内容转载

= ̄ω ̄= 内容转载

用户投诉美国交友平台 OKCupid 系统漏洞致帐号遭攻击

新浪科技讯 北京时间2月11日早间消息,据美国科技媒体TechCrunch报道,有用户投诉称,自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码,导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址,使得他也无法重置自己的密码。 用户表示,OKCupid并没有发送邮件让他对信息修改做出确认,而是盲目地接受了更改。 OKCupid客服在回应投诉时表示:“不幸的是,我们无法提供任何未连接到你电子邮件地址的帐号的详情。”随后,黑客还发送奇怪的短信骚扰他。 报道称,这并不是孤立事件,过去几天已有多人表示,他们的OKCupid帐号被黑。 另一名用户最终找回了自己的帐号。他表示:“在两天持续的破坏控制后,OKCupid终于为我重置了帐号。” 一些用户表示,他们无法解释,自己的密码是如何泄露的。他们在OKCupid上使用独有的密码,这些密码没有在其他任何应用或网站上使用。 OKCupid发言人表示:“OKCupid没有发生信息安全事故。所有网站都会面临黑客攻击的尝试,但OKCupid账号被黑客控制的情况并没有增加。” 关于OKCupid计划如何防止未来的黑客攻击,该发言人表示,公司没有进一步的评论。 评论称,对OKCupid这样的平台来说,有效解决这方面问题的一种方式是启用双重认证。但许多主要交友平台,包括Match、PlentyOfFish和Zoosk,都没有启用双重认证。   稿源:新浪科技,封面源自网络;

Powershell 命令行泄漏下一个 Windows 10 更新内容

Windows 10 下一个版本(称为Build 1903或19H1)更新内容,可以通过 PowerShell 的 Get-VMHostSupportedVersion 可以看到。Tero Alhonen 被称为 Windows 侦探(Windows sleuth),他通常会在微软发布新版本之前查找 Windows 的相关信息,他在最新版本的 Windows 10 Insider Build 19H1 版本中使用了 Get-VMHostSupportedVersion 命令,该命令的返回结果很有可能是下一次版本更新的名称。 访问: 微软中国官方商城 – Windows 返回的名称为“Microsoft Windows 10 April 2019 Update/Server 1903”,如下所示。 PowerShell 命令 Get-VMHostSupportedVersion 用于列出主机上支持的所有 Hyper-V 虚拟机配置信息。此命令列出了所有早期版本的 Windows 10,最新版本为“October 2018 Update build 1809”。 此外,该命令也会列出即将发布的 Windows 系统版本,例如在上图中的 April 2019 Update 1903 。 关于即将发布的 Build 1903 ,主要更新将包括以下更新: Windows 沙盒 改进的 Windows 安全功能(如篡改保护) 拆分搜索(splitting of Search)和Cortana 存储保留(Reserved Storage)。     稿源:开源中国,封面源自网络;

日本政府计划“入侵”公民的物联网设备

据外媒 Zdnet 报道,日本政府上周五批准了一项法律修正案,允许政府工作人员“入侵”人们的物联网设备,作为前所未有的不安全物联网设备调查的一部分。该调查将由日本国家信息通信技术研究所(NICT)的员工在总务省的监督下进行。 这项计划是编制一个使用默认和易于猜测的密码的不安全设备列表,并将其交给当局和相关的互联网服务提供商,以便他们采取措施提醒消费者并保护设备。该调查计划于下个月启动,届时有关部门计划将测试超过 2 亿件物联网设备的密码安全性,从路由器和网络摄像头开始。人们家中和企业网络中的设备将进行相同的测试。 根据日本总务省的报告,针对物联网设备的攻击占 2016 年所有网络攻击的三分之二。为筹备 2020 年东京夏季奥运会,日本政府已着手实施这一计划。政府担心黑客可能会滥用物联网设备来发动针对奥运会 IT 基础设施的攻击。 管理物联网网络与智能手机网络不同,因为物联网流量的不同特征受到明显但可预测的峰值和低谷的影响。日本政府的这种担忧是事出有因的。2018 年年初在韩国举行的平昌冬奥会遭遇黑客攻击,外媒称这可能与俄罗斯黑客有关。黑客攻击了韩国政府和冬奥会主办单位使用的数百台电脑和网络,因为国际奥委会禁止数百名俄罗斯运动员参加比赛。 日本政府决定登录用户的物联网设备引发了日本的愤怒。许多人认为这是一个不必要的步骤,因为通过向所有用户发送安全警报可以实现相同的结果。但日本政府认为这无法保证使用默认或易于猜测的密码的用户会在收到通知后更改其密码。     稿源:cnBeta.COM,封面源自网络;

安全机构 abuse.ch 公布近10万个恶意网站

据官方博客文章,2018 年 3 月底,非盈利安全机构 abuse.ch 运行了一个名为 URLhaus 的项目。这个致力于收集和分享散布恶意软件的网站 URL 的项目取得了巨大的成功,URLhaus 在 10 个月内关闭了近 10 万个恶意软件散发站点。 在此期间,来自世界各地的 265 名安全研究人员查明并向 URLhaus 提交恶意软件站点,平均每天提交的站点数量有300个。这帮助他人保护自己的网络,也使用户免受恶意软件的攻击。 在活跃信息安全社区的帮助下,URLhaus 帮助主机提供商确认和重新调解受损网站。这并不是个简单的任务,尤其是对拥有数量庞大客户的主机提供商来说。但也因为这样,网络中存在着大量的被劫持网站,被用来散发恶意软件。 据统计,每个恶意网站平均活动期间超过一周(8天10小时又24分钟),这足够它们每天感染数千台装置。恶意网站的主机提供商中,有 2/3 是位于中国或美国。abuse.ch 希望几个国内的主机提供商可以有效减少反应所需的时间,及时处理好已知恶意网站的问题,而不是让散布恶意软件站点存在一个月以上。   稿源:开源中国,封面源自网络;

新型勒索软件 Anatova 开始爆发 手段比 Ryuk 更加老道

近日,迈克菲实验室(McAfee Labs)发现了一款远胜于 Ryuk 的加密货币勒索软件,它就是将自身隐藏在看似无害的图标文件中的 Anatova 。通常情况下,它会将自己伪装成一款流行的游戏或应用程序,以欺骗用户下载恶意软件。运行后,它会自动请求管理员权限,以便尽早对受害者的文件进行快速加密,然后索取一笔不菲的赎金(以加密货币的形式交付)。 目前,恶意攻击者选择了以 DASH 这款加密货币作为付款方式(实时报价在 700 美元左右)。分析师称,他们已经在美国检出了 100 多个 Anatova 实例,此外比利时、德国、法国也有不少中招者。 迈克菲的首席科学家 Christiaan Beek 在接受采访时称 —— Anatova 的模块化架构,可能会变得极其危险 —— 这意味着黑客能够轻松为它添加新的功能。 虽然 DASH 的名气不如比特币或门罗币,但我们并不是第一次遇到这种事情。早在 2018 年初,就有一款名叫 GandCrab 的勒索软件家族,率先要求通过 DASH 支付赎金。 Christiaan 补充道 —— 之所以选择 DASH,是因为它实施了许多隐私增强协议,让交易的追踪变得更加艰难。 不久前,Hard Fork 报道过这款席卷互联网的恶意软件威胁。在短短五个月时间里,Ryuk 恶意软件的者,就将至少 370 万美元的比特币赎金收入囊中。 迈克菲安全研究人员指出,创作 Anatova 的黑客技巧(复杂度),远胜于 Ryuk 。换言之,Anatova 比 Ryuk 更加先进。 具体来说是,想要对它展开分析和解密,是相当困难的。鉴于其采用了快速的加密设计,只有不到 1MB 大小的文件才能破轻松破解。 研究人员认为,Ryuk 源于在地下市场销售的源代码,而 Anatova 则是由具备专业的编程技能的黑客设计的。 作者的经验相当丰富,嵌入了足够多的功能,以确保传统应对措施对它无效 —— 比如在未付款的情况下尝试恢复数据、并且无法创建通用的解密工具。   稿源:cnBeta,封面源自网络;

美国多个赌博网站泄露 1.08 亿条信息 包括支付卡资料

新浪科技讯 北京时间1月22日早间消息,据美国科技媒体ZDNet报道,美国一个网络赌博集团泄露1.08亿条赌博信息,里面包括客户的个人信息、存款及提款详情。 网络安全研究人员贾斯汀·潘恩(Justin Paine)说,这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。 ElasticSearch是一个搜索引擎,企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络,用来处理公司机密信息,信息不会泄露在网上。 上周,潘恩发现一些敏感信息,这些信息来自在线赌博门户网站。虽然开放的服务器只有一台,但是里面的数据相当庞大,来自数个网络域名。 经过一番分析,潘恩认定这些域名全都用来运营网络赌场,用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光,里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。   稿源:新浪科技,封面源自网络;

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

新浪科技讯 北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。 法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。 CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。 根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。 CNIL发表声明称,谷歌在信息披露的问题上缺乏透明度,并指出用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度。声明还称,即便是谷歌已经提供的信息,“对用户来说也是不易获得的”,原因是这些信息“过度分散于多个文件中”,需要用户经过五六个步骤才能访问。 “举例来说,就谷歌出于个性化目的或为了提供地理追踪服务而收集的数据而言,当用户想要获得有关这些数据的完整信息时,就会发生这种情况。”声明写道。 除此以外,CNIL还表示,用户“无法完全了解”谷歌对用户数据进行处理的程度。鉴于谷歌提供的服务多达20项,加之这些服务所涉及的用户数据十分庞大,因此CNIL将谷歌的数据处理描述为“大规模的、侵入性的”。CNIL还补充道:“谷歌对数据处理目的作出的描述过于笼统和模糊,而就谷歌为不同目的而处理的数据类别而言,情况也是如此。 ” 与此同时,用户也无法了解谷歌到底是将用户许可作为法律依据来根据“通用数据保护条例”处理数据,还是根据公司自身利益来处理数据。 根据CNIL作出的评估,谷歌为广告个性化而收集的用户许可是无效的,因为这种许可不是具体而明确的,而且用户也并未获得充分的通知。 CNIL表示:“有关广告个性化数据处理的信息被分散到了多个文件中,这就使得用户无法了解其程度如何。” 该机构承认,在用户创建帐户之后,可以对其进行一些修改,但同时指出“这并不意味着‘通用数据保护条例’受到了尊重”。相反的,CNIL指出,不仅用户修改数据的选项被隐藏在了“更多选项”(more options)按钮之下,而且广告个性化的选择是一个预先打勾的方框(这就违反了“通用数据保护条例”的规定,因为只有在用户明确作出肯定之后,许可才能被视为明确无误的)。 CNIL还指出,用户许可不够具体,因为谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如广告个性化或语音识别等)来同意各项条款。 这是一家公司因数据保护违规行为而被处以的最大一笔罚款,同时也是CNIL采取的第一次处罚行动。该机构称,这笔罚款“就其违规行为的严重程度来看是合理的”。CNIL指出:“此外,这些违规行为是持续违反‘通用数据保护条例’的行为,因为直到今天,我们还能看到这种行为。这不是一次性的、时间有限的违规行为。“ 在“通用数据保护条例”正式生效之后,到目前为止已经处以的罚款金额都要小得多:德国当局此前对一个聊天应用处以2万欧元(约合2.3万美元)罚款,奥地利当局针对CCTV被非法使用一事处以4800欧元(约合5460万美元)罚款,葡萄牙当局则已对一家亿元处以40万欧元(约合45万美元)罚款,原因是其允许员工非法获取数据。 NOYB董事长施雷姆斯对此表示欢迎。“像谷歌这样的大公司惯于‘以不同的方式解读法律’,而且往往只会在表面上修改自己的产品。”他说道。“当局应该明确表示,光是自称做到了合规是不够的,这一点很重要。” 谷歌尚未就此置评。   稿源:新浪科技,封面源自网络;

津巴布韦切断互联网访问后 “匿名者”对其政府网站发起 DDoS 攻击

据外媒 TheNextWeb 报道,从 2019 年 1 月 14 日(周一)开始的几天里,津巴布韦人一直无法上网。当地政府为了阻止示威者继续举行有关油价飙升和上涨生活成本的抗议活动,命令该国所有 4 个通信运营商完全切断互联网。 随后“匿名者”宣布对津巴布韦政府网站发起 DDoS 攻击。一位匿名成员在一个论坛上发布消息称: “问候津巴布韦,我们是匿名者。我们以前见过无辜的人在津巴布韦遇害。我们看到了压迫和暴政。我们看到人们为争取自由而受到压迫。我们不能容忍这一点。正如我们对苏丹政府所做的那样,我们成功地使津巴布韦政府网站宕机超过 72 个小时。 这只是一个开始。您的银行系统也将很快下线。津巴布韦政府,你们已成为匿名者的敌人!你的系统处于危险之中!面对压迫,反抗成为我们的责任。我们将为在津巴布韦和苏丹争取自由的兄弟们带来勇气。“ 黑客主义作为一种抗议形式 宣布#OpZimbabwe的消息中包含已被各种匿名者成员发起 DDoS 攻击的网站列表。首先遭到攻击的是津巴布韦储备银行的网站。 已经遭遇 DDoS 攻击的津巴布韦政府网站包括: www.agritex.gov.zw www.archives.gov.zw www.auditgen.gov.zw www.auditorgeneral.gov.zw www.dcip.gov.zw www.dlvs.gov.zw www.drss.gov.zw www.energy.gov.zw www.gisp.gov.zw www.gov.zw www.gta.gov.zw www.housingministry.gov.zw www.ictministry.gov.zw www.justice.gov.zw www.lands.gov.zw www.mepip.gov.zw www.met.gov.zw www.mhet.gov.zw www.mhtestd.gov.zw www.mic.gov.zw www.miit.gov.zw www.mines.gov.zw www.mlass.gov.zw www.mlgurd.gov.zw www.mlgvturd.gov.zw www.moa.gov.zw www.mocpa.gov.zw www.testdomain7.gov.zw www.theopc.gov.zw www.tourism.gov.zw www.transcom.gov.zw www.vpmujuruOffice.gov.zw www.water.gov.zw www.women.gov.zw www.zec.gov.zw www.zim.gov.zw www.zimbabwe.gov.zw www.zimembassyvienna.gov.zw www.zimfa.gov.zw www.zimgaborone.gov.zw www.zimgeneva.gov.zw www.zimimmigration.gov.zw www.zimlondon.gov.zw www.zimtreasury.gov.zw www.zrp.gov.zw zimtreasury.gov.zw “人们不应该害怕他们的政府。政府应该害怕他们的人民。~~我们是匿名者。我们是军团。我们不会原谅专制政府。我们不会忘记你的行为。你应该期待我们!“匿名者”在他们的声明中表示。     稿源:cnBeta,封面源自网络;

物联网火爆背后隐藏的巨大安全风险

伴随着越来越多的美国家庭、企业和政府推进、购买和部署智能设备,而这些价格相对低廉的物联网设备引发了新的安全问题。目前物联网设备规模突破百亿,在营造更舒适、更高效的生活方式同时由于缺乏真正的安全保护,也成为僵尸网络的一员,被黑客劫持参与各种攻击。 根据 The Conversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。 2016 年 10 月利用僵尸网络对全球网络发起的攻击 这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。   稿源:cnBeta,封面源自网络;

研究人员发现 iOS 12.1.2 新漏洞 新一代 iPhone 越狱有望

两位研究人员发现了 iOS 12.1.2 中的新安全漏洞,且其影响新一代的全系列 iPhone 机型,包括 iPhone XS / XS Max 和 iPhone XR 。Min Zheng 和 Xialong Bai 在 Twitter 上披露了他们的工作细节,演示可通过“面向端口编程”(POP)攻击,获得所有 2018 年发布的 iPhone XS Max 的 root 访问权限。 该攻击可绕过 iPhone XS Max 上的 PAC 系统,不过同样的事情也可以在 XS 和 XR 上完成。 在攻破了 PAC 系统之后,安全研究人员能够更加容易地 iOS 12.1.2 的越狱工具,不过这件事情不会很快发生。 近年来,越来越多的用户发现,给 iOS 越狱的好日子,已经接近尾声了。发现操作系统漏洞的安全研究人员,极少会选择将其公之于众。 在大多数情况下,研究人员会直接向苹果汇报安全漏洞,然后该公司会在下一次 iOS 更新中修复,以确保 iPhone 的安全机制不被轻易突破。 与此同时,寻求越狱的 iPhone 用户数量,也出现了大幅减少 —— 特别是考虑到流程的高度复杂性、以及操作相关的风险。 尽管越狱确实能带来一系列好处,打苹果公司显然在坚持打一场不计代价的安全攻防战。 即便如此,这些发现仍为其他研究人员研究 A12 仿生芯片中的潜在漏洞(寻找越狱的其它小道)指明了新的方向。 毕竟到目前为止,苹果尚未推出过一款牢不可破的 iPhone 。   稿源:cnBeta,封面源自网络;