内容转载

= ̄ω ̄= 内容转载

因第三方数据库泄漏 Spotify 要求将近 35 万个账号重置密码

得益于丰富的曲库、简洁的用户界面,Spotify 已经成为全球最受欢迎的音乐流媒体服务之一。不过伴随着用户规模的极速扩张,也暴露了一些安全风险隐患。近日受第三方数据库泄漏的影响,Spotify 公司不得不发出重置密码电子邮件,据悉有将近 35 万个账号受到影响。 值得注意是,本次数据泄漏并非来自 Spotify 本身,它并没有受到任何形式的攻击和破坏。当网络上泄漏大型密码数据库的时候,黑客会试图尽可能的在其他服务上登录这些凭证,然后不可避免的能够访问一些站点和服务。 如果您采取适当的密码保护措施,并确保不会在多个网站或服务中重复使用相同的登录凭据,那么被这些违规事件之一捕获的机会将降为几乎零。不幸的是,似乎有超过 30 万的用户出现了这个问题。 对于收到 Spotify 密码重置通知的用户,外媒编辑推荐除了重置 Spotify 密码之外,最好重置其他使用该泄漏相同密码的所有其他平台账号。所有这些数据都在“72GB数据库”中公开,其中包含“超过3.8亿条记录”。该数据库已找到,其存在已由vpnMentor的研究人员公开披露,vpnMentor是网络安全和关注互联网隐私的博客。       (消息来源:cnBeta;封面来自网络)

微软推出 Pluton 安全处理器 携手 AMD 、英特尔、高通构建统一体系

提升计算机和网络安全性的一个主要原则,就是尽可能减少系统中可被攻击入侵的位面。此外在虚拟化的处理上,也需要结合软硬件的附加安全层,辅以全面的检测与保护特性。为了打造一个更加统一的体系,微软想到了为 Windows 搭配 Pluton 安全处理器,并且向 AMD、英特尔和高通伸出了橄榄枝。 据悉,在 Xbox 主机和 Azure Sphere 生态系统中率先得到应用的 Pluton 安全处理器,可实现类似于可信平台模块(TPM)的全栈芯片到云安全特性。 过去十多年时间里,TPM 一直是服务器安全性的一个重要组成部分,为安全密钥和其它验证系统完整性的元数据提供了物理存储空间。 此外在移动市场,内置 TPM 方案允许展开其它形式的安全验证,比如 Windows Hello 生物识别和 Bitlocker 加密。 然而微软指出,随着时间的推移,这些系统中的物理 TPM 模块已成为现代安全设计的薄弱环节。 具体说来是,在获得了对系统的物理访问权限之后,TPM 模块将变得毫无用处,导致传输中的数据被劫持(或发动中间人攻击)。 更糟糕的是,由于 TPM 是大多数服务器环境中的一个可选组件,因此物理模块到 CPU 的数据路径,也成为了一个重要的攻击位面。 有鉴于此,微软希望能够与 AMD、英特尔、高通之类的芯片制造商共同推进 Pluton 安全处理器项目,以将与 TPM 等效的产品直接纳入未来每台 Windows PC 的芯片中。 推广初期,Pluton 架构将模拟成一个 TPM 模块,以兼容现有的安全协议套件。但由于其已内置于芯片之中,则可大幅降低任何潜在的物理攻击位面。 之后 Pluton 体系架构还有望启用 TPM 功能的超集,且微软强调了独特的 SHACK 安全硬件密码技术(使安全密钥永远不会暴露在硬件环境之外)。 最终通过与社区之间的广泛合作(比如 Open Cute / Cerberus 项目)来启用基于根信任的固件身份验证。 据悉,上述三家芯片制造商均已将 Pluton 作为首个安全保护层,不过芯片厂家自家的技术可以更沉底一些(比如 AMD 的 PSP 方案)。 鉴于目前 AMD 已经同微软合作开发了面向主机平台的 Pluton 产品,它与其它技术(比如安全加密虚拟化)一起出现在 AMD 的消费 / 企业级芯片中,应该也不是一件难事。 至于英特尔,其表示与微软保持着长期的合作伙伴关系,这有助于 Pluton 安全处理器技术的顺利整合,但拒绝披露可能的时间表。 最后,从某种意义上来说,高通的加入是有些出乎意料的。但 Pluton 与苹果公司的 T2 安全芯片,显然存在着许多相似之处。早前发布的 Apple Silicon Mac,就已在 M1 处理器中集成了相关功能。       (消息来源:cnBeta;封面来自网络)

欧洲打算破解 WhatsApp 等通讯服务的数据加密方式

据报道,在巴黎、维也纳、尼斯发生一连串恐怖袭击之后,欧盟(EU)似乎正在为打击已接受端到端加密数据的行动做准备。在本月早些时候发表的一份联合声明中,欧盟成员国内政部长呼吁各国元首“慎重思考数据加密问题,以便主管部门能够合法收集和使用数字证据。” 在这份声明发表之前,有几份关于加密数据的欧盟内部文件遭遇泄露。最开始是由Politico发布的一份声明,提出了反对端到端加密的一些措施,并以此作为打击虐待儿童内容的一种方式。声明中说道:“对于此类非法内容的打击是争议最小的。” 端到端加密(End-to-end encryption)是一些应用程序和服务(包括WhatsApp、Signal和Facebook Messenger)使用的一种安全工具,旨在提供更高级别的隐私保护服务。 使用端到端加密工具发送的信息在离开发送者的手机或电脑之前会被加密,使用的密钥是交换双方设备的唯一密钥。即使这些信息在传输过程中被黑客或政府机构截获,这些信息也是不可读的,因为只有来自发送方和接收方的设备才能解码这些信息。 这种保密形式给试图监控犯罪团伙通信情况的国家带来了一个问题:只有当你真正能够读取非法信息内容时,拦截非法信息的能力才是有用的。 欧盟的一名发言人表示,长期以来,欧盟立法者一直在公民隐私权和警察机构工作范围之间寻求更妥善的平衡。 欧盟成员国已经在多个场合“呼吁采取解决方案,允许执法部门和其他主管部门在不禁止或削弱加密的情况下合法获取数字证据。” 正如7月安全联盟策略(Security Union Strategy)所述,欧盟选择支持这样一种方式:“既保持加密在保护隐私和通信安全方面的有效性,又能对严重犯罪和恐怖主义做出有效回应。” 欧盟反恐协调员吉尔斯·德克尔乔夫(Gilles de Kerchove)试图通过避开“后门(back-door)”的方式来达到这一目的,他认为这是与“前门(front-door)”相对应的方法,即与第三方加密提供商展开正式合作,而不是在尚未获得其同意的情况下擅自行动。 而隐私教育评论网站ProPrivacy的研究员雷·沃尔什(Ray Walsh)却表示,这种方法时不可能的。他在接受媒体采访时表示:“无论你是选择将一个专门开发的辅助接入点称为‘前门’还是‘后门’,其结果都是消除了数据所有权和访问控制,这将会不可避免地会导致一个根本性的漏洞。” 他补充说:“部长们想要鱼与熊掌兼得,但他们似乎不明白,也不想承认,这是不可能的,而且这种行为会有意识地造成数据加密系统的脆弱。如果这类立法获得通过,那么普通公众将会受到极大损害。” 伦敦国王学院(King’s College London)的德语区、欧洲与国际研究讲师亚历克斯•克拉克森(Alex Clarkson)指出,类似这种正在讨论中的措施“已经成为政府议程中持续进行的一部分。” 但他和沃尔什都强调,目前还只是讨论而已。 克拉克森将这些提议简单地描述为“官僚机构正在做什么”,是由一系列决策组成的政治“愿望清单”中的一部分。他表示:“这些系统中的某些部分会催生一种冲动,而系统的另一部分会对这种冲动进行制衡。但这并不一定意味着,他们会选择这些决策。” 尽管如此,沃尔什还是担心这种所谓“后门”的方式会引起争论。他说:“这将给国家安全和数据隐私带来问题,但实际上却并不会降低犯罪分子找到秘密通信方式的可能性,比如通过暗网或其他加密方式。” 他表示:“在任何自由开放的社会中,能够进行私下的自由交流是一项基本人权。剥夺公民在不被观察的情况下分享信息的能力,将导致更大程度的自我审查,使人们无法行使言论自由的权力。”       (消息来源:cnBeta;封面来自网络)

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

FBI 公布钓鱼网站清单:有黑客利用FBI相似域名窃取用户信息

美国联邦调查局(FBI)近日发布警告,称有网络犯罪分子正在使用一系列伪装成 FBI 的钓鱼网站来窃取用户信息。这些钓鱼网站使用了欺骗性极强的域名,例如使用相近的字母、添加或者减少某个字幕,从而让受害者认为他们加载的是合法正规网站。 在大多数情况下,黑客会发布鼓励用户提供诸如个人详细信息和信用卡号之类的信息的内容。FBI 表示,该机构已经检测到了大量欺骗性域名,以及不再解析的其他域名,这意味着它们已被暂停(尽管也有可能在以后的时间将其重新激活)。 在警告中写道: 联邦调查局(FBI)发布了此公告,以帮助公众识别和避免与FBI有关的欺骗性Internet域名。联邦调查局发现,未经注册的网络参与者在欺骗合法的联邦调查局网站的过程中注册了许多域,这表明了未来的运营活动的潜力。 欺骗性的域名和电子邮件帐户被外国行为者和网络犯罪分子利用,很容易被误认为合法网站或电子邮件。攻击者可以使用欺骗性域名和电子邮件帐户传播虚假信息;收集有效的用户名,密码和电子邮件地址;收集个人身份信息;并传播恶意软件,从而导致进一步的威胁和潜在的财务损失。           (消息来源:cnBeta;封面来自网络)

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。 在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。 为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今,比利时鲁汶大学(Belgian university KU Leuven)安全研究员列纳特·沃特斯(Lennert Wouters)声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。 沃特斯表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。 目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。 不管怎样,特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示,他们早在8月份就告知了特斯拉。       (消息来源:cnBeta;封面来自网络)

因隐私安全漏洞 谷歌 Play 商店下架第三方短信应用 GO SMS Pro

尽管下载数量超过了 1 亿次,谷歌还是在安全研究人员披露了 GO SMS Pro 应用的隐私安全漏洞之后,立即下架了这款热门的第三方短信应用。报告指出,GP SMS Pro 存在一个可被攻击者利用的漏洞,以访问用户的图像、视频、音频等媒体文件。不过在正式向外界曝光之前,研究人员已照例给开发商预留了数月的修补时间。 Trustwave 安全研究人员指出,v7.91 版本似乎容易受此漏洞的影响。当在 App 中显示用户之间的会话时,非用户将获得一个显示消息内容的链接。 问题在于,Go SMS Pro 会顺序生成链接。这意味着只需在 URL 上动手脚,非用户就可以轻松将其他人的消息链接也扒拉下来。结合脚本等工具,攻击者可借此手机大量的敏感数据。 甚至两名 Go SMS Pro 用户之间发送的消息,也可以通过链接的形式来呈现。糟糕的是,用户根本无法确定他们的信息是否被盗。 不过最让人感到不安的,是尽管 SpiderLabs 研究人员与 GO SMS Pro 开发者取得了联系,后者仍拖延了数月时间来修补漏洞。         (消息来源:cnBeta;封面来自网络)

谷歌宣布针对 Chrome 扩展程序的重大隐私政策更新

扩展程序已成为现代浏览器体验中不可或缺的一环,而 Google Chrome 也是许多用户的不二之选。发展迅猛的 Chrome 网上应用店,已经能够满足大多数用户的实际需求。与此同时,谷歌希望进一步提升隐私体验。比如在最新宣布的隐私政策中,该公司就要求开发者必须披露其收集和分享的数据。 虽然日常使用中可能很难察觉,但某些扩展显然会对用户的数据隐私和安全构成威胁,尤其是那些能够读取浏览器中所加载的所有信息、有时也包括敏感细节的恶意扩展。 庆幸的是,在最新提出的隐私要求中,谷歌将强制扩展程序开发人员附带明确的数据收集信息,以便用户在安装时就有所了解。 “从 2021 年 1 月开始,Chrome 网上应用店中的每款扩展程序的详情页,都将以清晰易懂的语言来描述和披露其收集的数据信息。” 此外谷歌还宣布了一项新的约束政策,以限制开发者对其通过加载项收集的数据进行利用,进而保护用户的相关权益: “(1)确保对用户数据的操作使用符合用户的主要利益,并且符合扩展的合理使用目的。 (2)重申坚决不允许转售用户数据,谷歌自己不会、也不允许第三方扩展程序开发者这么做。 (3)禁止利用用户数据开展有针对性的广告营销活动。 (4)禁止将用户数据用于任何形式的信贷、数据经纪、或其它形式的转让和使用目的。” 即日起,开发者已能够在 Chrome 网上应用店中更新其隐私详情,正式功能将于 2021 年 1 月正式上线。逾期未更新的扩展程序,将被挂上“开发者未提供此类信息”的显眼提示。     (消息来源:cnBeta;封面来自网络)

首个 HomePod 越狱事件引发对智能音箱黑客潜力的猜测

iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod,不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的,他分享了一张macOS终端窗口的截图,似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明,相关设备是2018年的原始HomePod型号(标识符为AudioAccessory 1,1),而不是苹果新的HomePod mini(AudioAccessory 5,1)。原版HomePod运行在苹果设计的A8芯片上,这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展,但越狱HomePod的实际效用在很大程度上是未知的,尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止,能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         (消息来源:cnBeta;封面来源于网络)

俄罗斯黑客窃取 2400 多名艾滋病患者资料打包出售

在网络黑市上,有些黑客真的是什么都能搞到,什么资料都敢卖,现在有2400多名艾滋病患者的资料被盗,网上打包只要5100多块就能买下。据俄罗斯媒体报道,有黑客在网上叫卖艾滋病患者的数据信息,据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的,总计有2400多人。 被盗取的信息非常丰富,有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址,还有详细的医疗信息。 为了证明自己所售资料的真实性,这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高,打包只要6万卢布,约合5100多元,100人的信息则要3000卢布,不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣,不过很大可能这是逼迫被盗机构来赎回这些信息,毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售,这个黑客的行为怎么看都有点缺德,不过这也不是他第一次这么干了,本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         (消息及封面来源:cnBeta)