基准测试的性能下降了约 34%;Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30% 至 40%。[来源:cnbeta]

各位Buffer早上好,今天是 2019 年 5 月 16 日星期四。今天的早餐铺内容主要有:旧金山禁止政府使用面部识别技术;微软发布安全补丁修复高危漏洞;英特尔处理器曝新漏洞 ZombieLoad;Intel八代、九代酷睿爆出MDS漏洞;为解决隐私问题争议,谷歌扩大欧洲科技中心规模;华为表示愿意与各国政府签署无监控协议。

breakfast-potatoboats-recipe-topped-tease-today-150916_19aa004e11b9c203dbb8b7d9ed88f0bd.today-inline-large.jpg

旧金山禁止政府使用面部识别技术

科技革命的心脏旧金山成为美国第一个禁止政府和警察使用面部识别监控技术的城市。市议会以 9 比 1 通过了相关提案。提出这项法案的议员 Aaron Peskin 称旧金山有责任去监管技术的过度使用,因为开发这些技术的公司总部就在这里。但批评者认为,旧金山不应该过于专注于禁止,而应该制定法规承认面部识别技术的可用性。乔治华盛顿大学宪法学专家 Jonathan Turley 称,否定面部识别在确保机场和边境设施安全方面的价值是荒诞的,很难否认这项技术在公共安全上的价值。美国公民自由联盟(ACLU)的律师 Matt Cagle 则指出,面部识别技术为政府提供了前所未有的权力去跟踪公民的日常生活,这与健康的民主制度是不相容的。[来源:solidot]

微软发布安全补丁修复高危漏洞

微软又一次不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新,修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708,位于远程桌面服务中,该漏洞也影响仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。微软表示它没有观察到该漏洞正被利用的证据,但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。漏洞不影响到较新的操作系统如 Windows 10、Windows 8.1、Windows 8、Windows Server 2019、 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。[来源:solidot]

英特尔处理器新漏洞 ZombieLoad

在 Meltdown、Spectre 和 Foreshadow 之后,计算机科学家公开了英特尔处理器的新边信道攻击 ZombieLoad,攻击影响 2011 年之后发布的几乎所有英特尔处理器(包括 Core 和 Xeon),AMD 不受影响。这是一个硬件问题,因此漏洞利用代码可以工作在 Windows 和 Linux 等不同操作系统上。ZombieLoad 的漏洞利用同样是基于预测执行过程,通过利用 CPU 负荷返回值的旁路逻辑,去实现跨线程、权限边界和超线程的数据泄露。英特尔据报道曾试图推迟漏洞披露。[来源: solidot]

Intel八代、九代酷睿爆出MDS漏洞

日前Intel联合欧洲多个大学、研究机构、安全软件公司的研究人员公布了新的MDS微架构数据采样漏洞,这次发现的安全漏洞虽然也是基于侧信道攻击的原理,不过实现方式不同,有四种不同的攻击方式,想要了解具体情况的可以参考Intel官方说明。英特尔已经在八代、九代酷睿及第二代至强可扩展处理器上物理修复了MDS安全漏洞。此外,这次修复对处理器的性能影响也极为有限,特别是个人使用的消费级处理器上,而对数据中心处理器的性能影响也很小,除非是禁用HT超线程。[来源:cnbeta]

为解决隐私问题争议,谷歌扩大欧洲科技中心规模

据外媒报道,谷歌CEO桑达尔·皮查伊当地时间周二宣布,“到今年年底,谷歌将把位于慕尼黑的隐私工程师人数增加一倍,达到200多人”。他还补充说,该团队将与谷歌的全球网络隐私专家合作,开发适用于全球的产品。皮查伊说:“我们正在欧洲的心脏地带建立我们的隐私中心,这一选址并不是偶然的。这个国家(德国)在许多方面反映出了欧洲人对网络安全、隐私和安全的看法。”[来源:tmtpost]

华为表示愿意与各国政府签署无监控协

华为董事长梁华周二表示,该公司愿意与包括英国在内的各国政府签署无监控协议。美国以间谍活动担忧为由,不断向欧洲国家施压,要求他们排斥华为。华盛顿劝告盟友不要使用华为的技术来建设 5G 网络,担心华为设备可能成为中国政府进行间谍活动的工具。华为否认这一指控。“我们愿意与包括英国政府在内的各国政府签署无监控协议,致力于让我们的设备符合没有监控、没有后门的标准,” 华为董事长梁华在伦敦的一次会议上通过翻译表示。华为是全球最大的电信设备供应商。英国将就允许华为在其 5G 网络建设中的参与程度做出决定。[来源: solidot]

业内通常认为2017年是挖矿攻击大肆兴起的一年。在2017年以前,访问者也可能会利用网站流量挖掘加密货币。不过挖矿成为主流甚至升级为劫持攻击,则是在2017年挖矿服务网站Coinhive出现之后的事。

shutterstock_1212718402.jpg

Coinhive是一种加密货币挖矿服务,靠的是一小段嵌入网站的代码。这段代码借用访问网站的浏览器的部分或全部计算能力,将浏览器列到一个竞价系统中,用于挖掘Monero加密货币。很多攻击者利用Coinhive的服务,将很多被入侵的站点和路由器变成了矿机,进行非法挖矿服务。不过,这一过程虽然疯狂蔓延,但持续时间不长。随着加密货币热度减退,Coinhive的业务也持续下滑并在今年三月份关闭。此后,很多Web挖矿活动也都受到影响。本文是Malwarebytes实验室在Coinhive关闭之后针对Web挖矿情况的分析结果。

目前仍然能检测到数千个Coinhive相关域名的屏蔽请求,一周内平均每天大约有50,000个屏蔽需求。

Coinhive_stats.png

具体分析来看,尽管Coinhive已经关闭,但仍有大量网站和路由器尚未清除挖矿代码,相关的Coinhive库依然存在。不过客户端和服务器之间收发数据的必要WebSocket无法连接到服务器,导致挖矿无法成功。

nomining.png

不过,研究人员访问海盗湾等最早涉足浏览器挖矿的种子网站时,发现CPU的最大使用率仍然高达100%。其中,挖矿的API由Coinhive的竞争对手CyptoLoot提供。虽然当时的活跃度远不及2017-2018年之间的水平,但研究人员每天也会检测并阻止100多万次发往CryptoLoot的请求。另外,类似的挖矿服务网站还有CoinIMP,其目标主要是文件分享网站。

3.png

另外,基于路由器的挖矿劫持也仍在持续。如果将挖矿代码注入路由器并感染其他连接到路由器的设备,挖矿者就能将整个挖矿流程产业化,利用特定网站之外的渠道获取高额利润。目前挖矿路由器的数量虽然有所减少,但还有大量载有旧Coinhive代码的路由器,而且有些还感染了新的挖矿代码(WebMinePool)。

4.png

Coinhive关闭之后造成的最大变化,就是在野挖矿攻击活动的减少。2018年春季,Drupal网站遭遇大量攻击,原因之一就是挖矿。而现在,很多网站被入侵的类型则包括浏览屏蔽、虚假更新、恶意广告等。

从特征方面分析,加密货币挖矿与当年的淘金热有类似之处,都曾轰轰烈烈却又在短时间内走向“销声匿迹”。不过,用“销声匿迹”来描述当下的挖矿攻击似乎不太妥当,毕竟只要加密货币还有利可图,网络犯罪分子就不会轻易放弃。

长远看来,挖矿可能会继续存在,流量大的网站更可能遭遇攻击。加密货币市场的波动直接影响到挖矿攻击。如果加密货币市场再次回温,挖矿者们将毫不犹豫再次活跃,谋取利润。

*参考来源:Malwarebytes,转载请注明来自FreeBuf.COM

撞库攻击是如今最常见的攻击,给企业带来巨大威胁。撞库带来的威胁往往不是直接的,但是由此造成的信息泄露以及进一步的渗透与攻击会更为严重。Akamai的报告显示,2018年五月到十二月期间,共发生了约280亿次撞库攻击,其中零售网站是遭遇攻击最多的,累计超过100亿次。

很多企业已经开始注重防范撞库攻击,但可能并不清楚撞库攻击已经形成了一条完整产业链。近日,Recorded Future发布了一份撞库攻击分析报告,描述撞库的现状、常用工具以及应对方法。

credential-stuffing.png

撞库

简单来说,撞库就是黑客利用已经泄露的账号密码,去其他网站或应用程序中尝试登录的行为。撞库主要利用的是人们在多个平台使用相同账号密码的行为习惯。首次大规模撞库攻击大约发生在2014年,当时也是地下黑市迅速扩张的时期。在几个大型黑市中,售卖的账号密码多达数亿。这让撞库形成了一个产业链,有人将撞库得到的数据拿到暗网中售卖,而有人购买这些数据用于进一步的撞库与攻击。相关的工具与教程也充斥在地下市场,催生新的生意。近几年,信息泄露事件此起彼伏,更是源源不断地给攻击者提供了新筹码,也让其他尚未曝出信息泄露的的平台陷入险境。

在地下黑市中,攻击者注册成会员,可以上传任意数量的经过验证的数据,而平台会从每次销售金额中扣除10%至15%的佣金。这些撞库得来的数据除了电子邮件和密码之外,还经常包括帐户持有人所在的城市、居住状态、交易历史、帐户余额等。还有一些会根据购买者的需求给出定制化的数据。

credential-stuffing-attacks-1-1.png

如图,除了被入侵的公司名称,买家还可以查看账户可用的余额、积分;帐户持有人的居住地、相关的支付卡、最后一笔交易的日期以及帐户持有人登录电子邮件的主机名等

最初,基于撞库的数据交易并不多。但由于很多人都在多个平台使用相同的账号密码,让攻击者看到可乘之机。调查显示,撞库的成功率在1%-3%之间。此外,可以反复使用相同的数据库来破解几十个不同的网站,从而获得更高的利润。网络犯罪分子只需花费较少的财力和精力,就能获得高于成本至少20倍的利润。

2.png

按照百分之一的成功率计算,撞库攻击的利润比成本高出至少20倍

常用攻击工具

一般情况下,黑客组织只要手握泄露的凭证(账号密码)、软件 APP 和代理,就能发起撞库攻击。这些凭证大多来自于公开的泄露事件,也有一些是黑客在暗网中购买的。而用于解析已知凭证并远程在其他网站上登录的软件应用也很容易获取。报告显示,黑客可以购买STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用于撞库。

STORM

STORM是用C语言编写的,可免费试用。技术特征如下:

支持FTP破解

同时进行FTP和HTTP攻击

并行会话

用于活动分析的调试功能

支持最多2000万封电子邮件的组合列表与密码记录

支持HTTP / HTTPS

支持SOCKS4和SOCKS5

代理自动更新,自动收集公共资源

关键字捕获(高级帐户详细信息的收集)

JavaScript重定向

3.png

Black Bullet

Black Bullet最早出现于2018年,带有暴力破解功能。其主要特点如下:

验证码绕过

用户可以选择自行修改和创建新的配置文件

支持Selenium Webdriver

价格:30至50美元

4.png

Private Keeper

俄语区最受欢迎的工具,有在线商店。主要特点如下:

价格:0.8美元左右

并行会话

实用程序软件,可自动连接到私有或公共代理服务

5.png

SNIPR

用C语言编写,支持在线撞库、在线暴力破解。

配置文件:官方打包文件中包含超过100份配置文件

价格:20美元

6.png

Sentry MBA

有超过1000分配置文件

支持 HTTP/HTTPS 

支持SOCKS4和SOCKS5

售价在5美元到20美元之间

7.png

WOXY

可用于验证邮箱账号是否有效,并扫描邮箱内容,提取重要信息(如礼品卡、在线订阅内容等)。同时,可自动重置密码,劫持邮箱账号。目前,网上已经有该工具的免费破解版。

8.png

应对

1.除了使用公开的免费代理进一步混淆攻击之外,犯罪分子通常会使用付费代理服务。但是,分析表明,此类服务通常使用地理欺骗技术来创建大量IP池。这些域可能具有相同的IP地址,但会使用不同的子网。通过此类IP监控Web流量活动,可以在一定程度上应对撞库攻击。

2.很多遭遇过撞库攻击的组织都增加了多因素身份验证,增加撞库的复杂程度,提升其时间成本,也是一种应对方式。

3.持续监控地下黑市和表网信息,了解企业自身相关的信息,并及时对泄露的内容追踪溯源,全面分析并了解更多攻击指标,以便进一步防护。

4.终端用户可以使用密码管理器,为每个在线帐户设置独一无二的强密码,降低被撞库的风险。

*参考来源:Recorded Future,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是 2019 年 5 月 9 日星期四。今天的早餐铺内容主要有:币安称4000万美元比特币被盗;谷歌强调用户隐私:尽可能把数据留在手机本地;Facebook关闭更多与俄罗斯有关的虚假账户;间谍组织在Shadow Brokers泄密之前就使用方程式组织的工具;研究人员发现隐藏在Microsoft exchange中的后门;美中情局分享暗网加密链接 网友吐槽:原来是这样监视我们。

早餐

币安称 4000 万美元比特币被盗

比特币交易所币安发表声明,黑客在一次大规模攻击中窃取了价值 4000 多万美元的 7000 比特币。声明称,5 月 8 日凌晨1:15:24(香港时间),我们发现了有一个大规模的系统性攻击,黑客能够获得大量用户 API 密钥,谷歌验证 2FA 码以及其他相关信息;黑客团体使用了复合型的攻击技术,包括网络钓鱼,病毒等其他攻击手段;黑客在这一次攻击中提走了7000比特币: https//www.blockchain.com/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea 这个转账是这次事件的唯一转账记录,它仅影响了我们的 BTC 热钱包(其中约占我们 BTC 总持股量的 2%),我们所有其他钱包都是安全无恙的,此次事件没有用户资金受到影响。币安将使用“SAFU基金”全额承担本次攻击的全部损失。没有任何用户有任何损失。[来源:solidot]

谷歌强调用户隐私:尽可能把数据留在手机本地

2019年谷歌I/O开发者大会今日开幕。会上,谷歌强调了用户隐私问题,在设置中添加了更多隐私选项,还上线了地图应用的隐身模式。 谷歌在AI上进行了许多研究,比如如何识别人们的肤色。相应的,机器学习也涉及到了用户隐私问题。皮查伊强调了隐私的重要性,他表示谷歌会在这方面持续改进。比如上传照片后,你可以选择隐私设置,控制自己的信息是否保留在云上,甚至是选择保留多少天。隐身模式也从浏览器上扩展的Map App中,以保证用户的行程不会泄露。[来源:cnbeta]

Facebook关闭更多与俄罗斯有关的虚假账户

据外媒CNET报道,全球最大的社交网络Facebook正在从其平台中清除更多与俄罗斯相关的虚假账户。 该社交网络平台周一表示,其关闭了与俄罗斯相关的118个虚假账户、页面和群组。这些账户发布了与乌克兰和其他欧洲国家政治相关的内容。其中一个帐户是在Instagram上,这是Facebook旗下的照片共享应用程序。在FaceBook发现俄罗斯“巨魔”在2016年美国总统大选期间利用其平台发布不实内容之后,Facebook一直面临着打击虚假信息的压力。从那时起,该公司一直在关闭不仅与俄罗斯有关的虚假账户,还包括伊朗、英国乃至美国等其他国家。[来源:cnbeta]

间谍组织在Shadow Brokers泄密之前就使用方程式组织的工具

有研究人员发现,早在2016年3月的一次网络攻击活动中,黑客组织Buckeye就曾使用方程式组织的攻击工具,利用漏洞获取目标组织的永久访问权。这个攻击工具利用了两个Windows漏洞来在目标设备上实现远程内核代码执行。其中一个漏洞是一个Windows 0day漏洞(CVE-2019-0703),该漏洞由赛门铁克发现。另一个漏洞同样是一个Windows漏洞(CVE-2017-0143),这个漏洞在2017年被微软修复。此事发生在Shadow Brokers(影子经纪人)泄密事件的前一年,但是在2017年Buckeye消失之后,相关的漏洞利用代码以及攻击工具在2018年底之前仍在被人使用。[来源: thehackernews]

研究人员发现隐藏在Microsoft exchange中的后门

ESET的研究人员发现Microsoft Exchange存在后门,可以利用被入侵的邮件服务器读取、修改或屏蔽邮件,甚至制作并发送新的邮件。此外,利用这个后门还能修改收件人、发件人、替换附件,甚至重新创建或重新发送邮件以绕过垃圾邮件过滤机制。该研究人员将这个后门命名为LightNeuron,是首个利用恶意Microsoft Exchange Transport Agent发起攻击的后门。[来源:helpnetsecurity]

美中情局分享暗网加密链接 网友吐槽:原来是这样监视我们

美国中央情报局(CIA)最近一改“神秘”形象,开始在社交网站上“抖机灵”。两周前,中情局在Instagram上发布一张“猜谜”照片,吸了一波流量,没想到7日却因在推特上分享的暗网链接“翻了车”。据俄罗斯卫星通讯社报道,网民使用洋葱网络等匿名浏览工具的原因有很多,包括具有隐私意识不愿被监控,购买违禁品,避免被政府追踪——但是现在,洋葱网络被建议用于向政府“告密”。在中情局公共事务主管布里塔尼⋅布拉梅尔看来,他们的任务就是任何人无论身处何地都可以与其建立安全联系。创建一个洋葱网络链接只是“去到人们所在的地方”一种方式。俄罗斯卫星通讯社评论称,“去到人们所在的地方”对送货服务来说是一个好目标,但一个有着“监视公民”前科的政府机构提出时,危险性就会更大一些。中情局此举也让网友感到疑惑:洋葱网络到底是不是间谍工具?推特上网友回复似乎不完全符合中情局的意。有网友断然拒绝:不用,谢谢!另有评论称:“原来中情局就是这么监视美国民众的。”[来源:cnbeta]