安全快讯Top News

Zoom 正在将数千个电子邮件地址和照片泄露给陌生人

自从冠状病毒大流行迫使全球各地的员工在家办公以来,Zoom已成为数十万人选择的视频会议服务。Zoom提供了高质量的视频和许多有用的功能,但是围绕该应用程序的隐私保护问题仍在继续增加。 Motherboard网站在一份新报告中透露,Zoom正在将成千上万个用户的私人信息泄露给陌生人,并使这些陌生人能够呼叫其他他们不认识的用户。上周,Motherboard报告说,即使用户没有登录Facebook或没有Facebook帐户,Zoom的iOS应用也正在向Facebook发送分析数据。不仅没有选择退出这种行为的方式,而且Zoom还没有提及数据将根据其隐私权政策发送给Facebook。 值得庆幸的是,在报告发布后不久,Zoom就从其应用程序中删除了Facebook SDK,但开始看起来Facebook只是Zoom隐私问题的冰山一角,近来涌现了许多问题。在Motherboard关于Zoom的最新报告中,揭示了该视频会议服务正在泄漏成千上万用户的电子邮件地址和照片,并让陌生人试图对其进行呼叫。 正如Motherboard所解释的那样,Zoom有一个“公司目录”设置,如果你注册了一个共享同一域的电子邮件地址,它会自动将其他人添加到你的联系人列表中。尽管对于不需要手动添加彼此的同事来说,这听起来像是一个有用的工具,但一些用户报告说,他们使用电子邮件地址注册Zoom之后,自己已与成千上万的陌生人分组,并且可以看到陌生人的名字,图片和邮件地址,并且可以和他们进行视频通话,同时退出分组需要用户与Zoom客户联系,并且需要等待较长时间。   (稿源:cnBeta,封面源自网络。)

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

美参议员就新冠病毒网站的数据隐私问题向 Verily 施压

据外媒报道,当地时间周二,一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问”,内容是关于该公司的新冠筛查网站相关的隐私问题。据悉,该网站于两周前上线,让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。 该套工具目前只对加州四个县的人开放,其由Verily的Project Baseline负责。 议员们对该网站是否符合《医疗保险可携性与责任法案(HIPAA)》提出了担忧。HIPAA是监管某些医疗信息的安全和隐私的联邦法律。参议员们还对该网站要求只有拥有谷歌账户才能进行筛查的规定提出了异议,实际上这一举动已经引起了隐私倡导者的密切关注。 参议员们在写给这家公司的CEO Andy Conrad的一封公开信中称:“随着公司在加州推进新冠病毒基准试点项目和测试筛查网站,解决这些关键的隐私问题至关重要。”这封信由新泽西州的Robert Menendez、加州的Kamala Harris、康涅狄格州的Richard Blumenthal、俄亥俄州的Sherrod Brown和新泽西州的Cory Booker联合签署。 对此,Verily并未立即回复记者的置评请求吧,不过这家公司必须要在4月6日之前回复这封信函。   (稿源:cnBeta,封面源自网络。)

万豪披露又一起数据安全事件 520 万客户信息泄露

本周二,万豪(Marriott)披露了旗下连锁酒店的又一起客户数据泄露事件。报道称事件发生于今年 1 月中旬,但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关,事件导致 520 万客户信息泄露。在堵上安全漏洞之后,万豪声称入侵者已被禁止访问。 在周二的公告中,万豪表示其发现了使用上述两个被盗的员工登陆凭据的“意外数量的来宾信息访问”。在封堵漏洞和禁用相关登陆凭据的同时,该公司声称还将增强监测能力。 确切的泄露细节,可能因不同的客户而异。万豪表示本次漏洞敞开了包括客户性别、生日、单位、会员账户积分、电话、邮件、邮寄地址、以及姓名等内容。 庆幸的是,目前尚无证据表明某些重要客户的信息被泄露,包括驾照号码、银行卡信息、PIN 码或护照信息。不过随着时间的推移,后续可能有某些敏感信息被黑客曝光。 从 3 月 31 日起,万豪将通过电子邮件的方式,向可能受到本次安全漏洞影响的客户发去通知。同时,酒店将为受影响的客户提供个人信息监控服务。 需要指出的是,这并不是万豪连锁酒店首次曝出大规模的安全漏洞。比如 2019 年初的时候,其系统泄露了多达 500 万客户的未加密护照号码。 事件被发现与喜达屋的预订系统有关,影响自 2018 年 9 月 11 日前入住多达 3.83 亿的客户信息。 不过除了万豪,希尔顿酒店也在 2015 年遭遇了两次不同的客户数据泄露事件,导致其被处以 70 万美元的罚款。   (稿源:cnBeta,封面源自网络。)

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

黑客劫持微软公司的数个 YouTube 帐户 以传播加密庞氏骗局

外媒ZDNet从一位读者那里了解到,黑客已经劫持了微软公司的一些YouTube帐户,并向该公司的订阅用户广播了一种加密货币庞氏骗局。根据消息来源,这些黑客入侵似乎发生在当地时间周一。尽管向YouTube工作人员报告了这些情况,但截至外媒记者发稿前,被劫持的帐户仍在直播。 这位黑客目前正在直播前微软首席执行官比尔·盖茨(Bill Gates)在2019年6月在Village Global向听众提供有关创业公司建议的旧演讲。黑客正在直播演示文稿的变更版本,同时还要求观众参加经典的“加密货币赠品”活动-受骗者可能发送少量加密货币以使收入翻倍,但从未获得任何回报。 目前,加密货币庞氏骗局正在Microsoft US,Microsoft Europe,Microsoft News等YouTube帐户上实时流式传输。目前,YouTube上有超过19个直播视频正在直播。这些视频不仅在微软YouTube频道上播放,而且还在从其他用户手中劫持并重命名为合法Microsoft帐户的YouTube频道上播放,以扩大效果。 视频流中列出的比特币地址未收到任何交易或持有任何资金,表明没有用户落入该骗局。根据YouTube的统计信息,目前有成千上万的人观看了视频。 微软并不是受到大规模黑客入侵事件影响的唯一组织。著名的德国黑客社区Chaos Computer Club也被劫持以传播类似消息。   (稿源:cnBeta,封面源自网络。)

黑客网站曝光了超过 490 万乔治亚州居民的详细个人信息

上周六,某黑客论坛公布了包含 493 万 4863 乔治亚州居民的详细个人信息的数据库。在大小为 1.04 GB 的 Microsoft Access 数据库文件中,可查看到包括全名、家庭住址、出生日期、身份证编号、手机号码之类的隐私内容,甚至连已故公民的信息也没放过。 周末的时候,数据泄露监视和预防服务公司 Under The Breach 曝光了本次泄漏事件,并向外媒 ZDNet 分享了一些细节。 由快照可知,数据库包含了超过 490 万条记录,其中包含了数百万已故公民。根据 2019 年的人口普查,该州目前预估人口在 370 万左右。 目前尚不清楚黑客论坛中有多少访客已获取该数据库,数据泄露的源头也仍然是个谜。 在周日的报道中,ZDNet 认为可能源自该州的中央选举委员会(CEC)。然而在周一的一份声明中,该委员会已予以否认,因其通常并不会收集如此详尽的个人信息。 至于黑客论坛,其拒绝在致 ZDNet 的一份声明中透露他们是从何处获得数据的,但已排除了 CEC 的嫌疑。目前当地有关部门正在对此事展开深入的调查。   (稿源:cnBeta,封面源自网络。)

美政府被曝利用移动广告定位数据研究新冠病毒传播

据外媒报道,据知情人士透露,美国疾病控制和预防中心(CDC)已与全美各州和地方政府合作,追踪人们的手机位置数据,借以研究新型冠状病毒的传播趋势。 知情人士表示,移动广告公司(而非手机运营商本身)始终在通过CDC向美国政府机构转发“某些地理上感兴趣的用户”的信息。显然,此举旨在帮助创建全国性的政府门户网站,并将使用多达500个城市的地理位置数据来监控疫情。 官员们辩称,这些信息已经被匿名化和汇总,可以帮助他们针对病毒的传播情况量身定做疫情应对措施,并使用某人驾车行驶里程或去过多少家商店等变量来预估疫情的经济影响。 政府机构的这种监测也可以充当提示,看人们是否遵守CDC保持安全距离的指导方针或官方的“就地避难”命令。例如,研究人员通过地理位置数据发现,尽管接到了警告通知,但仍有大批纽约人在参观布鲁克林展望公园,于是他们联系了警方。 虽然这些数据据称已经被去除了任何可识别的信息,但这仍然引发隐私权活动家的担忧。隐私研究人员沃尔菲·克里斯托(Wolfie Christl)表示,该行业正将其侵入性做法和产品作为共享元数据的借口。 克里斯托称:“由于疫情爆发,在某些情况下利用基于消费者数据的聚合分析可能是合适的,即使数据是由公司秘密或非法收集的。因为位置数据的真正匿名化几乎是不可能的,所以强有力的法律保障至关重要。” 尽管如此,针对这些移动广告商的法规还没有在现有隐私法中给与明确定义,特别是因为手机用户经常选择加入这些公司的跟踪措施,并与政府机构共享不包含任何可识别信息的数据。 不过,电信运营商需要遵守不同的规则,几家运营商指出,美国政府目前还没有向它们索要元数据。这可能是因为官员们正在从其他科技巨头那里寻求同样的信息,据称美国政府正在与Facebook、谷歌和其他科技公司进行“积极谈判”,以获取匿名的聚合数据,监控用户是否遵守了官方的健康法规。 世界各国政府已经开始实施类似的监测,以帮助做出应对疫情反应。据报道,意大利、德国和奥地利的电信公司已经承认与政府机构共享用户的地理位置数据。 上周,欧盟内部市场专员蒂埃里·布雷东(Thierry Breton)向该地区最大的电信公司施压,要求它们共享客户手机上的匿名元数据以跟踪病毒的传播情况,并利用这些信息对医疗用品进行分类。     (稿源:网易科技,封面源自网络。)  

沙特利用 SS7 漏洞可监控美国任意手机用户位置和信息

立法者和安全专家不断发出警告:全球蜂窝网络存在诸多安全隐患。近日一位告密者称,沙特政府在实施“systematic”监视活动中,利用这些漏洞可以追踪任意美国公民的信息。 systematic是沙特监视海外公民的大型活动,利用强大的移动间谍软件入侵持不同政见者和激进分子的电话以监视其活动。而其中就包括华盛顿邮报专栏作家贾马尔·卡舒吉(Jamal Khashoggi),后者于2018年在领事馆内被沙特特工团队杀害。 根据英国卫报获得的数据缓存,记录了从去年11月开始的4个月时间内数百万沙特公民的位置信息。在报道称,这些位置追踪信息是沙特的三大手机运营商通过七号信令系统(SS7,Signaling System Number 7)漏洞而执行的,而有理由相信背后有沙特政府的影子。 七号信令系统是一种被广泛应用在公共交换电话网、蜂窝通信网络等现代通信网络的共路信令系统。七号信令系统是国际电信联盟推荐首选的标准信令系统。这也是T-Mobile用户可以拨打AT&T用户电话或者给Verizon用户发送短信的原因。 不过专家表示该系统存在诸多漏洞可以让攻击者通过运营商来接听电话和阅读短信。SS7还允许运营商通过发出“提供订户信息”(PSI)请求来跟踪设备所在未知,精度可以达到几百英尺范围。这些PSI请求通常是为了确保正确地向该小区用户计费,例如他们是否在另一个国家的运营商上漫游。 但是尽管有多年的警告和大量关于利用该系统进行攻击的报道,但美国最大运营商几乎没有采取任何措施来确保外国间谍不会滥用其网络进行监视。 美国联邦参议院情报委员会成员罗恩·怀登(Ron Wyden)表示:“我一直在警告美国运营商存在该安全漏洞。如果这份报告是正确的,那么政府机构就可以介入美国的无线网络以追踪我们国内的任何人。” 负责监管蜂窝网络的机构FCC发言人未回应置评请求。     (稿源:cnBeta,封面源自网络。)

暗网托管商 Daniel’s Hosting 再次被黑 7600 个网站全部下线

最大的暗网托管商 Daniel’s Hosting 再次被黑,数据库被删除,托管的7600个网站全部下线。它上一次被黑发生在 2018 年 11 月,这一次发生在 3 月 10 日,站长 Daniel Winzen 在一份声明中称,攻击者访问了服务的后端,删除了所有托管相关的数据库。 攻击者随后还删除了 Winzen 的数据库账号,创建了一个新的账号。Winzen 是在第二天发现入侵的,但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票,如果其托管的某个网站遭到调查的话——意味着数据无法恢复。 Winzen 表示他不知道黑客是如何入侵的,表示现在忙其它项目,没时间调查。   (稿源:solidot,封面源自网络。)