内容转载

= ̄ω ̄= 内容转载

配送平台 Mercato 发生数据泄露 却没向用户发出提醒

外媒 TechCrunch 报道,在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄露事件,导致数万用户的个人隐私被窃取。导致泄漏的原因是公司托管在亚马逊云端的一个云存储桶被攻击,且没有受到保护。在事件发生之后该公司只是修复了这些数据,但没有向用户发出提醒。 Mercato 成立于 2015 年,主要帮助超过 1000 家小型杂货店和专业食品店提供取餐和配送服务,用户不需要注册 Instacart 或亚马逊 Fresh 等送货服务。Mercato 在波士顿、芝加哥、洛杉矶和纽约开展业务,并在这些地区设有办公场所。 根据外媒 TechCrunch 获得的一份数据副本,该副本中包含了 7 万份订单,时间是在 2015 年 9 月至 2019 年 11 月的,包括了客户姓名和电子邮件地址、家庭地址和订单详情。每条记录还有用户用于下单的设备的 IP 地址。该数据集还包括公司高管的个人资料和订单细节。 目前还不清楚安全漏洞是如何发生的,因为亚马逊云上的存储桶默认是私有的,也不清楚公司是什么时候得知这一曝光事件的。公司需要向州检察长披露数据泄露或安全漏洞,但在法律要求的地方,比如加州,还没有发布通知。该数据集在加州有超过 1800 名用户,是该州数据泄露通知法规定的触发强制披露所需人数的三倍多。   (消息及封面来源:cnBeta)

上亿台设备受影响 高危漏洞 NAME:WRECK 曝光

通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞–NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。 这些漏洞影响的TCP/IP堆栈包括但不限于: FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。 IPnet(影响版本:VxWorks 6.6)-最初由Interpeak开发,现在由WindRiver维护,并由VxWorks实时操作系统(RTOS)使用。 NetX(影响版本:6.0.1)-ThreadX RTOS的一部分,现在是Microsoft维护的一个开源项目,名称为Azure RTOS NetX。 Nucleus NET(影响版本:4.3)-由西门子业务MentorGraphics维护的Nucleus RTOS的一部分,用于医疗、工业、消费类、航空航天和物联网设备。 攻击者可以利用NAME:WRECK漏洞窃取敏感数据、修改或使设备脱机以对制造行业中的政府或企业服务器、医疗机构、零售商或公司造成重大安全事故。攻击者还可以利用这些漏洞篡改住宅或商业场所的智能设备,以控制供暖和通风、禁用安全系统或篡改自动照明系统。   这些漏洞的细节将会在今年 5 月第 1 周召开的信息安全会议 Black Hat Asia 2021 上介绍。根据 Forescout 的研究人员的说法,医疗保健和政府组织是最容易受到所有三个 TCP/IP 堆栈的影响。不祥的是,Forescout 的粗略估计显示,多达 1 亿台或更多的设备可能受到 NAME:WRECK 的影响。 要完全防止这些易受攻击的TCP/IP堆栈版本,需要对设备打补丁,而在报告认为这并不太可能实现,有时甚至是困难的。这是因为所需的努力可能会发生 “巨大的变化”,这取决于有关设备是标准的 IT 服务器还是物联网设备。     (消息及封面来源:cnBeta)

FBI 已展开行动 从被黑 Exchange 服务器中移除后门

美国休斯敦的一家法院已经授权 FBI 展开行动,从美国数百台微软 Exchange 电子邮件服务器中“复制并删除”后门。在几个月前,黑客利用 4 个此前尚未被发现的漏洞攻击了数千个网络。美国司法部本周二宣布了这次活动,并表示这项活动是“成功”。 今年 3 月,黑客组织 Hafnium 利用 4 个漏洞链成功入侵了 Exchange 服务器,并窃取了存储在服务器上的内容。微软虽然修复了这些漏洞,但补丁并没有关闭已经被入侵的服务器的后门。几天之内,其他黑客组织开始用同样的漏洞打击脆弱的服务器,部署勒索软件。 司法部在一份声明中表示:“随着补丁的应用,受感染的服务器数量有所下降。但数百台Exchange服务器仍然脆弱,因为后门很难找到并消除。这次行动删除了一个早期黑客组织剩余的网络外壳,这些外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。FBI进行删除的方式是通过web shell向服务器发出命令,该命令旨在使服务器只删除web shell(由其唯一的文件路径识别)”。 FBI表示,它正试图通过电子邮件通知从其删除后门的服务器的所有者。助理司法部长John C. Demers 说,这次行动“表明司法部致力于利用我们所有的法律工具,而不仅仅是起诉,来破坏黑客活动”。   (消息及封面来源:cnBeta)

安全专家发现基于 Chromium 的浏览器漏洞 可绕过沙盒远程执行

针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。 安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添加到 Chrome 浏览器中仍不清楚。 在 Agarwal 提供的概念验证演示中,需要配合另一个漏洞来逃脱 Chromium 沙盒。为了测试该漏洞,BleepingComputer 在启用 -no-sandbox 标志的情况下同时启动了 Chrome 和 Edge,并能够使用该漏洞在 Windows 10 上运行计算器(代表成功入侵)。 虽然在 Twitter 上发布零日漏洞本身是有争议的,但社交网络上的一些用户对 Agarwal 的行为表示质疑,因为该漏洞最初是由来自 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 发现的,而在泄漏时并未提及他们的功劳。不过,Agarwal 表示他发现该漏洞的时候并不知道对方已经发现了这个漏洞。 更新:在最新的 Chrome 版本中已经修复了这个问题,不过他爆料在 V8 引擎中还有一个漏洞并未得到修复,不过他决定不再公开该漏洞。   (消息及封面来源:cnBeta)

为 FBI 解锁圣贝纳迪诺枪手 iPhone 的公司被曝出:Azimuth Security

就连苹果公司也查不出FBI在哪家公司的协助下解锁了圣贝纳迪诺枪手的一部iPhone,但一份新的报告声称知道做这项工作的秘密公司,它的名字叫Azimuth Security。尽管2016年有很多人猜测FBI雇佣了业内知名的Cellebrite来解锁枪手的iPhone 5C,但直到现在,真正的公司才被点名。 这是一家名为Azimuth Security的澳大利亚国防承包商,现在是L3Harris Technologies的一部分。 据《华盛顿邮报》报道,Azimuth是一家 “羞于对外公开”的公司,但据悉它曾参与为美国、加拿大和英国政府生产黑客工具。苹果公司一直在起诉Azimuth公司,因为它向政府机构出售iPhone虚拟机,并试图解锁客户想要解锁的设备。 尽管如此,苹果并没有认定是Azimuth帮助了FBI。其最终解锁的圣贝纳迪诺iPhone成为苹果与FBI之间备受瞩目的纠纷中心。 苹果CEO蒂姆·库克后来表示,他曾希望将这场纠纷诉诸法庭,但争论的结果是木已成舟:设备成功解锁。 现在有消息称,两名Azimuth黑客向FBI透露了一系列的iOS漏洞,或者说是利用,这些漏洞组合在一起就可以解锁iPhone。据报道,Azimuth公司获得了90万美元的解锁报酬,不过执法部门并没有从手机中找到任何对知晓案情有帮助的情报。   (消息及封面来源:cnBeta)  

白宫向美国各级政府机构下命令:赶紧给微软服务器打补丁

北京时间4月14日早间消息,白宫最高网络安全官员向各政府机构下达命令,要求它们为微软公司Exchange邮件服务器安装新补丁,因为服务器软件存在漏洞,可能会被黑客利用。 日前,美国国家安全局在软件中发现4个漏洞,于是上报给微软,这才有了今天的命令。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在声明中表示:“我们意识到漏洞可能会带来系统性风险,所以有必要及时披露。” 微软声称至今并没有发现有谁利用漏洞,但黑客将会研究新补丁,看看微软修复了什么,然后黑客可能会利用漏洞攻击未打补丁的计算机。 今年年初时,美国约有2万多台Exchange服务器遭到攻击,这些服务器主要用来处理Web版Outlook邮件。   (消息及封面来源:新浪科技)

Joker 恶意软件感染超过 50 万台华为 Android 设备

超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。 反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传递的确认代码。 据研究人员介绍,该恶意软件最多可以为一个用户订阅五项服务,不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。 其中大部分来自一个开发商,两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为,该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们,但已经在设备上运行这些应用的用户需要进行手动清理。 研究人员表示,AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中,被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活,恶意软件就会与其远程服务器通信,以获取配置文件,其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。 Joker恶意软件的历史最早可以追溯到2017年,并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月,卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用,这些应用已经进入了官方商店。 而关于Google Play中恶意软件的报道也不断出现。2020年初,谷歌宣布,自2017年以来,已经删除了约1700个感染了Joker的应用。去年2月,Joker仍然存在于商店中,即使在去年7月,它也继续从谷歌的防御系统中溜走。   (消息及封面来源:cnBeta)

拜登政府的国家网络安全“梦之队”已初具规模

在 SolarWinds 软件更新打包服务器遭遇黑客攻击,并且对政企客户造成了巨大的威胁之后,拜登政府也终于下决心组建一支网络安全领域的专业队伍。周一的时候,有外媒报道称,拜登总统已任命两位前国家安全局资深人员,担任美国政府的高级网络安全职务,其中还包括了首位国家网络总监(National Cyber Director)。 今年早些时候发生的针对美国科技巨头 SolarWinds 公司的黑客入侵 + 后门程序植入事件,目前已知至少波及到了 9 家联邦机构。 在周一宣布的人事任命中,包括了奥巴马执政时期的前国家安全局官员、美国网络司令部发起者之一的 Jen Easterly,他已被提名为国土安全部旗下的网络安全咨询部门(CISA)的新负责人。 此外拜登任命了前国家安全局副局长 John“Chris”Inglis 为国家网络总监,这个新职务由国会在去年年底时设立,旨在监督和负责民政与国防机构的网络安全和相关预算。 预计他将与一月份被任命为国家安全委员会网络安全副顾问的 Anne Neuberger 紧密合作,作为 NSA 的前高管,后者也是网络安全的第一负责人,比如协助政府应对 SolarWinds 攻击和 Exchange 邮件服务器黑客事件。 最后,拜登提名了前奥巴马时代的网络安全政策助理秘书 Rob Silvers 来担任国土安全部的战略、政策和计划副部长(近期也有被选至 CISA 的最高职位)。 上述信息由《华盛顿邮报》最先披露,不过 Jen Easterly 和 Rob Silvers 的提名仍需通过参议员的确认。   (消息及封面来源:cnBeta)

ParkMobile 泄密事件暴露了 2100 万用户的车牌数据和手机号码

据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。 KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。 当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 “发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关”。 “作为回应,我们立即在一家领先的网络安全公司的协助下展开调查,以解决这一事件,”通知中写道。“出于谨慎起见,我们也已经通知了相关执法部门。调查还在进行中,我们目前能提供的细节有限。” 声明还指出:“我们的调查表明,我们加密的敏感数据或支付卡信息均未受影响。同时,自从了解到该事件以来,我们还采取了其他预防措施,包括消除第三方漏洞,维护我们的安全性以及继续监视我们的系统。” 当被要求澄清攻击者确实获取了什么信息时,ParkMobile证实其中包括基本的账户信息–车牌号,如果提供,还包括电子邮件地址或电话号码等。 “在一小部分情况下,可能会有邮寄地址,”发言人Jeff Perkins说。 ParkMobile并不存储用户密码,而是存储了一种相当强大的单向密码哈希算法的输出,这种算法被称为bcrypt,它比MD5等常见的替代方案更耗费资源,破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希值。 “你说的没错,bcrypt哈希值和‘加盐’密码都被获得了,”当被问及数据库销售线程中的截图时,Perkins说。 “注意,我们的系统中并没有保留加盐值,”他说。”此外,被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。” ParkMobile表示,它正在最后确定其支持网站的更新,以确认其调查的结论。但不知道其有多少用户甚至知道这次安全事件。3月26日的安全通知似乎没有链接到ParkMobile网站的其他部分,而且该公司最近的新闻稿列表中也没有它。 同样令人好奇的是,ParkMobile并没有要求或强迫其用户更改密码作为预防措施。安全研究人员使用ParkMobile应用来重置密码,但应用中没有任何信息提示这是一件及时的事情。 这次数据泄露事件对ParkMobile来说是在一个关键的时刻发生的。3月9日,欧洲停车集团EasyPark宣布计划收购该公司,该公司在北美450多个城市运营。     (消息及封面来源:cnBeta)

Facebook 的 Pages 漏洞让全球政客们可以伪造民众支持率以攻击对手

世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。 Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。 “Facebook上有很多伤害没有得到回应,因为它没有被认为是对Facebook构成足够的公关风险,”Sophie Zhang告诉卫报。”成本不是由Facebook承担的。它是由更广泛的世界作为一个整体来承担的。” Sophie Zhang发现的漏洞涉及到利用Pages创建假的支持者,被政府用来操控,使其显得受欢迎同时用来批评对手。虽然Facebook禁止人们操作一个以上的账户,但任何个人都可以创建多个Pages,并取得类似的效果。Pages通常用于代表企业、慈善机构、非营利组织或其他组织,但可以很容易地改变成个人账户的样子。 洪都拉斯就发生了一起利用这一漏洞的案例,该国总统胡安·奥兰多·埃尔南德斯(Juan Orlando Hernández)的Facebook页面的管理员创建了数百个Pages来为自己的帖子点赞,并营造出民众支持的假象。(2017年埃尔南德斯的选举因舞弊而广受批评。)同样,在阿塞拜疆,在总统伊利哈姆·阿利耶夫(Ilham Aliyev)的领导下,阿塞拜疆经历了多年的威权统治,执政党利用虚拟Pages来骚扰反对派政客,并批评独立媒体的新闻报道。下面来自《卫报》的视频展示了这些操作是如何进行的。 Sophie Zhang曾在Facebook的诚信团队工作,负责识别此类虚假活动,因表现不佳于2020年9月被Facebook解雇。在她最后一天分享的一份备忘录中,她描述了她是如何发现 “外国国家政府多次公然企图大规模滥用我们的平台来误导本国公民”。 当Zhang向她的经理们报告这类假Pages网络时,Facebook高层的反应并不一致。该公司对一些报告反应缓慢(《卫报》称,该公司花了 “近一年时间 “删除洪都拉斯的页面,花了14个月时间下架阿塞拜疆的活动),而对Zhang发现的其他网络,例如玻利维亚和阿尔巴尼亚的网络则置之不理。 正如Facebook的诚信副总裁盖伊·罗森(Guy Rosen)在2019年张女士抱怨反应缓慢后告诉她的那样。”我们有数百或数千种滥用类型(诚信上的工作保障)[……]这就是为什么我们应该从最重要的地方开始(顶级国家、顶级优先领域、推动流行的事情等),并在那里尝试着下功夫。” 为了说出Facebook的不作为,Sophie Zhang拒绝了公司提供的6.4万美元遣散费。在今天早上伴随着《卫报》的调查发布的推文中,她表示。”我加入FB是因为我天真地希望能从内部解决公司的问题,我站出来,是因为我失败了。” 在给《卫报》的一份声明中,Facebook发言人Liz Bourgeois表示。”我们从根本上不同意张女士对我们在平台上根除滥用行为的优先事项和努力的描述。我们在全球范围内积极追击滥用行为,并有专门的团队专注于这项工作。” Bourgeois表示,Facebook已经取缔了 “100多个协调的不真实行为网络”,”打击协调的不真实行为是我们的优先事项”。但该公司对张某在Facebook工作的事实没有异议。   (消息及封面来源:cnBeta)