安全快讯Top News

比特币软件被曝 DoS 漏洞:开发者紧急修补

新浪科技讯 北京时间9月20日午间消息,比特币软件被曝存在一个严重漏洞,导致开发者周二紧急商讨,并发布修复方案。 这个漏洞是一个DoS漏洞,修复方案已经通过Bitcoin Core 0.16.3发出。如果这个漏洞被黑客利用,就有可能去掉节点,最糟糕的情况甚至会导致相当一部分网络暂时崩溃。 但并非所有人都有能力利用这个漏洞。只有矿机可以通过加倍投入交易并将其注入到区块中才能实现。 然而,即便真要尝试这种攻击方式,矿机也会丢失区块奖励,按照目前的价格计算,大约相当于7.5万美元。 这个漏洞出现在Bitcoin Core 0.14.0中,该软件2071年3月首次推出,但直到两天前才被发现。正因如此,开发者才紧急采取行动,并在24小时内推出解决方案。 幸运的是,多数比特币持有人目前都不必采取任何措施。开发者强调称,“存储的”比特币没有风险。但却会影响到那些使用Lightning网络的比特币,这是一种正在开发的交易层,目的是加快交易速度、降低交易成本。 不过,由于该漏洞可能危及整个网络,所以开发者还是强烈建议运行所谓“全节点”来存储比特币完整交易历史的用户对软件进行升级。   稿源:新浪科技,封面源自网络;

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;

美国特朗普总统签署《国家网络战略》 应对来自网络的威胁

美国总统特朗普的国家安全事务助理约翰·博尔顿20日表示,特朗普当天签署了国家网络战略[PDF],以加强应对网络威胁。博尔顿在对媒体的吹风会上表示,国家网络战略将指示美国政府采取行动确保长期改善所有美国人的网络安全。 白宫新闻办公室发表声明称,国家网络战略的核心是增强美国网络安全,该战略将有助于保护网络空间成长为经济增长和创新的引擎,同时遏制在网络空间造成不稳定的行为,此外还将保持互联网的长期开放性,支持并加强美国利益。 美国媒体分析称,当天发布的国家网络战略最值得注意的是,美国将采取“进攻性”的行动来制止和应对网络攻击。博尔顿在吹风会上说,对于任何正在对美国采取网络行动的国家来说,他们应该意识到,我们将同时从进攻和防守两个方面进行回应。   稿源:cnBeta,封面源自网络;

GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道,公司网站GovPayNow.com允许任意人访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。 美国用户在完成付款处理之后,GovPayNow.com就会发出确认收款的数字收据,而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中,通过简单地修改收据URL中的ID数字,就能轻松访问GovPayNet支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。 在发现安全问题后,研究人员向GovPayNet发出了关于该问题的警报,并在两天后收到答复,确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户,收据中不包含可用于启动金融交易的信息。”   稿源:cnBeta,封面源自网络;

研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

9月17日,安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。 更重要的是,除了电子邮件地址之外,还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。 奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的。 Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。   稿源:cnBeta,封面源自网络;

Facebook 推出新工具来应对竞选期间的黑客行动

据外媒报道,距离中期选举还有两个月不到的时间,Facebook决定推出一套新的工具来保护竞选活动不受黑客攻击。据悉,这是一个全新的网络保护层面,Facebook正在将其作为一个试点项目向美国各州以及联邦政府开放。 根据NBC的一篇报道了解到,根据该计划,选择加入项目的运动以及运动委员会将被指定为潜在的优先级别用户,如果他们发现设计其账号存在的任何异常行为则都能体验到快速排除故障的优势。 Facebook网络安全政策主管Nathaniel Gleicher在公司博客上解释称,页面管理员可以在politics.fb.com/campaignsecurity申请参与这个项目。一旦注册,他们就可以将他们的团队或委员会的其他人加入到项目中。Facebook表示,它将帮助官员采用其最强大的账户安全保护措施比如双重认证,并监控潜在的黑客威胁。 虽然Facebook目前还未提供太多关于这个新安全层的细节。不过这家公司已经表示,他们将在中期选举之前禁掉大量假账户和页面,其中一些行为类似于俄罗斯支持的互联网研究机构在2016年总统大选中引起的轩然大波。 Facebook CEO马克·扎克伯格则曾公开表示,Facebook的工具可能遭到了黑客和相关组织的滥用,这让他们措手不及。现在他们将采取另一种积极主动的行动以确保尽可能地减少为邪恶目的而选择其网络的情况并将这一措施一直持续下去。 至于这项举措是否能够取得预想中的成效则有待时间来考验。   稿源:cnBeta,封面源自网络;

新漏洞允许黑客访问处于睡眠模式的电脑

互联网安全公司F-Secure发现了一个新漏洞,几乎影响到每台电脑。新发现的漏洞可能允许黑客在电脑进入睡眠状态时访问加密的硬盘。F-Secure在博客文章中分享了有关漏洞的详细信息。他们透露,“最现代化的电脑”固件存在一个问题,它可能让攻击者通过新的冷启动攻击来窃取加密密钥以及笔记本电脑的所有数据。然而,好消息是,攻击无法远程执行,需要物理访问设备。 这两位专家想出了一种通过物理操作电脑硬件来进行攻击方法。使用一个简单的工具,Olle和Pasi学会了如何重写包含这些设置的非易失性存储器芯片,禁用内存覆盖,并启用从外部设备启动。然后可以通过从USB记忆棒启动特殊程序来执行冷启动攻击。 F-Secure还指出,由于它需要访问和操纵硬件,所有品牌都受到漏洞的影响。F-Secure已经通知了包括戴尔,苹果,联想和微软在内的所有供应商。然而,Apple声称配备T2芯片的MacBook不受此漏洞的影响。 F-Secure还于2018年9月13日发布了Sec-T会议。该公司建议用户在漏洞修复之前不要让他们的设备处于睡眠状态。   稿源:cnBeta,封面源自网络;

视频监控出现新漏洞:黑客可以让监控摄像头失灵

新浪科技讯 北京时间9月18日早间消息,安全公司Tenable的研究人员近日披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”。攻击者可以利用这个漏洞,通过远程方式在视频监控系统软件上执行代码。 具体来说,攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息,还可以窃取机密数据,比如凭证、IP地址、端口使用情况、监控设备的型号。攻击者甚至可以让摄像头等监控设备完全失灵。 这些漏洞的主要原因在于一款名为“Nuuo”的视频监控管理软件上。这款软件为客户提供视频监控系统,很多机场、银行、政府机构、居民区都在使用。因此漏洞的影响范围极广。 Tenable已经将漏洞报告给Nuuo软件公司,公司正在制作补丁。Tenable目前推出一个插件,机构可以利用插件检测设备是否会受到Peekaboo的影响。   稿源:新浪科技,封面源自网络;

Facebook 改漏洞悬赏政策:报告平台第三方应用可获奖

新浪科技讯 北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。 Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。 在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。 在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。 “如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。” 通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。 最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。 Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。   稿源:新浪科技,封面源自网络;

布里斯托尔机场大屏被勒索软件攻占 耗时2天终于恢复

因机场网络内多台电脑受到恶意勒索软件攻击,布里斯托尔机场(Bristol Airport)在经历了长达两天的宕机之后所有航班信息屏终于恢复正常。本次网络袭击事件发生于上周五早晨,显示航班信息的大屏幕上显示需要支付赎金才能解锁。布里斯托尔机场方面并未就此向黑客妥协,拒绝支付赎金,所有受影响的系统全部都被拆除,而且必须由机场的IT管理人员进行手动恢复。 在勒索软件攻击期间,机场的工作人员不得不使用白板以及海报等方式显示到达的航班以及登机信息。布里斯托尔机场官方推文称:“数字屏上的实时航班信息目前已经完成了核心区域的修复,不过目前在我们上仍未完成。航班不受该技术问题影响,对于给您带来的任何不便,我们深表歉意。”   稿源:cnBeta,封面源自网络;