分类: 今日推送

全球连锁酒店 Hard Rock、Loews 再次提醒客户留心数据泄露后续影响

据外媒 7 月 8 日报道,全球连锁酒店 Hard Rock、Loews 周四证实该公司受到 SynXis 系统数据泄露事件的影响,并提醒客户留心可能的欺诈活动。 Hard Rock 与 Loews 连锁酒店于 6 月发现支付系统存在安全漏洞,即黑客通过第三方供应商 Sabre Hospitality Solutions 提供的 SynXis 预订平台系统窃取部分客户支付数据、劫持内部帐户信息。目前,未经授权的访问系统已被关闭,安全专家尚未掌握证据表明,除 SynXis Central Reservations 系统外,其他 Sabre 系统存在安全隐患。 SynXis Central Reservation 产品是一款全球超过 32,000 家酒店正在使用的库存管理 SaaS 应用程序。Sabre 公司证实,黑客设法访问识别客户敏感信息。Hard Rock 与 Loews 酒店已展开调查并向客户与联邦贸易委员会进行通报。知情人士表示,虽然安全漏洞发生在 2016 年 8 月 10 日至 2017 年 3 月 9 日期间,以致影响数十家酒店客户财产。但并非所有酒店均使用 Sabre Hospitality Solutions SynXis 系统,因此只有一小部分客户信息受到影响。 Sabre 调查显示,目前并未发现客户社会保障、护照与驾驶执照号码等重要信息遭受黑客访问,但为确保客户信息安全,Sabre 已通知执法部门与信用卡品牌公司进行严格检查。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒:中国安全研究员发现 GMR-2 密码漏洞可实时解密卫星电话通信

据外媒 7 月 8 日报道,两名中国安全研究人员利用 GMR-2 密码漏洞实时解密卫星电话通信。 GMR-2 是一种由 64 位密钥组成的流密码,主要用于国际海事卫星组织的卫星电话通信中。目前,英国电信国际海事卫星组织的卫星电话正使用 GMR-2 密码标准进行通信。 德国研究人员于 2012 年通过反向攻击技术证实,GMR-2 比 AES 或 PRESENT 密码更加薄弱。安全专家表示,在一个由 50 至 65 字节设置的明文环境中,攻击者极有可能恢复一个具有中等计算复杂程度的会话密钥,从而轻松使用当前 PC 端执行攻击活动。 中国研究人员近期针对 GMR-2 密码漏洞设计出一种新型反演技术,允许攻击者使用一帧密钥流实时解密卫星电话通信。获悉,此攻击技术包含三个阶段: (1)生成密码关键时间表 (2)查找、过滤与组合动态表 (3)验证 调查显示,该技术手段与之前的攻击方式有所不同,研究人员并非使用明文攻击破解密码,而是反向设计加密过程,以直接从输出密钥流中推断加密密钥。分析表明,当一帧(15 个字节)密钥流可用时,64 位加密密钥的搜索空间可减少至 213 个字节。与之前的攻击手段相比,这种反转攻击效率更高,即所提出的攻击均在 3.3GHz 的平台上进行。 此外,结果表明,64 位的加密密钥可在平均 0.02 秒中恢复。目前,安全研究人员强调 GMR-2 密码存在严重漏洞,服务提供商本应针对系统加密模块进行升级,以提供卫星机密通信。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Tim Berners-Lee 批准了受争议的加密媒体扩展

WWW 之父蒂姆·伯纳斯 – 李(Tim Berners-Lee)批准了加密媒体扩展(EME)—— 受争议的 Web DRM 标准。 EME 提供一个通用的 API 支持 DRM 保护的多媒体内容,由来自 Google、 Microsoft 和 Netflix 的工程师开发,得到了营利性企业的支持,但遭到了自由软件基金会和电子前哨基金会等非营利组织的批评。伯纳斯 – 李爵士认为内容供应商为了控制内容发行,必定要采用一种 DRM 方案,不是 Web 就是原生,Web 形式的 DRM 总归比插件形式的 DRM 好一点。电子前哨基金会再次发表文章表达反对意见。 稿源:Solidot奇客,封面源自网络

公安部:暑假期间防范校园贷及网购退款等五类诈骗

公安部近期发布 2017 年暑期防范电信网络诈骗安全提示,提醒群众在暑假期间防范兼职刷单、高考招生、助学金、校园贷和网购退款五类多发性电信网络诈骗,切实维护自身财产安全和合法权益。 一、兼职刷单诈骗。兼职刷单诈骗中,诈骗分子冒充客服人员向被诈骗对象发送链接,声称点击链接,购买商品成功后,货款会退还,还有返利提成,甚至会让被诈骗对象填写一份入职资料,让其以为自己被正当公司聘用赚钱。在完成第一单购买任务后,被诈骗对象会收到客服之前约定的刷单返利,当交易达到一定数量后,所谓的客服人员就会切断与被诈骗人的联系,就此消失。 二、高考招生诈骗。高考过后谨防“分不够,钱来凑”的虚假招生骗局。诈骗分子常伪造公文,利用家长对特长加分、艺考、军校招生以及自主招生政策的不了解,谎称有高校的“内部指标”或者“计划外指标”,只要出价合理就保证录取。 三、助学金、奖学金诈骗。诈骗分子冒充国家工作人员以发放助学金、奖学金的名义,要求学生提供银行卡卡号和密码,直接诱导学生到ATM机进行转账操作。 四、校园贷诈骗。诈骗分子谎称办理校园贷需要提请贷款的学生缴纳数千元的保险金,诱骗学生多次转账汇款;又或者在大学校园内以给好处费为诱饵,让大学生提供自己的个人信息在网贷平台贷款或购买高档手机等,承诺所有贷款不用大学生偿还,事后还会给大学生几百元甚至数千元的现金作为好处费。然而一但贷款成功,诈骗分子便卷款消失。 五、网购退款诈骗。学生是网购的重要群体,诈骗分子非法获取网购买家信息后,以商品有问题为由,联系买家退款,退款过程中诈骗分子利用被诈骗对象对网络借贷的陌生,诱使买家进入网络借贷平台,在诈骗分子的不断指引下,一步步从网贷平台上借出现金并转账给诈骗分子。 公安部有关负责人表示,公安机关将继续加大打击电信网络诈骗犯罪力度,积极会同相关部门全面落实综合防控措施,不断提高群众防范意识,坚决遏制电信网络诈骗犯罪高发势头,切实维护人民群众财产安全。 稿源:cnBeta、TechWeb,封面源自网络

德国新法律:社交平台 24 小时内必须删除仇恨言论

德国近期通过一项新法律,规定任何一个用户数量超过 200 万的社群或媒体平台必须严格把关,将这些负面言论排除在外。如果有任何违法、种族歧视、仇恨言论,都必须在 24 小时之内删除,如果超时言论还在,那么这些平台就会被处以 500 万到 5000 万欧元不等的罚款。 这项新法律的颁布意味着 Facebook、Twitter 以及拥有 YouTube 的 Google 都必须遵守。其实德国推出这项新法律在很大程度上是因为这几年来不断有难民涌入德国,而这个数字仍在不断上升,难民的涌入让德国少了以往的宁静祥和,为此有一些当地民众发布了种族歧视或是仇恨言论,如不加以控制,那么本地人与难民之间的矛盾会迅速激化,后果不堪设想。 有支持新法律的自然也有反对的,一些人认为这项法律就是限制了人民的言论自由,同时人民的言论是否适当,其决定者不应该是平台方,这样会更有利于这些社交平台以言论不当的方式随意删除和屏蔽人民的发言。尽管有不少反对的声音,但据了解该新法律会在今年 10 月,也就是德国总统选举之后正式生效。 稿源:cnBeta、威锋网,封面源自网络

Android 间谍软件监视 40 余款流行应用

安全公司 Palo Alto Networks 研究人员报告指出一种主要流行针对中国用户的恶意 Android 木马 SpyDealer,该恶意程序设计窃取 40 余款流行应用的数据。目前,虽然研究人员已通知 Google ,但该恶意程序并非通过 Google Play 商店传播。 研究人员表示,有证据显示 SpyDealer 能通过被入侵的无线网络感染中国 Android 用户。一旦感染,它会利用商业 root 工具 Baidu Easy Root 获取设备的 root 权限,滥用  Android Accessibility Service 功能从应用且其敏感信息,大量收集用户信息,包括 IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的 Wi-Fi 信息。 此外,SpyDealer 能自动响应特定号码,通过  UDP、TCP 和 SMS 渠道远程控制设备,用麦克风和摄像头记录附近视频、音频、拍照和屏幕截图。还能从 40 多款流行应用中提取个人信息,这些应用包括微信、Facebook、WhatsApp、飞信、人人等社交软件。SpyDealer 最早版本现身于 2015 年,目前仍然在活跃更新,最新版本于五月释出。 稿源:Solidot奇客,封面源自网络

卡巴斯基证实:Petya 勒索软件原作者在线免费发布解密密钥

据外媒 7 月 7 日报道,早期版本的 Petya 勒索软件开发人员 Janus 在线免费发布了解密密钥,旨在关闭 Petya 项目、恢复受害者已被感染的加密文件。 调查显示,Janus 并未参与针对乌克兰的最新攻击,此次勒索软件系由未知黑客盗版并加以传播利用的。安全公司 MalwareByte 发布声明,指出由于勒索软件 Petya 肆意传播,Janus 决定关闭 Petya 项目,并在线发布该勒索软件解密密钥,允许以前遭受 Petya 攻击的所有受害者恢复文件。 卡巴斯基(KasperskyLab)研究人员证实,Janus 发布的解密密钥可恢复被早期版本的 Petya 勒索软件 与 GoldenEye 勒索软件感染的加密文件。GoldenEye 是 Janus 于 2016 年创建的一款基于 Petya 代码的勒索软件,由某未知名黑客于 2017 年盗取编译应用程序并进行修改与传播。 研究人员推测,早期版本的 Petya 源代码从未在线公开泄漏过,若黑客能够重新进行编译,或间接证明 Janus 以某种方式与当前爆发的攻击活动相关(这是他的工作或他已将代码出售给另一名攻击者)。目前专家证实,黑客在大规模的 NotPetya 攻击中使用了基于 GoldenEye 代码的被盗版本勒索赎金。但不同于以前的版本,NotPetya 变体未实现解密文件功能。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌警示:BroadPwn 漏洞或将影响使用 Broadcom Wi-Fi 芯片的数百万台 Android 设备

据外媒 7 月 7 日报道,谷歌于近期发布了一份关于 Android 设备的安全更新报告,警示 Broadcom Wi-Fi 芯片存在一处远程代码执行漏洞 BroadPwn(CVE-2017-3544),或将影响数百万台 Android 设备以及部分 iPhone 机型。 BroadPwn 漏洞影响 Broadcom BCM43xx 系列的 WiFi 芯片,允许远程攻击者可在没有与用户交互的情况下,在具有内核特权的受损设备上触发漏洞、执行恶意代码。 据悉,Google 修补了数十个重要漏洞与 100 多个中等问题。此外,研究人员还修补了几个影响 Android Mediaserver 进程的关键漏洞,其中一些漏洞可能被攻击者远程执行恶意代码。值得注意的是,在 Mediaserver libhevc 库中的输入验证漏洞(CVE-2017-0540)能够允许攻击者使用特制文件在媒体文件与数据处理的过程中损坏内存。 目前,虽然 Google 已发布关于 Pixel 与 Nexus 设备的安全更新,但剩下的 Android 设备仍易遭受攻击。除非各原始设备制造商( OEM )能够立即检测并修复漏洞,不然无法完全解决当前问题。 附:《 Google 2017 年 7 月 Android 安全更新报告 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 将完全取消沃通和 StartCom 的信任

沃通和 StartCom 在去年被发现签发假证书后被各种浏览器厂商取消了信任,但已经签发的证书仍然已白名单的形式被信任。近期, Google 宣布将完全取消对沃通和 StartCom 所有证书的信任,包括过去签发的证书。 Google 督促仍然使用沃通和 StartCom 的网站 “立即替换这些证书”。 稿源:Solidot奇客,封面源自网络

美军将于 2018 年 7 月开始对士兵的电子邮件进行加密处理

据外媒报道,外界可能会认为美国军方的邮件服务 mail.mil 将比 Gmail 和其他免费的替代方案更安全,但显然不是这样。2015 年外媒 Motherboard 的一项调查显示,尽管它确实有保护分类信息的系统,但它甚至没有使用 STARTTLS (纯文本通信协议扩展) 一种已推出 15 年之久的加密技术,可以防止电子邮件在发送过程中被拦截。 这将可能使未分类的电子邮件被监视,并使它们在发送过程中容易受到攻击。现在,由于认为 mail.mil 缺乏安全性,五角大楼表示,最终将开始加密士兵的电子邮件,但直到 2018 年 7 月才能开始。 此前 Gizmodo 也曾发现军方的电子邮件服务不使用 STARTTLS,因为这将阻止美国国防信息系统局( DISA )筛选含有恶意软件、网络钓鱼攻击和漏洞的消息。DISA 在一封信件表示,其使用国家级情报开发的检测方法 “将在 STARTTLS 启用后无效。” 为了能够实施该技术并将其作为默认功能,它必须迁移到 “ 新的电子邮件网关基础设施 ”,而且迁移将在明年 7 月之前完成。 DISA 已经透露其向参议员 Ron Wyden 提交了一封信件,说明迁移军队电子邮件服务的计划。Wyden 曾质疑该机构未使用 “ 基础、广泛使用及易于使用的网络安全技术 ”。Wyden 在一份声明中表示,这一举措绝对是朝着正确方向迈出的一步,但他也对还需一年时间才能完成迁移表示不满:“ 保护美国军人的通信应该是一个优先事项,所以我希望这个机构加快时间安排。” 稿源:cnBeta,封面源自网络