安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 25 Oct 2020 16:56:25 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 25 Oct 2020 16:56:25 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 25 Oct 2020 16:56:25 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 25 Oct 2020 16:56:25 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
侵害消费者金融信息安全,这些银行被处罚! Sun, 25 Oct 2020 16:56:26 +0800 近日,中国人民银行相关分支机构依法对部分金融机构侵害消费者金融信息安全行为立案调查,并依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定,对3家银行共6家分支机构进行了处罚。


640.webp (18).jpg


3家银行6家分支机构收到大额罚单


这6家分支机构分别是:农业银行吉林市江北支行、中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东营分行、建设银行建德支行。


640.webp (19).jpg


一、央行公示信息显示,农业银行江北支行存在的违法行为类型有:1、侵害消费者个人信息依法得到保护的权利;2、违反反洗钱管理规定,泄露客户信息。央行对其给予警告处罚,并处罚款1223万元。农业银行江北支行时任行长、副行长、营业室业务主管和员工,分别被罚1.75万元至3万元不等。


二、中国银行石嘴山市分行存在侵害消费者个人信息依法得到保护的权利的违法行为,被罚411万元。


三、建设银行德阳分行、东营分行和娄底市分行存在侵害消费者个人信息依法得到保护的权利的违法行为,对其处罚款1406万元、514万元和533万元。


央行依法作出行政处罚的同时,也约谈了相关金融机构,责令其立即整改。


对侵害消费者金融信息安全行为“零容忍”


央行有关部门负责人表示,央行一直高度重视消费者金融信息保护工作,坚持对侵害消费者金融信息安全行为“零容忍”,对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。


前期,部分媒体报道了个别金融机构员工涉嫌泄露消费者金融信息。央行依据属地原则调查立案,发现涉案金融机构存在侵害消费者金融信息安全权的行为,依法依规对涉案金融机构严肃查处。央行在依法作出行政处罚的同时,责令涉案金融机构以此为戒,全面排查消费者金融信息保护安全隐患,及时进行整改。


央行有关部门负责人表示,下一步,将进一步强化消费者金融信息安全监管和反洗钱信息保密工作,督促金融机构履行主体责任,持续完善有利于保护消费者金融信息安全和落实《反洗钱法》信息保密要求在内的各项金融消费者权益机制,切实保护金融消费者长远和根本利益。


央行“手把手”教你保护自身金融信息安全


在处罚这些银行同时,央行也“手把手”教大家保护自己的金融信息安全,都有哪些妙招,快来看看↓↓


一是要保管好身份证件、银行卡、银行(支付)账户等,不要转借他人使用;


二是切勿向他人透露个人金融信息、财产状况等基本信息,不要随意在各类线上线下渠道留下个人金融信息;


三是尽量亲自办理金融业务,切勿委托不熟悉的人或中介代办,谨防个人金融信息被盗;


四是提供个人身份证件复印件办理各类业务时,要在复印件上注明使用用途;


五是不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等,及时销毁作废的金融业务单据; 


六是不要轻易点击来历不明的手机短信、邮件和不明链接,不要随意扫描来历不明的二维码,谨慎使用公共WIFI、免密WIFI;


七是发现个人金融信息泄露风险,要及时联系公安等部门维权。


9999.jpg

]]>
重磅!美国1.86亿选民数据在暗网被黑客出售,FBI介入调查 Sun, 25 Oct 2020 16:56:26 +0800

据NBC新闻网于22日报道,美国一家网络安全公司Trustwave表示,他们发现一名黑客正在出售超过2亿美国人的个人识别信息,其中包括1.86亿选民的注册数据。


网络安全公司Trustwave表示,他们识别出的大部分数据都是公开可用的,并且几乎所有数据都是可供合法企业定期买卖的。但事实上,他们发现大量有关姓名、电子邮件地址、电话号码和选民登记记录的信息数据在暗网成批出售。


“如此大量的美国公民数据可能会被用作网络犯罪,或被国外的对手利用。”Trustwave公司的副总裁,负责安全研究领域的齐夫·马多尔说道。据称,他正是发现这些公民数据的人。


640.webp (16).jpg


他补充说:“在大选之前、之中和之后,不法分子很容易就能用这些选民和消费者数据宣传虚假信息,通过社交媒体、电子邮件、网络钓鱼以及电话诈骗实施不法活动。”


他表示,近年来黑客对大量公司进行网络攻击,窃取了公民信息,并从政府网站上抓取公开数据,这些数据构成了泄露在暗网上的信息数据。据悉,在美国大多数州,选民登记信息是向外公开的。


报道称,Trustwave公司一直监视着暗网论坛,寻找对安全构成威胁的信息,期间遇到了一个自称为“Greenmoon2019”的黑客,该黑客提出要出售数据。工作人员使用虚拟身份诱使黑客提供更多信息,其中包括该黑客用来收款的比特币钱包。


640.webp (17).jpg


暗网上的比特币钱包会公开显示交易信息,但不显示交易者的身份。马多尔说,他们追踪到这名黑客在5月份创建的另一个有着巨额收入的比特币钱包,钱包内含有1亿美元的资金。他们分析后认为,这些钱是这名黑客的非法收益,不过并非所有非法资金都来自于销售数据的收入。


个人信息泄露并不是什么新鲜事,但是随着美国大选的临近,如此巨大的数据泄露意味着不法分子可以轻松破坏选举。Trustwave方面称,黑客共提供了1.86亿个选民数据和2.45亿个其他个人数据记录。


选民登记数据在许多州都是公开的,但选民的电子邮件地址通常不会公开。马多尔说,这名黑客利用他窃取的其他数据,将公民的电子邮件地址与选民名册配对,将其打包出售。


此外,通过利用这名黑客出售的数据,不法分子还能将攻击目标锁定为仅支持民主党或共和党的选民,并提供了他们的电子邮件地址。


目前,Trustwave公司表示,他们已将其收集的资料移交给了FBI,FBI正在对此进行调查。

9999.jpg

]]>
美国财政部禁止企业支付勒索软件赎金 Sun, 25 Oct 2020 16:56:26 +0800 本月初,美国财政部外国资产控制办公室(OFAC)发布咨文警告组织不要向勒索软件支付赎金,并声称此举存在违反政府对网络犯罪集团或国家黑客施加的经济制裁的法律风险。

该咨文有可能破坏勒索软件的变现模式,但同时也使被攻击的企业、其保险公司和事件响应服务商处境更加艰难。因为不支付赎金,往往意味着勒索软件攻击造成的损失更大,而且需要更长的时间才能恢复。而且,“支付赎金犯法”也有可能导致网络安全保险将不再覆盖勒索软件攻击。

“OFAC可能会对违反制裁的行为处以民事处罚,这意味着受美国司法管辖的个人,即使不知道(或有理由知道)自己在与被制裁或禁止的个人进行交易也可能承担民事责任。”财政部在咨文中说。

支付赎金助长勒索软件气焰

勒索软件起源于针对消费者的恐吓诈骗软件,例如弹窗警告用户需要立刻下载安装“杀毒软件”,或者支付并不存在的罚款。事实上,在早期阶段,勒索软件程序并不加密用户计算机文件,而只是试图用疯狂刷屏或弹窗的的方式锁定用户(的计算机)。

随着勒索软件领域的竞争加剧,一些黑客组织开始同时攻击消费者和企业,但直到2017年WannaCry和NotPetya攻击之后,网络犯罪分子才意识到企业网络的脆弱性。

在过去的三年中,成熟的网络犯罪集团逐渐转向更加复杂的金融犯罪勒索软件。他们使用APT风格的技术,例如精心选择目标,进行深度侦察,横向移动,无文件执行,按受害者量身定制的有效载荷,取得了巨大“成功”。

勒索软件从2C转向2B之后,赎金的价格也水涨船高,如今,针对企业的勒索赎金要价动辄数百甚至上千万美元。勒索软件赎金的飙涨,部分原因是很多企业的赎金是通过网络安全保险支付。虽然目前关于私营公司支付赎金的信息很少,但是间接证据表明支付赎金已经是非常普遍的“操作”。

事实上,无论是否公开宣传此类服务,越来越多的事件响应公司和独立顾问都以受害者的名义参与勒索软件的谈判。一些组织和金融平台会协助进行赎金付款流程,例如将资金转换为比特币或其他加密货币并将其发送给攻击者。

去年,ProPublica的报告透露,很多保险公司经常建议客户支付赎金,因为这比重建所有系统并从备份中恢复要便宜,可以减少停机时间有关的成本。但这也形成了一个“四赢”的恶性循环:攻击者成功拿到赎金,保险公司支付的钱少了,事件响应安全服务商获得了合同,受害者更快地恢复了。结果,勒索软件成了低风险高收益的网络犯罪“成功模式”。

OFAC在其咨询报告中指出:“支付勒索软件赎金,可能会使被制裁的罪犯和对手获利并推进其非法目标。”“例如,向受制裁的实体或地区支付的赎金可用于资助不利于美国国家安全和外交政策目标的活动。支付赎金还将鼓励攻击者参与未来的攻击。”

与勒索软件攻击有关且在财政部制裁名单上的团体或个人的例子包括两名与SamSam勒索软件有关的伊朗国民,以及朝鲜政府赞助的拉撒路组织(Lazarus),后者与WannaCry攻击有关,且与网络犯罪分子存在联系。还有一个名为Evil Corp的俄罗斯网络犯罪组织,该组织是Dridex僵尸网络以及WastedLocker和BitPaymer勒索软件的背后黑手。

由于网络犯罪生态系统异常复杂,受害者或其安全咨询服务商很难知晓勒索是否会流向制裁名单上的实体、个人或政府。但OFAC在其咨询意见中明确指出,不知道收款人是否受到制裁并不能使企业免于民事处罚。

网络保险面临巨震

反恶意软件公司Emsisoft的威胁分析师布雷特·卡洛(Brett Callow)认为:“财政部咨文的真正目的是使事件响应行业摆脱阴影,并在政府的合作和投入下,以更高的透明度运作,提高政府对此类事件结果的控制权。2018年,勒索软件的平均赎金要价约为5,000美元,大多数受害者是小型企业。现在,平均赎金价格约为20万美元,数百万美元的高额赎金正日益成为常态。受害者是医院、大型跨国公司甚至国防工业基地的公司。因此,勒索软件攻击比几年前变得更加严重,政府确实需要找到一种干预措施。”

Emsisoft是公开呼吁政府禁止支付勒索软件赎金的安全公司之一,称该行为“对国家安全、选举安全、公司知识产权和财务安全、个人信息及其健康构成威胁。”今年早些时候,德国报道了首起与勒索软件相关的死亡事件,一名生命垂危的妇女因就医的医院被勒索软件攻击而不得不被送往20英里外的一家医院,因延误治疗导致死亡。

目前来看,OFAC的咨文报告并未完全禁止勒索软件付款(而且也只是针对美国司法管辖范围内的企业),而且那些有迫切需要的美国企业还可以申请OFAC许可证以支付勒索软件赎金,但是这些请求将接受“以拒绝为前提的个案审查”,成功率未知。

问题是,如果大多数付款请求都被拒绝,将会发生什么?如果结果可能导致企业无法恢复甚至倒闭,企业还会冒险去申请许可吗?

目前尚不清楚事件响应公司留有哪些操作余地。威胁情报公司GroupSense在网络犯罪论坛和地下黑市安插很多眼线收集威胁情报,刚刚在9月份推出勒索软件协商服务,包括评估和与威胁参与者互动,制定协商策略以降低支付需求,甚至管理加密货币交易。现在,处理赎金付款的这个环节将使他们面临违反OFAC规定的风险。

GroupSense首席执行官Kurtis Minder认为:

财政部没有为受害者提供其他选择。如果政府希望公司停止支付赎金,则应提供一项救济计划,其中包括对勒索软件受害者的补贴,以帮助他们避免因勒索软件而倒闭。如果不向受害公司提供帮助,只会把赎金支付推向地下。

独立风险管理咨询公司Betterley Risk Consultants的里克·贝特利(Rick Betterley)表示,财政部的咨文可能对网络保险市场产生重大影响。

Betterley同意,保险的存在使受害者更容易支付赎金要求,但他认为保险并不是是否支付赎金的主要原因。这是因为,尽管勒索软件攻击和重建系统的响应成本已由保险单支付,但公司因业务中断而蒙受的损失却通常不会或几乎不会完全消失,而这些损失可能会使公司退出商业竞争。因此,尽管支付赎金能够帮助保险公司降低赔付成本,但受害者支付赎金的主要原因是希望能够继续经营。

换而言之,有了保险可以使受害者更容易付款,但是如果没有保险,很多受害者仍然可能会支付赎金。Betterley说,要想拿出这些资金会比较困难,但是要在这笔资金或破产之间进行选择,企业自然会“两害相权取其轻”。“我认为最大的问题将是,保险公司将不能支付违反政府指令的(赎金)索赔,因此,美国财政部的行动对网络安全保险业务来说是个大问题。”

如果保险公司不再承保勒索软件攻击,Betterley说他也不会感到惊讶:“这将是一件大事,还会有多少公司会去购买其他网络安全保险?鬼才知道。”

总之,“暧昧”的财政部咨文已经让企业、保险公司、安全公司和勒索软件组织陷入困惑和焦虑,但有一些市场正在成为真正的赢家——例如数据备份/数据安全和勒索软件检测响应服务。美国保险行业协会保险信息研究所表示:“对于被勒索的美国企业以及可能违反OFAC的企业,眼下的困境凸显了网络最佳实践的重要性,尤其是备份所有关键任务数据。许多保险公司正在与客户合作,以实施数据备份,并采取各种其他措施来应对勒索软件攻击的威胁。”

9999.jpg

]]>
看门狗即将发布的游戏大作被勒索软件窃取源码 Sun, 25 Oct 2020 16:56:26 +0800 一部游戏大作的收入可以买下一家估值10亿美元的独角兽创业公司,因此游戏行业也成了勒索软件等网络犯罪团队眼中的“大客户”。

本月才崭露头角的勒索软件犯罪团伙Egregor声称已经入侵了看门狗(Watch Dogs)并窃取了即将推出的游戏大作《军团再临》(Legion)的源代码。

无独有偶,另外一个流行游戏Albion(一款大型多人在线角色扮演游戏MMORPG)也遭到黑客入侵。网络犯罪分子在地下论坛中兜售他们窃取的游戏数据库。

Watch Dogs将于10月29日发布的《军团再临》备受游戏玩家期待,这要归功于其4K视觉效果、“光线追踪”功能以及计划中的刺客信条跨界计划。

Egregor团伙声称已经从游戏发行商Ubisoft那里删除了代码和一些专有文件。源代码的泄露将使玩家能够开发游戏外挂并执行各种“改装”(即开发自定义功能)和越狱。这对于一部游戏大作的商业前景来说几乎是灾难性的。

Egregor勒索软件团伙还宣称已经窃取了与《命运竞技场》和《Warface》等游戏相关的Crytek文件。

Egregor在其泄漏站点已经公布部分泄露数据,并指出他们只是入侵了Ubisoft但未部署其勒索软件。不过,Crytek“已被完全加密”。目前Watch Dogs和Unisoft都未对此事件发表回应。

Egregor向媒体透露说:“如果Ubisoft无法与其联系,将开始发布即将到来的Watch Dogs及其引擎的源代码。”

所发布的数据尚无定论,例如,门户网站中的代码可能来自较旧的Watch Dogs版本。总之,来自Ubisoft的数据总计为20MB,来自Crytek的数据总计为300MB。

9999.jpg

]]>
工信部回应App违规收集个人信息 督促1100多家企业整改 Sun, 25 Oct 2020 16:56:26 +0800 中新网10月22日电 针对APP违规收集使用个人信息等问题的整治情况,工信部新闻发言人、信息通信发展司司长闻库表示,目前,工信部已经完成了国内主流应用商店32万款APP的技术检测工作,督促1100多家企业进行整改,公开通报了246款未在期限内完成整改的APP,并根据整改情况下架了34款拒不整改的APP。

22日,国新办就2020年前三季度工业通信业发展情况举行发布会。会上,有记者问:近年来,APP违规收集使用个人信息的问题受到广泛的关注,请问工信部对此采取了哪些措施?成效如何?下一步还有哪些重点工作?

闻库回应称,工业和信息化部作为电信行业的主管部门,非常重视电信和互联网领域个人用户信息保护工作,严格贯彻落实《网络安全法》,颁布实施了《电信和互联网用户个人信息保护规定》和智能终端、应用程序等重点领域个人信息保护制度;并依法履职主动作为,按照“发现、取证、处置、曝光”工作机制,强化监督检查,聚焦大家所反映热烈的、社会也高度关注的APP侵害用户权益的行为。已经连续两年组织开展了相关的整治行动,持续加大个人信息的保护力度。

闻库指出,去年,我们重点整治了“私自收集个人信息”“超范围收集个人信息”“不给权就不让使用APP”“过度索取权限”等8类损害用户权益的行为。

闻库表示,今年,工信部在去年工作的基础上,还加强对APP常使用的SDK以及应用分发平台的监管,重点针对“APP、SDK违规处理个人用户信息”“设置障碍、频繁骚扰用户”“欺骗误导用户”“应用分发平台责任落实不到位”等四个方面10类问题进行集中专项整治。

闻库说,目前,工信部已经完成了国内主流应用商店32万款APP的技术检测工作,督促1100多家企业进行整改,公开通报了246款未在期限内完成整改的APP。根据整改的情况,下架了34款拒不整改的APP。这项工作取得了很大成效,社会上对这项工作寄予了很大的期望。

闻库称,下一步,工业和信息化部将继续坚持以人民为中心,以老百姓和社会反映的问题为导向,积极从完善制度规范、加强常态化监管、提升技术检测能力、推动行业自律等多个方面,进一步加大工作力度,切实在个人信息保护方面实现好、维护好广大人民群众的合法利益。

9999.jpg

]]>
全球交易所遭遇水逆月 接二连三发生宕机故障 Sun, 25 Oct 2020 16:56:26 +0800        1994年8月,一只松鼠咬断一根电线,而备用电源又未能及时介入,导致纳斯达克市场的交易暂停了40分钟。如今,支持每天亿万美元交易的技术已经先进得无以附加,意味着胜负往往在毫秒之间。然而,就算投入巨资加强系统、备份、升级,宕机事件依然偶有发生。

“是有系统冗余,但它们并不总是起作用,”伦敦证券交易所集团前首席执行官Xavier Rolet接受彭博电视采访时说。“有时你会遇到软件问题、硬件故障和网络故障的三连击,这就让恢复工作非常困难。”

本月,市场遭遇三连击,三大洲的交易所接连宕机:先是东京证交所,然后是墨西哥证交所,最后是泛欧交易所。在巴黎上市的泛欧交易所一旦完成以50亿美元收购意大利证交所的交易,将处理全欧洲25%的股票交易。但在周一早上,交易中断了三个小时,是这家交易所运营商两年来遭遇的最严重交易中断。

泛欧交易所

尽管宕机通常是由软件故障、硬件问题或网络攻击引起的,但泛欧交易所表示此次宕机是因为“中间件系统”问题。巴黎、布鲁塞尔、阿姆斯特丹、里斯本和都柏林的交易均因此中断。

泛欧交易所旗下巴黎证交所的大厅

“打个比方,飞行员过去用的是仪表板和一个控制方向舵的操纵杆,但现在中间有个环节,操纵杆发送指令给电脑,然后电脑去操作方向舵,”Market Structure Partners创始人Niki Beattie说。“当中间件出现问题时,就好像操纵杆失灵了。”

泛欧交易所2018年升级到一个名为Optiq的专有平台,该公司在其网站声称该平台具有“高度可靠性”,并满足“减少事故的监管要求”。泛欧交易所拒绝透露在该平台上花了多少钱。彭博汇总的数据显示,该公司过去10年4.6%的自由现金流用于资本支出,相当于8,120万美元。墨西哥证交所花了约2.3%,相当于1,600万美元。

东京和墨西哥

日本的交易所故障发生在10月1日。问题出在一个名为Device 1的共享磁盘设备中,构成东京证交所Arrowhead交易系统的各个服务器都使用该磁盘存储的数据。它负责为监控交易的终端分配信息,例如指令、用户名/密码组合等。

设备内存组件故障导致错误,这个错误本应触发故障切换——自动切换到备份。但由于系统与其手册之间的差异导致一个设置错误(自2015年以来一直潜藏),故障切换并未启动。

日本金融厅计划对东证进行调查,并可能要求采取行政措施。

在墨西哥,因未获授权谈论此事而要求不具名的现任和前任交易所官员均表示,墨西哥证交所遭遇近些年最长宕机停摆,所有系统冗余都未能奏效。

墨西哥证交所表示,10月9日(周五)长达10小时的交易暂停是由于技术提供商的一个错误。该交易所否认了遭遇网络攻击的谣言,但未提供更多细节。

证交所一位官员告诉彭博新闻社,交易所数据中心提供商Kio Networks的主服务器出现问题,导致宕机。Kio的发言人拒绝置评。

交易暂停之后,墨西哥证交所也无法启动其备用系统,而该备用系统此前已经通过当地监管机构的测试。知情人士说,这让备用系统的可靠性和监管机构检查的有效性都令人生疑。

监管机构CNBV没有回应置评请求。

9999.jpg



]]>
安全人员发现七款手机浏览器易遭地址栏欺骗攻击 Sun, 25 Oct 2020 16:56:26 +0800        虽然在桌面浏览器上有各种迹象和安全功能,可以用来检测恶意代码改变地址栏以显示假网址,但这在移动浏览器上是不可能的,因为移动浏览器的屏幕尺寸很重要,而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线,地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。

在网络安全公司Rapid7今天发布的一份报告中,该公司表示,它与巴基斯坦安全研究人员Rafay Baloch合作,披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器,也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。

这些问题在今年早些时候被发现,并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补,而小厂商甚至懒得回复研究人员,使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说:"利用都归结为'JavaScript诡计'"。Rapid7的负责人表示,通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间,恶意网站可以迫使浏览器显示错误的地址。

Beardsley认为,攻击很容易发动,建议用户尽快更新浏览器,或者转移到不受这些bug影响的浏览器上。


9999.jpg

]]>
现代罗宾汉?黑客组织向慈善机构捐赠价值1万美元的比特币 Sun, 25 Oct 2020 16:56:26 +0800        据外媒报道,没有一家慈善机构愿意拒绝捐款尤其是在资金短缺的情况下。但如果捐款来自一个令人惊讶的来源--黑客呢?虽然这听起来像是现代版的罗宾汉--通过电子手段盗取公司的资金然后通过比特币将其数字化返还给慈善机构--但当这些资金来自犯罪收益时,法律做出了明确规定:必须拒绝。

当这个慈善机构不知道钱是谁捐的、钱是从谁那里被偷的也不知道如何归还的时候又该怎么做呢?

上周,网络犯罪集团Darkside就将两家美国慈善机构置于了这样一个不幸的境地。该集团透露,它向Children International和Water Project捐赠了0.88比特币,价值1万美元。

_114993986_water.png.jpg

该组织在其网站上发布了一篇相关“新闻稿”。

Comparitech.com安全专家Brian Higgins表示,此举只是Darkside为了吸引来自外界的注意。“首先,跟他们多年来从受害者那里勒索的巨额资金相比,1万美元只是一个小钱,所以这算不上什么大慈善行为。其次,没有一家可靠的慈善机构会接受明显来自犯罪的捐款。有一种很小的可能性,这是一种测试,看看他们是否能以某种方式洗干净他们的犯罪收益,但更有可能的是,Darkside显然有太多的时间,他们的比特币钱包里有太多偷来的钱。如果他们真的想‘让世界变得更美好’,他们就会卖掉笔记本电脑,远离互联网。”

据了解,Darkside主营给电脑加密并由此牟取暴利的勒索软件开发工作。

Children International表示:“我们意识到了这种情况并正在进行内部研究;这对我们来说还是第一次(遇到这种情况)。如果这笔捐款跟黑客有关,我们将无意保留它。”

在最初的媒体报道了该组织的捐款后,Darkside更新了它的帖子并发出警告。负责报道的Giving Block被告知,这笔钱是通过一个mixer发送的,这是一种自动洗钱的形式,其模糊了比特币的真正发送者和接收者。另外,它还警告称,对其捐款的报道只会损害处理捐款的公司以及收到捐款的公司。

_114958185_screenshot2020-10-15at14.55.31.png.jpg

据了解,这些慈善捐款是Darkside怪异的品牌宣传活动的一部分,其目的是将自己塑造成不同于普通罪犯的形象。该组织在8月份开始运营时发布的一份意向声明中表示:“我们之所以创造了DarkSide,是因为我们还没有找到适合自己的完美产品。但现在我们有了。”

该组织表示,根据他们的原则,其不会攻击医院、学校、政府或慈善机构,“我们只攻击那些能够支付要求金额的公司,我们不想毁掉你们的生意。在受到攻击之前,我们会仔细分析你的会计工作,根据你的净收入来决定你能支付多少。”

至少在某种程度上,它确实不同于以前的许多勒索软件。除了对电脑进行加密,该机构还会将黑客入侵的数据上传到自己的服务器上,如果赎金没有及时支付,该机构就会将全部内容发布到服务器上。

9999.jpg



]]>
唯品会被指泄露用户信息有消费者被骗数万元,唯品会:已配合警方调查 Sun, 25 Oct 2020 16:56:26 +0800 在电商平台购物后,有人以电商客服的名义打电话,能准确叫出你的名字、知道你购买商品的具体信息、交易单号,也报得出你的银行卡信息,之后告诉你下单的商品存在质量问题,需要办理退货。如此精准的信息,能相信电话那头所谓客服的身份,以及他的种种解释吗?

多位消费者向中国之声反映,他们相信了客服的说辞,为了拿到所谓的退款和赔偿,他们几乎按照套路流程走了一遍,最终退款没拿到,银行卡上的钱也不翼而飞,甚至还借了款。这是十一长假后,不少唯品会的消费者遭遇的骗局。唯品会称,没有泄露用户隐私。究竟哪个环节出了问题?又该如何解决呢?

十一长假刚过,李女士接到了一位自称“唯品会客服”的电话,说她9月份在唯品会买的产品,由于登记错误,把她列为了代理商,每个月会扣500元手续费,客服发现问题后,希望进行纠正。听到对方准确报出了自己的名字、订单号和商品内容,李女士并没有怀疑,就按照指引,进行了一系列操作。李女士说:“他当时说的是第一句就是李女士,直接就把我的名字说出来了,然后还有把我的订单各项信息,包括我在哪月哪号买的,我家的收货地址,我的一些身份信息都有。他说,我们这边的工作人员出错了,把您的信息提交成了代理商,所以说需要您配合一下取消代理。取消代理,拿到一个回执单就可以,跟银联联系,说他们转到银行,我去跟银行那边确认取消订单,就这样最后一步一步被套走了。”

640.webp.jpg

骗子使用的QQ号

大学生小王告诉记者,她被骗后回过味来,觉得骗子的手法并不高明。和李女士一样,她也是接到了声称是“唯品会”客服的电话,对方在电话里先确认了她的名字、购买商品的内容和日期,然后在其一步步指引下,先是在支付宝申请了与此事毫不相干的备用金,又以退还备用金为名,被骗走5000多元。小王说:“先接到一个电话,跟我说是唯品会客服,说我在唯品会买的面膜铅超标,要给我理赔,包括面膜的品牌什么他都说得出来,甚至包括我在支付宝上绑的银行卡,卡号的后4位他都知道。他先让我在支付宝上申领了一个叫备用金的东西,然后备用金是一下子只能领500块钱,但他不是说给我理赔200吗?他的意思就是让我归还300块钱到他的账户上,后来他说我归还时间太长了,他那边系统上没有收到我归还的,让我再做一个假的流水,5000块钱,然后就转出去了。”

640.webp (1).jpg

骗子用QQ以售后理赔为名进行联络

所谓“假的银行流水”,其实是真的转钱给对方,在被骗5000多元后,对方仍然说没收到钱,要小王下载借贷软件贷款后,继续给骗子转账,到这个时候小王才向警方报案。同样的流程,云南的卢女士,被骗背上了5万多块钱的贷款。卢女士说:“因为我们都不懂,然后他就这样骗我们,还了200之后,他说返还超时卡单,转移到京东白条借钱,然后返还去,相当于一个打款,然后我都没有用过这些贷款的APP,所以我们就不懂,他借着你不懂,就一步一步的带着你去各个平台贷款,去让你贷款给他。事后我们才了解原来是我们自己贷的款。”

640.webp (2).jpg

骗子以流水代码为名 诱骗转账

记者进入一个80多人的唯品会消费者被骗维权群,了解到大家的情况类似——所谓唯品会客服人员以产品问题、误把消费者列为代理商需要取消等名义诱骗受害者打开QQ的共享屏幕,套取银行卡密码,或者干脆诱使他们打款用来“解除代理商绑定”,并“拿回赔偿”。

被骗后,受害者除了第一时间向警方报案外,还与唯品会联络,质疑其为何会把自己的隐私泄露?几位受害人告诉记者,在他们向唯品会提交手持身份证照片等隐私数据后,唯品会向部分被骗用户“垫付”了损失,并要求他们承诺,一旦警方破案拿到被骗款项,返还垫付款项。但李女士认为,把手持身份证照片给到唯品会,无疑又增加了一层隐私泄露的风险。李女士说:“承诺书的话就是本人身份证号、联系电话、地址,本人在唯品会购物后,因轻信不法分子遭遇网络诈骗,本人损失为多少。本人于几月几日向警方报案,报警回执,现在唯品会从客户体验角度出发,预先向本人垫付,后面就是本人向唯品会承诺,如警方后续追款成功,本人将向唯品会退还警方追款成功的金额,否则唯品会有权通过法律途径向本人予以追索全部垫付款。承诺人身份证号这些。”

640.webp (3).jpg

对此,唯品会向记者回应称,公司非常注重用户信息保护,已配合警方在积极调查中,基本排除唯品会泄露信息,并敦促相关合作方在进行漏洞排查和修复

唯品会所说的相关合作方是谁?合作方是否应该承担责任?唯品会后续如何保证消费者的信息安全?对于记者的这些提问,唯品会并没有给出进一步回复。

有受访者给记者提供了他与唯品会客服沟通过程的电话录音,录音中,唯品会否认有任何主动信息泄露问题,称客户资料是被非法手段获取的。客服说:“唯品会一直针对我们的客户资料也是非常重视的,有严格加密措施,而且我们肯定不会主动泄露您的订单和个人信息的,我们也不排除是非法分子,通过违法手段去获得。”

李女士认为,作为消费者,他们在唯品会购物的信息无论被谁泄露、攻击,唯品会都应该查清楚,解释明白,这也是给消费者以后购物提个醒。李女士说:“我觉得唯品会现在应该出一份官方声明,信息泄露的问题到底有没有发生?因为他们现在全部都是在否认,你们这边是不是应该要彻查一下?保证我们这些在唯品会上购物的人的安全。你给我一个保证。”

记者查询此前报道发现,类似的消费者信息被不法分子获得后,假借“客服”身份诈骗的,不是个案。

《中华人民共和国网络安全法》明确,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

IT与知识产权律师赵占领告诉记者,能接触到消费者在唯品会这些购物信息的,并非只有唯品会的工作人员,受害者需要举证证明到底是谁泄露他的个人信息才行,因此维权并不容易。赵占领说:“在诉讼法上一个基本的原则,就是谁主张谁举证。用户他要认为是某一个主体泄露他的个人信息,就需要提供相应的证据来证明这一点。在网上购物的话,掌握他个人信息的主体,有可能不是一个甚至是两个或者多个。比如说购物网站,当然是掌握他的个人信息,另外有物流配送、卖家也掌握他的个人信息。在这种情况下,用户要想举证是哪一个主体泄露他的个人信息,实际上是非常困难的。除非是通过公安机关这种形式,侦查手段,然后最终查清楚是哪个渠道泄露的,再去追究泄露方的民事责任。”

赵占领建议,如果未来公安机关破获该案件,届时除了对诈骗分子处以刑罚外,信息泄露方,无论是主动泄露还是被攻击后泄露,如果没有尽到安全保障义务,也应该承担相应责任。赵占领说:“这个网站并不是主动去泄露的,它只是因为没有尽到相应的管理义务,或者是这个网站的服务器存在漏洞,被黑客攻击,然后用户的信息泄露,这两种情况下,网站它都没有尽到安全保障义务,都需要对用户承担一个民事赔偿责任。因为用户在平台上购物提供个人信息,网站就需要尽到保证信息安全的义务。尽管你(网站)是受害者,但之所以别人能够攻击成功,如果说没有尽到一个基本的安全保障义务的话,网站同样需要承担相关的法律责任。”

9999.jpg

]]>
Apple/Opera/Yandex已修复地址栏欺骗漏洞 但仍有数百万设备未修复 Sun, 25 Oct 2020 16:56:26 +0800        作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。

他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。

这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接,恶意网页就会使用该网页上隐藏的代码,将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。

在某些情况下,容易受到攻击的浏览器保留了绿色的挂锁图标,表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞,他说地址栏欺骗攻击使移动用户面临特别的风险。

他表示:

在移动设备上,屏幕所显示的空间绝对是溢价的,因此每英寸都是非常重要的,所以没有足够的空间来放置安全信号。在台式机浏览器上,您既可以查看自己所处的链接,也可以将鼠标悬停在链接上以查看要去的地方,甚至单击锁以获取证书详细信息。

这些额外的资源实际上并不存在于移动设备上,因此,位置栏不仅可以告诉用户他们正在访问哪个网站,而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com,则可能会注意到这一点,并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可,从而使攻击者能够对其假站点产生一定的信任度和信任度。

到目前为止,只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示,其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。

但是UC浏览器,Bolt浏览器和RITS浏览器的制造商(总共安装了超过6亿个设备)没有对研究人员做出回应,并没有修补漏洞。

9999.jpg



]]>
恶意软件Emotet活动升级:伪装成Windows Update邮件分发 Sun, 25 Oct 2020 16:56:26 +0800        臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。

相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。为了欺骗人们使用宏,Emotet 使用了不同的文档模板,例如声称是在iOS、Windows 10 Mobile 或者旧版本 Office、受保护的文档中创建的。

原本只是金融木马的Emotet功能愈来愈强大,除了可窃取使用者所储存的凭证、金融资讯或其它个人资讯外,它还能夹带诸如挖矿程式或勒索软体等恶意程式,或于企业网路上建立僵尸网路,已被视为最危险的病毒之一。

9999.jpg



]]>
美国最大零售连锁书店Barnes&Noble遭遇黑客攻击 Sun, 25 Oct 2020 16:56:26 +0800
640.webp (18).jpg


美国图书销售巨头Barnes&Noble近日通过电子邮件与客户联系,警告他们其网络已被黑客破坏,并且攻击者可能已经访问了用户的敏感信息。


在给客户的电子邮件中,Barnes&Noble说,他意识到自己已成为10月10日的网络安全攻击的受害者。


电子邮件的一部分内容为:


非常遗憾的是,我们通知您,我们已在2020年10月10日得知Barnes&Noble成为网络安全攻击的受害者,该攻击导致对Barnes&Noble公司系统未经授权的非法访问。


您的付款细节尚未公开。Barnes&Noble使用的技术会对所有信用卡进行加密,并且在任何Barnes&Noble系统中都不会存在任何未加密的付款信息,没有财务信息可供访问。


但是,与付款相关的个人信息可能会受到威胁。Barnes&Noble表示,在受感染的服务器上存储了个人信息,包括客户的电子邮件地址、账单和送货地址以及电话号码。


此外,Barnes&Noble会存储客户过去交易的详细信息,显示过去从零售商那里购买的书籍和其他产品的历史。


该公司表示,尽管没有证据表明安全漏洞已经暴露了个人详细信息,但“目前无法排除这种可能性。”


对于用户来说,当我们听到某公司说“不知道”黑客是否访问了某些详细信息时,安全专家的建议是假设最坏的情况已经发生。


事实上,上周末已经Barnes&Noble用户抱怨说他们无法将购买的图书下载到其Nook电子书阅读器。用户可以购买书籍,但无法访问已经购买的书籍!


根据Barnes&Noble的Nook Twitter账户,“系统故障”是Nook服务中断的原因。该公司表示,“正在紧急努力使所有NOOK服务恢复正常运作。不幸的是,这花费了比预期更长的时间,对于由此带来的不便和沮丧,我们深表歉意。”


与黑客行为有关的“系统故障”,这不免让人猜测Barnes&Noble遭受了勒索软件的攻击,同时还伴随着服务器被入侵导致的数据泄露。


安全研究员Troy Mursch(也称为@BadPackets)在Twitter上宣称Barnes&Noble已经运行Pulse Secure VPN服务器达数个月之久,但并未针对CVE-2019-11510严重漏洞进行修补。


未打补丁的Pulse Secure VPN服务器中的安全漏洞已在其他场合被利用来窃取用户名和密码,从而使渴望进入公司内部网络的黑客可以轻松访问。此方法已在许多场合用于在网络上安装勒索软件,并勒索公司受害者。


如果勒索软件确实通过VPN服务器漏洞植入了Barnes&Noble的网络中,并导致系统中断,那么攻击已经持续了相当长的时间。


因为早在今年8月,就有安全媒体报道有人在一个俄语黑客论坛上分发了900多个Pulse Secure VPN企业服务器的纯文本用户名和密码。这份数据泄露企业名单中赫然就有Barnes&Noble的名字。

9999.jpg

]]>
游戏巨头育碧公司内部信息遭泄露,或影响新游戏《看门狗:军团》发行 Sun, 25 Oct 2020 16:56:26 +0800 黑客网络犯罪的猖狂往往就是,高调公开自己手中的筹码。

“如果育碧再不与我们联系,我们将开始公布即将发布的Watch Dogs及其引擎的源代码。”勒索软件Egregor组织声称从当今两家最大的游戏公司育碧(Ubisoft)和Crytek的内部网络获得的数据,甚至威胁要公布即将推出的《看门狗:军团》源代码。目前尚并不清楚黑客获取文件的详细信息。

育碧和Crytek都是老牌的电子游戏企业了。育碧是一家总部设于法国雷恩的电子游戏开发商和发行商,1986年成立。育碧在全世界拥有23间游戏开发工作室,是2008年欧洲第三大独立游戏开发商、北美第四大独立游戏出版商。Crytek是一个电子游戏开发商,由Yerli兄弟于1999年建立。Crytek总部位于德国法兰克福,目前有一家位于乌克兰基辅的分部。

据称,该勒索团伙已于周二将窃取的数据发布在暗网上。关于Egregor如何获取数据的细节目前仍不清楚,但是可以知道的是这已经不是Egregor第一次作案了,他们这类勒索团伙入侵公司,窃取其数据,加密文件并要求赎金以解密锁定的数据。

尽管有时候在犯罪活动中被发现并且被踢出内部网络中,文件也并未加密,但是勒索团伙仍会威胁公司,如果不给赎金就泄露敏感文件。一旦无法谈拢,勒索团伙就将部分被盗文件泄露在专门的数据泄露网站上。

上周二,育碧和Crytek的部分数据同时发布在Egregor门户上,勒索软件团伙还威胁要在未来几天内泄漏更多文件。

对于育碧泄露的数据,Egregor团伙分享了部分文件,意图表明他们拥有该企业的一款《看门狗:军团》的游戏源代码。与此同时,他们还表示这是一款即将在本月晚些时候发布的新游戏。但是,现在大家无法验证这些文件是来自新游戏还是现在的游戏版本。

其实,这一事件并非空穴来风,而是有因可溯。在过去的一年中,安全研究人员试图与育碧联系,并通知其几名员工遭到钓鱼袭击,但没有结果,这可能为黑客提供了犯罪契机。

黑客仅从育碧窃取了20 MB的内存数据,但他们却从Crytek窃取了300 MB内存数据,而这些数据包含了更多的信息。

Crytek泄露的数据似乎是勒索团伙从公司的游戏开发部门窃取。这些文档包含有关诸如命运之竞技场和Warface之类游戏开发过程的资源和信息,以及Crytek的旧版Gface社交游戏网络。

育碧和Crytek均未对此数据泄露事件做出回复。两家公司均未报告这一安全事件和任何异常或延长的停机时间,这表明Egregor入侵不太可能影响云端和游戏系统,而只是后端办公网络,大多数勒索软件事件对后端网络影响较大。

勒索软件运营商表示,他们入侵了育碧网络,但仅盗取了数据,并未对公司的任何文件进行加密,而Crytek则被完全加密。

参考来源:

Ubisoft, Crytek data posted on ransomware gang's site

9999.jpg

]]>
安全周报(10.12-10.18) Sun, 25 Oct 2020 16:56:26 +0800

1


Linux 内核曝严重蓝牙漏洞,影响多个版本


谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。

BleedingTooth漏洞分别被命名为CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。其中最严重的漏洞是基于堆的类型混淆漏洞(CVE-2020-12351),被评为高危漏洞 ,CVSS评分达到8.3。

据悉,漏洞存在于BlueZ中,软件栈默认情况下为Linux实现了所有蓝牙核心协议和层。除Linux笔记本电脑外,它还用于许多消费或工业物联网设备。

受害者蓝牙覆盖范围内的远程攻击者都可以通过目标设备的bd地址来利用此漏洞 。攻击者能够通过发送恶意的l2cap数据包来触发漏洞,导致拒绝服务,甚至执行具有内核特权的任意代码。而此过程中无需用户交互,使得这一漏洞的隐患更大。

1602730228_5f87b8f48e17a846c9730.jpg

2


希腊最大电信公司遭黑客攻击,数百万个电话数据被窃取


据报道,希腊最大电信公司Cosmote上月发生一起重大的数据泄露事件,数以百万计希腊民众的电话以及信息数据被窃取,其中甚至包括总理和政府高级官员的通信数据。

这次严重的信息泄露事件,原因是该电信公司数据库遭到不明身份黑客的网络攻击。黑客窃取了今年9月1日至5日期间的数百万个电话和短信的资料,包括固定电话、移动电话、移动网络等。

根据Cosmote发布的公告显示,该公司在对其系统进行检查时,发现了一个未经授权的操作,从公司大数据系统中导出带有呼叫详细信息的文件。数据中包含电话号码、通话日期和时间、基站坐标等。但这些文件中不包含通话和聊天信息内容、用户姓名和地址、密码、信用卡或银行帐户信息等个人资料。

640.webp (16).jpg

3


微软TCP/IP远程执行代码漏洞(CVE-2020-16898)风险通告


10月14日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。该漏洞评级为“ Critical”(高危)


下载微软官方提供的补丁:


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

640.webp (17).jpg

4


全球航运业一周内遭遇第二次网络攻击


近日,全球航运业在一周内遭受了第二次网络攻击,这引发了人们对供应链中断的担忧。目前,这些供应链已经十分紧张,可能无法在消费者需求的传统旺季及时运送商品。国际海事组织(International Maritime Organization)发表声明说,该组织的IT系统遭受了一次复杂的网络攻击。

国际海事组织是联合国旗下的一个海事行业监管机构,组织表示,目前一些网络服务无法使用,网络入侵正在影响他们的公共网站和内部系统。早些时候,全球运力第四大集装箱班轮公司达飞海运(CMA CGM SA)披露,其信息系统受到了攻击。

对于那些仍在等待季节性周期恢复正常的航运公司来说,最近网络攻击行动发生的时机尤其糟糕。由于消费者被迫在家工作、在网上购买必需品,从纸巾、口罩到蹦床和电脑显示器等各种物品的供应链都很紧张。此外,由于电子商务采购依然强劲,企业也在补充库存,货主对供应链的需求并未减少,但运力却在下降。因此,自今年年初以来,跨越太平洋运输集装箱的基准成本增加了两倍。
640 (3).png

5


黑客入侵乌干达移动支付系统,涉及多家银行、运营商


日前,不明身份黑客闯入了 Pegasus Technologies 的系统,后者是一家整合了电信公司、银行以及其他本地、地区和国际转账服务之间的移动货币交易的公司。黑客盗取了一笔尚不清楚的金额,但据说有数十亿先令。

受影响最严重的公司是领先的电信公司,如乌干达的 Airtel 和 MTN,以及乌干达最大的银行 Stanbic 银行,它也支持大部分的移动货币交易。

一家受影响公司的消息人士告诉记者,周四晚上,黑客侵入了 Pegasus 公司的系统,该公司处理 MTN 到 Airtel 和 Airtel 到 MTN 的交易,以及各自的电信公司到银行的支付。

到目前为止,黑客已经给自己发送了将近 13 亿乌干达先令,已经设法从 Airtel 的资金中取出了 9 亿乌干达先令。我们估计 MTN 也损失了差不多两倍的钱,因为他们是移动货币的领导者。当欺诈被发现时,所有通过 Pegasus 进行的交易都被暂停。


640.jpg


]]>
默认账户居然是黑客入侵高频通道 火绒防护措施在这里 Sun, 25 Oct 2020 16:56:26 +0800 家用摄像头被入侵,导致私人视频资料外泄;个人路由器被攻击,致使钱财被骗取……近年来,类似这样的报道层出不穷,而导致这些恶劣事件频频发生的主要原因之一,正是常见的默认账户。

 

默认账户,普遍存在于各类软硬件、系统上,名称多为固定格式,生成具有一定规律,易被黑客利用;一些默认账户权限高,甚至部分软、硬件的账户还默认配置了简单的账户密码,更为关键的是,这些默认账户极易被忽视管理……以上种种,导致默认账户成为被黑客暴破攻击的主要对象。

 

事实上,除了上述摄像头、路由器等电子产品,用户常用的电脑系统和各类软件同样是因默认账户面临安全风险的“重灾区”。

 

火绒工程师解释,系统安装时,会直接生成默认账户,如Windows安装后的默认管理员AdministratorLinux的默认账户root等。即使运维人员在系统安装完毕后,禁用默认账户并创建新账户,使用的名字也多数是"Administrator""User"等常见用户名,并未达到提高安全性的目的。

 

不仅如此,部分软件安装后也会默认创建Windows管理员账户,如VA_adminRas_admin等。甚至像是远程工具Radmin,网站业务使用的SQL Server数据库、WebLogic中间件等软件自身生成的默认账户,也存在此类安全隐患。

 

Image-0.png

Windows系统的默认管理员账户

 

Image-1.png

 Image-3.png

 

Image-4.png

 


二、“隐匿者”入侵企业服务器,恶意行为牟取利益

 

某企业服务器内频繁报毒,遂求助火绒。火绒工程师远程查看该服务器后,发现数据库内出现大量SQL Server的默认账户"sa"登陆失败的日志及非用户创建的异常作业,并在用户终端反复收到火绒报毒提示。根据用户现场发现的病毒特征推断,该服务器是被名为"隐匿者(MyKings)"的僵尸网络入侵,从而导致异常的。

 


 Image-5.png

 用户终端反复收到火绒报毒提示 

 

 

Image-7.png

 

安全建议:

1.增强安全意识,谨慎考虑使用厂商\开发商自带的默认账户,如必须使用,建议修改用户名及密码。

 

2.修改如“admin”“User”等常见用户名,使用特征相对明显的用户名并建议禁用或限制默认管理员账户,避免病毒对常见用户名进行暴破;

 

3.避免使用默认密码,建议设置长度在 10 位以上,由大小写字母、数字、特殊符号组合的符合复杂性要求的高强度密码,并定期更换,避免出现多个密码复用、无密码、弱口令状况出现;(建议企业终端使用不同的高强度密码进行管理,员工终端不少于8位,外网服务器不少于15位,且带有数字、大小写字母及符号)

 

4.企业终端全面部署火绒或其他安全软件,并通过检查火绒、系统和其他安全服务日志,排查企业内可能存在的安全问题,发现终端异常及时使用火绒进行全网查杀,或向火绒求助,获取专业的、有针对性的安全加固。

 

"火绒企业版"2018年初面市以来,已有上万家政府、企业单位部署试用。该产品易于安装,操作简单,运行稳定,未发生过一起严重产品故障,充分满足各单位网络安全需求。任何政企单位都可以通过火绒官网申请,免费试用"火绒企业版"3个月。

   



申请免费试用链接:

https://www.huorong.cn/essmgr/essreg

 

详细了解火绒企业版相关功能:

终端动态认证:

https://www.huorong.cn/info/1582608651429.html

 

远程登录防护:

https://www.huorong.cn/info/1574318660394.html

9999.jpg

]]>
希腊最大电信公司遭黑客攻击 数百万个电话数据被窃取 Sun, 25 Oct 2020 16:56:26 +0800 据希腊《论坛报》报道,希腊最大电信公司Cosmote上月发生一起重大的数据泄露事件,数以百万计希腊民众的电话以及信息数据被窃取,其中甚至包括总理和政府高级官员的通信数据。


报道指,这次严重的信息泄露事件,原因是该电信公司数据库遭到不明身份黑客的网络攻击。黑客窃取了今年9月1日至5日期间的数百万个电话和短信的资料,包括固定电话、移动电话、移动网络等。


根据Cosmote发布的公告显示,该公司在对其系统进行检查时,发现了一个未经授权的操作,从公司大数据系统中导出带有呼叫详细信息的文件。数据中包含电话号码、通话日期和时间、基站坐标等。但这些文件中不包含通话和聊天信息内容、用户姓名和地址、密码、信用卡或银行帐户信息等个人资料。


Cosmote管理层高度重视此次事件,指黑客来自国外。该公司称,希望该行动仅出于商业目的,而不涉及国家安全问题。Cosmote还称,事后已经立即封锁通道,并采取一切必要的保护措施,第一时间通知了主管部门,客户无需采取任何行动。


据悉,该事件正在调查中。到目前为止,没有迹象表明被非法窃取的资料被公开或以其它方式使用。

9999.jpg

]]>
黑客控制服务器103台,被判3年缓刑4年罚金15000 Sun, 25 Oct 2020 16:56:26 +0800 “90后”男子小陶通过网络专业工具将“菜刀”软件中的获取地址修改成自己的收取地址,再将地址上传至国内知名中文IT技术交流网站及多个QQ群内对外发布,利用他人下载使用软件的契机非法获取了1万余条网站后门漏洞信息,随后通过租赁上述信息非法获利人民币1.1万元。近日,邗江法院开庭审理了此案。

640.webp (14).jpg

1、小伙悟出赚钱偏门,网络世界中寻觅商机

小陶是福建省南平市当地人,专科毕业后就赋闲在家。一直没能找到合适工作的小陶手头拮据,赚钱成了他的头等大事。因为平日里操作计算机较熟练,再加上掌握一些编程知识技能,小陶将目光投向了黑客网络技术领域。

2019年2月,小陶察觉网络黑客生意利润丰厚且有市场前景。出于赚钱的目的,他先在网站上下载名为“菜刀”的黑客软件,然后用“易语言”软件对“菜刀”软件的下载地址进行修改,改成自己的地址。随后再将修改过的网址上传至国内某知名的专业IT技术交流平台网站以及他日常管理的四个QQ群内供他人免费下载。

用户下载并使用被小陶修改过的“菜刀”软件时,收集来的网站后门信息就会自动回传到小陶的网络硬盘内。这些步骤逐一完成后,小陶就悄悄拥有了这些网站的实际控制权限。一番操作后,小陶便能利用非正规手段入侵这些网站,顺利控制网站数据。小陶将收集来的大量网站后门信息在网上销售给需要的人,从中牟取利润。

2、警方火眼金睛,揪出网络“黑客”

小陶的发财梦没有持续多久,扬州警方经过缜密侦查,收集掌握其大量违法犯罪证据。去年4月中旬,市公安局网安支队民警在工作中发现,有网民登录某网址管理后台并进行编辑维护,且该网站中存在8000多个网站漏洞。经测试发现,网站中的部分存活状态漏洞可直连被入侵互联网服务器获取控制权。在随后的侦查过程中,警方经落地查证发现,福建籍男子小陶有重大作案嫌疑。去年7月10日,扬州警方在福建省南平市将犯罪嫌疑人小陶抓获,到案后小陶对其犯罪事实供认不讳。

3、“黑客”非法控制,计算机信息系统被判刑

近日,经邗江检察院提起公诉,邗江法院对这起案件进行公开开庭审理。法院经审理查明,2019年2月至7月,被告人小陶在福建省南平市家中,将事先修改过回收地址的“菜刀”软件通过上传至某网站以及在其管理的QQ群内对外发布,利用他人下载使用该软件时非法获取了1万余条网站后门漏洞信息,后通过租赁上诉信息非法获利人民币1.1万元。经远程勘验1万余条网站漏洞信息中可直连被入侵互联网服务器获取控制权限的达103台。

法院认为,被告人小陶违反国家规定,对国家事务、国防建设、尖端科学以外的计算机信息系统实施非法控制,情节特别严重,其行为已构成非法控制计算机信息系统罪。依据《中华人民共和国刑法》等法律,法院最终判决,被告人小陶犯非法控制计算机信息系统罪,判处有期徒刑三年,缓刑四年,并处罚金人民币一万五千元。

9999.jpg

]]>
微软TCP/IP远程执行代码漏洞(CVE-2020-16898)风险通告 Sun, 25 Oct 2020 16:56:26 +0800  10月14日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),这意味攻击者可以利用该漏洞发送恶意制作的数据包,从而获取在目标服务器或客户端上执行代码的能力。该漏洞评级为“ Critical”(高危),鉴于漏洞有被利用的可能,我们建议用户尽快更新相关补丁。

 

一、漏洞描述

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 

 

二、风险等级

高危,CVSS评分9.8

 

三、影响范围

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)


四、修复建议/临时变通措施

1. 通过火绒个人版/企业版【漏洞修复】功能即可修复该漏洞。

 

   

    个人用户使用软件“安全工具”>“漏洞修复”功能修复。

 

    企业用户管理员通过“管理中心”>“漏洞修复”,统一扫描、修复终端漏洞。

 

 

(2)下载微软官方提供的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

 

(3)内网等不便安装更新的用户,可以使用微软官方给出的临时变通措施:

禁用 ICMPv6 RDNSS

管理员身份打开PowerShell,复制以下命令运行:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

 

对应开启方法

管理员身份打开PowerShell,复制以下命令运行:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

 

提示:

命令中加粗部分*INTERFACENUMBER*需要用户自行查询需要禁用的接口编号,具体操作如下(举例说明):

1、以管理员身份打开PowerShell,输入netsh int ipv6 show interface,即可"显示接口参数"

 

 

 

可以根据此列表,查询到需要禁用的接口,替换命令内的*INTERFACENUMBER*字段,图例中替换后命令如下

netsh int ipv6 set int rabaseddnsconfig=disable

 

 

 

返回“确定”后禁用成功,开启方法同上。上述操作均无需重启电脑。

 

 

五、参考资料:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898 

https://github.com/advanced-threat-research/CVE-2020-16898 

9999.jpg

]]>
Linux 内核曝严重蓝牙漏洞,影响多个版本 Sun, 25 Oct 2020 16:56:26 +0800 谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。

BleedingTooth漏洞分别被命名为CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。其中最严重的漏洞是基于堆的类型混淆漏洞(CVE-2020-12351),被评为高危漏洞 ,CVSS评分达到8.3。

据悉,漏洞存在于BlueZ中,软件栈默认情况下为Linux实现了所有蓝牙核心协议和层。 除Linux笔记本电脑外,它还用于许多消费或工业物联网设备。

受害者蓝牙覆盖范围内的远程攻击者都可以通过目标设备的bd地址来利用此漏洞 。攻击者能够通过发送恶意的l2cap数据包来触发漏洞,导致拒绝服务,甚至执行具有内核特权的任意代码。而此过程中无需用户交互,使得这一漏洞的隐患更大。

第二个问题是基于堆栈的信息泄漏,即CVE-2020-12352。该漏洞影响Linux内核3.6及更高版本。远程攻击者知道受害者的bd地址后可以检索包含各种指针的内核堆栈信息,这些指针可用于预测内存布局并绕过KASLR。此外,还可能窃取其他有价值的信息,例如加密密钥。

第三个漏洞CVE-2020-24490则是位于net / bluetooth / hci_event.c的基于堆的缓冲区溢出,影响Linux内核4.19及更高版本。

如果受害机器配备了Bluetooth 5芯片并且处于扫描模式,则近距离的远程攻击者可以广播扩展的广告数据,并导致拒绝服务或可能在受害机器上执行具有内核特权的任意代码。恶意或易受攻击的蓝牙芯片(例如,受BLEEDINGBIT或类似漏洞破坏的芯片 )也可能触发该漏洞。

9999.jpg

]]>
Barnes & Noble遭网络攻击:消费者邮箱、购买记录被盗 Sun, 25 Oct 2020 16:56:26 +0800 据外媒报道,虽然Nook在很大程度上已经被亚马逊的Kindle抛在脑后,但Barnes & Noble(以下简称B&N)仍是一个拥有相当数量忠实客户的知名品牌。然而这些顾客现在可能有些担心,因为这家书商向他们提供了一些令人不安的消息。报告显示,B&N的公司系统遭到了网络安全攻击,黑客可能已经获得了B&N客户的一些重要信息,其中可能包括他们的住址。

1600px-Barnes_and_Noble_Hendersonville_TN_USA.JPG

资料图

需要明确指出的是,在攻击期间没有任何财务相关信息或付款细节被窃取。B&N表示,这些信息都是被加密和标记了的。然而这并不排除这些加密数据也有被窃取的可能,这些数据仍有可能成为解密尝试的牺牲品。

不过这家公司承认,至少有两条客户信息被曝光。这些包括用户的电子邮件和他们的购买交易信息。后者可能用于建立客户的档案,前者则可能用于网络钓鱼。客户的电子邮件账号本身是否会被攻破将取决于他们的电子邮件的安全强度。

黑客还可能侥幸获得了账单信息,其中包括客户提供的送货地址和电话号码。虽然受影响的人们可能不必担心他们的信用卡被用于未经授权的交易,但他们将不得不警惕诈骗。很显然,如果用户已经收到了来自B&N的警告,那么现在可能是时候更改自己的电子邮件密码并激活双因素认证(2FA)功能了。

在此之前,上周一发生了该公司所称的“系统故障”影响了对Nook内容的访问以及零售店的订单处理。B&N声称,虽然他们在10月10日就得知了这起安全入侵事件,但没有提及两者是否存在任何关联。

9999.jpg

]]>
黑客入侵家用监控器,大量隐私影片在色情网任看 Sun, 25 Oct 2020 16:56:26 +0800 2020年10月12日,新加坡传媒报道,新加坡多个家庭的居家监控器片段,近日被发现上传至色情网站,画面包括少女在家衣衫单薄、男女在睡房性交。这些被人上传至色情网站的居家监控器片段,来自新加坡、泰国、韩国、加拿大等地,其中标签为“新加坡人”的片段超过1000段,播放长度由数十秒至超过30分钟。它们都是在厕所偷拍、男女睡房性交及女生拍摄裸照等画面,部分影片标题更注明是“黑客入侵监控器”的画面。

640.webp (13).jpg

部分曝光影片的受害人是年轻女子,有人更看似未成年,穿着睡衣躺在寓所客厅看电视,被拍到走光。有些影片附上社交媒体群组的链结,入内即可加入。其中一个群组声称在全球拥有1000名会员,其中70人已缴付150美元会费,今后可“终身”浏览储存容量高达3TB的影片。

该群组又声称入侵的居家监控器超过五万个,并免费提供大约4000条“样本”影片,它们的储存容量为700MB。此外,“贵宾级”会员可以透过教学及个人化的时段,学习如何入侵他人的居家监控器镜头,盗取画面及实时观看。有业界人士表示,用户一般很难判断是否有黑客入侵居家监控器,群众可留意监控器的保安设置、密码是否有突然被更改的迹象,或监控镜头是否在未经调整下异常转向,以及避免把镜头等器材直接连接互联网。专家提醒群众:千万不要以为自己的监控器镜头安全,并不要把个人生活细节连结互联网。

9999.jpg

]]>
有期徒刑3年,处罚15000元!扬州非法控制计算机信息系统案宣判 Sun, 25 Oct 2020 16:56:26 +0800

近日,邗江法院开庭审理了陶某(化名)非法控制计算机信息系统案件。


据悉,陶某毕业后自学软件编程,为牟利竟然干起了非法控制网站的行当,以为这样“成本低来钱快”,最终却难逃法律的制裁。


640.webp (14).jpg



网络中寻觅“商机”


陶某是福建南平人,专科毕业后就呆在家,一直没能找到合适工作。由于手头拮据,想赚点钱。因为操作计算机较熟练,再加上掌握一些编程知识技能,陶某将目光投向了“黑客”技术领域。


2019年2月,陶某先在网站上下载某“黑客”软件,然后用某软件对该“黑客”软件的下载地址进行修改,也就是将软件的获取地址改成自己的收取地址。随后,陶某再将修改过的网址上传至国内某知名的专业IT技术交流平台网站以及他日常管理的四个QQ群内,供他人免费下载。


从表面来看,免费下载的网址可以给用户提供“黑客攻击”方面的秘诀,其实背后真正的“赢家”是陶某。



原来,用户下载并使用被陶某修改过的软件时,收集来的网站后门信息就会自动回传到陶某的网络硬盘内。这些步骤逐一完成后,就意味着陶某悄悄拥有了这些网站的实际控制权限。一番操作后,陶某便能利用非正规手段入侵这些网站,顺利控制网站数据。


当然,陶某真正的目的在于赚钱。于是,他将收集来的大量网站“后门”信息在网上销售给需要的人。陶某向他人出租网站后门控制权限的同时,还配套销售“寄生虫软件”,帮助客户进一步控制网站,从中牟取利润。




非法入侵网站形迹可疑


“差不多收集了1万多条网站漏洞信息,大约出售给全国各地的20人。”陶某私下透露给好友,自己收集来的网站代码等信息,主要是用于出售,大多以每周500元或者每月1500元的价格向他人开通租赁使用权限。


为保证稳定的“客户源”,陶某还详细指导如何登录注册。据了解,他先将网址发送给客户,“客户”按步骤登录注册,注册完毕后陶某进入后台,然后开通权限,此后客户就可以看到所有收集来的网站“后门”信息,便于“客户”自由选取使用。


然而陶某的“发财梦”没有持续多久。扬州警方经过缜密侦查,收集掌握其大量违法犯罪证据。



去年4月中旬,市公安局网安支队民警在工作中发现,有网民登录某网址管理后台并进行编辑维护,且该网站中存在8000多个网站漏洞。


经测试发现,网站中的部分存活状态漏洞可直连被入侵互联网服务器获取控制权。在随后的侦查过程中,警方经落地查证发现,福建籍男子陶某有重大作案嫌疑。去年7月10日,扬州警方在福建省南平市将犯罪嫌疑人陶某抓获,到案后陶某对其犯罪事实供认不讳。



利用网站漏洞赚钱 陶某被判刑


被警方抓获后,陶某交代,将软件的回传地址改成自己的地址后,得到网站“后门”信息,就相当于掌握了网站的控制权。


“我可以利用相应的工具对网站上的信息以及数据进行修改。说白了,我就成了网站的实际控制人,收集信息之后,我再将‘后门’信息在网上销售,获取利益。”陶某说。



据陶某交代,他铤而走险主要是因为这条路子“成本低来钱快”。经查实,陶某共收集了1万余条网站漏洞信息,获得网站的实际控制权后以每周500元或每月1500元的租金价格对外销售承租权,非法获利1万余元。


近日,经邗江检察院提起公诉,邗江法院对这起案件进行公开开庭审理。


法院经审理查明,2019年2月至7月,被告人陶某在福建南平家中,将事先修改过回收地址的某“黑客”软件通过上传网站及在QQ群内发布,利用他人下载使用该软件,非法获取了1万余条网站“后门”漏洞信息,后通过租赁上述信息非法获利人民币1.1万元。经远程勘验,1万余条网站漏洞信息中可直连被入侵互联网服务器获取控制权限的达103台。


法院认为,被告人陶某违反国家规定,对国家事务、国防建设、尖端科学以外的计算机信息系统实施非法控制,情节特别严重,其行为已构成非法控制计算机信息系统罪。


依据相关法律,法院最终判决,被告人陶某犯非法控制计算机信息系统罪,判处有期徒刑三年,缓刑四年,并处罚金人民币15000元。

9999.jpg

]]>
个人信息保护法草案初审:处理敏感个人信息要取得单独同意!违反者最高罚5000万 Sun, 25 Oct 2020 16:56:26 +0800 备受关注的个人信息保护法草案今天提请十三届全国人大常委会第二十二次会议审议。


数字显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。应当看到,虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。


“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。


草案共八章七十条。从内容上看,草案聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大违法行为惩处力度。


640.webp (13).jpg


 聚焦突出问题  健全个人信息处理系列规则 

——设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意 


在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。


“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”刘俊臣说。


草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。


同时,草案还确立了以“告知一同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。


考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。


草案还设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。


此外,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。


 明确适用范围  赋予本法必要域外适用效力 

——赋予个人信息保护法必要的域外适用效力,以充分保护我国境内个人的权益 


草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。


同时,借鉴有关国家和地区的做法,草案还赋予了必要的域外适用效力,以充分保护我国境内个人的权益。


草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。


 维护国家利益  完善个人信息跨境提供规则 

——对跨境提供个人信息的“告知—同意”作出更严格的要求 


草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。


同时,草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。


对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。


 落实保护责任 明确相关主体的权利和义务 

——要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督 


与民法典的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。


与此同时,草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。


 明确职责分工  突出网信部门统筹协调作用 

——国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作 


个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。


草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。


 加大惩处力度 对违法行为设严格法律责任 

——侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款 


草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。


草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他安志杰责任人员处十万元以上一百万元以下罚款。


根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。


此外,草案规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。

9999.jpg

]]>
德国软件巨头Software AG遭遇勒索软件攻击 Sun, 25 Oct 2020 16:56:26 +0800
640.webp (12).jpg


德国企业软件巨头Software AG近日遭遇窃取信息的勒索软件攻击。


Software AG软件公司声称拥有10,000多个客户,年收入超过8亿欧元,上周晚些时候在简报中透露了遭受勒索软件攻击的消息。


简报指出,攻击自上周一以来一直在进行,尚未得到完全遏制。


“今天,Software AG获得了第一批证据,证明Software AG的服务器和员工笔记本中的数据被(勒索软件)下载。但仍然没有迹象表明向客户提供的服务(包括基于云的服务)会被中断。该公司正在不断完善其运营和内部流程。”Software AG在10月8日解释说。


“Software AG正在进一步调查此事件,尽其所能来遏制数据泄漏,并解决内部系统持续中断的问题,特别是尽快恢复其内部系统(由于安全原因已将其关闭) 。”


尽管该公司的网站似乎正常运行,但要求客户以邮件形式发送技术支持问题并附上电话号码, “由于我们的在线支持系统存在技术问题”。


研究人员MalwareHunterTeam在社交媒体上发消息称Software AG遭到Clop变种的打击,该勒索软件的赎金要价通常高达2000万美元。勒索软件运营者声称已经从Software AG掳走了超过1TB的数据。


针对Software AG的勒索软件攻击进一步佐证,勒索软件组织开始越来越多地针对财大气粗的大型企业目标。他们通常会执行详细的侦察,然后使用APT风格的策略进行高级多阶段攻击,以在隐藏数据最终部署勒索软件的过程中保持隐藏状态。


今年早些时候,IT服务巨头Cognizant透露勒索软件攻击在2020年第二季度使该公司损失了约5000-7000万美元。

9999.jpg

]]>
微软捣毁了臭名昭著的Trickbot勒索软件僵尸网络 Sun, 25 Oct 2020 16:56:26 +0800 微软今天宣布,它破坏了Trickbot僵尸网络,这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来,Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作,拿下了Trickbot的关键基础设施,这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。

Trickbot不是一个简单的恶意软件,任何免费的反病毒软件都可以检测到,它在受影响的设备中不断进化。

Trickbot是一个多阶段的恶意软件,通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板,旨在通过产生独特的样本来逃避检测,即使主要的恶意软件代码保持不变。

feodo-trick.pngtrickbotemail.png

希望了解更多有关勒索软件与僵尸网络的内幕,您可以在微软的相关博客中获取更多资料:

https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/

9999.jpg

]]>
不能低估的“对手”:FONIX勒索软件及服务 Sun, 25 Oct 2020 16:56:26 +0800

FONIX ,一种新的勒索软件即服务(RaaS)产品。

事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。

专家指出,该勒索软件作者不要求威胁分发者支付任何费用来加入其中,只需要拿走威胁分发者获得的赎金的一定百分比。和许多其他当前 RaaS 产品略有不同,FONIX对每个文件采用四种加密方法,并且感染后解密周期过于复杂。

威胁分发者通过电子邮件与作者进行通信,以获得针对受害者的解密程序和密钥。与之相对的,分发者会为作者保留25%赎金。

根据当前情报,FONIX关联公司或者说威胁分发者一开始不会获得解密程序或密钥。正常情况下,在受害者通过电子邮件联系威胁分发者后,威胁分发者受害者会要求受害者提供一些文件。其中包括两个用于解密的小文件:一个是证明被加密的证据,另一个是来自受感染主机的文件"cpriv.key"。然后,威胁分发者会将这些文件发送给FONIX作者,作者解密文件后发送给受害者。当受害者确信解密是可信的,分发者就会提供付款地址(BTC 钱包)。然后,受害者支付报酬,然后分发者会和FONIX 作者分成。

显然,上述流程比大多数 RaaS 服务更复杂,用户友好程度也更低。

目前,FONIX 勒索软件仅针对 Windows 系统,默认情况下它加密所有文件类型,不包括关键的 Windows OS 文件。此外,该勒索软件使用 AES、Chacha、RSA 和 Salsa20 的组合来加密受害者的文件,并且添加了一个XINOF 扩展。这类多种加密协议使得加密过程比其他勒索软件慢得多,而使用管理权限执行有效负载后,将进行以下系统更改:

禁用任务管理器

通过计划任务、启动包含和注册表(运行和运行一次)的文件夹实现持久性

修改系统文件权限

有效负载的持久副本将其归因于隐藏

为持久性创建隐藏服务(Windows 10)

更改驱动器/音量标签(更改为"XINOF")

删除卷卷副本将(vssadmin,wmic)

系统恢复选项被操控 / 禁用( bcdedit )

安全引导选项被操控

FONIX 感染具有明显攻击性,即加密系统文件以外的所有内容 ,并且一旦设备完全加密,就很难恢复。不过,目前FONIX似乎并没有通过数据公开来威胁受害者。

参考来源:

securityaffairs

9999.jpg

]]>
Fitbit间谍软件可通过表盘窃取个人数据 Sun, 25 Oct 2020 16:56:26 +0800 黑客通过员工的智能手环/手表窃取个人隐私并泄露企业网络敏感数据?这听上去有些骇人听闻,但已成事实。

近日,Immersive Labs Researcher的安全研究人员利用松垮的Fitbit隐私控制功能开发了一个恶意间谍软件表盘(概念验证)。证明利用开放的开发者API,攻击者可以开发出可访问Fitbit用户数据的恶意应用程序,并将其发送到任何服务器。

Immersive Labs的网络威胁研究总监Kev Breen指出:

“从本质上讲,(开发者API)可以发送设备类型、位置和用户信息,包括性别、年龄、身高、心率和体重。”布雷恩解释说。“它还可以访问日历信息。尽管其中不包括PII个人资料数据,但日历邀请可能会暴露其他信息,例如姓名和位置。”

由于可以通过Fitbit开发API获得所有这些信息,因此开发应用程序进行攻击并不复杂。Breen很轻松就开发出了恶意表盘,随后他可以通过Fitbit Gallery(Fitbit的应用商店)发布。因此,这个间谍软件看起来合法,这大大提高了用户下载的可能性。

Breen解释说:“我们的间谍软件现已在fitbit.com上发布。重要的是要注意,尽管Fitbit并未将其视为‘可用于公共下载’,但该链接仍可在公共领域访问,而我们的‘恶意软件’仍可下载。”

Breen说,越多用户在任何移动设备上点击该链接,恶意软件的合法性就越来越高,它在Fitbit应用程序内打开,并且“所有缩略图都像是合法应用程序一样完美呈现,只需单击一下即可下载和安装,在Android和iPhone手机上都可以。”

Breen还发现,Fitbit的API允许对内部IP范围使用HTTP,他滥用这一点将恶意表盘变成原始的网络扫描仪。

他说:“有了这项功能,我们的表盘可能会威胁到企业。”“它可以用来做所有事情,从识别和访问路由器、防火墙和其他设备到暴力破解密码以及从公司的内部应用程序读取公司的内部网。”

冰山一角

截至本文发稿,Fitbit已经对Breen的安全报告做出回应,表示已迅速部署缓解措施。

当从专用链接安装应用程序时,Fitbit在用户界面中为用户添加了一条警告消息,它使消费者更容易识别即将安装的是否是公开列出的正规程序。

Breen说,Fitbit还致力于在授权流程中调整默认权限设置,使其默认为不选择。

然而,截至上周五,Breen的恶意表盘仍可在Fitbit应用商店中供大众访问。

Fitbit的安全漏洞只是近期一系列可穿戴物联网安全威胁的冰山一角,上周,联网成人用品(男性贞操环)发现严重漏洞,被黑客攻击锁死后,需要借助角磨机才能从器官上取下。

上个月,Mozi僵尸网络恶意软件占了IoT设备上全部流量的90%。而蓝牙欺骗漏洞让数十亿设备暴露在攻击火力之下,这些都让物联网安全态势进一步恶化。

9999.jpg

]]>
监狱视频探视服务HomeWAV暴露了囚犯与律师之间的私下通话 Sun, 25 Oct 2020 16:56:26 +0800        据外媒TechCrunch报道,由于担心新冠病毒的传播,美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人,迫使朋友和家人使用昂贵的视频探视服务,但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后,一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞,暴露了数千名囚犯和他们的家人之间的电话,但也有他们与律师的通话,这些应该是由律师 - 客户特权保护的电话。

homewav-display.jpg

HomeWAV为全美十几所监狱提供服务,它的一个数据库在没有密码的情况下暴露在互联网上,允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。

安全研究员Bob Diachenko发现了这个安全漏洞,他说,这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题,HomeWAV在几个小时后关闭了系统。

在一封电子邮件中,HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch:“我们的一个第三方供应商已经证实,他们意外地取下了密码,从而允许访问服务器。”Best没有点名第三方供应商的名字,他表示,公司将把这一事件通知囚犯、家属和律师。

ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch:“我们一次又一次看到的是,当系统失败时,被监禁者的权利是第一个被践踏的--因为它总是这样。”

“我们的司法系统只有对最弱势者的保护才是好的。一如既往,有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说:"技术不能解决刑事法律制度的根本性缺陷--如果我们不慎重和谨慎,它将加剧这些缺陷。”

美国几乎所有的监狱都会记录囚犯的电话和视频通话--即使在每次通话开始时没有披露。据悉,检察官和调查人员会回听录音,以防囚犯在通话中自证其罪。然而,由于律师与当事人的特权,囚犯与其律师之间的通话不应该被监控,这一规则保护律师与其当事人之间的通信不被用于法庭。

尽管如此,已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年,美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且,今年早些时候,缅因州的辩护律师表示,他们经常被几个县级监狱录音,他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。

HomeWAV的网站上说:“除非来访者之前已经登记为神职人员,或者是犯人有权与之进行特权交流的法律代表,否则会告知来访者,访问可能会被记录,并且可以被监控。”

但当被问及时,HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示,律师明确宣布他们的通话受律师-当事人特权保护,有效地告诉任何听进去的人,通话是禁区。

TechCrunch与两位律师进行了交谈,他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录,但要求不要说出他们或他们的客户的名字,因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示,他们在通话中口头主张律师与当事人的特权,而另一位律师也认为他们的通话受到律师与当事人特权的保护,但拒绝进一步评论,直到他们与当事人通话。

另一位辩护律师Daniel Repka告诉TechCrunch证实,他9月份与监狱中的一位客户的一次通话被记录、转录,随后被曝光,但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息,”Repka说。“任何时候,我都有一个客户从监狱给我打电话,我非常意识到并意识到不仅有可能出现安全漏洞,而且还有可能被县检察官办公室访问这些电话。”

Repka称:“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道:“律师的最佳做法是,总是亲自去监狱探望你的客户,在那里,你在一个房间里,你有更多的隐私,而不是通过电话线,你知道已经被指定为录音设备。”

但疫情带来的挑战使得亲自探视变得困难,或者在一些州不可能。关注美国刑事司法的无党派组织 "马歇尔计划 "说,由于冠状病毒带来的威胁,几个州已经暂停了亲自探视,包括合法探视。甚至在大流行之前,一些监狱就结束了亲自探视,改用视频通话。

视频探视技术现在是一个价值数十亿美元的产业,像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。

HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年,Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露,并与The Intercept分享。据该出版物报道,缓存中的许多录音还包含受律师-当事人特权保护的指定电话。

8月,Diachenko报告说,另一家监狱探视服务机构TelMate也出现了类似的安全漏洞,由于无密码数据库,数百万条囚犯信息被泄露。

9999.jpg



]]>
建行外包人员偷查三千多笔个人征信报告,10元一条倒卖,获缓刑!本年被判第二案 Sun, 25 Oct 2020 16:56:26 +0800 640.webp (10).jpg

中国建设银行一分行外包人员利用职务之便将客户个人信息倒卖给贷款公司,获利 3.6 万元后被 " 判三缓三 "。近日,根据裁判文书网信息,湖南永州市冷水滩区人民法院公布的一审刑事判决书披露了这起 90 后银行 " 内鬼 " 盗取客户信息获利案详情。

640 (2).png

据冷水滩区检察院指控,2015 年 12 月至 2016 年 3 月期间,被告人崔某利用在中国建设银行股份有限公司永州市分行担任外包人员的职务之便,通过盗用管理人员陈某操作码,查询外地个人信用报告 3678 笔。

此后,崔某将非法查询到的客户信息以 10 元/份的价格通过本案另一被告人吕某芳卖给广东一名经营小额贷款公司的男子。崔某将非法查询到的公民个人征信信息以 WORD 文档形式通过 QQ 邮箱发给了前述男子,崔某共非法获利 36780 元。

本案中,吕某芳充当 " 中间人 " 身份,帮助广东经营小额贷款公司的男子联系到崔某,协助该男子与崔某谈拢买卖公民信息的价格。每次崔某出售公民信息给该男子后,男子都是将买卖信息的款项转账给吕某芳,吕某芳再通过微信转账给崔某。至案发,吕某芳从中收取佣金 3600 元。两人作案三年多后东窗事发。2019 年 12 月 17 日,崔某被民警口头传唤到案,2020 年 4 月 8 日,吕某芳被抓获归案。

法院经审理查明的犯罪事实与检方指控一致,认为崔某、吕某芳违反国家有关规定,向他人出售公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。本案为共同犯罪,崔某为主犯,吕某芳系从犯。

考虑到崔某犯罪后主动到公安机关投案,如实供述自己的犯罪事实,系自首;吕某芳犯罪后能如实供述自己的犯罪事实,认罪态度较好。两人认罪认罚,积极缴纳罚金。法院一审判决,崔某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币三万七千元;吕某芳犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑二年,并处罚金人民币三千六百元。

这已经是本年第二起涉及建行员工倒卖个人征信报告的法院判决

就在今年6月11日,抚顺市中级人民法院对3名银行员工侵犯公民征信的违法行为,分别判处有期徒刑11-16个月不等。原审判决认定,被告人谭某、吴某、饶某均系银行工作人员。谭某为广州花都稠州村镇银行客户经理;吴某为建设银行广州南沙珠江街支行客户经理;饶某为建设银行广州南沙珠江街支行住房与消费信贷部业务员。

640.webp (11).jpg

经查证,谭某侵犯公民征信信息325条,吴某侵犯公民征信信息234条,饶某侵犯公民征信信息193条因涉侵犯公民个人信息,三人于2018年5月先后被刑事拘留。抚顺市望花区人民法院一审认为,被告人谭某等三人违反国家有关规定,非法获取、出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪,且系共同犯罪。一审判决,对谭某等三人分别判处有期徒刑15-24个月不等。一审宣判后,谭某三人提出上诉认为,到案后能如实供述自己的主要罪行,可从轻处罚。抚顺市中级人民法院二审改判,谭某三人犯侵犯公民个人信息罪,判处有期徒刑11-16个月不等。

9999.jpg

]]>
千万当心!换脸APP不要随便玩,有可能让你背上网贷 Sun, 25 Oct 2020 16:56:26 +0800 你的脸被偷了吗?

随着图像处理和人工智能技术的发展,我们开始进入“刷脸时代”人脸解锁、刷脸取款、刷脸买单、刷脸寄快递、刷脸住店、刷脸坐高铁等。同时不少“换脸”应用走红,只要动动手指,就可以将自己的脸替换成明星或是朋友的脸……

在正在到来的“看脸”时代,生活越来越便利,娱乐方式也越来越多样,但“刷脸”带来快乐的同时,也带来了足够的安全感吗?

去年2月,深圳某人脸识别企业被证实发生数据泄露事件,超过250万人的核心数据可被获取,680万条记录泄露,其中包括身份证信息、人脸识别图像及GPS位置记录等。

同样是在去年,欧洲一家公司也曾发生大规模信息泄露事件,数百万人面部识别信息被泄露。而当年9月,工信部曾就网络数据安全问题对一夜爆红的换脸APP“Zao”进行了问询约谈……

千万当心!换脸APP不要随便玩,有可能让你背上网贷


除信息泄露外,不法分子、数据黑灰产从业者还在对人脸信息进行非法买卖,甚至在国内已催生出一定规模的“过脸产业”。

今年7月份有媒体报道,一些电商平台以0.5元每份的价格出售匹配了身份信息的人脸数据。在网络交易平台上,不法分子批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程,以人脸数据0.5元一份、修改软件35元一套的价格进行出售。

千万当心!换脸APP不要随便玩,有可能让你背上网贷


去年9月也曾有媒体报道,商家公开兜售“人脸数据”,数量约17万条,涵盖2000人肖像,每人约50-100张照片。此外搭配一份数据文件,提供性别、表情、颜值等信息……

千万当心!换脸APP不要随便玩,有可能让你背上网贷


为什么会有人偷取我们的人脸信息?这些信息泄露之后又会有什么后果?可能超出你的想象。

“丢脸”的后果是什么?

人脸识别通过摄像头获取脸部信息,再将脸部信息转化为计算机代码,这些所提取的数据将存储于企业数据库。

人脸不能复制,但是代码是可以被获取和重构的,普通的字符和字串密码在丢失之后可以设置新密码,但是人的脸不能“重置”,一旦泄露便很难找回。

如果人脸信息丢失,后果可能无法想象。

丢钱

大部分银行等金融机构开设人脸识别登录APP功能。“刷脸”支付甚至是远程签约等场景也越来越多见。如果用户的“脸”不安全,“钱”也将面临更大的风险。

“丢清白”

一些网站用“换脸”方式提供用艺人“面孔”“嫁接”出的视频,往往涉嫌色情淫秽,且难辨真假。恶意拼接制作侮辱性、污蔑性视图素材进行非法传播、利用。利用贷款人人脸信息,以此类技术进行非法催收活动,甚至敲诈勒索等其他严重犯罪活动。

“被贷款”

不少网贷机构仍使用人工审核或技术含量偏低的机器审核,一旦面部识别信息被不法分子掌握,用黑科技“活”过来的面孔,很可能以假乱真,让不知情者“被网贷”背上巨额债务。

侵犯肖像权

用户上传、发布有关明星肖像权的用户内容,但是普通用户自己很难获得明星的肖像权授权许可,很容易造成肖像权侵权,根据协议内容,用户将会对这些行为承担相应的侵权责任。

侵犯著作权

我国《著作权法》明文规定,影视作品的著作权由制片者享有,同时还享有保护作品完整权,即享有保护作品不受歪曲、篡改的权利。用户通过APP对明星头像进行更换,侵犯了制片人享有的保护作品完整权的著作权利。

制造假新闻

在某些重大场合,以假乱真的假新闻对于民众的误导,带来的负面影响是不可估量的。

如何保护我们的“脸”?

针对利用信息技术手段“深度伪造”他人的肖像、声音,侵害他人人格权益,甚至危害社会公共利益等问题,将于明年起施行的《中华人民共和国民法典》明确提出,任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。

今年1月1日起施行的《网络音视频信息服务管理规定》中也规定,AI造假音视频不得随意发布,要“按照国家有关规定开展安全评估”,并“以显著方式予以标识”。

对我们个人来说,在日常生活中要做到以下几点,来保护自己的信息安全。

对于一些要求上传,手持身份证照片或视频的服务,应保持警惕;

不下载、不使用来历不明的应用程序,避免使用陌生的无安全防护的Wi-Fi;

使用虹膜验证身份的敏感人群,不要随意上传照片到网络,也不要轻易接受他人拍摄照片的要求。

将面部识别设置为财产账户密码时,应同时设置其他验证办法,减小风险。

技术没有好坏

但人性有善恶

提醒更多朋友

9999.jpg

]]>
黑客入侵乌干达移动支付系统 涉及多家银行、运营商 Sun, 25 Oct 2020 16:56:26 +0800 日前,不明身份黑客闯入了 Pegasus Technologies 的系统,后者是一家整合了电信公司、银行以及其他本地、地区和国际转账服务之间的移动货币交易的公司。黑客盗取了一笔尚不清楚的金额,但据说有数十亿先令。

受影响最严重的公司是领先的电信公司,如乌干达的 Airtel 和 MTN,以及乌干达最大的银行 Stanbic 银行,它也支持大部分的移动货币交易。

在 2020 年 10 月 5 日发布的联合声明中,乌干达 Stanbic 银行、MTN Uganda 和 Airtel Uganda 的首席执行官 Anne Juuko、Wim Vanhelleputte 和 VG Somasekhar 分别承认发生了 " 事件 ",但没有透露细节。

" 乌干达 Stanbic 银行,MTN Uganda 和 Airtel Uganda 通知公众和他们的客户,在 2020 年 10 月 3 日星期六,第三方服务提供商经历了一次系统事故,影响了银行的移动货币交易。所有从银行到移动钱包的服务都已暂停。"

" 这次系统事件对银行和移动钱包账户的余额没有影响。我们的技术团队正在分析事故,并将尽快恢复服务。我们对由此造成的任何不便向所有客户道歉,并重申我们提供无缝银行和移动货币服务的承诺。"

Pegasus Technologies Limited 董事总经理罗纳德阿泽维 ( Ronald Azairwe ) 既不能否认也不能证实这一事件。

但刑事调查理事会发言人 Twiine Charles 向媒体证实,警方接到了一起电子欺诈事件的报告。

一家受影响公司的消息人士告诉记者,周四晚上,黑客侵入了 Pegasus 公司的系统,该公司处理 MTN 到 Airtel 和 Airtel 到 MTN 的交易,以及各自的电信公司到银行的支付。

Pegasus 还负责 Stanbic 银行的 Flexipay,这是一种无现金的解决方案,可以让银行的客户通过移动支付支付商品和服务。

" 从周四晚上开始,黑客一直到周六才被发现。到目前为止,黑客已经给自己发送了将近 13 亿乌干达先令,已经设法从 Airtel 的资金中取出了 9 亿乌干达先令。我们估计 MTN 也损失了差不多两倍的钱,因为他们是移动货币的领导者。当欺诈被发现时,所有通过 Pegasus 进行的交易都被暂停。" 消息来源称。

除了当地的移动货币公司,其他国际货币汇款公司也受到了影响。

" 黑客通常会在周末以金融机构为攻击目标,此时金融机构活动较少,警惕性也较低。" 这位对此类网络欺诈非常熟悉的内部人士表示。

Pegasus 成立于 2007 年,每年处理高达 1.7 万亿乌干达先令的金融交易。

这包括移动钱包聚合、移动支付和汇款、贷款和储蓄,以及短信、通话时间和数据加载等增值服务。

该公司的旗舰产品 PegPay 支付平台目前正被银行、电信、公用事业公司 ( 如零售商、付费电视提供商和学校 ) 等多家机构用于汇总和管理用于内部和外部目的的金融交易。

9999.jpg

]]>
全国首个比特币勒索病毒制作者落网! Sun, 25 Oct 2020 16:56:26 +0800 当前,勒索病毒不断蔓延,各类新型病毒层出不穷,一些企业、金融机构甚至政府网站遭到攻击,犯罪嫌疑人索要赎金只认比特币,以逃避警方追查。在“净网2020”专项行动中,南通、启东两级公安机关联手,成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件,抓获巨某、谢某、谭某等3名犯罪嫌疑人,其中巨某系多个比特币勒索病毒的制作者。这是全国公安机关抓获的首名比特币勒索病毒的制作者。截至案发,巨某已成功作案百余起,非法获利的比特币折合人民币500余万元。

640.webp (5).jpg

640.webp (7).jpg

数据恢复公司员工笔记

收银系统被黑,超市遭网络勒索

今年4月,启东某大型超市的收银系统遭到攻击,被黑客植入勒索病毒,造成系统瘫痪无法正常运转。接到报案后,南通市公安局成立由启东、网安、法制等组成的专案组,开展破案攻坚。

“通过数据勘验,我们找到一个如何解密文件的全英文留言,要求受害人必须支付1比特币作为破解费用。”网络攻防专家、南通市公安局网安支队三大队副大队长许平楠说,经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行,而在C盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。

640.webp (8).jpg

“这是一起典型的使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。”许平楠说,近年来,比特币勒索病毒攻击在全国乃至全球范围内整体呈上升趋势,令人深恶痛绝,但发起每次攻击的始作俑者身份始终成谜。对这起案件,尽管专案组做了大量工作,但始终没有丝毫进展,侦查陷入僵局。

警方顺藤摸瓜,病毒制作者落网


案件侦查过程中,受害超市负责人反映,由于被锁服务器中有重要工作数据,格式化将带来巨大损失,其联系了外地一家数据恢复公司,以更低的价格委托解锁加密文件,后对方成功对服务器数据进行了解密。


“一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。”专案组成员、启东市公安局网安支队民警黄潇艇说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,只有按要求支付比特币才能解开。

640.webp (9).jpg

获悉这一情况,专案组判断,其中定有隐情。经过走访调查,这家数据恢复公司的负责人吐露实情,原来他们通过邮箱直接与黑客取得联系,最终花了0.5比特币的代价得到解锁工具,从而顺利完成任务,赚取差价。专案组通过相关记录,深度研判分析,不仅排除了数据恢复公司的作案嫌疑,还成功锁定犯罪嫌疑人的真实身份为巨某,案件侦破工作取得重大进展。

5月7日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。民警在其电脑中还找到相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。


自认完美犯罪,赎金只认比特币


经查,巨某今年36岁,内蒙古赤峰人,自幼喜好并自学钻研计算机知识,精通编程、网站攻防等技术,后成立工作室,利用自己开发的软件炒股,起初赚了不少钱,后亏损300多万元。2017年下半年的某天,债台高筑的巨某偶然间得知有黑客用勒索病毒将他人电脑文件加密锁定后敲诈钱财,于是灵机一动,尝试开发病毒程序,通过研究“永恒之蓝”工具以及“撒旦”等勒索病毒,巨某编写了“satan_pro”病毒程序,用于作案。


“被植入病毒的服务器中,所有的数据库文件、文档都会被加密,只有通过邮箱联系我,支付比特币,我才会把解锁工具发给对方。”巨某交代称,自己开发了一款网站漏洞扫描软件,在获得相关控制权限后,就有针对性地在一些服务器植入勒索病毒。

为避免破解和逃避公安机关的追查,巨某又陆续升级开发了“nmare”“evopro”“svmst”“5ss5c”等4款勒索病毒,除了索要难以追查的比特币作为赎金,他还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。尽管巨某机关算尽,自认为犯罪行为天衣无缝,最终还是没能逃出办案民警的法眼。


社会危害严重,行业乱象不容忽视


经大量工作,专案组查明,巨某先后向400多家网站和计算机系统植入敲诈勒索病毒,受害单位涉及企业、医疗、金融等行业,启东这家超市收银系统即是被植入了“nmare”病毒。案件中,苏州某上市科技公司的系统被巨某植入病毒,导致停产停工三天,损失巨大。


期间,数家数据恢复公司主动联系巨某寻求合作,最终,巨某与谢某、谭某经营的一家数据恢复公司谈妥,由巨某编程,病毒中的联系方式和比特币账户为该公司所有,再由公司寻找目标植入病毒,到手后按比例分成。6月4日,谢某、谭某在广州落网。

“犯罪手法隐蔽,社会危害大,同时也暴露出数据解密行业的乱象。”南通市公安局网安支队支队长张建说,近年来,勒索病毒攻击破坏案件时有发生,侵害目标多为党政机关和企事业单位的重要信息系统,严重危害正常办公秩序和经济运行秩序,甚至有数据恢复公司主动与黑客取得联系,共同开展攻击破坏和敲诈勒索,同时借机抢占勒索病毒解密市场,成为勒索病毒蔓延扩散的帮凶。目前,3名涉案犯罪嫌疑人均因涉嫌敲诈勒索罪被执行逮捕。

9999.jpg



]]>
新冠疫苗临床测试被勒索软件延误 Sun, 25 Oct 2020 16:56:26 +0800 近日,勒索软件攻击袭击了医疗软件公司eResearchTechnology(ERT),该公司为全球制药公司提供进行临床试验(包括COVID-19疫苗试验)的工具,因而对包括施贵宝、阿斯利康、辉瑞和强生等公司进行的多个新冠研究项目造成潜在影响。据报道,由于研究人员被迫改用笔和纸来跟踪患者数据,过去两周对ERT公司的网络攻击使这些试验的速度减慢了。

安全研究人员推测,攻击者可能出于经济动机,或者可能受到寻求获得竞争优势的民族国家的支持。

ERT在其网站上指出,其软件已在全球范围内用于药物试验,并且它参与了FDA去年进行的75%的药物批准试验的跟踪。它没有透露有多少客户受到勒索软件攻击的影响,或者是哪个勒索软件造成的。

但是,据《纽约时报》报道,IQVIA和施贵宝公司都被卷入事件。前者是帮助阿斯利康(AstraZeneca)进行COVID-19疫苗试验的承包商,而后者作为知名药厂正在领导开发一种更快更好的新冠快速检测方法。

两家公司都告诉媒体,由于有了数据备份,攻击的影响是有限的。然而,根据《泰晤士报》报道,其他的ERT客户并不那么幸运。

ERT市场营销副总裁Drew Bustos已向媒体证实,攻击始于9月20日,之后系统被离线。他说,该公司现在处于恢复模式,并且威胁已“得到控制”,因此ERT正在缓慢地使系统恢复运行。

辉瑞公司和强生公司都在研究COVID-19疫苗,他们宣布他们的试验不受这种攻击的影响。IQVIA同时发表声明,指出:“我们不知道与我们的临床试验活动有关的任何机密数据或患者信息已被删除,破坏或被盗。”

虽然尚不清楚该勒索软件攻击的最终动机是什么,但众所周知,针对与新冠病毒斗争的医疗组织的攻击仍在继续。3月,世界卫生组织(WHO )成为间谍工作人员的目标,他们正在寻找冠状病毒反应信息。联邦调查局和美国国土安全部在5月警告说,某民族国家间谍正在积极地进行网络搜寻以进行临床研究。

Point3 Security战略副总裁ChloéMessdaghi对Threatpost表示:

(新冠相关医疗研发项目)攻击事件大规模爆发。与COVID-19相关的敏感数据面临民族国家或者商业间谍的严重威胁。攻击者意识到这具有非凡的价值,因为两家公司(IQVIA和施贵宝)的财务状况非常好,而且临床试验(数据窃取)很容易获得快速回报。

9999.jpg

]]>
官网跳转至涉黄网站,西安秦岭野生动物园回应:已报案 Sun, 25 Oct 2020 16:56:26 +0800 西安秦岭野生动物园通过其官方微信号发布关于 “官网跳转至涉黄网站”一事的回应。西安秦岭野生动物园表示,10 月 6 日中午,秦岭野生动物园官方网站 (西安秦岭野生动物园 : http://www.xianzoo.com/)被恶意篡改,导致网站无法正常显示,给广大市民游客带来困扰和不便,我们深感抱歉。

640.webp (4).jpg
西安秦岭野生动物园关于官方网站维护的公告

10 月 6 日中午,秦岭野生动物园官方网站 (西安秦岭野生动物园 : http://www.xianzoo.com/)被恶意篡改,导致网站无法正常显示,给广大市民游客带来困扰和不便,我们深感抱歉。
为给广大市民游客提供更加安全放心优质的服务,目前,西安秦岭野生动物园官方网站已暂停访问,我们将全面调查此次事件原因,并对网站的防护系统进行升级维护。在此期间,您可通过我们的官方微信公众号 “xianzoo”获取景区游览信息及购票预约等服务内容。
同时,我们已向公安机关进行报案,对网络恶意攻击的行为我园将保留追究其法律责任的权利。
感谢大家的关注与支持。
西安秦岭野生动物园
2020 年 10 月 6 日

打开网址为 http://www.xianzoo.com/ 的西安秦岭野生动物园官网,网页直接跳转至涉黄网站。目前,已显示 “网站升级维护中,暂时无法访问”。

640.webp (3).jpg

9999.jpg

]]>
苹果T2芯片曝严重漏洞,可为攻击者提供Root访问权限 Sun, 25 Oct 2020 16:56:26 +0800 10月6日,据媒体报道,有网络安全研究人员表示,苹果T2芯片存在无法修复的漏洞,使搭载该芯片的macOS设备更容易受到攻击。据称,漏洞可能会给攻击者提供根访问权限。

值得一提的是,T2是苹果在A系列主芯片外,另外增加的一颗专门用于安全方面的芯片。现在,这颗安全芯片却面临着安全质疑。

苹果在自己的电脑产品中加入第二个芯片的做法,最早可以追溯到iPhone上,苹果采用Touch ID指纹识别后,为iPhone预留了一个独立的安全模块。

T1芯片在2016年随着当时的MacBook Pro推出,T2是在此基础上,苹果推出的第二代Mac定制芯片。它最重要的功能就是让Mac产品更安全。

根据上述安全研究人士的说法,黑客可以利用最新曝光的漏洞与黑客团队Pangu开发的另一个漏洞配合,进而规避DFU(iPhone固件强制升降级模式)出口安全机制。一旦攻击者获得对T2芯片的访问权,他们将拥有完全的根访问权和内核执行特权。

对于T2芯片的严重缺陷,苹果无法在不进行硬件修改的情况下修补此漏洞。

据悉,该漏洞影响所有带有T2芯片和Intel处理器的Mac产品。用户只需不要插入未经验证的 USB-C 设备即可规避相关漏洞。截至目前,苹果暂未对此给出回应。

640.webp (2).jpg

9999.jpg

]]>
全球航运业一周内遭遇第二次网络攻击 Sun, 25 Oct 2020 16:56:26 +0800 近日,全球航运业在一周内遭受了第二次网络攻击,这引发了人们对供应链中断的担忧。目前,这些供应链已经十分紧张,可能无法在消费者需求的传统旺季及时运送商品。国际海事组织(International Maritime Organization)周四发表声明说,该组织的IT系统遭受了一次复杂的网络攻击。

国际海事组织是联合国旗下的一个海事行业监管机构,组织表示,目前一些网络服务无法使用,网络入侵正在影响他们的公共网站和内部系统。

640.webp (1).jpg

本周早些时候,全球运力第四大集装箱班轮公司达飞海运(CMA CGM SA)披露,其信息系统受到了攻击。达飞海运星期四表示,公司各办事处“正在逐步重新连接到网络,以提高了预订和文件处理的时间。”

达飞海运在一份电子邮件声明中表示:“我们怀疑这是一次数据泄露,我们正在尽一切可能评估其潜在规模和性质。”据Alphaliner的数据,达飞海运是全球五大集装箱班轮之一,其运力占全球的65%。

近年来,一系列网络事件困扰着航运业,其中最大的一起是2017年的网络入侵,导致总部位于哥本哈根的马士基公司损失了约3亿美元。

网络安全公司Pen Test Partners的安全专家肯·芒罗(Ken Munro)表示:“马士基事件显然引起了骗子和网络罪犯的注意,他们意识到航运业受到了严重冲击。如果岸上的系统无法预订集装箱,船只就无法装载货物,也就无法产生收入。因此,针对航运公司的网络攻击对勒索软件运营商来说是有利可图的。”

虽然暂时并不能肯定,最近的网络攻击会对全球贸易造成短暂的刺激,还是会引发更大范围的破坏。但物流专家李·克拉斯科夫(Lee Klaskow)表示:“网络威胁短期内肯定会带来不利影响,让人头疼。”

对于那些仍在等待季节性周期恢复正常的航运公司来说,最近网络攻击行动发生的时机尤其糟糕。

由于消费者被迫在家工作、在网上购买必需品,从纸巾、口罩到蹦床和电脑显示器等各种物品的供应链都很紧张。此外,由于电子商务采购依然强劲,企业也在补充库存,货主对供应链的需求并未减少,但运力却在下降。因此,自今年年初以来,跨越太平洋运输集装箱的基准成本增加了两倍。

9999.jpg

]]>
医疗巨头UHS遭遇勒索软件攻击 Sun, 25 Oct 2020 16:56:26 +0800        美国最大的医疗服务机构之一Universal Health Services遭到了勒索软件的攻击。据两名知情人士透露,周日凌晨,UHS系统遭到攻击,全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统被锁定。其中一人说,电脑屏幕上的文字发生了变化,其中提到了 "影子宇宙",与Ryuk勒索软件的典型症状一致。"每个人都被告知关闭所有的电脑,不要再打开它们,"该人士说。"我们被告知,要过几天电脑才能再次启动。"

目前还不知道勒索软件攻击对患者护理产生了什么影响。

ryuk-ransomware-screenshot.png

美国另一家医院系统负责网络安全的一位高管表示,病人的医疗数据"很可能是安全的",因为UHS依靠医疗技术公司Cerner来处理病人的电子健康记录,这位高管因未获授权向媒体发言而不愿透露姓名。

UHS在美国和英国拥有400家医院和医疗机构,每年为数百万患者提供服务。UHS的发言人没有立即回应置评请求。

安全公司Crowdstrike称,Ryuk勒索软件与俄罗斯一个名为Wizard Spider的网络犯罪集团有关。Ryuk的运营者以专门盯紧"大猎物"著称,此前曾针对大型组织,包括航运巨头Pitney Bowes和美国海岸警卫队实施勒索攻击。

一些勒索团伙在今年早些时候表示,他们不会在COVID-19大流行期间攻击医疗机构和医院,但Ryuk的运营商没有这样做。

上周,德国警方在接到一名女性因为勒索软件导致死亡后展开凶杀案调查,这名女性在勒索软件攻击后被转移到另一家医院的途中丧生。

9999.jpg

]]>
新加坡加密货币交易所网站遭攻击:至少致1.5亿美元损失 Sun, 25 Oct 2020 16:56:26 +0800 2020年9月28日,据外媒报道,新加坡加密货币交易所KuCoin今日披露了一次大规模黑客攻击。该公司在其网站上发布的一份声明中证实,一名黑客侵入了其系统并清空了其热钱包(hot wallets)中的所有资金。热钱包是连接到互联网的加密货币管理应用。冷钱包(cold wallets)为离线存储

640.png

像KuCoin这样的加密货币交易所会使用热钱包作为他们的临时存储系统来存储目前在平台上交换的资产,它们被用来推动转换操作和资金转移。

KuCoin表示,9月26日,他们发现黑客从热钱包中大量取款

该公司表示,其已启动了安全审计并发现了资金的丢失。KuCoin表示,黑客成功盗取了比特币资产、ERC-20代币以及其他类型的代币。根据用户追踪被盗资金的Etherium地址,目前估计损失最小为1.5亿美元。虽然KuCoin没有回复记者的进一步置评请求。,但该公司CEO Johnny Lyu计划在2020年9月26日12:30 (UTC+8)通过直播的方式提供更多关于安全漏洞的细节。

640 (1).png

另外,KuCoin还承诺补偿那些在黑客攻击中使用其冷钱包而失去资金的用户。在该公司的安全团队调查这一事件期间,存款和取款服务都已经被暂停。

9999.jpg

]]>
广西一医护人员卖了近9万条新生儿和产妇信息,当庭致歉 Sun, 25 Oct 2020 16:56:26 +0800 庭审中,控辩双方详细讯问了被告人,进行了举证质证,并在法庭的主持下对本案事实认定和犯罪情节等焦点问题进行了充分辩论。各被告人均表示认罪认罚,并发表最后陈述,对自己买卖公民个人信息的行为表示深刻忏悔,向信息遭到泄露的公民致歉。因案情复杂,合议庭宣布休庭,该案将择日宣判

该案件系医护人员涉嫌有偿向商家提供公民个人信息,时间跨度长,信息数量多,社会影响较大。法官提醒:医护人员应严守保密工作纪律,规范自我行为;商业经营者应用合法手段推销商品、打广告,不可逾越法律红线。

9999.jpg

]]>
调查:航旅业是网络安全的重灾区 Sun, 25 Oct 2020 16:56:26 +0800 无论航空公司还是酒店,航旅业是遭受新冠病毒疫情打击最为严重的行业之一,但雪上加霜的是,航旅业同时也是网络安全重灾区,英国航空公司和万豪集团等企业虽然因数据泄露事件付出过惨痛代价和高额罚款,但是航旅业的网络安全问题似乎没有任何改善。

近日,英国消费者权益和技术咨询公司6point6使用合法的在线工具研究了98家旅行业公司的网站、子域名、员工门户和其他网站资源。

结果,安全研究人员在主要的酒店、航空公司和旅行预订网站上发现了数百个漏洞,其中一些漏洞已经遭到严重破坏。

他们发现,万豪酒店集团的网站查出多达497个漏洞,其中包括100多个被评定为“高”(96)或“严重”(18)的漏洞。其中一些可能使攻击者可以将用户及其数据作为目标。

easyJet航空公司今年发现了一个影响900万客户的漏洞,被发现在9个网站域中存在222个漏洞,其中包括一个严重漏洞,该漏洞可能使攻击者劫持用户的浏览会话。

研究人员在英国航空公司网站上发现了115个漏洞,其中12个被判定为严重漏洞。尽管已确定的大多数问题都与运行旧版本的软件有关。

去年,英航曾向Magecart攻击者泄露约万名客户的详细信息,这一事件也可能面临ICO的巨额罚款。

美国航空发现了291个潜在漏洞,在线订票平台Lastminute.com也发现了一个严重漏洞,攻击者可能会利用该漏洞创建虚假的登录账户。

“我们的研究表明,万豪、英国航空公司和easyJet未能从以前的数据泄露中吸取教训,并使他们的客户面临网络犯罪投机分子的威胁。”

研究者指出:“旅行公司必须提高自己的网络安全水平,更好地保护其客户免受网络威胁,否则,将面临GDPR合规的巨额罚款。”

9999.jpg

]]>
安全周报(09.21-09.27) Sun, 25 Oct 2020 16:56:26 +0800

1


动视发生严重个人资料泄漏事件:超50万账号被曝光


援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏。

上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。

虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。


c6566297d3386f5.webp.jpg

2


新型内幕交易犯罪,用木马窥视基金交易指令,干了12年


近日,辽宁省高级人民法院公开审理了一则新型内幕交易案件。被告人朱某海,制作“木马病毒”入侵多家基金公司、证券公司的系统,盗取交易指令和内幕信息,非法获利约180万元。

该案是证券类新型犯罪,此前比较少见,2004至2016年间,被告人朱某海制作并使用木马病毒非法侵入、控制他人计算机信息系统,非法获取相关计算机存储的数据。

其间,被告非法控制计算机信息系统2474台,利用从华夏基金管理有限公司等多家基金公司计算机系统内非法获取的交易指令,进行相关股票交易牟利,总计获得违法所得183.57万元。

“泄露内幕信息罪、内幕交易罪类的案子,一般都是在人与人之间传播,盗用数据库的计算机犯罪手段,构成泄露内幕信息的比较罕见。”律师宋一欣表示,对证券、基金公司来说,应加强系统防范,黑客入侵肯定会留下痕迹,数据库维护人员可加强系统核查。


640.jpg

3


美国网络安全与基础设施安全局CISA网站遭黑客入侵


2020年9月25日,据彭博社报道,美国当局周四表示,在黑客使用有效的访问凭据后,一家未具名的美国联邦机构遭到了网络攻击。据美国网络安全与基础设施安全局(CISA)称,虽然没有透露有关黑客的许多细节,但联邦当局确实泄露了黑客能够浏览目录,复制至少一个文件并泄露数据的信息。

当局称,黑客植入了恶意软件,该恶意软件逃避了该机构的保护系统,并通过对多个用户的Microsoft 365帐户和域管理员帐户使用有效的访问凭据来获得对网络的访问权限。

调查人员无法确定黑客最初是如何获得证书的。但是该机构表示,黑客有可能通过利用Pulse Secure虚拟专用网络服务器中的一个已知漏洞来获取它们。


640 (16).png

4


知名企业的工控设备存在高危漏洞


西门子多款型号的工业交换机的系统固件存在权限绕过、栈溢出、堆溢出等多个高危漏洞。

分析发现,该系统固件的代码逻辑设置错误,导致权限被轻松绕过。例如,在权限控制方面,满足A或满足B的任何一个条件验证,即可执行相应特权操作。也就是说黑客无需任何权限即能够重启存在漏洞交换机设备、恢复设备的出厂设置、修改设备的管理密码、直接远程关闭存在漏洞的交换机等高权限操作。

利用该系统固件存在栈溢出、堆溢出等多个高危漏洞,导致黑客能够远程窃取网络传输的工控指令、账户密码等敏感信息,或者发动中间人攻击,使得整个网络如同裸奔。同时,黑客可以直接对联网工控设备下达停止、销毁、开启、关闭等各种指令,甚至在网络内植入木马病毒,直接关停网内生产设备。

建议使用以上设备的企业,在漏洞修复之前,不要开启相关设备的80或者443端口,必须开启则使用VPN专用网络;如果用户网络已经配置防火墙等安全设施,建议设置相应规则过滤规则,禁止非授权IP地址访问上述端口。


640 (18).png


]]>
“蓝色字体”事件背后的隐患 警惕这类卡片消息! Sun, 25 Oct 2020 16:56:26 +0800   这两天,一条“点击蓝色字体有惊喜”的消息在各个QQ群热传。

 

 Image-0.png

 

点击“点我”按钮后会自动在当前对话中发出“周末我穿女装给你们爽爽”,引得一众女装大佬的疯狂点击…… 

Image-1.png

 


正当大家玩得不亦乐乎之时,突然有位“大佬”出来警醒大家:别玩了!IP泄露了!这引起了人们对其安全性的担忧,我们也收到了不少用户的咨询。

 


 Image-2.png

 


“卡片消息”

其实这个蓝色字体消息使用的是QQ正常的“卡片消息”功能。QQ会在推送音乐、地图等特殊消息的时候使用该功能。

 

 Image-3.png

(图为知乎用户@流星暴雨相关回答)

 

此次事件是有人利用技术手段篡改了QQ“卡片消息”,实现了点击“蓝色字体”发送自动回复的情况。不少网友也对此做了相关解答,并认为这位“大佬”是在造谣。

 

 Image-4.png

 


虽然由于腾讯QQ已经在第一时间对此类消息进行拦截,我们无法针对本次消息进行验证。但不法分子很有可能在 “卡片消息”中植入恶意代码对点击者造成攻击。并且经观察,近期已经出现了不少类似的利用“卡片消息”的事件。

 

所以我们认为,无论蓝色字体事件是否有获取IP的情况,都应该对大家起到警示作用,用户遇到类似情况需要提高警惕。

 

多起“卡片消息”被利用事件

无独有偶,就在蓝色字体事件发生的几天前,我们就收到过用户反馈类似的问题。不法分子同样利用了QQ“卡片消息”,在其中植入了一个恶意链接,可以获取点击者的IP和手机信息。

 

 Image-5.png

 Image-6.png

 

除此之外,还有利用分享文档“工作邀请函”的情况,该分享同样会使用 “卡片消息”的形式。

 

 Image-7.png


 

图中网友表示自己被盗号后向好友自动分享了名为“工作邀请函”的文档,好在其好友警惕性较高,向该网友进行了确认。我们可以大胆猜想,这个“工作邀请函”中可能含有盗号链接。

 

用户应警惕这类“卡片消息”

一直以来,QQ,微信等即时通讯软件都是不法分子用来传播病毒、恶意程序或诈骗的主要渠道之一。这种方式利用了人们对通讯好友的信任,往往成功率极高。

 

相信大家都能脱口而出一些常规套路,例如“点击链接查看我的照片”,“伪装成好友借钱”等。火绒也曾披露过利用QQ群传播勒索病毒的例子(见补充资料)。比起以上那些套路,“卡片消息”作为QQ官方的功能,基本不会引起用户的疑心。所以当被不法分子利用后,会具有更高的欺骗性。

 

我们甚至在网上发现了利用"卡片消息"获取IP地址及手机型号的教程。虽然文章作者的目的是为了获取诈骗分子的信息,但难免会被别有用心之人利用。

  

 Image-8.png


 

通过上述多起事件我们可以发现,“卡片消息”被利用的风险很高,可以被任意修改标题、内容、配图、来源等。不法分子完全可以伪造一个具有欺骗性的“卡片消息”,引导用户点击。用户点击后,即可触发其中植入的恶意网址/恶意代码,实现对用户的钓鱼攻击、获取信息、甚至投毒等恶意行为。

 

下图为火绒工程师将卡片消息内容修改成火绒官网后,链接到百度搜索的演示。

 

 1a0cb7e6-342f-4fb6-954f-7f99a93b829b.gif

 

安全建议 

本文所提到的事例,多数已经被腾讯QQ官方及时拦截处理了。但是我们可以猜测,未来通过利用这种方式的威胁会越来越多。所以我们建议用户:

 

1、收到类似本文中的“卡片消息”时,保持警惕,尽量不要点击;

2、收到好友发送的文件后,和发送人再次确认,必要时可更换平台确认;

3、在群里看到此类消息,不要跟风点击;

4、在聊天窗口以外的网页或者文档中,不要轻信网页内容,输入涉及个人隐私的内容,更不要输入账户、密码相关的信息,以免账号泄露;。

9999.jpg

]]>
医院信息科负责人辞职后,竟入侵医院系统篡改数据 Sun, 25 Oct 2020 16:56:26 +0800 2020年9月23日检查日报报道, 医院信息科负责人辞职后竟又侵入医院信息管理系统、伪造医院充值小票、雇用朋友冒充患者等方式行骗。经山东省日照开发区检察院提起公诉,近日,法院以诈骗罪判处被告人张某有期徒刑一年零六个月,缓刑二年,并处罚金6000元;分别以诈骗罪判处李某、宋某有期徒刑一年,缓刑一年,各并处罚金3000元。

640.webp (12).jpg

一张“与众不同”的充值小票

简爱医院是日照市开发区一家口碑不错、效益较好的私立医院,每天前来诊病的患者络绎不绝。2019年10月15日上午,“林主任,您快看这张充值小票,咱医院小票的字体是蓝色打印的,可这张是黑色的,日期显示格式也不一样,咱是用横杠间隔的,这张是用斜杠间隔的……”细心的收款员小张发现一张办理退余额业务的充值小票有问题,让这位患者稍等一下,她急匆匆跑到主任办公室汇报自己发现的疑点。

林主任拿着这张小票仔细端详了半天,发现的确有猫腻,就同收款员一起来到缴费大厅想进一步了解一下情况,却发现刚才那名神色慌张的男子已悄悄离开。听其他同事说,那名男子是边打电话边匆匆忙忙跑开的。

林主任赶紧让小张查一下卡内的个人信息情况,小张熟练地刷了一下手中的就诊卡,登录医院系统后顿时大吃一惊:刚才还有300多元余额的就诊卡,此时显示余额为零,而这张卡明明一直在她手里攥着啊……二人意识到这件事有蹊跷,向医院领导汇报后,院领导要求信息科工作人员从后台进行排查。

与此同时,在简爱医院旁边的一个小区里,一个“神秘”的男子在车上正在熟练地操作电脑。他叫张某,十几分钟前,他刚刚接到冒充患者办理退余额业务的李某的电话:“哥,不好了,医院发现充值小票有问题了……”张某一边嘱咐李某赶紧离开医院,一边打开车上的笔记本电脑,连接上简爱医院的无线网络,熟练登录了系统,找到了刚才办理退余额业务的那个账号,把里面的余额清零……一番操作后,张某长舒了一口气,轻轻合上了电脑,他觉得简爱医院发现余额为零,应该就不会再深究此事了,便给李某发出了一条信息:“兄弟,放心吧,我已处理好。”然后发动汽车,慢慢驶出了小区……

再说简爱医院这边。数据库工程师马上查阅后台数据,发现持卡人的信息显示:2019年10月11日充值500元,10月15日开了一份腹部彩超检查和两盒复方红衣补血口服液,药已经购买但检查没做,卡内余额323元,后台数据显示在当天10时08分余额已清退,而这恰好是收款员小张发现问题小票向林主任进行汇报的时间段。结合之前持卡男子的异常行为,大家得出了一个大胆推断:“有人侵入了医院的信息管理系统,篡改了后台数据。”

随后,工程师迅速对后台数据进行梳理,果然发现有异常账户存在多次充值、消费和退余额记录,同时,收款台工作人员也从近期的充值小票中又找到了4张用黑墨打印的问题充值小票,这进一步印证了大家的推断。

事关重大,简爱医院立刻报警。警方让医院工作人员仔细回忆了一下近期有没有发生可疑的人和事。工作人员想起来,该院原信息科负责人张某一直负责医院网络系统维护,但他已在当年8月辞职,辞职原因是张某曾盗窃收款员收取的现金,并通过修改系统后台数据将账目扯平,后被医院发现,因数额不大,医院就没再追究。

与朋友“组团”发财,按比例提成

张某有重大作案嫌疑。警方立刻电话通知张某到公安机关配合调查。到案后,心虚的张某低下了头,面对侦查人员摆出的相关证据,他承认利用医院系统漏洞,想方设法骗取医院钱财。

原来,2019年7月,简爱医院更新了财务信息管理系统,此时新旧系统的表格是不兼容的,老系统内的数据需要由人工导入到新系统中,这个导入过程为张某提供了犯罪的机会。张某发现这个漏洞后,利用职务之便进入计算机旧数据库,把多年不用且余额小于10元的患者账户筛选出来,并把这些钱转入到一个自己创建的账户上暂时隐藏起来。随后,他又利用在医院工作之便,从收款台窃取少量现金,再偷偷修改后台数据把账目扯平。然而,张某窃取现金的行为很快就被医院发现了,也因此丢了这份工作。

离职后,张某一时也没找到合适的工作,经济上日渐捉襟见肘。作为南京某重点大学计算机专业的毕业生,他曾经是父母的骄傲,也是他们的希望。可如今面对娇妻幼子,为了养家糊口,他甚至不得不去送外卖赚钱,风吹日晒,很是辛苦,而在农村的父母也已经年事已高,体弱多病。看看自己的大学同学,都混得风生水起,而自己却如此落魄。

张某很不甘心,又惦记起那些被自己藏在虚拟账户中的钱,一番冥思苦想后,想到了把这些钱转入他人就诊卡,再通过办理退费业务的方式把钱倒出来。早在离职前,他就私自留存了三四十张还未录入患者信息的空白就诊卡,还在笔记本电脑上私自安装了该医院的系统,此时正好可以派上用场。

那天午后,张某在医院附近搜索到了医院财务信息系统的无线网络信号,窃喜之余,迅速登录后往原在职期间私存的空白就诊卡内充值300元至500元不等。随后,他又在客户端登录医生账户冒充医生身份进行就诊操作,一次只开几十元药品。接下来,他又买了一个小票打印机,专门用来打印虚假充值小票。

这样一番“神”操作后,万事已俱备,张某明目张胆去医院办理了两次退余额业务,结果非常顺利,但因为怕被熟人认出来,他又雇用了好友李某、宋某扮演患者角色,并承诺给他们30%的好处费,二人没有抵住诱惑,轮番出入该医院骗取药品和钱财。

为方便联系,张某还建立了一个名称为“外卖兼职”的微信群,把简爱医院附近的一个网吧作为秘密联络点,每次事成之后,张某会立刻给好朋友们按照30%的比例发红包,这些微信里的红包转账记录,为后来诈骗案数额的认定起到了至关重要的作用。

张某等3人自以为如同“黑客”一般,神不知鬼不觉找到了一条不用费力的生财之道,却不知法网恢恢、疏而不漏,仅仅两个月,他们的行为就被简爱医院发现了。截至案发,他们共计骗取医院款项4万余元。

是盗窃还是诈骗

今年5月,日照开发区公安分局将此案侦查终结,以张某等3人涉嫌盗窃罪移送审查起诉。在该案的定性上,公安机关认为,张某通过后台操作系统,将一些小额账户资金转移到虚拟账户,符合使用秘密手段窃取他人财物的特征,其行为符合盗窃罪的构成要件。

办案检察官则认为:虽然盗窃罪和诈骗罪都是以非法占有为目的获取他人数额较大的财物的行为,但盗窃罪的特点是行为人使用秘密手段窃取他人财物,被害人没有主动处分财产的行为;而诈骗罪的特点是行为人使用虚构事实、隐瞒真相的欺骗方法,使被害人陷入错误认识,从而主动处分财产给他人占有的行为。

该案中,张某前期通过后台操作的行为只是在为实施诈骗做前期准备,还不能实际控制这些财物,还未达到非法占有的目的,此时不能认定为盗窃罪;在完成后台操作后,在就诊卡里面完成了虚拟充值,张某又伪造了充值小票,让李某、宋某冒充患者去医院就诊取药并办理退款业务,这些行为使医院工作人员陷入了错误认识,误以为被告人就是来院就诊的真实患者,从而按照流程为他们办理了退款业务,把现金交到了被告人手中,这些行为完全符合诈骗罪构成要件,应当认定为诈骗罪。检察官对3人释法说理,他们均对当初的行为悔恨不已,自愿认罪认罚,积极退赔,争取从宽处理的机会。近日,日照开发区检察院对该案提起公诉,法院综合考虑三被告人的犯罪事实、性质、情节和对社会的危害程度及认罪态度,分别作出上述判决。

9999.jpg

]]>
苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码 Sun, 25 Oct 2020 16:56:26 +0800 苹果发布了iOS和iPadOS操作系统的更新,修复了多个安全性问题。

通过此安全更新,Apple 解决了 AppleAVD,Apple Keyboard,WebKit和Siri等各种产品和组件中的11个漏洞。

在已修复的漏洞中,严重性最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。


高危漏洞– CVE-2020-9992

来自IBM X-Force的安全研究人员发现了一个重要漏洞,该漏洞使攻击者能够提升苹果iOS和iPadOS权限,从而影响设备。

该漏洞是由于IDE设备支持组件中的错误所致,可以将其跟踪为CVE-2020-9992,以执行需要用户交互的代码。

公告写道,

“通过引导受害者打开特制文件,攻击者可以利用此漏洞在网络上的调试会话期间在配对设备上执行任意代码。”

苹果通过加密网络与运行iOS 14、iPadOS 14、tvOS 14和watchOS 7的设备之间的通信,修复了该漏洞。

其他漏洞修复

· AppleAVD/ CVE-2020-9958

适用于以下设备的更新:iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本。

该漏洞影响应用程序可能会导致系统意外终止或写入内核内存。

· Assets/ CVE-2020-9979

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

通过利用此漏洞,攻击者可能会滥用信任关系来下载恶意内容。

· Icons/ CVE-2020-9773

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会识别用户安装了哪些其他应用程序。

· IOSurfaceAccelerator/ CVE-2020-9964

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

本地用户可能会读取内核内存。

· Icons/ CVE-2020-9976

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会泄漏敏感的用户信息。

· Model I/O/ CVE-2020-9973

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

处理恶意制作的USD文件可能会导致应用程序意外终止或任意代码执行。

· Phone/ CVE-2020-9946

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

在指定的时间后,屏幕锁定可能不会起作用。

· Sandbox/ CVE-2020-9968

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

恶意应用程序可能会访问受限制的文件。

· Siri/ CVE-2020-9959

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

对iOS设备具有物理访问权限的人可以从锁屏查看通知内容。

· WebKit/ CVE-2020-9952

适用于iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本的更新。

处理恶意制作的Web内容可能会导致跨站点脚本攻击(XSS)。

9999.jpg

]]>
知名企业的工控设备存在高危漏洞 Sun, 25 Oct 2020 16:56:26 +0800
西门子多款工业交换机存在高危漏洞。利用这些漏洞,黑客可远程窃取敏感信息,直接对联网的工控设备下达停止、销毁、开启、关闭等各种指令,甚至在网络内植入木马病毒。预计至少有17款西门子款设备受影响。
漏洞是风险的爆发源头,无论是病毒攻击还是黑客入侵大多是基于漏洞。CNVD“工控系统行业漏洞”共披露了14万8000多个漏洞,其中包含西门子、飞利浦等知名企业的工控设备。


西门子多款型号的工业交换机的系统固件存在权限绕过、栈溢出、堆溢出等多个高危漏洞。
分析发现,该系统固件的代码逻辑设置错误,导致权限被轻松绕过。例如,在权限控制方面,满足A或满足B的任何一个条件验证,即可执行相应特权操作。
也就是说黑客无需任何权限即能够重启存在漏洞交换机设备、恢复设备的出厂设置、修改设备的管理密码、直接远程关闭存在漏洞的交换机等高权限操作。
利用该系统固件存在栈溢出、堆溢出等多个高危漏洞,导致黑客能够远程窃取网络传输的工控指令、账户密码等敏感信息,或者发动中间人攻击,使得整个网络如同裸奔。同时,黑客可以直接对联网工控设备下达停止、销毁、开启、关闭等各种指令,甚至在网络内植入木马病毒,直接关停网内生产设备。

西门子至少有17款工业交换机使用该系统固件。由于该漏洞是存在于某个通用框架中,因此以上漏洞是否影响其他型号设备还在确认中,受该漏洞影响的范围未知。
建议使用以上设备的企业,在漏洞修复之前,不要开启相关设备的80或者443端口,必须开启则使用VPN专用网络;如果用户网络已经配置防火墙等安全设施,建议设置相应规则过滤规则,禁止非授权IP地址访问上述端口。
目前国内核心控制系统和设备超70%来源于国外厂商,严重依赖进口,而进口工控设备后门广泛存在,很大程度上增加了安全风险。要解决这些问题,就是掌握关键核心技术,发展自主可控技术。

640 (1).png

面对日益复杂严峻的安全形势,需要各界持续推进工控安全态势感知建设,构建上下联动、协调配合的技术保障体系。只有做到自主可控,才能够形成可持续发展。

9999.jpg

]]>
美国网络安全与基础设施安全局CISA网站遭黑客入侵 Sun, 25 Oct 2020 16:56:26 +0800 2020年9月25日,据彭博社报道,美国当局周四表示,在黑客使用有效的访问凭据后,一家未具名的美国联邦机构遭到了网络攻击。据美国网络安全与基础设施安全局(CISA)称,虽然没有透露有关黑客的许多细节,但联邦当局确实泄露了黑客能够浏览目录,复制至少一个文件并泄露数据的信息。

640.png

当局称,黑客植入了恶意软件,该恶意软件逃避了该机构的保护系统,并通过对多个用户的Microsoft 365帐户和域管理员帐户使用有效的访问凭据来获得对网络的访问权限。

调查人员无法确定黑客最初是如何获得证书的。但是该机构表示,黑客有可能通过利用Pulse Secure虚拟专用网络服务器中的一个已知漏洞来获取它们。

据美国国土安全部官员称,网络攻击事件与即将举行的美国大选无关。CISA是该部门的一部分。

CISA发布了有关该漏洞的技术细节,但未提供有关窃取了哪些数据或该黑客是否由一个另一个国家实施的信息。美国政府有时会公开此类“技术指标”,以便公司或其他政府可以检查自己的系统是否受到攻击。

640.webp (10).jpg

CISA通过监视联邦民用机构的入侵检测系统意识到了这一漏洞。

9999.jpg

]]>
游戏玩家成目标 过去一年受到3072次DDoS攻击 Sun, 25 Oct 2020 16:56:26 +0800        一份来自网络安全公司Akamai的报告披露了在新冠疫情期间,针对游戏公司和玩家的网络攻击情况。在这篇题为“游戏:你无法独自安全”的报告中,Akamai分析了从2018年7月到2020年6月期间的网络攻击行为,发现在超过100亿次的网络应用程序攻击中,有1.52亿次针对游戏行业的攻击。

这些网络攻击针对的主要地理区域是美国,超过1亿4700万次,其次是香港和英国。而在攻击来源上,最主要的袭击者也来自美国,其次则是俄罗斯和土耳其。

在同一时期,在所有行业的1000亿个凭证填充攻击中,有100亿个对游戏公司造成了影响。Akamai解释说,凭证填充是指犯罪者“获取用户名和密码列表,并试图使用列表中的每个项目访问游戏或游戏服务”。美国是游戏行业滥用证书的主要国家,其次是俄罗斯和加拿大。

该公司进一步指出,游戏行业最具有针对性的目标元素是玩家,这是因为他们有着“犯罪分子寻求的几种品质”,包括:在社交媒体上活跃,拥有可支配收入,并倾向于将这些收入用于购买在线游戏产品。而凭证滥用和网络钓鱼则是玩家成为攻击目标的主要方式。Akamai补充道:当新冠疫情造成的封锁在2020年第一季度开始时,凭证填充活动尤为激增。

从2019年7月到2020年6月,游戏中共发生了3072次DDoS攻击,Akamai观察到这是“整个客户群中最大的DDoS攻击目标”,该报告还提醒读者,对所使用的每项服务使用唯一密码的重要性,以及应当尽可能启用双因素的身份验证。

9999.jpg

]]>
安全扫描使勒索软件网络保险索赔减少了65% Sun, 25 Oct 2020 16:56:26 +0800 网络保险公司在承保阶段和承保后的安全扫描使勒索软件索赔减少了65%。

在今年的RSA安全会议上,FBI特工Joel DeCapua指出,70-80%网络攻击事件的是由攻击者侵入互联网上公开暴露的远程桌面服务器引起的。

然后,这些违规行为将被黑客用于自己的操作或在地下市场或论坛上出售。

由于没有一家公司愿意承受勒索软件攻击带来的损失,因此企业通常都会购买相关网络保险,以支付恢复设备的费用或潜在的勒索费用。

为了应对由暴露的RDP服务器和其他易受攻击的设备引起的勒索软件保险索赔的上升趋势,网络保险公司Corvus开始将安全扫描作为其承保流程的一部分。

Corvus Scan是一种非侵入式安全扫描,可检查客户网络中是否存在暴露的RDP服务器、网关设备和服务器中的漏洞以及其他面向公众的资产暴露问题。

然后,保险公司向客户提供有关需要保护哪些设备(包括暴露的RDP服务器)的报告。

Corvus公司声称,向每个客户提供的保险报价会附上Corvus Scan的安全扫描报告,客户购买保险后还会收到详细的安全报告和建议。

自4月份推出Corvus Scan 2.0以来,Corvus指出,与勒索软件相关的索赔额已下降了65%,其中新客户中,没有发生一例因RDP服务器暴露造成的索赔。

“自2020年4月发布Corvus Scan 2.0以来,Corvus已签订或续签了几千份网络保险保单。该公司的勒索软件索赔总额已下降了65%,在所有索赔的占比从26%下降到了9%。新政策实施后因RDP造成的勒索软件索赔为零。”Corvus今天宣布。

9999.jpg

]]>
微软必应服务器配置错误泄露用户搜索和位置记录数据 Sun, 25 Oct 2020 16:56:26 +0800 WizCase在线安全团队在记录Bing Mobile App数据的Microsoft拥有的服务器中发现大量数据泄漏。泄漏是通过不安全的ElasticSearch服务器发现的。

该研究小组由白帽黑客Ata Hackil领导,他认为不安全的服务器允许第三方获取严重敏感的数据,例如搜索查询
Bing移动应用程序可在Google和Apple商店中使用。它在Google Play商店中的下载量超过10,000,000,每天通过它进行的搜索量为数百万。
WizCase的研究团队在搜索Internet上的开放数据库或服务器时找到了数据库,并找到了一个不受保护的ElasticSearch服务器,该服务器以明文格式,位置坐标和设备详细信息记录搜索查询字词
服务器还显示了执行搜索查询的确切时间,设备型号,Firebase通知令牌(可以允许开发人员将通知发送到特定设备),用户从搜索结果中选择访问的URL列表以及优惠券数据,包括复制代码时的信息。
此外,部分泄漏的数据是唯一的ID号(例如ADID,Devicehash和DeviceID)以及操作系统数据。

640.webp (28).jpg

研究人员发现,如果用户在Bing应用程序上启用了位置权限,则服务器会在500米的距离内公开精确的位置数据。研究人员声称,虽然暴露的坐标不精确,但是可以给出用户位置的可能参数。
研究人员在博客中写道:“只需将它们复制到Google Maps上,就有可能使用它们来追溯到手机的所有者。”
好消息是,Bing搜索引擎移动应用程序用户的个人数据(例如姓名)没有被泄露。此外,以私有模式输入查询的用户不受影响。
但是,WizCase的研究人员认为,泄漏的任何数据都足以使不良行为者进行网络钓鱼诈骗,勒索攻击和其他种类的恶意活动。他们所需要做的就是将用户身份链接到位置数据和搜索查询。

640.webp (29).jpg

服务器记录的一些可怕的搜索查询

此外,攻击者将根据搜索查询数据了解用户的日常活动以及他们是否有现金或昂贵的物品。这些信息将构成抢劫的危险。
研究人员指出:“例如,如果要搜索在哪里购买昂贵的物品或存放指示,攻击者可能会准备偷窃该物品。”
Bing的移动应用程序版本存储了一个高达6.5tb的服务器,研究人员认为该服务器在9月10日之前受到密码保护。9月12日,他们发现该服务器不受保护,第二天,他们就将该问题通知了Microsoft。到9月16日,服务器已经安全。
WizCase研究人员Chase Williams表示,他们并未计算受该暴露影响的准确用户数,但他们推测该数字可能很高。
“基于庞大的数据量,可以安全地推测在暴露服务器的情况下使用移动应用程序进行Bing搜索的任何人都处于危险之中。我们看到了来自70多个国家/地区的搜索记录。”威廉姆斯写道。
他们还声称,服务器在9月10日,9月12日至9月14日之间遭到了喵叫攻击。
“从我们看到的情况来看,在9月10日至12日之间,服务器受到Meow攻击的攻击,该攻击几乎删除了整个数据库。当我们在12日发现服务器时,自攻击以来已收集了1亿条记录。9月14日,服务器上发生了第二次Meow攻击。”

9999.jpg

]]>
入侵多家证券基金公司电脑,用木马长年窥视交易指令法院这么判 Sun, 25 Oct 2020 16:56:26 +0800 近日,辽宁省高级人民法院公开审理了一则新型内幕交易案件。被告人朱某海,制作“木马病毒”入侵多家基金公司、证券公司的系统,盗取交易指令和内幕信息,非法获利约180万元。该案是证券类新型犯罪,此前比较少见,案件审理过程也一波三折。一审结果是朱某海被判刑三年一个月,并罚款1800余万元。对此,朱某海提出上诉,而检方也提起抗诉,认为情节严重,三年刑期应改为五年以上。对此,辽宁省高院认为案件疑难、复杂,宣布将择期宣判。

640.webp (27).jpg

操控2400多台计算机 非法获利逾百万

本案经葫芦岛中院一审查明:2004至2016年间,被告人朱某海制作并使用木马病毒非法侵入、控制他人计算机信息系统,非法获取相关计算机存储的数据。

其间,被告非法控制计算机信息系统2474台,利用从华夏基金管理有限公司等多家基金公司计算机系统内非法获取的交易指令,进行相关股票交易牟利,总计获得违法所得183.57万元。此外,在2009年间,朱某海又利用木马病毒从中信证券股份有限公司非法获取了《中信网络1号备忘录关于——长宽收购协议条款》等多条内幕信息,在相关内幕信息敏感期内进行对应敏感信息相关股票的交易,获取违法所得19687.95元。

葫芦岛中院一审判定,被告人朱某海犯非法获取计算机信息系统数据、非法控制计算机系统罪、内幕交易罪,数罪并罚,决定执行有期徒刑三年一个月,并处罚金1809.8万元。

检方抗诉:三年刑期应改五年以上

一审宣判后,葫芦岛市人民检察院认为,被告人朱某海所犯内幕交易罪行属于情节特别严重的情形,应判处五年以上十年以下有期徒刑,因此提出抗诉。辽宁省人民检察院对葫芦岛市人民检察院提出的抗诉意见予以支持。

同时,被告人朱某海也提出上诉,主要理由是罚金数额过高、非法获取计算机信息系统数据、非法控制计算机系统罪与内幕交易罪应属牵连犯而择一重罪处罚。在庭审中,控辩双方就上述争议焦点、认定事实及适用法律各自发表了意见。因本案系证券期货类新型犯罪,案件疑难、复杂,辽宁省高院将择期宣判。

上海新古律师事务所王怀涛认为,检察官对内幕交易部分抗诉要求增加量刑,一方面是因为本案涉嫌内幕交易的成交额,以及盗取信息的行为构成了情节特别严重,量刑升格。另一方面,为落实新证券法,配合以信息披露为中心的注册制顺利推开,也必须重点打击内幕交易、操纵市场等违法犯罪行为。

对资本市场违法行为“零容忍”是监管一直以来的工作要求。数据显示,2020年上半年,证监会严打财务造假和市场操纵、内幕交易等行为,新增各类案件165件,向公安机关移送59件,作出行政处罚98份,罚没金额合计38.39亿元。同时,新证券法对资本市场违法违规行为也加大了惩罚力度。

律师:相关机构需加强系统防范

“泄露内幕信息罪、内幕交易罪类的案子,一般都是在人与人之间传播,盗用数据库的计算机犯罪手段,构成泄露内幕信息的比较罕见。”律师宋一欣表示,对证券、基金公司来说,应加强系统防范,黑客入侵肯定会留下痕迹,数据库维护人员可加强系统核查。

上海创远律师事务所许峰律师也认为,本案的特殊之处就在于内幕交易行为人是通过非法进入金融机构的计算机系统去窃取内幕信息而获利的,这在过去并不多见。许峰表示,这对金融机构的信息系统安全是一个警示。此外,相对金融机构来讲,上市公司的计算机信息系统可能更易被黑客侵入,即违法者可能通过盗窃获取重要信息,从而发生内幕信息泄露风险,这对证券监管机构以及上市公司的内幕信息管理而言,都是一个新的挑战。

9999.jpg

]]>
用木马窥视基金交易指令,干了12年!新型内幕交易犯罪,法院这么判…… Sun, 25 Oct 2020 16:56:26 +0800 近日,辽宁省高级人民法院公开审理了一则新型内幕交易案件。被告人朱某海,制作“木马病毒”入侵多家基金公司、证券公司的系统,盗取交易指令和内幕信息,非法获利约180万元。

该案是证券类新型犯罪,此前比较少见,案件审理过程也一波三折。一审结果是朱某海被判刑三年一个月,并罚款1800余万元。对此,朱某海提出上诉,而检方也提起抗诉,认为情节严重,三年刑期应改为五年以上。对此,辽宁省高院认为案件疑难、复杂,宣布将择期宣判。

操控2400多台计算机 非法获利逾百万

本案经葫芦岛中院一审查明:2004至2016年间,被告人朱某海制作并使用木马病毒非法侵入、控制他人计算机信息系统,非法获取相关计算机存储的数据。

其间,被告非法控制计算机信息系统2474台,利用从华夏基金管理有限公司等多家基金公司计算机系统内非法获取的交易指令,进行相关股票交易牟利,总计获得违法所得183.57万元。

此外,在2009年间,朱某海又利用木马病毒从中信证券股份有限公司非法获取了《中信网络1号备忘录关于——长宽收购协议条款》等多条内幕信息,在相关内幕信息敏感期内进行对应敏感信息相关股票的交易,获取违法所得19687.95元。

葫芦岛中院一审判定,被告人朱某海犯非法获取计算机信息系统数据、非法控制计算机系统罪、内幕交易罪,数罪并罚,决定执行有期徒刑三年一个月,并处罚金1809.8万元。

检方抗诉:三年刑期应改五年以上

一审宣判后,葫芦岛市人民检察院认为,被告人朱某海所犯内幕交易罪行属于情节特别严重的情形,应判处五年以上十年以下有期徒刑,因此提出抗诉。辽宁省人民检察院对葫芦岛市人民检察院提出的抗诉意见予以支持。

同时,被告人朱某海也提出上诉,主要理由是罚金数额过高、非法获取计算机信息系统数据、非法控制计算机系统罪与内幕交易罪应属牵连犯而择一重罪处罚。在庭审中,控辩双方就上述争议焦点、认定事实及适用法律各自发表了意见。因本案系证券期货类新型犯罪,案件疑难、复杂,辽宁省高院将择期宣判。

上海新古律师事务所王怀涛认为,检察官对内幕交易部分抗诉要求增加量刑,一方面是因为本案涉嫌内幕交易的成交额,以及盗取信息的行为构成了情节特别严重,量刑升格。

另一方面,为落实新证券法,配合以信息披露为中心的注册制顺利推开,也必须重点打击内幕交易、操纵市场等违法犯罪行为。

对资本市场违法行为“零容忍”是监管一直以来的工作要求。数据显示,2020年上半年,证监会严打财务造假和市场操纵、内幕交易等行为,新增各类案件165件,向公安机关移送59件,作出行政处罚98份,罚没金额合计38.39亿元。同时,新证券法对资本市场违法违规行为也加大了惩罚力度。

律师:相关机构需加强系统防范

“泄露内幕信息罪、内幕交易罪类的案子,一般都是在人与人之间传播,盗用数据库的计算机犯罪手段,构成泄露内幕信息的比较罕见。”律师宋一欣表示,对证券、基金公司来说,应加强系统防范,黑客入侵肯定会留下痕迹,数据库维护人员可加强系统核查。

上海创远律师事务所许峰律师也认为,本案的特殊之处就在于内幕交易行为人是通过非法进入金融机构的计算机系统去窃取内幕信息而获利的,这在过去并不多见。

许峰表示,这对金融机构的信息系统安全是一个警示。此外,相对金融机构来讲,上市公司的计算机信息系统可能更易被黑客侵入,即违法者可能通过盗窃获取重要信息,从而发生内幕信息泄露风险,这对证券监管机构以及上市公司的内幕信息管理而言,都是一个新的挑战。

9999.jpg

]]>
动视发生严重个人资料泄漏事件:超50万账号被曝光 Sun, 25 Oct 2020 16:56:26 +0800        援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏,并邀请更多玩家加入。

vjwzbxs5.jpg

上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。

虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。

截至目前,还不知道黑客攻击是否还在进行中,也不知道受影响的账号情况如何,因为动视还没有就此事发表任何形式的声明,而最初透露事情经过的人也没有透露任何新的信息。

更新:在 1 个小时之前,动视发布公告,并提供了确认用户账号是否安全的指南。

elbtdhpx.jpg

9999.jpg



]]>
蓝牙欺骗漏洞影响数十亿物联网设备 Sun, 25 Oct 2020 16:56:26 +0800
640.webp (26).jpg


近日,普渡大学的一个研究团队发现了一个蓝牙低功耗(BLE)漏洞——BLESA,可用于发起欺骗攻击,影响人类和机器执行任务的方式。研究人员说,该漏洞可能影响数十亿物联网(IoT)设备,并且在Android设备中仍然未修补。


BLE欺骗攻击(BLESA)缺陷源于设备掉线后重新连接过程中发生的身份验证问题,安全专家经常忽略这一领域。重新连接在工业IoT环境中很常见,例如,传感器可以定期连接到服务器以传输遥测数据,例如,在断开连接和进入监视模式之前。


成功的BLESA攻击允许坏攻击者与设备连接(通过绕过重新连接身份验证要求)并将其发送欺骗数据。对于IoT设备,这些恶意数据包可以说服计算机执行新的操作。对于人类来说,攻击者可能会提供设备欺骗性信息。


该小组由研究人员吴建良(音译)、于洪(音译)、维雷什瓦尔、田戴夫(京)田、安东尼奥·比安奇、马蒂亚斯·佩耶和徐东燕(音译)组成,由于BLE协议的无处不在,因此这一漏洞的严重性很高。


研究人员写道:“为了简化其采用,BLE需要有限的用户交互或没有用户交互才能在两台设备之间建立连接。不幸的是,这种简单性是多个安全问题的根本原因。”


研究者发布的论文(链接在文末)描述了攻击者如何轻松发起BLESA攻击:攻击者在发现启用BLE的设备所连接的服务器时,会与它配对以获取其属性。这很容易,因为BLE协议旨在允许任何设备连接到另一个BLE设备以获得此信息。


论文指出,BLE还方便了攻击者的访问,因为其广播数据包总是以纯文本形式传输,因此攻击者可以通过向相同的数据包进行广播并克隆其MAC地址来轻松模拟良性服务器。


研究人员解释说,在攻击的下一阶段,威胁参与者开始广播欺骗性广告包,以确保每当客户端尝试与以前配对的服务器启动新会话时收到欺骗性的广告数据包。


论文重点介绍了BLE规范中允许BLESA攻击的两个关键漏洞。如果设备重新连接期间的身份验证标记为可选而不是强制,就会触发第一个漏洞。另一个漏洞是,当客户端在配对后重新连接到服务器时,该规范提供了两种可能的身份验证过程,这意味着可能绕过身份验证。


研究人员说,攻击者可以在Linux、Android和iOS平台上的BLE实现上使用BLESA。具体来说,基于Linux的BlueZ IoT设备、基于 Android的Fluoride和iOS的BLE堆栈都容易受到攻击,而BLE的Windows实现不受影响。


研究人员就漏洞与苹果、谷歌和BlueZ团队联系,他们发现苹果在6月份将CVE-2020-9770分配给该漏洞并修复了漏洞。然而,测试的设备(即运行Android10的谷歌Pixel XL手机)中的Android BLE实施仍然很脆弱。


据研究人员称,BlueZ开发团队表示,他们将取代存在BLESA攻击漏洞的代码,使用适当的BLE重新连接程序,这些代码不会受到攻击。


这是本月在蓝牙中发现的第二个主要错误。上周,“BLURtooth”漏洞被公布,允许无线范围内的攻击者绕过身份验证密钥,实施中间人攻击。

9999.jpg

]]>
安全周报(09.14-09.20) Sun, 25 Oct 2020 16:56:26 +0800

1


勒索软件攻击了一家德国医院,并导致患者死亡


9月10日,德国杜塞尔多夫大学医院遭到网络攻击,系统崩溃,一名患者因此错过治疗时间,最后死亡。

该医院遭受的是勒索软件攻击,通过医院使用的商业软件漏洞,病毒感染了其网络上的30台服务器。被攻击后,该医院的系统逐渐奔溃,医院的手术系统瘫痪,紧急手术也被推迟。由于IT系统中断,医院无法进行计划和门诊治疗以及急诊护理,那些急诊患者需要被转移到更远的医院接受治疗。

一名急救病人被迫送往32公里外的另一家医院,因此错过了最佳抢救时间,最后不幸死亡。由于造成患者死亡,德国检察官认为这是过失杀人罪,正在对这次攻击活动进行调查。


640 (12).png

2


雷蛇发生大规模数据库泄露事件,预计影响用户超过10万


国外一名安全专家 Volodymyr“ Bob” Diachenko上月发现,知名游戏硬件制造商雷蛇由于错误配置了云服务器,导致大量用户的个人信息被泄露。泄露内容包含了客户的姓名、电话、邮件、送货信息、内部 ID 以及送货地址。

在 8 月 18 日,Bob 发现储存在 Elasticsearch 云集群的日志块(log chunk)被错误配置为公开访问状态,这就意味着大量用户信息能够通过搜索引擎直接查看。Bob 表示:当前并不清楚这会造成多大范围的影响,但根据当前泄露的邮件情况来看,可能在 10 万人左右。

目前暂不清楚这个问题影响范围有多大,不过由于国内官网并没有商城系统,所以国内用户面临的最主要还是邮件泄露问题。如果有在雷蛇官网注册账号的用户,近期还是多多注意自己的邮件,防止被非官方邮件欺诈。

640.webp (21).jpg

3


三秒提权:微软Windows“满级漏洞”被利用


近日,安全公司Secura针对一个刚修补不久的Windows漏洞(CVE-2020-1472)开发了一个概念验证利用程序——Zerologon,可以“三秒内”接管企业内网的司令部——Active Directory域控制器,“呵护”所有联网计算机。

CVE-2020-1472是Netlogon远程协议(MS-NRPC)中的一个特权提升漏洞,被微软评定为危险级别最高的“高危漏洞”,CVSS(常见漏洞评分系统)评分为满分10分。

虽然微软8月11日为CVE-2020-1472发布了补丁程序,但这并非麻烦的终结,而是开始。Secura的研究人员在本周一发布了该漏洞的详细技术信息仅几个小时后,一些PoC漏洞利用/工具就已在GitHub上发布,这对那些尚未修补该漏洞的企业来说,构成极大威胁,可以使用Secura研究人员发布的这个Python脚本(https://github.com/SecuraBV/CVE-2020-1472),检查域控制器是否易受攻击。

该漏洞使攻击者可以操纵Netlogon的身份验证过程,进行以下操作:

可模拟网络上任何计算机的身份通过域控制器的身份验证

在Netlogon身份验证过程中禁用安全功能

更改域控制器的Active Directory上的计算机密码(所有加入域的计算机的数据库及其密码)

640 (13).png

4


日本新政:网暴施暴者个人信息可公开


日本近日出台了应对网络暴力的一揽子对策,其中最重要的一项就是首次明确规定,网暴施暴者的手机号码等个人信息可以合法公开,网络平台也有义务在必要时提供上述信息。

其中,这些对策中首次明确规定,网暴施暴者的手机号码等个人信息可以合法公开,网络平台运营方也有义务在必要时提供汇报上述信息。那些施暴者将可能处在“公开审判”之下,一旦触犯而被曝出“个人信息”后,可能身边的朋友、同事、亲戚都会认清这个施暴者在网络上丑恶的面孔,将“见光死”。

这让人想起了德阳安医生自杀的事件,安医生和她丈夫在游泳,一个13岁小孩在泳池里摸了他的屁股,被他的丈夫发现后,他丈夫将小男孩的头按水里、又打了巴掌以示警告,后来小男孩的家人带人更衣室里殴打安医生,对安医生打了、骂了,得到安医生的道歉还不够,还要邀请网络大V在网上带节奏网暴安医生,并公开安医生及丈夫的隐私信息。

安医生及家人被一些不明真相的网络群众辱骂、侵扰,各种语言伤害,安医生受到了极大的心理创伤,最终不堪重负选择“以死谢罪”,他临死前发给调解他案子的民警的短信是“对不起,是我做错了,我对整件事负责,一条命顶一个心理创伤应该够了吗?”

那位在网上爆料安医生的事件及个人隐私信息的大V,难道不该为此承担责任吗?他们甚至都不搞清楚事件的真实性,就收钱在网上带节奏,迷惑网友,对安医生进行网络暴力,这种人不该为自己的行为负责吗?难道不该为人家的死负责吗?

日本这项法规非常好,非常适应那些网暴施暴者,日本有6成以上的网暴行为发生在匿名网站上,一旦这些人要承担公开个人信息的风险,就会对他们形成较大的震慑力。


1600048243.jpg


]]>
勒索软件攻击了一家德国医院,并导致患者死亡 Sun, 25 Oct 2020 16:56:26 +0800 9月10日,德国杜塞尔多夫大学医院遭到网络攻击,系统崩溃,一名患者因此错过治疗时间,最后死亡。

该医院遭受的是勒索软件攻击,通过医院使用的商业软件漏洞,病毒感染了其网络上的30台服务器。被攻击后,该医院的系统逐渐奔溃,医院的手术系统瘫痪,紧急手术也被推迟。

由于IT系统中断,医院无法进行计划和门诊治疗以及急诊护理,那些急诊患者需要被转移到更远的医院接受治疗。

一名急救病人被迫送往32公里外的另一家医院,因此错过了最佳抢救时间,最后不幸死亡。

由于造成患者死亡,德国检察官认为这是过失杀人罪,正在对这次攻击活动进行调查。

警方通过在一个系统上留下的勒索信息,联系了背后的操作员,并告知他们医院受到了严重恶劣的影响。值得一提的是,从留在医院加密服务器上的赎金记录来看,攻击者的目标应该是海因里希·海涅大学,而不是这家医院。随后,勒索软件操作者决定撤回攻击,并提供了数字密钥来解密数据。收到密钥后,医院开始逐渐恢复系统,过程中发现数据没有被窃取。

在新冠病毒流行期间,CLOP,DoppelPaymer,Maze和Nefilim等勒索软件运营商都曾表示,不会将医院或疗养院作为攻击目标。

有勒索软件表示,如果不幸误伤,他们将提供免费的解密密钥。不过,Netwalker表示,尽管他们不针对医院,但如果误伤到医院,医院仍然需要支付赎金。

所以,实际上,仍然有攻击者将医院作为袭击目标,而不担心受害患者的健康。

9999.jpg

]]>
德医院遭遇勒索软件攻击:一名患者或因此死亡 Sun, 25 Oct 2020 16:56:26 +0800 据外媒报道,一名生命垂危的患者因勒索软件攻击被迫去了更远的医院,不幸的是,这位患者最终没能被救回来。当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。

ambulance_medicine_hospital_health_care_urgent_care_machine_service-846473.jpg!d.jpg

于是,那些寻求紧急护理的人只能被转移到更远的医院接受治疗。

德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。

据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。

在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。

医院在收到钥匙后开始在缓慢地恢复系统,而调查得出的结论显示,数据应该没有被盗。

据NTV报道,杜塞尔多夫大学医院取消了紧急服务登记后,一名生命受到威胁的病人被转到了更远的医院。这种干扰导致病人在一小时后接受治疗很有可能导致了其最后的死亡。对此,德国检察官正在调查此次网络攻击是否犯下过失杀人罪。检方以涉嫌过失杀人罪对这两名身份不明的肇事者展开调查,原因是一名生命危险的病人被送到了伍珀塔尔的一家医院,而这家医院距离事发地约有32公里。

外媒BleepingComputer在新冠病毒大流行初期接触了不同的勒索软件公司看看他们是否会继续攻击医疗保健和医疗机构。对此,CLOP、DoppelPaymer、Maze和Nefilim勒索软件的运营者表示,他们不会以医院为目标,如果有医院被错误加密他们会提供免费的解密密钥。不过Netwalker表示,他们虽然不是以医院为目标,但如果他们不小心加密了一家医院,后者仍需要支付赎金。

9999.jpg



]]>
德医院遭遇勒索软件攻击,导致一名无辜患者死亡 Sun, 25 Oct 2020 16:56:26 +0800      9月10日,德国杜塞尔多夫大学医院遭到网络攻击,系统崩溃,一名患者因此错过治疗时间,最后死亡

     该医院遭受的是勒索软件攻击。通过医院使用的商业软件漏洞,病毒感染了其网络上的30台服务器

1LhxQIdJRMWgxmmNCkclgHNLCgDmzl3Q02pEmS0q.png

当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。

那些寻求紧急护理的人只能被转移到更远的医院接受治疗。


其中,一位急救病人,因被迫送往32公里外的另一家医院,错过了最佳抢救时间,最后不幸死亡。


德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。

据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。

在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。

医院在收到钥匙后开始在缓慢地恢复系统,而调查得出的结论显示,数据应该没有被盗。


对此,德国检察官以涉嫌过失杀人罪对两名身份不明的肇事者展开调查。

新冠病毒大流行期间CLOP、DoppelPaymer、Maze和Nefilim勒索软件的运营者曾表示,他们不会以医院为目标,如果有医院被错误加密他们会提供免费的解密密钥。

9999.jpg

]]>
苹果iOS 14惊现漏洞,重启设备会重置邮件与浏览器设置 Sun, 25 Oct 2020 16:56:26 +0800      苹果于美国当地时间周三发布了iOS 14,该系统最值得注意的功能之一是能够将第三方邮件和浏览器应用程序设置为苹果Mail和Safari的默认替代程序。

640.webp (9).jpg

9月18日,苹果最新发布的移动操作系统iOS 14更新似乎出现了安全漏洞,当设备重置或重启时,该漏洞会清除自定义的默认浏览器和邮件设置。

苹果于美国当地时间周三发布了iOS 14,该系统最值得注意的功能之一是能够将第三方邮件和浏览器应用程序设置为苹果Mail和Safari的默认替代程序,如Chrome、Edge或Outlook。例如,假设用户想要将默认网页浏览器从Safari更改为谷歌Chrome。用户只需进入设置应用程序,查找Chrome,然后选择“默认浏览器应用程序”设置并进行更改。更改后,所有链接将自动在Chrome中打开,而不是在Safari中打开。


然而,iOS 14发布后的第二天,用户开始注意到重启或重置正在清除他们的默认浏览器和邮件设置。即使用户将Google Chrome设置为默认设置,重新启动后单击某个链接也会在Safari中打开该网页。目前,似乎唯一的解决办法是在重启后手动更改默认应用程序设置,或者从一开始就避免重置。

这几乎肯定是苹果这边的某种漏洞所致,因为它正在影响包括谷歌、微软和Readdle在内的多家公司的电子邮件和浏览器应用程序。在社交媒体上,谷歌Chrome的一名工程师已经承认了这个问题,尽管苹果很可能会推出某种修复措施。


IOS 14的用户还注意到,如果你更改了默认的电子邮件应用程序,但将默认浏览器应用程序设置为Safari,Safari中的电子邮件链接仍将在苹果的Mail应用程序中打开,而不是在你设置为默认的第三方浏览器中打开。如果用户的默认浏览器设置为Safari以外的其他设置,链接将按预期工作,并在你选择的默认邮件应用程序中打开。


iOS 14的推出并不像过去的版本那样顺利,因为苹果只给了开发者不到一天的时间来准备应用程序的更新。然而,目前还不清楚是什么原因导致了重启漏洞。

许多流行的浏览器和邮件应用程序都添加了对默认设置的支持。这包括微软Edge和Outlook、Google Chrome、DuckDuckGo和Basecamp创建的Hey应用程序。

9999.jpg



]]>
澳大利亚前总理Tony Abbott个人隐私数据泄露 Sun, 25 Oct 2020 16:56:26 +0800

作者通过澳大利亚前总理Tony Abbott在Instagram朋友圈的晒图,从其中的登机牌照片入手,以开源网络情报方式(OSINT)发现了澳大利亚前总理Tony Abbott的详细护照信息。我们一起来看看。

某个星期天的下午

我在家闲得无聊,脑子放空,喝着可乐,无事可做。然后,我收到了朋友的一条消息:

什么情况,要我黑掉这个人?这是一张登机牌照片,而且是澳大利亚前总理托尼·阿博特(Tony Abbott)的。哎,身边的好朋友就是这样,他们考虑问题从来都是非常直接的。

登机牌

哦,原来是近期澳大利亚前总理托尼·阿博特(Tony Abbott)在Instagram上晒出了一张澳航(Qantas Airways)的登机牌照片,其中配文为:马上就要从日本回来了,期待见到大家!还能适应这气候变化,再见,日本!

黑掉Tony Abbott ?

朋友的这个提问确实让我有所思索,我不是一个心血来潮冲动的人,而是最近我们正好在讨论一些登机牌安全的问题。

现在,好多人都喜欢在朋友圈晒旅游图,会在其中放上一些行程登机牌照片,再配上“我又去XXXX旅行了”,殊不知,这样的行为正在无意识的泄露了一些个人信息。

这些图片信息在黑客眼里,就是非常重要的线索发现,可以通过它们来深挖个人身份,然后实现身份欺诈目的。暗网里兜售的一些数据其实就来源于我们生活之中。仅在Instagram中搜索“登机牌”就会出现多达120578条公开帖子,不为人知的是,有多少黑客正在盯着这些帖子信息。

详细分析Tony Abbott的登机牌信息-发现敏感数据

寻找线索

从文章《How Hackers Use Hidden Data on Airline Boarding Passes to Hack Flights》的讲解中,我们可知,可以从条形码看到个人机票的预订代号(Booking Reference),比如H8JA2A。这个预订代号是登录航空公司网站来查询管理行程的要素之一。

另外一个线索就是姓名中的姓氏,有了这个姓氏,结合预订代号就能顺利登录航空公司网站来查看你的登机信息,或用邮箱请求电子登机牌了。本来我想着登录航空公司网站应该需要密码什么的,但根本不用。

识别条形码

我在手机里面下载了一些条形码扫码APP,试图能从Tony Abbott登机牌条形码中识别出更多信息。

但忙活了一阵,什么也识别不了。估计是图片太模糊了。反复的调焦、调清晰度都不行。

登录航空公司网站

算了,直接尝试用以下的预订代号(Booking Reference)来登录航空公司网站吧:

我来到澳航网站qantas.com.au,点击其中的订票管理“Manage Booking”,如前所述,这里仅只需要乘客的预订代号(Booking Reference)和姓氏就可成功登录,这里有了Tony Abbott的预订代号,再加了他的姓氏Abbott,Bingo,登录成功:

这样,我就以Tony Abbott的身份登录了他的机票行程管理页面了,从中可以看到他的全名、飞机起飞时间、航旅会员号(Frequent Flyer number),另外,还可以看出该机票是通过订票中介预订的,但除此之外好像没有什么敏感的东西了。由于航班行程已经是过去式,因此,我也不能对其中的属性进行修改。难道就这样收手了吗?不。

通过浏览器工具发现更多敏感数据

接下来,我用Chrome浏览器的检查工具Inspect Element进一步查看该登录页面:

Inspect Element是Chrome浏览器开发者套件模式下的一个元素查看功能,用它可以查看当前页面中的HTML信息,就有点类似打开一个时钟,可以看到里面的齿轮一样。然后,在该工具的辅助下,我看到了该页面背后的更多敏感数据信息,其中包含了Tony Abbott的护 照号、出生日期、护 照签发日期等:

既然都有护 照号了,那说不定肯定会有Tony Abbott的联系电话。我找了一圈,啥也没有。之后我尝试输入了澳大利亚电话前三位数614,然后出现了一堆奇怪的搜索结果:

RQST QF HK1 HNDSYD/03EN|FQTV QF HK1|CTCM QF HK1 614[phone number]|CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOW

其中确实包含了一个电话号码 614[phone number],但其它文字又是什么呢?“CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOW”,意思好像是“不要把该乘客安排在X排,请把它安排在最后一排靠窗位置”,我突然意识到,这是澳航公司员工对Tony Abbott行程的备注信息啊!另外,还有一段话“HITOMI CALLED RQSTING FASTTRACK FOR MR. ABBOTT.”(HITOMI要求为MR. ABBOTT开通快速通道服务),HITOMI估计为澳航员工。

为什么登录该页面后,可以看到这些信息量大的内容呢?澳航员工之间的交流、乘客信息、护 照号......,这,当时我都有点懵了。

航空公司术语代码

后来,我意识到上述内容中可能包含了一引起航空公司的术语代码,于是,我又从谷歌发现了一些解释性的PDF文档,其中包含了大量航空术语代码,如“SSR codes”代表Special Service Request,如航空素食餐“Vegetarian lacto-ovo meal”为VLML, 东方素食餐“Vegetarian oriental meal” 为VOML, 印度素食餐“Vegetarian vegan meal”为VGML,还有如下代码:

RFTV Reason for Travel
UMNR Unaccompanied minor
PDCO Carbon Offset (chargeable)
WEAP Weapon
DEPA Deportee—accompanied by an escort
ESAN Passenger with Emotional Support Animal in Cabin

前述发现的电话号码CTCM QF HK1 614[phone number],谷歌SSR CTCM后发现它与航空公司相关,CTCM QF HK1 直译过来就是“Contact phone number of passenger 1”:

因此,我确定号码614[phone number]应该就是Tony Abbott的联系电话了。

综上所述,现在我发现了澳大利亚前总理Tony Abbott的:

护 照信息
联系电话
澳航员工对Tony Abbott行程的交流备注信息

要知道,Tony Abbott的护 照可能是澳大利亚外交护 照。

后续

作者通过官方渠道与澳大利亚情报机构-澳大利亚信号局(Australian Signals Directorate, ASD)取得了联系,上报了该数据泄露事件:

之后,作者并通过开源网络方式联系到了Tony Abbott的私人助理,告知了该事件。为此,Tony Abbott为表示感谢,还亲自打电话给作者请教了一些信息安全知识。

护 照号泄露可能导致的安全隐患

以你的身份预订国际航班
向政府申请一些检查证明
激活与你身份相关的SIM卡
以此创建一个虚假的身 份证明,进行银行开户、应对出入境检查等

9999.jpg

]]>
即时通讯应用的这个“命根子”让数十亿用户面临隐私攻击 Sun, 25 Oct 2020 16:56:26 +0800
640.webp (25).jpg


近日,安全研究人员发现一些主流的,甚至以隐私保护为卖点的即时通讯应用,包括Whatsapp、Signal和Telegram都存在重大的隐私泄露问题。


根源在于,这些应用的“联系人发现服务”使用户可以根据通讯录中的电话号码查找联系人,同时也为隐私泄露敞开了大门。


移动通讯程序的隐私爆点


当安装类似WhatsApp的移动即时通讯应用时,新用户可以立即基于存储在其设备上的电话号码开始向现有联系人发送短信。为此,用户必须授予该应用访问权限,这个所谓的联系人自动发现功能还会定期将用户的地址簿上传到公司服务器。


但是维尔茨堡大学安全软件系统小组和达姆施塔特工业大学的密码学和隐私工程小组的研究人员最近进行的一项研究表明,当前主流移动通讯应用部署的这种联系人发现服务严重威胁着数十亿用户的隐私。


仅仅动用了很少的资源,研究人员就对流行的即时通讯应用WhatsApp、Signal和Telegram实施了爬虫攻击。实验结果表明,恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据,而没有明显的限制。


攻击者可以建立准确的行为模型


在范围更广的研究中,研究人员向WhatsApp查询了美国所有手机号码的10%,向Signal查询了100%。因此,他们能够收集通常存储在即时通讯应用用户配置文件中的个人(元)数据,包括配置文件图片、昵称、状态文本和“上次在线”时间。


分析的数据还揭示了有关用户行为的有趣统计信息。例如,很少有用户更改默认的隐私设置,对于大多数即时通讯应用来说,这些设置根本不够“隐私友好”。


研究人员发现,在美国约有50%的WhatsApp用户拥有公开的个人资料图片,有90%公开“关于”文字。有趣的是,通常被认为更加关注隐私的Signal用户中有40%也在使用WhatsApp,更有趣的是他们在WhatsApp上都有公开的个人资料图片。


随着时间的推移跟踪此类数据,使攻击者能够建立准确的行为模型。当跨社交网络和公共数据源对数据进行匹配时,第三方也可以构建详细的配置文件,例如针对性欺诈用户。


Telegram方面,研究人员发现其联系人发现服务会公开敏感信息,甚至包括未在该服务中注册的电话号码所有者。


哪些信息会在联系人发现期间显示并可以通过爬虫攻击收集,取决于服务提供商和用户的隐私设置。例如,WhatsApp和Telegram会将用户的整个通讯簿传输到其服务器。


诸如Signal之类的更关注隐私保护的即时通讯应用只能传输电话号码的短加密哈希值或依赖于受信任的硬件。但是,研究团队表明,采用新的和经过优化的攻击策略,电话号码的低熵使攻击者能够在毫秒内从加密哈希值推断出相应的电话号码。


此外,由于没有明显的用户注册限制,因此任何第三方都可以创建大量即时通讯账户,以通过请求随机电话号码的数据来用爬虫抓取用户数据库的信息。


“我们强烈建议所有即时通讯应用的用户重新审查其隐私设置。这是目前针对我们调查的爬虫攻击的最有效保护措施。”维尔茨堡大学的 Alexandra Dmitrienko教授和达姆施塔特工业大学的 Thomas Schneider教授表示同意。


研究结果:服务提供商需要改善其安全措施


研究小组向各即时通讯服务提供商报告了他们的发现。结果,WhatsApp改进了其保护机制,从而可以检测到大规模攻击,Signal减少了可能使爬网复杂化的查询数量。


研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以采用该方法来进一步降低攻击效率,而不会对可用性造成负面影响。

9999.jpg

]]>
Microsoft Exchange远程代码执行漏洞通告 Sun, 25 Oct 2020 16:56:26 +0800       2020年09月16日,360CERT监测发现 metasploit github 仓库更新了该漏洞利用的 PR(pull request),可造成 任意命令执行 。本次更新标识该漏洞的利用工具公开,并可能在短时间内出现攻击态势。

利用此漏洞需至少需要一个基础的Exchange用户账户;由于Exchange服务以System权限运行,触发该漏洞亦可获得系统最高权限。

640.webp (24).jpg

2020年09月09日,360CERT监测发现 Microsoft Exchange 发布了 Exchange 命令执行漏洞 的风险通告,该漏洞编号为 CVE-2020-16875 ,漏洞等级:严重 ,漏洞评分:9.1 。

远程攻击者通过构造特殊的cmdlet参数 ,可造成任意命令执行的影响。

对此,360CERT建议广大用户及时将 Exchange 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

该漏洞的详情:CVE-2020-16875: 命令执行漏洞

由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。

该漏洞影响版本:

microsoft:exchange_server_2016: cu16/cu17

microsoft:exchange_server_2019: cu5/cu6


附录:时间线

2020-09-08 微软发布漏洞通告

2020-09-09 360CERT发布通告

2020-09-11 srcincite发布PoC

2020-09-16 360CERT监测发现metasploit仓库增加EXP PR

2020-09-16 360CERT发布更新

9999.jpg

]]>
三秒提权:微软Windows“满级漏洞”被利用 Sun, 25 Oct 2020 16:56:26 +0800 近日,安全公司Secura针对一个刚修补不久的Windows漏洞(CVE-2020-1472)开发了一个概念验证利用程序——Zerologon,可以“三秒内”接管企业内网的司令部——Active Directory域控制器,“呵护”所有联网计算机。

CVE-2020-1472是Netlogon远程协议(MS-NRPC)中的一个特权提升漏洞,被微软评定为危险级别最高的“高危漏洞”,CVSS(常见漏洞评分系统)评分为满分10分。要想利用该漏洞,攻击者必须在目标网络中找到立足点,通过没有特权的内部人员,或者对联网设备的入侵。该漏洞使攻击者可以操纵Netlogon的身份验证过程,进行以下操作:

可模拟网络上任何计算机的身份通过域控制器的身份验证

在Netlogon身份验证过程中禁用安全功能

更改域控制器的Active Directory上的计算机密码(所有加入域的计算机的数据库及其密码)

受漏洞影响的Windows Server版本(对Active Directory域控制器服务器来说尤其危险) 图表:奇安信威胁情报中心

虽然微软8月11日为CVE-2020-1472发布了补丁程序,但这并非麻烦的终结,而是开始。

Secura的研究人员在本周一发布了该漏洞的详细技术信息仅几个小时后,一些PoC漏洞利用/工具就已在GitHub上发布,这对那些尚未修补该漏洞的企业来说,构成极大威胁,可以使用Secura研究人员发布的这个Python脚本(https://github.com/SecuraBV/CVE-2020-1472),检查域控制器是否易受攻击。

三秒攻击:任何人都可以成为管理员

对于勒索软件或间谍软件的攻击者而言,该漏洞可谓价值连城。因为通常来说,攻击者诱使员工点击电子邮件中的恶意链接和附件感染端点相对容易,但是进一步的提权和横向移动并获取高价值信息则困难的多。

通常,攻击者可能需要数周或数月的时间才能将低级特权升级为安装恶意软件或执行命令所需的特权。而使用Zerologon漏洞利用程序,攻击者“只需不到三秒”可以立即获得对Active Directory的控制,在企业网络中为所欲为、予取予求,例如,将新计算机添加到网络或用自己偏爱的恶意软件感染每台计算机。

Secura的研究人员在上周五发布的白皮书(https://www.secura.com/blog/zero-logon)中写道:“这种攻击产生了巨大的影响。”“它使本地网络上的任何攻击者(例如恶意内部人员或任何有机会将设备接入内部网络端口的人)能完全破坏Windows域。攻击者甚至不需要任何用户账户凭据。”

Secura研究人员发现了此漏洞并将其报告给微软,并表示已开发出一种可以可靠运行的漏洞利用程序,但由于存在风险,他们只有在确信Microsoft的补丁已广泛安装在易受攻击的服务器上,然后才发布此漏洞。但是,研究人员警告说,使用Microsoft的补丁程序逆向开发漏洞利用并不难。

但是,面对如此诱人的“营销机会”,其他安全公司的独立研究人员自然不会坐失良机,纷纷发布了自己的概念验证攻击代码,例如:

https://github.com/risksense/zerologon/

https://github.com/blackarrowsec/redteam-research/blob/master/CVE-2020-1472/CVE-2020-1472.py

https://github.com/bb00/zer0dump

漏洞利用代码的很快引起了美国网络安全和基础设施安全局的关注,该机构致力于改善政府网络安全。周一,Twitter也炸锅了,各界安全人士对该漏洞的巨大威胁纷纷发表评论。