内容转载

= ̄ω ̄= 内容转载

超 15 亿敏感文件被曝光 快检查你的信息安全

据 digital shadows 报道,在三个月的时间内有超过 15 亿个敏感文件被公开在网上,其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的,而是由配置错误的云存储、文件交换协议和文件共享服务导致的。 此次被曝光数据量高达 12,000 TB,这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储(NAS)驱动器上就可以轻易获得。 其中来源于 Amazon S3 Bucket 的占了 7%,SMB 占了 33%,Rsync 占了 28%,FTP 占 26%。 更加震惊的是,这些数据中有一些高度敏感的信息,例如安全审计报告、网络基础架构详细信息,甚至是渗透测试报告!Digital Shadows 称:“对这些被公开的文件进行分析表明,组织和个人在无意中暴露了大量的信息,这些数据会使具有恶意的攻击者受益,包括间谍和经济罪犯。”不论是个人还是组织,都应该尽快检查自己的信息安全状况。 稿源:cnBeta、开源中国,封面源自网络;

Reddit 清除 944 个跟俄罗斯“巨魔”相关联账号

据外媒报道,当地时间周二,Reddit 表示他们已经确认并清除了上百个涉嫌跟俄罗斯在社交媒体上散布虚假消息活动有关的账号。该网站在年度透明度报告中指出,他们删除了 944 个被怀疑由互联网研究机构( IRA )创建的账号。 有在关注相关新闻的读者一定不会对 IRA 感到陌生,这是一个跟俄罗斯政府存有关联的机构。 而在这份透明度报告之前,Reddit CEO Steve Huffman 曾表示正在配合国会对其网站是否在 2016 年美总统大选中成为一个误导信息源头的调查工作。 Huffman 表示,被禁的绝大多数与俄罗斯关联账号基本不会对网站产生任何影响,获悉当中70%在 Reddit 上的 karma 都是零级–该网站用来衡量用户贡献价值的一种方式。另外他还指出,在 2016 年大选前他们通过常规信任与安全( Trust and Safety )审查清除了上百个账号。 不过有7个账号却在网站上拥有不错的 karma 分,这意味着它们受到了 Reddit 其他用户的好评。 虽然俄罗斯巨魔们(  troll )在 Facebook 和 Twitter 发布了跟选举相关的广告,但 Huffman 表示,Reddit 并未沦为他们的阵地。“我还想澄清的是这 944 名用户中没有一个人在 Reddit 上发布任何广告。我们也没发现任何有效利用这些账号进行投票操纵的行为。” 为进一步提高公司透明度,Reddit 还分享了一个被清除 944 个账号的链接。 稿源:cnBeta,封面源自网络;

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修补,主要针对幽灵 2 号变种(CVE-2017-5715),其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器,本次更新揭示了对间接分支预测壁垒(IBPB)的接管控制。 根据 AMD 最新的安全白皮书,运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施: 尽管此前其 CPU 支持其它控制分值预测器行为的方法(一个指向间接分支限制预测的特殊比特位 / 简称 IBRS)、以及作为对处理器上兄弟线程的响应(一个指向单线程间接分值预测器的比特位 / 简称 STIBP),但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。 当然,光是下载系统操作系统更新,还不足以保护受影响的系统。AMD 表示,产品用户请检查 OEM 或主板制造商网站来获得更新,以减缓漏洞带来的影响。 我们可以借助这种方式来完成对 Ryzen 平台的完整修补,快速的基准测试表示,其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。 需要指出的是,本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新,后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户,仍需等待 OEM 或主板厂商发布固件更新。 稿源:cnBeta,封面源自网络;

FB 泄露影响 31 万澳洲人 但实际只有 53 人用了测试 App

Cambridge Analytica 曾经利用个性测试 App 收集 Facebook 用户数据,不过只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 31 万,也就是说绝大多数人并没有直接同意 Cambridge Analytica 收集自己的个人数据。周一时,Facebook 开始联系全球受影响的用户,数量高达 8700 万,当中有些人来自澳大利亚。 Facebook 告诉受影响的用户,说他们的个人数据被分享给 Cambridge Analytica。大规模数据泄露的罪魁祸首是一个不知名的个性测试 App,名叫“ thisisyourdigitallife ”,它收集参与者及其朋友的个人信息。 《卫报》澳大利亚版报道称,只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 311127 人,也就是说当中绝大多数只是 App 用户的朋友,他们有的在澳大利亚,有的在国外,根本没有同意 App 收集自己的数据。这一数字让安全专家感到吃惊。 新西兰的情况也一样。在本次泄露事故中,有 6.4 万个新西兰帐户受到影响,但是下载个性测试 App 的新西兰人只有 10 位。 澳大利亚隐私基金会主席大卫·维勒(David Vaile)认为,即使有 53 人使用 App,他们也有可能是在极为可疑的情况下允许 App 收集数据的。维勒认为,用户的许可不健全,开发者给出的条款和条件随时可以改变,一旦同意不能取消,而且这种同意是根据不公平条款制定的,App 开发者先用大量迷惑难解的信息和法律概念淹没用户,然后再让用户签约。维勒还认为,个性测试 App 的用户可以代表其它人同意开发者收集数据,这样的许可根本没有任何意义。 稿源:cnBeta,封面源自网络;

YouTube 遭黑客破坏并清除大量流行音乐视频

YouTube 上正在发生一些可疑的事情。看起来谷歌的子公司遭到了黑客的袭击,因为一些流行的音乐视频已经遭到了破坏或者突然消失了。事实上,该平台上观看次数最多的视频– Louis Fonsi 和 Daddy Yankeee 的 Despacito 在 YouTube 上暂时无法观看。 目前尚不清楚攻击的来源是什么,但大多数受影响的视频都是从 Vevo 帐户上传的。根据 The Verge 的一份报告,其他受影响的视频包括 Chris Brown,Shakira,Selena Gomez,Katy Perry和 Taylor Swift 的歌曲。大多数这些剪辑已经被编辑以去除损坏的内容。 其中一名参与攻击的黑客说,他们使用脚本来篡改视频。与此同时,他黑客组织的另一名成员威胁要取消美国宇航局的 YouTube 频道,以及有争议的保罗兄弟洛根和杰克频道。 稿源:cnBeta,封面源自网络;

虚拟货币 Verge(XVG) 遭受攻击,黑客获利百万美金

据外媒报道,上周虚拟货币 Verge(XVG) 遭到攻击,黑客窃取了价值 100 万美元的token。事情发生后,Verge 开发团队不得不采取“硬分叉”(hard-fork )方法来升级协议。 据称,Verge 系统机制中存在一个漏洞,黑客正是利用这个漏洞,使用虚假时间戳来挖矿,大约可以每秒钟生成一个新的区块。 在 Bitcoin Talk 也有用户证实了这一消息。 据推测,这次攻击属于大多数攻击,也就是说黑客在某种程度上能够控制大部分网络挖掘能力。 Verge 开发团队周三最终证实,此次攻击导致 XVG 价值从 0.07 美元下降到 0.05 美元。 稿源:freebuf,封面源自网络;

Linux 系统的 beep 包中存在竞争条件漏洞,可被黑客利用探测机密文件

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞,黑客可利用这个漏洞探测到计算机中的文件(包括 root 用户的机密文件)。这个漏洞标识为 CVE-2018-0492,不会实造成远程攻击,但是这是一个特权提升(EoP)漏洞,可被攻击者利用获取到 root 级别的访问权限,完全访问系统并发起恶意攻击。 如果黑客利用这个 beep 包获取了特定文件,就能进一步采取措施,将 beep 包作为启动平台,执行其他命令。目前,新版的 Debian 和 Ubuntu 中已经修复了这个漏洞。 稿源:freebuf,封面源自网络;

美国提出新法案 希望建立人工智能国家安全委员会

据外媒报道,众议院武装部队新兴威胁和能力小组委员会主席 Elise  Stefanik 最近提出新法案,希望建立一个人工智能国家安全委员会。如果该法案通过,美国总统特朗普将在 2019 年某个时候收到关于人工智能的完整报告。该法案将制定“ 2018 年国家安全委员会人工智能法”,并要求临时组建一个 11 人委员会,其目的是对政府进行人工智能的全面审查。它要求在颁布后 180 天内制定初步报告。 根据该法案,委员会成员将负责提供以下方面的见解: 确定美国在人工智能和相关技术方面的竞争力 保持美国人工智能和量子计算机技术的领先地位 人工智能的国外发展情况 鼓励私营企业投资人工智能 劳动力教育和奖励计划,以吸引高质量的候选人加入 AI 领域 与人工智能军事化有关的风险 人工智能的道德 建立鼓励开放源码共享数据的“数据标准” 制定与人工智能相关的隐私和安全措施 以及“委员会认为与国家共同防御有关的任何其他事宜”。 该委员会将要求“不超过 1000 万美元”进行审查,并将于 2020 年 10 月 1 日解散。这当然取决于该法案是否会获得众议院和参议院通过,然后通过总统签署成为法律。目前特朗普尚未公开讨论这个新法案。 特朗普此前仅发布过关于机器人的推文,但它与机器学习或人工智能无关。 相比之下,美国前总统奥巴马花了大量时间讨论人工智能。在 2016 年接受《连线》采访时奥巴马曾表示: 我一直在思考人工智能的监管结构问题,在技术早期,应该百花齐放。政府的管理应该更轻松,大力投资研究,并确保在基础研究和应用研究之间的对话。随着技术的出现与成熟,如何将人工智能纳入已有的监管结构中成了一个更为棘手的问题,政府需要参与更多。 稿源:cnBeta,封面源自网络;

Autho 身份验证出现漏洞,致使企业遭受攻击

Auth0 是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型,每天管理 4,200 万次登录,并为 2000 多家企业客户管理每月登录数十亿次。 2017 年 9 月,来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞,并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造(CSRF / XSRF)攻击触发 CVE-2018-6874 漏洞,对 Auth0 身份验证的应用程序绕过登录身份验证。 稿源:freebuf,封面源自网络;

海底电缆被切断导致毛里塔尼亚断网近两天

据外媒 The Verge 报道,连接西非大部分地区的 ACE 海底电缆于 3 月 30 日被切断。据报道,这起破坏事件发生在毛里塔尼亚沿海地区,导致至少十个邻国的宽带通信速度降低。在连接部分恢复之前,毛里塔尼亚本身断网近 48 个小时。 其他国家有足够的地面有线电视和卫星电视连接线,可以在失去光缆的环境中继续联网,但在周末的大部分时间里,互联网接入仍然受到严重干扰。 类似这样的断网事件很少成为头条新闻,但它很好地提醒了大部分互联网基础设施仍然脆弱 – 特别是在西非这样的地方。当一条主要电缆被切断时,会产生哪些重大影响?当没有其他基础设施可以依赖时,就会导致大规模断网事件出现。缺乏投资,整个地区的互联网变得不太稳定。 不过至少在理论上,像 Alphabet 的气球和 Facebook 的太阳能无人机这样的项目正试图解决这个问题。但实际上,所有真正需要的是更多的电缆和登陆点 – 尼日利亚具有这样的条件,但这是毛里塔尼亚所没有的。 稿源:cnBeta,封面源自网络;