分类: 今日推送

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug,这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。 这一次,在promotool.t-mobile.com上的一个被隐藏得不够明显的API中,这显然是一个针对员工的“Customer Care Portal”,它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。 据ZDNet称,这样做会泄露客户的全名,账单账号,账户状态信息(例如过期账单或账户暂停)以及账户PIN(用于启动客户服务交互)。在某些情况下,税务识别号码会被暴露。 安全研究员Ryan Stevenson发现了这个bug,并在4月初向T-Mobile报告,为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后,这家运营商终止了该API。 “我们已经快速了修复了该错误,而且我们没有证据显示有任何客户信息都被访问过,”T-Mobile发言人告诉ZDNet。 这应该听起来很熟悉,因为去年秋天它曾出现过类似的bug。在这种情况下,尽管T-Mobile宣称它在24小时内进行了纠正,但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底,该运营商解决了暴露用户登录记录的另一个网站bug。 如果您是T-Mobile的客户,并认为您的个人信息被盗,并被用于了设置新帐户或对当前帐户进行更改,您可以与运营商合作纠正这种情况。   稿源:搜狐科技,封面源自网络;

尽管领袖被捕,Cobalt 黑客组织仍然活跃

俄罗斯安全公司 Group-IB 近期发现,专门窃取银行和金融机构资金的 Cobalt 黑客组织仍然活跃,尽管其领导人于两个月前在西班牙被捕,但其成员仍在继续针对世界各地的金融组织及其他公司发起新的攻击活动。 这项新活动是从上周 23 日开始的,当时 Group-IB 安全专家发现了 Cobalt 的钓鱼电子邮件,用来针对俄罗斯和其他前苏联国家的银行。根据 Group-IB 分享的报告显示,这种钓鱼邮件被设计伪装成卡巴斯基实验室的安全警报, 诱使用户访问恶意网站,从而感染 CobInt 木马。 Group-IB 公司表示,尽管 Cobalt 的领导人被捕,但该组织仍然拥有不容忽视的黑客力量,因为其成员短期内似乎并没有计划停止对银行的攻击行动。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

区块链平台 EOS 现系列高危安全漏洞

5 月 29 日,360 公司宣布,Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。 29 日凌晨,360 已将该类漏洞上报 EOS 官方,并协助其修复安全隐患。在修复这些问题之前,不会将 EOS 网络正式上线。 在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS 超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。 由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取 EOS 超级节点的密钥,控制 EOS 网络的虚拟货币交易;获取 EOS 网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。 更有甚者,攻击者可以将 EOS 网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。 EOS 是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达 690 亿人民币,在全球市值排名第五。360 方面称,这类型的安全问题不仅仅影响 EOS,也可能影响其他类型的区块链平台与虚拟货币应用。   稿源:雷锋网,作者:李勤,封面源自网络;

欧盟还有隐私新法案待实施 美国互联网巨头正在游说

据《纽约时报》报道,美国商会(American Chamber of Commerce)已经与欧盟接触,称《通用数据保护条例》(GDPR)“过于严格”。代表Facebook、谷歌、英特尔和数十家应用程序开发商的行业组织——开发商联盟(Developers Alliance)表示,这些企业每年在欧洲的损失可能超过5500亿欧元(约合6400亿美元)。另一家科技行业组织DigitalEurope也称,GDPR的禁止措施“严重损害了欧洲数字经济的发展”。 这些行业警报并非仅仅指向GDP,还有一项更加严格的隐私法正在等待生效,或许它才是科技行业在欧洲面临的下一个监管战场。它被称为ePrivacy Regulation,专门保护电子通信的机密性。该法案于2017年秋天获得欧洲议会批准,目前欧盟委员会正对其进行审查。欧盟官员原本打算从本月开始施行ePrivacy Regulation,但由于内部存在分歧,委员会的谈判进展缓慢。 如果当前的草案获得通过,这项法律将要求Skype、WhatsApp、iMessage、游戏以及其他电子服务(允许私人互动)在用户设备上安装跟踪代码或收集他们的通信数据之前,首先要获得人们的明确许可。在剑桥分析公司滥用丑闻数据曝光后,行业和消费者维权人士都在争论一个问题:数据驱动的数字服务是否对消费者更有利,或者是对民主的威胁。 来自德国的欧洲议会成员比尔基特·西普尔(Birgit Sippel)起草了ePrivacy Regulation,她说:“只要点击一下,你就能操纵成百上千的人,不管你是否知道他们的名字。这就是为什么保护隐私变得越来越重要的原因,尤其是在数字环境中。”西普尔还质问道:“你真的想让那些应用程序使用你的元数据吗?你真的想让它们在约会应用上阅读你的内容吗?消费者需要重新控制他们的生活和数据。” 但科技行业团体和他们的支持者认为,ePrivacy Regulation的请求用户同意要求和其他条款太过繁琐,会阻碍智能汽车之类的创新,而智能汽车会自动将安全信息传递给制造商。他们认为,要求这些公司为那些选择退出数据挖掘的人提供平等的通信服务,可能会导致依赖于数据驱动广告的或应用程序开始收费或被迫关闭。 来自英国的欧洲议会议员丹尼尔·道尔顿(Daniel Dalton)说:“欧洲将成为数字死水。”多尔顿曾与谷歌、微软、视频游戏公司和行业团体会面,讨论他们对这项法案的反对意见。他说:“我所会见的各个行业利益相关者,从规模最大到最小的企业,都一致反对这种做法。” 科技公司和行业团体发起了一场激烈的、多管齐下的游说活动,旨在搁置或至少调整立法。据布鲁塞尔非营利研究机构“透明国际”(Transparency International EU)创建的游说显示,思科(Cisco)、Facebook、谷歌以及其他许多机构都曾就ePrivacy Regulation游说欧盟委员会相关官员。 这些科技公司在游说方面的具体开支还不清楚。尽管游说欧盟委员会官员的企业和行业团体必须提供年度游说支出的财务细节,但它们不需要公开细节。行业组织还创造了关于ePrivacy Regulation的“末日视频”。在其中一段视频中,一个不祥的声音警告说,如果不能用人们的个人数据发送定向广告,免费的在线服务将无法生存下去。 行业协会也在游说欧盟委员会,其领导层每六个月轮换一次。为了实施ePrivacy Regulation,在与欧盟执行机构——欧洲议会和欧洲委员会进行三方讨论之前,欧盟委员会必须首先就该法案达成内部共识。该委员会的决定对ePrivacy Regulation至关重要。 代表亚马逊(Amazon)、谷歌、Netflix等公司的“计算机与通信行业协会”10月份前往保加利亚,与该国政府官员会面,因为该国正准备接管欧盟委员会轮值主席职位。该法案的支持者表示,自那以后,该委员会在ePrivacy Regulation问题上就没有取得多大进展。保加利亚常驻欧盟代表称,该国正致力于推动这项法案取得进展,但拒绝透露其他代表科技公司进行游说的行业团体名称。 在谷歌的支持下,“计算机与通信行业协会”去年也资助了一项研究,称ePrivacy Regulation的数据限制可能会减少在线新闻和在线广告行业的收入,并减少对云计算领域的风险投资。该机构副总裁克里斯蒂安·博尔格林(Christian Borggreen)表示,他希望ePrivacy Regulation不会与GDPR冲突,并希望“在没有过度伤害数字创新的情况下,增加有意义的隐私保护”。 本月,“商联盟”发布了自己赞助的经济研究报告,预测ePrivacy Regulation将导致欧盟所有行业的电子通信利润将削减30%。该组织呼吁政府官员“在讨论这份关键文件时考虑这些发现”。“开发商联盟”的欧洲政策和政府关系主管米切拉·帕拉迪诺(Michela Palladino)在谈到ePrivacy Regulation对用户内容和元数据处理的限制时说:“这是一种过于极端的做法,将会令许多依赖数据的行业减少潜在商业机会。” 西普尔女士说,科技行业的观点阻碍了在保护隐私方面取得的进展。她说:“在我看来,我们委员会中有些软弱的政府,他们不愿意在科技行业惹麻烦。”她强调称,她只是在表达自己的意见,而不是正式在议会陈述立场。西普尔说:“就目前而言,我们还没有找到共同的立场。”   稿源:网易科技,封面源自网络;

甲骨文称 Java 序列化的存在是个错误,计划删除

甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流…Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。” 为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”,Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化,序列化总体上是脆弱的,但具有在简单用例中易于使用的特性。   稿源:开源中国,封面源自网络;

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

雷锋网(公众号:雷锋网)消息,5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。 不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。 AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。 安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。 “SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。 安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。 点击获取详细样本分析。   稿源:雷锋网,封面源自网络;

WPA3 安全协议出台 WiFi 设备将大换血

现在大规模使用的WPA2安全协议,已经被破解了很长时间,WiFi的安全性风雨飘摇。终于,WiFi联盟公布了WPA3加密协议,共改善了物联网、加密强度、防止暴力攻击、公共WiFi这四大安全性。终于可以放心使用WiFi上网了。想要享受最安全的WiFi网络,用户手中的无线设备必须大换血。 市场无法估量 消费级产品先于企业级部署 从2002年WiFi正式商用算起,经历了16年的发展,这一市场并没有准确的设备数字。不过据WiFi联盟公布的数据显示,全球目前有几十亿台设备使用WiFi连接网络。可见WPA3带来的设备更换风潮,将是一个体量庞大的市场。 目前,高通表示将在6月份在骁龙845芯片中率先支持WPA3加密协议。而其它支持WPA3协议的设备将在即将开始的Computex大展上公布。支持WPA3的设备上,将会贴有“WiFiCertifiedWPA3”的标签。支持WPA3协议的设备将会向下兼容WPA2协议的设备,但是要向上支持WPA3协议就需要更换新设备。鉴于许多用户很少关心路由器的安全问题,采用WPA3协议的设备普及还需要一段时间。 WPA2漏洞攻击后果严重人们不当回事 “设置WiFi密码” “选择加密方式为WPA2” 相信设置过无线路由器的朋友们一定非常熟悉上面这两步操作。但是自从WPA安全协议被破解数年后,WPA2也在去年被破解。黑客可以通过名为“KRACK”的安全漏洞,破解WPA2安全协议,从而获得无线路由器的WiFi密码。 每天全球有数十亿的设备使用WPA2安全协议,它被破解后产生的后果难以想象。但是从使用者到厂商,并没有针对WPA2被破解后采取措施。甚至有许多人并不知道WPA2已被破解,依然认为它是最安全的加密协议。用户也没有修改自己路由器的密码,12345678依然蝉联2017年度使用最多的密码。厂商也是的升级了下产品的固件,告诉用户漏洞已被封堵。 要知道KRCK攻击直接影响了作为家庭网络中枢的无线路由器,这比PC上的病毒更加可怕。PC上的攻击,服务商会及时推送最新的修复补丁来保护用户免受攻击。而在家庭和小微企业的全球数亿台路由器或AP上,则根本没有这样的修复能力。另一方面,用户在安装好路由器后,很少再去到管理后台对设备进行升级,不能及时更新最新的固件保护自己的安全。 WPA3登场带来四大安全改善 不过好在WiFi联盟还在为用户安全使用WiFi而努力。该组织最新公布了WPA3加密协议,全新的WPA3加密协议将带来四大安全改善。 更强大的加密算法。WPA3拥有比WPA2更强大的加密算法。它可以应对工业领域、国防领域和政府领域的安全加密应用。 防止暴力破解。WPA3不会受到KRACK的攻击,是因为应用了Dragonfly协议。并且WPA3对于用户猜测WiFi密码的次数加以严格限制。黑客通过自己的“字典”,对密码进行暴力破解的攻击已经无效。 改善物联网设备的安全性。现在接入无线路由器的智能家居设备越来越多,WPA3支持一键式设置,只有按下按钮才能联网,让物联网设备连接更安全。 保护公共WiFi。机场、咖啡厅、购物中心等公共场合的WiFi不需要密码连接,存在安全隐患,但许多人都不在意它的安全性。WPA3使用了特殊的加密技术,让接入设备和无线路由器之间的连接拥有独特的密钥。即使是开放的WiFi,设备与路由器之间传输数据也不会暴露在网络中。 WPA3安全协议的出现,无疑让WiFi更加安全。但WPA2协议也将会长时间和WPA3共同存在。虽然还有许多人不把WiFi的安全当回事,但是作为WiFi联盟强制认证的标准,随着用户设备的不断换新,WPA3将深入到每个人的设备中。   稿源:中关村在线,封面源自网络;

比特币黄金遭黑客攻击:可能损失 1800 万美元

北京时间5月28日早间消息,比特币黄金(Bitcoin Gold)的开发团队近期公布了上周遭遇攻击的详情。当时,攻击者通过“双重支出攻击”,从加密货币交易所中窃取了资金。 比特币黄金的开发团队确认,攻击者获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易。 在这起事件中,攻击者向加密货币交易所存入资金,将其交易为比特币或其他加密货币,随后再提取资金。随后,攻击者使用获得的绝大部分算力,迫使网络的其他部分接受伪造的数据块,修改最初的存入资金,导致这些资金从交易所控制的钱包中消失。 根据此前的报道,与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚,这些交易中有多少造成了资金被盗。从理论上来说,如果所有交易都造成资金被盗,那么攻击者可以从中获利1800万美元。 项目的开发者表示,此次攻击部分是因为,比特币黄金的挖矿算法“Equihash”也被其他加密货币所使用,导致可用算力池要比比特币黄金网络中的算力更大。 比特币黄金已经计划迁移至新算法。此前,挖矿硬件厂商比特大陆宣布,首款Equihash AISC矿机已经开始接受预订。开发者表示,迁移至新算法能大幅提升网络的安全性。   稿源:新浪科技,封面源自网络;

avast:中兴手机预装恶意软件 嵌入固件底层

著名安全机构 avast 发布报告称,旗下安全威胁实验室发现,中兴、爱可视、MyPhone 等厂商的多款安卓手机居然预装了恶意广告软件。该恶意软件被命名为“ Cosiloon ”,它会在用户使用浏览器上网的时候,在网页上方覆盖显示一个广告。 avast 称这个恶意软件已经悄然存在了至少三年之久,而且预装在手机的固件层面,对于普通用户来说几乎不可能将其完全清除。 avast 观察到,由于这些手机都未经过 Google 认证,已经导致数千用户中招,尤其是最近几个月,已经发现大约1.8万部手机存在此恶意软件,而且遍布 100 多个国家和地区,重灾区有俄罗斯、意大利、德国、英国和美国等。 avast 已经将此报告给 Google,后者正在采取措施,通过内部技术清除部分设备上的恶意应用变种。但是由于恶意软件与手机固件紧密结合,Google 也没有太好的办法,只能联系固件开发商,敦促其解决此问题。   稿源:凤凰网科技,封面源自网络;

Facebook 被指收集用户数据:通过照片和文本

北京时间5月25日消息,在加利福尼亚州进行的对Facebook泄露用户信息一案中,法院对Facebook提起一项新的诉讼,指控该公司通过App收集了用户及他们朋友的信息。 上周向加利福尼亚州圣马特奥市高级法院提起的该项诉讼是2015年由现已停止运营的创业公司Six4Three向Facebook提起诉讼的一部分。 据卫报报道,Facebook的高级管理人员的机密邮件和消息中泄露了该公司的信息。这些指控称,Facebook使用了几种方法来收集用户信息,从而用于商业目的。据报告,这些方法包括追踪用户的位置,阅读他们的信息,访问并存储手机上的音频信息,监控用户对竞争应用程序的使用以及追踪他们的来电。 Facebook一位代表反驳称,这些声明子虚乌有毫无根据,Facebook未经用户同意不会记录人们的来电和短信的历史记录。该代表表示,日志记录是Android系统上Messenger和Facebook Lite的一项可选择的功能,但用户必须明确同意使用该功能,并且可以随时关闭该功能。该代表补充道,Facebook未经同意不会从麦克风获取数据。 Six4Three通过其已停用的应用程序Pikinis起诉Facebook,该程序可以让用户放大比基尼照片。Facebook的用户政策于2015年变更,阻止了第三方开发者访问好友数据,Six4Three以该变更损害其商业模式为由起诉了Facebook。 “当我们在2015年变更用户政策时,”一位Facebook代表说,“我们已经向所有的第三方开发者发送了可能影响其应用程序平台的更改通知。” Six4Three并没有第一时间对此作出回应。 Facebook所说的是该案面临的第六起诉讼,Six4Three声称社交网络有时未经用户同意就对其进行追踪。Facebook则回应道,这些指控与该案无关。 “他们的指控是毫无道理的,目的在于要求法院命令Facebook停止授权开发者访问用户的好友数据,但其实这项功能早在2015年就取消了,”脸书的代表人这样说道,“我们已经明确表示,我们会积极应对这场官司并保护用户的数据。” 今年3月份,脸书承认从用户的电话和短信中收集了数据,但表示已经获得了用户同意。   稿源:新浪科技,封面源自网络;