M帅帅

ヾ(・ε・`*) I AM SHUAISHUAI ! !!

全球 20 万 Wi-Fi 摄像头现远程代码执行漏洞,可组建僵尸网络

研究人员 Pierre Kim 透露全球有超过 185000 个连接 Wi-Fi 的摄像机暴露在互联网上易受到黑客攻击。 设备主要受到以下漏洞影响: 后门账户 RSA 密钥和认证 GoAhead http 服务器导致的预授权信息泄漏(凭证) 认证 RCE 远程代码执行漏洞 预授权 RCE 远程代码执行漏洞 研究员进行全网扫描发现存在 199956 个结果,这意味黑客可利用这些漏洞接管这些设备组建庞大的僵尸网络。 这些摄像机设备用于配置 FTP 的 CGI 脚本受到 2015 年发现的一个远程代码执行漏洞影响,允许攻击者以 root 身份运行命令或启动无密码的 Telnet 服务器。此外由于设备固件默认启用云能力并预先进行配置与 AWS 、阿里巴巴和百度进行连接,即使攻击者不知道凭证也可以通过 UDP 通道建立连接绕过防火墙。 研究员已经将分析报告发布到 GitHub 上,包括概念验证代码。 原作者: Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“网络攻击”恐惧蔓延:继荷兰之后,法国大选不再允许互联网投票

在俄罗斯黑客被指责干预去年美国总统选举之后,法国决定参考荷兰的手工投票方式应用于今年晚些时候的总统选举,不再采用互联网投票方式。 今年荷兰计划回到此前手工计数的传统投票方式,来避免电子投票系统遭网络攻击。议会选举将于 3 月 15 日开始。 遵循法国网络和信息安全局( ANSSI )的建议,法国政府决定在 6 月的立法选举中不再允许互联网投票的方式,以应对现在极端的网络攻击威胁。不过,此举只会影响 577 个投票区中的 11 个区。这些区政府允许境外的法国公民通过互联网上投票。 原作者:Peter Sayer,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究显示:财富 1000 强公司更易发生数据泄露事件

一项新的研究显示,许多公司通过开放的端口运行远程管理工具,很容易导致公司发生数据泄露事件。其中财富 1000 强中的公司遭受数据泄露事件是普通公司数量的两倍。 根据 BitSight 的最新报告显示,安全评级为 500 或更低的公司比安全评级高于 700 的公司遭受数据泄露的可能性高 5 倍,其中 900 是最高分,同时是最安全的。每 20 家财富 1000 强公司中至少有一家公司遭受过数据泄露,严重性大小取决于公司的规模。此外,常通过互联网进行交易的公司更易成为黑客的目标,遭受数据泄露的风险也更高。大多数财富 1000 公司都被发现存在通过开放端口运行远程管理服务的问题,这将导致黑客未经授权的访问服务器,55% 的用户使用 Telnet 端口、14% 使用 VNC 端口,8% 用户使用开源数据库 PostgreSQL 。 原作者:Gabriela Vatu,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新磁盘擦除恶意软件 StoneDrill 针对沙特阿拉伯和欧洲工业

卡巴斯基研究员发现一个新型复杂的恶意软件“ StoneDrill ”,它与此前发现的磁盘擦除恶意软件 Shamoon 2 和 Charming Kitten 有些相关性。StoneDrill 可用于网络间谍活或破坏活动,具有像 Shamoon 那样擦拭硬盘记录的功能。该恶意软件被攻击者用于打击沙特阿拉伯实体组织和欧洲组织,不过截止卡巴斯基发布报告,研究员还没有收到 StoneDrill 攻击造成损害的事件通报。 虽然恶意软件 StoneDrill 与 Shamoon 并不共享代码,但仍让专家发现了几种“风格”相似之处,并有多个有趣的因素和技术,可以更好地逃避检测。研究人员仍在调查感染过程,他们证实 StoneDrill 采用了更加复杂的技术来逃避安全应用程序的检查。相比于 Shamoon 在部署时使用驱动程序,StoneDrill 利用内存注入机制,将擦除模块注入受害者的浏览器。擦除物理和逻辑驱动器完成后可重启系统。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

WordPress 4.7.3 修复六处安全问题,但 CSRF 漏洞仍未修复

WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题,其中包括三个跨站点脚本( XSS )漏洞,但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表: 1、通过媒体文件元数据( media file metadata )的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称(引起的 XSS 跨站脚本攻击。 6、跨站请求伪造(CSRF)导致的滥用服务器资源。 但 2016 年 7 月发现的一个 CSRF 漏洞仍未修复,该漏洞允许攻击者窃取 FTP 和 SSH 登录凭据。安全专家 Cengiz Han Sahin 解释说这个漏洞可能有很大的影响,但是漏洞利用的概率很低。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球金融服务受网络欺诈影响,潜在损失超 80 亿英镑

ThreatMetrix 的研究人员表示,在线金融服务和贷款公司是网络欺诈活动在 2016 年中最主要的目标,其受网络攻击的数量同比增加了 122% ,潜在损失超过 80 亿英镑。 事实上英国在线金融服务交易数量在 2016 年增长了 10%,而同时期的网络攻击和欺诈事件却增加了 150% 。ThreatMetrix 称在去年检测到 8000 万次此类攻击,绝大多数的网络攻击利用了假冒或被盗凭据从事欺诈活动。 ThreatMetrix 网络犯罪报告显示,新兴国家成为网络犯罪的重灾区,大多数欺诈活动起源于发展中国家,包括巴西、埃及、加纳、约旦、尼日利亚和马其顿。巴西在第四季度成为网络攻击主要目的地,突尼斯、乌克兰、马来西亚、孟加拉国、巴基斯坦等新兴经济体遭受攻击的数量也大幅增加,攻击形式多为身份欺诈。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

13.7 亿泄露数据曝光神秘垃圾邮件帝国

安全研究员 Vickery 于昨日正式公开了涉及 13.7 亿用户的大规模数据泄露细节,并曝光了国外一个隐藏的垃圾邮件帝国。 Vickery 和他的伙伴们偶然发现了一个可疑的文件暴露在公网上,经过分析发现,这是一个没有设置密码保护的数据资料库。被泄露的数据包含 13.7 亿个 电子邮件地址、真实个人信息、IP 地址和家庭住址等。数据来源于一个虚假营销公司“ River city Media ”,背后其实是两个大型垃圾邮件制造商 Alvin Slocombe 和 Matt Ferris 。该组织只有十几人但每天可以发送十亿多封垃圾邮件,这些不法分子充分利用自动化技术和黑客技术提高工作效率。 Vickery 表示这些用户数据来源于平时的免费注册、抽奖活动、共享资料等,此外他们也可通过爬取网页内容、入侵数据库等非法手段收集用户的数据。此外 Vickery 已将技术细节转发给微软、苹果等相关公司。 原作者:Chris Vickery,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

大规模数据泄露即将公布?涉 13.7 亿用户泄露源尚且未知

专注于挖掘数据泄露的安全研究员 Vickery 表示即将公布一起新的身份数据泄露事件涉及 14 亿用户。此后他又发布推特并附上截图,将影响范围精确到 13.7 亿。 Vickery 是安全软件公司 MacKeeper 的研究员,善于发现漏洞。他曾发现了一个涉及美国军方特别行动指挥部医疗保健专业人员和总统竞选的 AWS 服务器漏洞。 对于这起数据泄露,最有可能的受害者是印度公民的生物识别数据库 Aadhaar ,但官方表示在过去五年内未发生滥用 Aadhaar 项目导致的身份被盗和财务损失。此外,也有网友猜测,泄露数据来自中国,毕竟中国微信、腾讯的用户规模也达到十亿级别。当然,Facebook、YouTube、雅虎、苹果、微软以及大型数据收集公司也在怀疑之列。 原作者:Simon Sharwood,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Slack 应用存在漏洞允许黑客窃取访问令牌劫持账户

漏洞赏金猎人 Frans Rosen 发现社交应用 Slack 存在一个漏洞,可被攻击者利用窃取访问令牌并接管账户。该漏洞存在于应用与互联网浏览器传输数据的方式。Rosen 于上周五报告了这一漏洞,5 个小时后官方便修复了漏洞并付给 Rosen 3000 美元的漏洞赏金。 Slack 利用 postMessage 技术可安全地实现跨域传递信息,但同样也存在一个重大隐患:它不会核查不同域传递过来的信息。Rosen 通过创建一个可劫持程序的恶意页面,并利用该漏洞重新连接受害者的 Slack WebSocket 到自己的 WebSocket 页面上,从而窃取私人 Slack 令牌。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

水门事件翻版:特朗普发推称大选时曾遭奥巴马监听

特朗普在个人推特上连发四条推文称,在大选投票前,前总统奥巴马就已经监听了特朗普。特朗普称这就是水门事件的翻版。但奥巴马的一位发言人否认了特朗普的指控称,特朗普没有在推文中提供任何证据来支持他的说法,并强调“奥巴马总统和白宫官员从未发布命令监视过任何一个美国公民。” “太震惊了!我刚知道奥巴马竟然在我获胜前监听了特朗普大楼的电话。但是奥巴马什么也没有发现。这是麦卡锡主义!” “在位总统在大选前竟然窃听竞选对手,这合法吗?之前被法院推翻。真是太卑劣了!” “奥巴马在大选前窃听我的电话,我打赌,一个好律师就可以通过这个案子把他们告翻。” “奥巴马在大选前窃听我电话的行为真是太卑劣了。这是尼克松水门事件。坏家伙。” 本文由 ibtimes 和 cnBeta 翻译整理,封面来源于网络。