内容转载

= ̄ω ̄= 内容转载

意大利电子邮件服务商被黑 60 万用户数据在暗网出售

ZDNet从一位读者提供的消息当中得知,目前有超过60万Email.it用户的数据正在暗网上被出售。这家意大利的电子邮件服务提供商周一向ZDNet表示:“不幸的是,我们必须确认,我们遭遇了黑客的攻击。” Email.it黑客攻击在周日曝光,当时黑客们在Twitter上宣传了一个暗网网站,在该网站上出售公司的数据。黑客声称实际入侵发生在两年多前,即2018年1月,黑客入侵了Email.it数据中心,从服务器上拿走了任何可能的敏感数据,并选择给这家意大利的电子邮件服务提供商一个机会修补漏洞,同时要求们给黑客一点赏金,但是这家意大利的电子邮件服务提供商拒绝与黑客谈判,并继续欺骗它的用户。 另外,黑客们在2月1日试图勒索Email.it,当时他们要求对方支付赏金。Email.it的一位发言人周一告诉ZDNet,该公司拒绝支付,转而通知了意大利邮政警察局(CNAIPIC)。在勒索失败后,黑客们现在正在以0.5到3个比特币(3500到22000美元)不等的要价出售该公司的数据。这些数据库包含了注册了免费Email.it电子邮件账户的用户信息。 黑客声称,这些数据库包含了2007年至2020年期间注册并使用该服务60多万用户的明文密码、安全问题、电子邮件内容和电子邮件附件。   (稿源:cnBeta,封面源自网络。)

俄罗斯 Rostelecom 被发现劫持 Google/AWS/Cloudflare 等公司的互联网流量

本周早些时候,全球最大的200多家内容传输网络(CDN)和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址: https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”,BGP是边界网关协议的缩写,BGP是全球互联网网络之间的互联网流量路由系统,从设计上,整个系统就非常脆弱,因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告,例如声称 “Facebook的服务器”在他们的网络上,随后所有的互联网实体都会把它当作合法的目标,从而将Facebook的流量全部发送到劫持者的服务器上。 过去,在HTTPS被广泛用于加密流量之前,BGP劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。 如今,BGP劫持仍然是危险的,因为它可以让劫持者记录流量,并试图在以后的日子里对流量进行分析和解密,现时由于密码学科学的进步,用于保护流量的加密技术已经被削弱。 自90年代中期以来,BGP劫持一直是互联网主干网的一个问题,多年来通信从业者一直在努力加强BGP协议的安全性,自此产生了ROV、RPKI,以及最近的MANRS等项目。然而,在采用这些新协议方面的进展一直很缓慢,BGP劫持事件仍时有发生。 专家们过去曾多次指出,并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号,即互联网实体的识别代码),意外劫持了该公司的互联网流量。 然而,一些实体的BGP劫持事件的幕后黑手仍然时有发生,许多专家在事件的背后都被贴上了可疑的标签,说明这些事件不仅仅是意外。 Rostelecom(AS12389)虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中,但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年,当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次,通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示,他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由,而不是俄罗斯电信内部网络的整体问题。 不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了,这让这个小错误变得更加严重。 但是,过去很多互联网专家也曾指出,故意的BGP劫持是有可能出现的,因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。   (稿源:cnBeta,封面源自网络。)    

使用火狐浏览器的 Twitter 网友请注意 你的非公开信息或已被曝光

作为一款主打安全隐私的开源浏览器,Mozilla Firefox 拥有一票相当忠实的多平台用户。然而近日爆出的一个 Twitter 漏洞,却给使用该浏览器访问社交网站的用户蒙上了一层阴影。外媒指出,如果你一直通过 Firefox 来访问 Twitter,便很可能已经将非公开信息数据保存在本地缓存中。 庆幸的是,Twitter 方面表示其已经在服务器端修复了这个问题,且谷歌 Chrome 和苹果 Safari 均未受到影响。 社交巨头在接受 BetaNews 采访时称,问题与 Mozilla 如何处理 HTTP 报头数据的浏览器默认设置有关。 为避免这一问题,Twitter 方面已经实施了一项更改,以使 Mozilla Firefox 不再于缓存中存储 Twitter 数据。 不过 Twitter 并未将之归咎于 Mozilla 犯错或泄露,因此大家不必着急去批评 Firefox 。 如果你通过 Firefox 从共享或公共计算机访问 Twitter,并采取过下载数据存档、或通过 Direct Message 收发媒体文件等操作。 那么即使注销登录,这些信息仍可能被存储在浏览器的缓存中。Firefox 默认的有效期为 7 天,超时后将被自动清理。 最后,Twitter 表示已经彻底实施了一项变更,因此今后不会再在 Firefox 浏览器缓存中存储用户的个人信息。不放心的用户,建议在使用公共电脑后及时登出并清理缓存。   (稿源:cnBeta,封面源自网络。)

OpenWRT 被发现使用 HTTP 连接传输更新 易遭受中间人攻击

安全研究员报告,流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。 安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。 除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在 2017 年 2 月引入的。 组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。   (稿源:solidot,封面源自网络。)

Zoom 就隐私和安全问题道歉 并将冻结新功能以专注于修复各种问题

由于在冠状病毒大流行期间使用量增加,外界开始关注视频会议软件Zoom众多安全和隐私问题。现在,Zoom公司首席执行官Eric S Yuan向用户发表了冗长的声明,对不可预见的问题表示歉意,并承诺会进行改善。 ric S Yuan表示:“这些新的用例帮助我们发现了平台上无法预料的问题。记者和安全研究人员还帮助识别了先前存在的问题。我们感谢这些详细检查和疑问,其中包括有关服务的工作方式,我们的基础架构和容量,以及我们的隐私和安全政策。这些问题将使Zoom本身变得更加完善,为用户提供更好的服务。我们非常认真地对待这些详细检查和疑问,我们正在仔细研究每一个问题,并尽快解决它们。” Zoom已经采取了措施来回应对此提出的批评。该公司已更新了隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。 Eric S Yuan解释了Zoom在接下来的几个月中还会做什么。在接下来的90天内,Zoom致力于提供必要的资源,以更好地主动识别,解决和解决问题。Zoom还致力于在整个过程中保持透明,Zoom将尽一切努力保持您的信任,其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。 Eric S Yuan表示,从下周开始,将在太平洋标准时间每周三上午10点举办每周一次的网络研讨会,向社区提供隐私和安全更新。   (稿源:cnBeta,封面源自网络。)

新 COVID-9 恶意程序会删除计算机数据

安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。   (稿源:solidot,封面源自网络。)

DDG 僵尸网络一月升级 9 个版本攻击 Linux 系统挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng 一、概述 DDG僵尸网络最早出现于2017年, 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 二、详细分析 1.DDG挖矿木马一月更新九个版本 DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023) DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。 2.下发配置文件 DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本i.sh下载地址等信息。 3.病毒脚本i.sh 下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有: (1) 创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh (2) 下载更新最新版的DDG病毒,目前已更新到DDG/5023版本 (3) 结束旧版本的木马进程。 4.卸载服务器安防产品 最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现在服务器的长时间驻留。 5.改写hosts文件,屏蔽竞争木马的网址 修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下 6.挖矿木马wordpress 下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。 挖矿时使用矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443 三、安全建议 腾讯安全专家建议企业采取以下措施防止挖矿木马控制服务器: 1.为Redis添加强密码验证,切勿使用弱口令; 2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复; 3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上; 4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 DDG(5015-5023) e64b247d4cd9f8c58aedc708c822e84b 2c4b9d01d2f244bb6530b48df99d04ae d2a81a0284cdf5280103bee06d5fe928 495dfc4ba85fac2a93e7b3f19d12ea7d 682f839c1097af5fae75e0c5c39fa054 dc87e9c91503cc8f2e8e3249cd0b52d7 c8b416b148d461334ae52aa75c5bfa79 f84a0180ebf1596df4e8e8b8cfcedf63 14fcb1d3a0f6ecea9e18eff2016bc271 挖矿木马: d146612bed765ba32200e0f97d0330c8 i.sh: bceb6cbb2657e9a04b6527161ba931d8 IP: 67.205.168.20 47.94.153.241 61.129.51.79 47.101.35.209 矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443

Zoom 正在将数千个电子邮件地址和照片泄露给陌生人

自从冠状病毒大流行迫使全球各地的员工在家办公以来,Zoom已成为数十万人选择的视频会议服务。Zoom提供了高质量的视频和许多有用的功能,但是围绕该应用程序的隐私保护问题仍在继续增加。 Motherboard网站在一份新报告中透露,Zoom正在将成千上万个用户的私人信息泄露给陌生人,并使这些陌生人能够呼叫其他他们不认识的用户。上周,Motherboard报告说,即使用户没有登录Facebook或没有Facebook帐户,Zoom的iOS应用也正在向Facebook发送分析数据。不仅没有选择退出这种行为的方式,而且Zoom还没有提及数据将根据其隐私权政策发送给Facebook。 值得庆幸的是,在报告发布后不久,Zoom就从其应用程序中删除了Facebook SDK,但开始看起来Facebook只是Zoom隐私问题的冰山一角,近来涌现了许多问题。在Motherboard关于Zoom的最新报告中,揭示了该视频会议服务正在泄漏成千上万用户的电子邮件地址和照片,并让陌生人试图对其进行呼叫。 正如Motherboard所解释的那样,Zoom有一个“公司目录”设置,如果你注册了一个共享同一域的电子邮件地址,它会自动将其他人添加到你的联系人列表中。尽管对于不需要手动添加彼此的同事来说,这听起来像是一个有用的工具,但一些用户报告说,他们使用电子邮件地址注册Zoom之后,自己已与成千上万的陌生人分组,并且可以看到陌生人的名字,图片和邮件地址,并且可以和他们进行视频通话,同时退出分组需要用户与Zoom客户联系,并且需要等待较长时间。   (稿源:cnBeta,封面源自网络。)

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

美参议员就新冠病毒网站的数据隐私问题向 Verily 施压

据外媒报道,当地时间周二,一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问”,内容是关于该公司的新冠筛查网站相关的隐私问题。据悉,该网站于两周前上线,让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。 该套工具目前只对加州四个县的人开放,其由Verily的Project Baseline负责。 议员们对该网站是否符合《医疗保险可携性与责任法案(HIPAA)》提出了担忧。HIPAA是监管某些医疗信息的安全和隐私的联邦法律。参议员们还对该网站要求只有拥有谷歌账户才能进行筛查的规定提出了异议,实际上这一举动已经引起了隐私倡导者的密切关注。 参议员们在写给这家公司的CEO Andy Conrad的一封公开信中称:“随着公司在加州推进新冠病毒基准试点项目和测试筛查网站,解决这些关键的隐私问题至关重要。”这封信由新泽西州的Robert Menendez、加州的Kamala Harris、康涅狄格州的Richard Blumenthal、俄亥俄州的Sherrod Brown和新泽西州的Cory Booker联合签署。 对此,Verily并未立即回复记者的置评请求吧,不过这家公司必须要在4月6日之前回复这封信函。   (稿源:cnBeta,封面源自网络。)