分类: 国际动态

NSA 向雇员发出谨慎启用位置数据的安全风险提示

为消除任何形式的信息泄露和安全风险,美国国家安全局(NSA)已将向雇员发出了“不应在其移动设备和其它小工具上启用位置数据”的提示。《华尔街日报》指出,NSA 希望雇员不要打开移动设备的定位服务,因其或被用于移动追踪和提供对敏感数据的访问。该机构甚至希望雇员关闭追踪已丢失设备的查找服务,同时必须禁用已安装应用的位置数据和广告权限,且不建议在网上浏览和分享位置信息。 NSA 内部指南写道:使用移动设备 —— 甚至仅仅是打开设备的电源 —— 都有暴露位置数据的风险。 移动设备对蜂窝网络和通讯服务提供商有着天生的依赖,并且会在每次连接网络时报送实时位置信息,这意味着服务提供商可以对用户展开大范围的追踪。 在某些情况下,比如 911 通话,此功能或许可以帮助挽救生命。但对位置信息敏感的人员来说,如果攻击者以某种方式影响或控制服务提供商,反而会招致不必要的风险。 除了智能手机,NSA 还警告对任何可提供位置数据的设备严加审视,比如智能手表。因为在任何地方发送和接收的无线信号,都会产生与移动设备类似的位置泄露风险。 当然,这并不是 NSA 首次对现代设备的定位技术产生日益增加的风险顾虑。过去两年,美国国防部就禁止员工使用任何具有位置追踪功能的设备,包括智能手机、智能手表、以及健身手环等。 有鉴于此,NAA 给出了最佳的安全风险控制建议 —— 在不使用设备的时候,最好将它们切换到飞行模式。     (稿件与封面来源:cnBeta。)

Twitter 涉嫌滥用数据被 FTC 调查:或面临 2.5 亿美元罚款

北京时间8月4日早间消息,美国联邦贸易委员会(Federal Trade Commission)目前正在对Twitter公司进行调查,原因是该公司使用用户上传的电话号码,以投放广告。 Twitter周一在一份监管文件中称,上周收到了来自联邦贸易委员会的投诉草案,指控该社交媒体公司违反了2011年达成的一份和解协议。根据该协议,Twitter同意采取措施,更好地保护用户的个人数据。 这家总部位于旧金山的公司在监管文件中说,这项调查可能给公司带来1.5~2.5亿美元的损失。 Twitter在文件中说:“这件事仍未解决,目前还无法确定何时解决以及如何解决。” “在我们公布第二季度财报后,我们收到了联邦贸易委员会的投诉草案,指控我们违反了2011年的和解协议,”Twitter发言人说。 联邦贸易委员会发言人拒绝对此发表评论。 2011年,Twitter与联邦贸易委员会达成一项和解协议。根据该协议,在20年内,针对非公开型的消费者个人信息,Twitter被禁止“在这些信息的安全、隐私和保密程度方面误导消费者。” 用户经常会出于安全目的向Twitter提供其电话号码。Twitter在2019年证实,它正在使用这些电话号码,向用户投放广告。当时,Twitter表示,这些数字是“无意中”使用的,并补充说,它不知道有多少用户受到了影响。 监管文件显示,联邦贸易委员会指控该公司在“2013年至2019年期间”滥用用户电话号码或电子邮件,从而违反了和解协议条款。(樵风) (稿源:新浪科技,封面源自网络。)

Apple Touch ID漏洞可能会让攻击者劫持 iCloud 帐户

苹果今年早些时候修复了iOS和macOS中的一个安全漏洞,该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。 IT安全公司Computest的安全专家Thijs Alkemade于2月发现了该漏洞,该漏洞存在于Apple实施的TouchID(或FaceID)生物识别功能上,该功能对用户进行了身份验证以登录Safari上的网站,特别是那些使用Apple ID登录的网站。 该漏洞通过披露程序将问题报告给Apple后,iPhone制造商在服务器端更新中解决了该漏洞。 认证缺陷 漏洞的核心主要是:当用户尝试登录需要Apple ID的网站时,将提示以使用Touch ID对登录进行身份验证。这样做会跳过两因素身份验证步骤,因为它已经利用了多种因素进行标识,例如设备和生物特征信息。 在登录到Apple域(例如“ icloud.com”)时,通常会使用ID和密码进行对比,其中网站嵌入了指向Apple登录验证服务器(“ https://idmsa.apple.com”)的iframe,来处理身份验证过程。 URL还包含其他两个参数-标识服务(例如iCloud)的“ client_id”和具有成功验证后要重定向到的URL的“ redirect_uri”。 但是,在使用TouchID验证用户的情况下,iframe的处理方式有所不同,因为它与AuthKit守护程序(akd)通信以处理生物识别身份验证,并随后检索icloud.com使用的令牌(“ grant_code”)页面以继续登录过程。 为此,daemon与“ gsa.apple.com”上的API通信,向该API发送请求的详细信息,并从该API接收令牌。 Computest发现的安全漏洞存在于上述gsa.apple.com API中,从理论上讲,它可以滥用这些域来验证客户端ID,而无需进行身份验证。 Alkemade指出:“即使akd提交给它的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID相匹配。” “相反,AKAppSSOExtension仅在这些域上应用了白名单。所有以apple.com,icloud.com和icloud.com.cn结尾的域都被允许。”意味着攻击者可以利用Apple任意一个子域上的跨站点脚本漏洞来运行JavaScript代码的恶意代码段,这些代码段可以使用iCloud客户端ID触发登录提示,并使用授权令牌在icloud上获取会话.com。 设置伪热点来接管iCloud帐户 在另一种情况下,可以通过在第一次连接到Wi-Fi网络(通过“ captive.apple.com”)时显示的网页上嵌入JavaScript来执行攻击,从而使攻击者可以访问用户,只需接受该页面上的TouchID提示即可创建该帐户。 “恶意Wi-Fi网络可以与JavaScript启动的OAuth作为iCloud的网页回应,” 艾尔克梅德说。“用户会收到一个TouchID提示,但不清楚含义是什么。如果用户在该提示下进行身份验证,则其会话令牌将被发送到恶意站点,从而使攻击者可以在iCloud上为其帐户提供会话。” “通过在用户希望接收热点的位置(例如,在机场,酒店或火车站)设置一个伪造的热点,就有可能获得访问大量iCloud帐户的权限,允许访问图片的备份,手机的位置,文件等等。” 这并不是Apple第一次在身份验证基础结构中发现安全问题。苹果在5月修补了一个影响其“用Apple登录”系统的漏洞,该漏洞使远程攻击者可以绕过身份验证,并接管已使用Apple登录功能注册的第三方服务和应用程序上目标用户的帐户。     稿件与封面来源:The Hacker News,译者:叶绿体。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Bitfinex 将为黑客提供 25% 的奖励,以追回 2016 年被盗的近 12 万枚比特币

Bitfinex周二向加密货币社区发出呼吁,希望他们能帮助找回四年多前从该交易所被盗的近12万枚比特币。2016年8月初,黑客攻破了该交易所的安全系统,发起了2072笔未经授权的交易,导致119755枚比特币被盗。这些比特币当时的价值约为7000万美元,但如今,这些被盗比特币的总价值已接近13.5亿美元。 可以理解的是,Bitfinex希望拿回它们。该交易所周二表示,任何让他们与黑客联系的人都将获得追回的总财产的5%(或按当前市场价值计算的同等资金或资产)。但如果黑客自行归还资金,Bitfinex将向他们提供追回的总财产的25%。 Bitfinex表示,总共准备提供约4亿美元的奖励。 “为了确认黑客的身份,我们将要求从负责黑客的钱包地址向Bitfinex指定的钱包地址发送1 Satoshi。我们将努力确保可以安全地完成这项工作,从而保护各方的身份,Bitfinex保留对任何转账施加条件的权利,以验证索赔并确保安全的过程。” Bitfinex表示,自调查开始以来,它一直与执法部门合作,但在过去四年中,只设法追回了不到28个被盗的比特币。     (稿源:cnBeta,封面源自网络。)

Garmin 确认在支付赎金后,已收到 WastedLocker 勒索软件解密器

据外媒BleepingComputer报道,他们确认了Garmin已经收到解密密钥以此来恢复他们在WastedLocker勒索软件攻击中加密的文件。当地时间2020年7月23日,Garmin遭受了全球范围的中断,客户无法访问他们的连接服务,包括Garmin Connect、flyGarmin、Strava、inReach解决方案。 在员工们分享了加密工作站的照片后,BleepingComputer是第一个证实他们受到了WastedLocker勒索软件运营商网络攻击的公司。 之后,职工告诉BleepingComputer,勒索赎金要1000万美元。 Garmin则在服务中断了四天之后突然宣布他们开始恢复服务,这让人们怀疑他们是否通过支付赎金来获得一个解密器。 然而,Garmin拒绝就此做进一步评论。   确认:Garmin收到了一个WastedLocker的解密密钥 今日,BleepingComputer获得了一个由Garmin IT部门创建的可执行文件以解密工作站然后在机器上安装各种安全软件。 据了解,WastedLocker是一款针对企业的勒索软件,其加密算法没有已知的弱点。 为了获得能工作的解密密钥,Garmin必须向攻击者支付赎金。目前还不清楚支付了多少赎金,但正如之前所述,一名员工告诉BleepingComputer,最初的赎金要求是1000万美元。 当将该文件解压后可以看到各种安全软件安装程序、一个解密密钥、一个WastedLocker解密器和一个运行它们的脚本。 当执行时,恢复包解密计算机然后用安全软件为计算机运行做准备。 Garmin的脚本包含了一个“07/25/2020”时间戳,这表明赎金是在7月24日或7月25日支付的。 通过使用来自Garmin攻击的WastedLocker样本,BleepingComputer加密了一台虚拟机并测试了解密器看看其是否能解密文件。结果显示,解密器在解密其文件时没有出现任何问题,演示见下视频: 在遭遇勒索软件攻击后,所有公司都应遵循清除所有电脑并安装干净图像的一般规则。重新安装是必要的,因为人们永远不知道攻击者在入侵期间更改了什么。 根据上面的脚本,Garmin似乎没有遵循这条准则,只是简单地解密工作站并安装安全软件。     (稿源:cnBeta,封面源自网络。)

数据泄露后,Zello 重置所有用户密码

一键通应用程序 Zello 披露了一个数据泄露事件,用户的系统上存在未经授权的活动,并导致泄露了用户的电子邮件地址和哈希密码。 Zello 是一项具有1.4亿用户的移动服务,该服务允许急救人员、酒店、交通以及家人和朋友使用一键通应用程序进行通信。 Zello指出,他们于2020年7月8日在其中一台服务器上发现了未经授权的活动。 作为此访问的一部分,黑客可能已访问Zello帐户的电子邮件地址和哈希密码。 “ 2020年7月8日,我们在其中一台服务器上发现了异常活动。我们立即启动了调查,通知了执法部门,并聘请了一家领先的独立法证公司来提供帮助。通过此调查,我们了解到,未经授权的一方可能已经访问了我们的用户在其Zello帐户上使用的电子邮件地址和密码的哈希版本。” 尽管Zello并未明确声明已访问了数据库,但这很可能是黑客能够访问客户信息的途径。 根据通知,此违规行为不会影响Zello Work和Zello for First Responders客户。 此外,由于Zello要求用户使用用户名和密码登录。由于黑客未访问用户名,因此Zello并不认为用户帐户得到了正确访问。 Zello客户应该怎么做? 为了安全起见,Zello会在下次登录时对所有Zello帐户强制重置密码。 当攻击者获得对Zello用户的电子邮件地址和哈希密码的访问权限时,他们可能会破解该密码以获取对明文密码的访问权限。 然后,黑客可以在“凭据填充”中利用电子邮件地址列表和破解的密码。在这种情况下,攻击者尝试登录用户也可能拥有帐户的其他站点。 因此,所有受影响的用户都需要在与他们的Zello帐户相同的密码的任何站点上更改其密码。 更改密码时,它应该是仅在该站点使用的唯一密码。 密码管理器可以帮助您在访问每个站点时方便地创建唯一密码,而无需记住它们。     消息来源:BleepingComputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

芝加哥大学发起 Election Cyber Surge 倡议 为各州选举提供网络安全支持

目前美国各州都为 11 月举行的美国总统大选做着各项准备,一个新成立的志愿组织希望能够帮助他们缓解网络安全方面的问题。芝加哥大学启动了名为“Election Cyber Surge”的倡议活动,为各州提供网络安全专家和安全服务的支持。 为了妥善保护选举安全,某些州会向私人公司支付网络安全费用,而其他州则依靠内部员工或联邦援助。但今年面对疫情,美国各州不得不加大预算,从而保障选举的正常进行,例如支付大量邮寄选票的费用,购买清洁用品和个人防护设备。 虽然美国联邦政府为每个州提供了一些免费的选举网络安全工具,但各州没有职责使用它们。为此,芝加哥大学发起的这项“Election Cyber Surge”倡议能够为那些无法获得网络安全服务、无法获得想要帮助的合格专家的地方选举官员提供帮助。官员们将能够选择一个关注的领域,然后从愿意通过电话或视频聊天提供帮助的专业人士名单中挑选,这在大流行期间是必要的。 以上图片均来自于 芝加哥大学 负责这个项目的前长期政府网络安全战略家 Maya Worman 表示:“需求是显而易见的,而且帮助确实是有效果的”。她说,该项目将从大约50名经过审查的志愿者开始,这个数字可能会翻倍。大多数人都是通过大学的可信网络安全专业人员数据库确定的,并且在该领域至少有十年的经验。 自去年秋天以来,国土安全部已经警告说,选民登记系统和县级政府面临着来自勒索软件的特别风险,黑客用它来加密网络,并要求赎金以获得解锁的钥匙。犯罪团伙通过寻找有未修补漏洞的网络,经常用勒索软件攻击美国的地方政府网络。 国土安全部的最高网络安全官员克里斯-克雷布斯(Chris Krebs)在本月早些时候的一个小组会议上表示,尽管美国自2016年以来在加强其基线安全方面取得了进展,但在选举日之前或之后,与选举有关的网络仍然是“脆弱的,有能力的对手会进行破坏性攻击”。     (稿源:cnBeta,封面源自网络。)

加拿大 MSP 披露数据泄露,勒索软件攻击失败

TrickBot的Anchor恶意软件平台已被移植为Linux感染设备,并使用秘密渠道破坏了更多具有高影响力和高价值的目标。 TrickBot是一个多功能的Windows恶意软件平台,该平台使用不同的模块执行各种恶意活动,包括信息窃取、密码窃取、Windows域渗透和恶意软件传递。 TrickBot由威胁参与者租用,他们利用威胁渗透网络并收获任何有价值的东西。然后将其用于部署Ryuk和Conti等勒索软件,以加密网络设备,作为最终攻击。 在2019年底,SentinelOne和NTT都报告了一个名为Anchor的新TrickBot框架,该框架利用DNS与命令和控制服务器进行通信。 TrickBot的Anchor框架 来源:SentinelOne   该恶意软件名为Anchor_DNS,可用于具有有价值财务信息的高价值,高影响力目标。 除了通过Anchor感染进行勒索软件部署外,TrickBot Anchor参与者还将其用作针对APT的,针对销售点和财务系统的活动的后门程序。   TrickBot的Anchor后门恶意软件已移植到Linux 从历史上看,Anchor一直是Windows的恶意软件。最近,第二阶段安全研究人员  Waylon Grange发现了一个新样本,该样本  表明Anchor_DNS已被  移植到  名为’Anchor_Linux’ 的新Linux后门版本中。 在x64 Linux可执行文件中找到Anchor_Linux字符串 来源:Waylon Grange   先进的英特尔公司的Vitali Kremez  分析了Intezer Labs发现的新型Anchor_Linux恶意软件的样本。 Kremez告诉BleepingComputer,安装后,Anchor_Linux将使用以下crontab条目将自身配置为每分钟运行: */1 * * * * root [filename] 通过CRON设置持久性 来源:Vitali Kremez   除了充当可以将恶意软件拖放到Linux设备上并执行它的后门程序之外,该恶意软件还包含嵌入式Windows TrickBot可执行文件。 嵌入式Windows可执行文件 来源:Vitali Kremez 根据Intezer的说法,此嵌入式二进制文件是一种新的轻量级TrickBot恶意软件,“具有与旧版TrickBot工具的代码连接”,用于感染同一网络上的Windows计算机。 为了感染Windows设备,Anchor_Linux将使用SMB和$ IPC将嵌入式TrickBot恶意软件复制到同一网络上的Windows主机。 成功复制到Windows设备后,Anchor_Linux将使用服务控制管理器远程协议  和名为pipe的  SMB SVCCTL将其配置为Windows服务  。 通过SMB复制文件 来源:Waylon Grange   配置服务后,恶意软件将在Windows主机上启动,并重新连接到命令和控制服务器以执行命令。 此Linux版本允许威胁参与者使用后门将非Windows环境作为目标,从而使攻击者秘密地转向同一网络上的Windows设备。 “该恶意软件在UNIX环境中充当隐蔽的后门持久性工具,被用作Windows利用的枢纽,并在电子邮件网络钓鱼之外用作非正统的初始攻击媒介。它使该组织可以定位和感染UNIX环境中的服务器(例如路由器) )并将其用于企业网络。”在与该恶意软件的对话中,Kremez告诉BleepingComputer。 更糟糕的是,许多物联网设备(例如路由器,VPN设备和NAS设备)运行在Linux操作系统上,这可能成为Anchor_Linux的目标。 随着TrickBot恶意软件的这种发展,Linux系统和IoT设备具有足够的保护和监视以检测诸如Anchor_Linux之类的威胁变得越来越重要。 对于相关的Linux用户,他们可能已被感染,Anchor_Linux将在创建日志文件/tmp/anchor.log。如果存在此文件,则应针对Anchor_Linux恶意软件的存在对系统执行完整的审核。 Kremez告诉BleepingComputer,他相信Anchor_Linux仍在开发中,这是因为要测试Linux可执行文件中的功能。 预计TrickBot将继续发展,使其成为Anchor框架的全功能成员。   消息来源:Bleepingcomputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧盟首次以网络攻击为由,制裁中国、朝鲜、俄罗斯

周四,欧盟宣布,对来自俄罗斯和中国的开展或参与各种所谓“网络攻击”的6名个人和3个实体实施制裁,此外,欧盟还表示已锁定俄罗斯军事情报的特殊技术部门,也就是俄罗斯联邦武装力量总参谋部情报总局GRU。 此次受制裁的3个组织分别是俄罗斯的GRU、朝鲜的Chosun Expo公司以及中国的海泰科技发展有限公司。 这是欧盟首次进行与网络攻击相关的制裁活动。制裁措施包括实施旅行禁令、冻结资产,同时禁止欧盟人员和实体向被制裁对象提供资金。 事实上,此前欧盟就因“中国对待香港的方式”而对中国实施制裁,以此向特朗普政府相对强硬的对华立场进一步靠拢。 而欧盟外交与安全政策高级代表博雷利曾发声,认为美国越来越多地针对欧洲企业使用制裁手段或以制裁相威胁的做法会损害欧洲利益。“欧盟反对第三国对欧洲公司合法经营实施制裁,这种’域外制裁’违反国际法。”但显然,时隔仅半个月,欧盟也选择了网络制裁工具。 此外,对于此次部分中国的个人和实体被制裁,驻欧盟使团发言人坚定发声:中国是网络安全的坚定维护者,也是黑客攻击的最大受害国之一,始终依法打击一切形式的网络黑客攻击行为。我们也一贯主张,国际社会应当在相互尊重、平等互利的基础上,通过对话合作共同维护网络空间的安全,反对动辄诉诸单边制裁措施。(来自新京报)     (稿源:Freebuf,封面源自网络。)

逾千名 Twitter 员工拥有内部权限:可协助黑客入侵帐号

新浪科技讯 北京时间7月23日早间消息,据外媒报道,两位Twitter前员工透露,截至今年早些时候,共有1000多名Twitter员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。 Twitter和美国联邦调查局正在调查这起黑客入侵案件。在此次入侵中,黑客可以反复通过认证帐号发送推文,其中包括美国民主党总统候选人乔·拜登(Joe Biden)和亿万富豪比尔·盖茨(Bill Gates)等。 Twitter上周六表示,黑客“操纵了少量员工帐户,使用他们的证书”登录了工具,并获取了45个帐号的权限。他们还在周三表示,黑客可以读取36个帐号的私信,但并未披露具体受影响的帐号。 熟悉Twitter安全政策的前员工表示,有很多人具备这种权限,截至2020年早些时候甚至超过1000人,其中也包括高知特等承包商。 Twitter拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,他们正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。 高知特也未对此置评。(樵夫)     (稿源:新浪科技,封面源自网络。)