分类: 安全快讯

研究发现 14% 移动应用都将用户数据存储在不安全服务器上

应用开发者往往依赖第三方服务器来简化数据存储,但最新研究表明很多时候这些服务器对敏感数据并未提供完善的安全保护。来自亚马逊、谷歌和微软的第三方服务提供存储用户数据和系统文件的简单方式,开发者就不需要自己费力地对服务器进行编码。但开发者往往没有对这些服务器提供妥善的安全的保护,让用户数据处于开放状态,从而给黑客有乘之机。 根据市场调查机构 Zimperium 发布的最新研究表明,不管供应商是谁这种情况都时有发生。他们调查统计之后发现,14% 使用云存储的 iOS 和 Android 应用程序都有不安全的配置,非常容易受到攻击。 研究指出,这些服务器中可用的数据类型取决于相关应用,但所有存储的数据都可能被黑客使用。这些不安全的数据涵盖了从姓名和地址到每个用户的医疗和财务数据。 Zimperium表示,漏洞和数据被暴露后,可以用来获取更多敏感数据和操作流程。一些应用程序泄露了整个云基础设施脚本,包括SSH密钥和支付 kiosks 的密码。 Zimperium 对使用公共云服务的 8.4 万个 Android 应用和 4.7 万个 iOS 应用进行了调查之后得出以上结果的。在这些使用服务的应用中,有14%的应用暴露了用户数据。 Zimperium 的首席执行官 Shridhar Mittal 表示:“这是一个令人不安的趋势。很多这些应用的云存储都没有被开发者或负责人正确配置,正因为如此,数据对几乎任何人都是可见的。而我们大多数人现在都有一些这样的应用”。问题在于开发者没有保护好自己的服务器,所以任何和所有的应用类别都会受到影响。研究发现受影响最大的类别包括商业、购物、社交、通信和工具。       (消息及封面来源:cnBeta)

全球航空运输数据巨头 SITA 称其数据遭泄露

全球航空运输数据巨头SITA公司已经证实了一起涉及乘客数据的数据泄露事件。该公司周四在一份简短的声明中表示,该公司已成为“网络攻击的受害者”,存储在其美国服务器上的某些乘客数据已被泄露。2月24日该公司证实了这一网络攻击事件,之后其联系了受影响的航空公司。 SITA是全球最大的航空IT公司之一,据说为全球约90%的航空公司提供服务,这些航空公司依靠该公司的旅客服务系统Horizon来管理订票、售票和飞机起飞。但目前仍不清楚到底有哪些数据被访问或被盗。 当联系到SITA时,SITA发言人Edna Ayme-Yahil以正在进行的调查为由,拒绝透露被盗取的具体数据。该公司表示,该事件“影响到全球各个航空公司,而不仅仅是美国的航空公司”。 SITA确认已经通知了几家航空公司–这包括马来西亚航空;芬兰航空;新加坡航空;以及韩国的济州航空,这些航空公司已经就此次事件发表了声明。但SITA拒绝透露其他受影响的航空公司的名字。 在TechCrunch看到的一封给受影响客户的电子邮件中,新加坡航空公司表示,它不是SITA的Horizon乘客服务系统的客户,但约有50万名常旅客会员的会员号和层级身份被泄露。该航空公司表示,转移这类数据是“为了能够验证会员层级状态,并在旅行时给予会员航空公司的客户相关优惠”。该航空公司表示,乘客的行程、预订、票务和护照数据没有受到影响。 SITA是航空市场上少数几家为航空公司提供客票和预订系统的公司之一,与Sabre和Amadeus并列。 Sabre在2017年年中报告了一起影响其酒店预订系统的重大数据泄露事件,黑客获取了超过100万张客户信用卡数据。这家总部位于美国的公司在12月同意240万美元的和解协议,并在泄露事件发生后对其网络安全政策进行修改。 2019年,有安全研究人员发现,法航、英航和澳航等公司使用的Amadeus乘客预订系统存在漏洞,这使得该公司很容易更改或获取旅客记录。         (消息来源:cnBeta;封面源自网络)

unc0ver 利用漏洞发布新版 iOS 越狱工具

伴随着 iOS 系统功能的日趋完善和丰富(例如小部件和深色模式),iPhone 用户也不再执着于越狱了。不过上周末,知名 iPhone 破解团队 unc0ver 发布了最新 6.0.1 版越狱工具,适用于运行 iOS 11 至 iOS 14.3 的 iPhone。 这款越狱工具是该团队基于 CVE-2021-1782 漏洞自主开发的,该漏洞目前已经在 iOS 14.4 版本中修复。该越狱工具适用于 iPhone 6s 及后续产品、iPad Air 2 及后续产品、iPod Touch(第 7 代)。不过需要注意的是,越狱之后如果设备遭到恶意应用程序攻击可能也会获得更高的权限。 你可能还记得,当苹果公司透露上个月发现了被黑客积极利用的漏洞时,我们建议 iPhone 用户尽快更新到 iOS 14.4。看来越狱和苹果的报告很有可能有关,但苹果永远不会肯定证实这一点。         (消息来源:cnBeta;封面源自网络)

使用 Go 编程语言编写的恶意软件数量爆发式增长

根据网络安全公司 Intezer 本周发布的一份报告,自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长,增幅超过 2000%。从报告中可以看到,恶意软件作者已逐渐从 C/C++ 转向 Go,这是一种由谷歌在 2007 年开发并推出的编程语言。 虽然首个基于 Go 语言开发的恶意软件在 2012 才被检测到,但在短短几年时间里该语言已经在恶意软件领域快速流行起来。Intezer 在报告中说:“在 2019 年之前,发现用 Go 编写的恶意软件更多的是一种罕见的现象,而在 2019 年期间,它变成了一种日常现象”。 如今,Golang(Go 的另一种称呼)已经取得了突破性进展,并被广泛采用。有国家背景的黑客组织(比较出名的有 APT)、网络犯罪运营商,甚至安全团队都在使用它,他们经常用它来创建渗透测试工具包。 Golang 之所以会出现这种突然暴涨的现象,主要有三个原因。首先是 Go 支持跨平台编译的简易流程。这使得恶意软件开发者只需编写一次代码,就可以从同一个代码库中编译出多个平台的二进制文件,使他们可以从同一个代码库中针对 Windows、Mac和Linux,这种多功能性是其他许多编程语言通常不具备的。 第二个原因是,基于 Go 的安装文件仍然很难被安全研究人员分析和逆向工程,这使得基于Go的恶意软件的检出率一直很低。第三个原因与 Go 对网络数据包和请求工作的支持有关。 Intezer解释说:“Go有一个非常好写的网络堆栈,很容易使用。Go已经成为云的编程语言之一,很多云原生应用都是用它编写的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。这很有意义,因为创建Go背后的原因之一是发明一种更好的语言,可以用来取代谷歌内部使用的C++网络服务”。         (消息及封面来源:cnBeta)

Facebook 为隐私官司支付 6.5 亿美元和解金

一名法官已经批准了Facebook价值6.5亿美元的和解协议,以结束一场隐私诉讼,该诉讼指控该社交网络未经许可就在其iPhone应用上存储的用户照片上使用面部识别技术。这起始于2015年4月的诉讼指控Facebook没有获得用户同意在他们的照片上使用其面部标签功能。 官司起初由芝加哥律师Jay Edelson代表原告Carlo Licata提起,诉状称伊利诺伊州的隐私法不允许使用未经同意的标签功能。 据《芝加哥论坛报》报道,此案起源于库克县巡回法院,然后转到芝加哥联邦法院再到加州。诉讼到达加州后,该诉讼获得了集体诉讼地位。 该集体诉讼构成了涉及伊利诺伊州约690万Facebook用户的庞大官司,Facebook在2011年6月7日之后为其创建并存储了人脸模板。在11月23日的加入截止日期前,有近160万份索赔表被提交,约占潜在集体成员的22%。申诉书称,Facebook违背了伊利诺伊州生物识别信息隐私法,该法是美国最严厉的隐私法之一。该法案的一部分要求公司在能够开始使用生物识别系统与用户的数据之前,必须获得用户的许可,其中包括面部识别系统。 联邦地区法官詹姆斯-多纳托(James Donato)称这一和解是同类和解中最大的隐私和解案之一,对集体诉讼成员来说是一个 “里程碑式的结果”。”总的来说,该和解是消费者在数字隐私这一备受争议的领域的重大胜利,”多纳托说。 在6.5亿美元的和解金中,每个集体诉讼成员预计将获得至少345美元,而三名指定原告将分别获得5000美元。律师Edelson将获得9750万美元的律师费和约91.5万美元的费用。 支票可能会在两个月内寄给集体成员,不过仍有可能对裁决提出上诉,从而延长案件的审理时间。和解消息传来之际,Facebook正因其迫在眉睫的隐私相关变化而不断攻击苹果公司。由于担心iOS 14的应用追踪透明度中的追踪功能减少可能导致广告收入的损失,Facebook通过广告活动攻击苹果,将这些变化诉称为对小企业不利。 还有报道称,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)多次被苹果的隐私立场激怒,他想给这家iPhone制造商 “施加痛苦”。 这并不是Facebook面临的唯一一起关于其生物识别数据使用的隐私诉讼。2020年8月,它在加州红木城州法院被起诉,原因是它涉嫌 “收集、存储并从1亿多Instagram用户的生物识别数据中获利”,原因同样是使用面部识别。       (消息及封面来源:cnBeta)

前 SolarWinds CEO 将密码泄露事件归咎于实习生

SolarWinds的现任和前任高层管理人员正在指责一名公司实习生在密码安全方面的严重失误,问题密码 “solarwinds123″于2019年在公共互联网上被一名独立的安全研究人员发现,该研究人员警告公司,该密码的泄露暴露了SolarWinds的文件服务器。周五,在众议院监督委员会和国土安全委员会的联合听证会上,几位美国议员就密码问题向SolarWinds开炮。 “我有一个比’solarwinds123’更强的密码,以阻止我的孩子在iPad上看太多YouTube,”众议员Katie Porter说。”然而你和你的公司本来是要防止俄罗斯人阅读国防部的电子邮件的!” 微软总裁布拉德-史密斯(Brad Smith)也在周五的听证会上作证,他后来表示,没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。微软是牵头对黑客活动进行取证调查的公司之一。微软告诉立法者,有 “实质性证据 “证明俄罗斯是破坏性黑客的幕后黑手。 SolarWinds代表周五告诉立法者,密码问题一经报告,就在几天内得到纠正。 但目前仍不清楚在美国历史上最严重的安全漏洞之一中,泄露的密码可能在使疑似俄罗斯黑客监视多个联邦机构和企业方面扮演了什么角色(如果有的话)。窃取的凭证是SolarWinds正在调查的三种可能的攻击途径之一,因为它试图发现它是如何首先被黑客入侵的,黑客继续在软件更新中隐藏恶意代码,然后SolarWinds向大约18000名客户推送,包括许多联邦机构。 SolarWinds首席执行官Sudhakar Ramakrishna表示,SolarWinds正在探索的其他理论包括粗暴地猜测公司密码,以及黑客可能通过受损的第三方软件进入。 面对众议员Rashida Tlaib的质询,SolarWinds前CEO Kevin Thompson表示,密码问题是 “一个实习生犯的错误”。”他们违反了我们的密码政策,他们在内部、在自己的私人Github账户上发布了这个密码,随后被发现并引起我的安全团队的注意,他们就把那东西撤下来了。”Thompson和Ramakrishna都没有向立法者解释为什么公司的技术首先允许使用这样的密码。Ramakrishna后来作证说,这个密码早在2017年就已经在使用了。 “我相信那是一名实习生在2017年时在他的一台Github服务器上使用的密码,这被报告给了我们的安全团队,并立即被删除。” 然而,这个时间段比报道的时间要长得多。发现泄露密码的研究人员Vinoth Kumar此前告诉CNN,在公司于2019年11月纠正该问题之前,至少从2018年6月起就可以在网上获取密码。 Kumar和SolarWinds之间的电子邮件显示,泄露的密码允许其登录并成功地将文件存入该公司的服务器。Kumar警告说,利用这种策略,任何黑客都可以向SolarWinds上传恶意程序。 在听证会上,FireEye首席执行官Kevin Mandia表示,可能无法完全确定疑似俄罗斯黑客造成的损失有多大。我们可能永远不知道损害的范围和程度以及可能永远不知道被窃取的信息是如何使对手受益的。” 为了进行损害评估,官员们不仅要对被访问的数据进行编目,还要想象数据可能被外国行为者使用和滥用的所有方式,这是一项艰巨的任务。       (消息及封面来源:cnBeta)

《赛博朋克 2077 》开发商推迟发布补丁:黑客攻击导致开发瘫痪

2月25日CDPR官方在微博上宣布,《赛博朋克2077》1.2版更新内容将推迟发布。因为CDPR近期遭受网络攻击,并且1.2版本内容较多需更多时间打磨。预计新的发布时间为三月份的下半月。 尽管我们真切地想要在曾说明的时间内推出《赛博朋克 2077》的1.2 版本更新,但是由于工作室 IT 架构近期遭受网络攻击以及出于1.2 版本本身体量的考虑,我们需要更多时间。 我们为 1.2 版本设定的目标超出了之前的所有更新,它将为游戏各方面带来诸多改善和修复。为了确保这一点,我们还有更多工作要做。因此,我们预计新的发布时间为三月下半。 这并非我们希望分享给大家的消息,但我们需要更为妥善地发布此次版本更新。更多讯息将于届时带来。感谢您一如既往的耐心和支持。 目前《赛博朋克2077》最新的大型更新是1.1版本,主要对多方面的稳定性作出了改善。 据报道,2月24日,《赛博朋克2077》的开发商波兰“CD Projeckt”公司宣布,公司之前遭遇的黑客袭击干扰了游戏补丁包的开发工作,因此该游戏的补丁将会推迟到三月的“后半部分”发行。 这次黑客攻击发生在二月初,黑客攻破了CD Projeckt公司的内部信息系统,其中包括《赛博朋克2077》游戏的源代码。这对于该公司来说是屋漏偏逢连夜雨。之前,《赛博朋克2077》发布之后被爆出问题多多。 该公司在推特官方账号上表示,公司很希望在之前公布的时间段内推出《赛博朋友》1.2版补丁,然而公司IT基础设施遭遇的网络攻击,再加上游戏升级的工作量庞大,这意味着公司将无法按照原定时间发布补丁包,相关开发需要更多时间。 一月份,该公司已经针对《赛博朋克2077》游戏推出了一个补丁包,并且计划在二月份推出一个更大的补丁包。 “CD Projeckt”公司以“巫师”系列中世纪奇幻角色扮演游戏而闻名,这些游戏的成功也导致该公司股价大幅上涨,然而《赛博朋克2077》游戏发布之后出现的问题,导致股价在去年底下跌。 据报道,这一次黑客袭击属于“勒索式攻击”,黑客要求被攻击者支付赎金,除了《赛博朋友2077》游戏源代码之外,黑客还获取了公司员工个人隐私信息以及其他敏感数据。一些信息稍后曾经在网络上销售。 消息人士透露,面对这次勒索攻击,CD Projeckt公司拒绝支付赎金,这导致员工时至今日无法登录公司虚拟专用网,无法获取完成游戏开发的工具。 对于员工来说,这次攻击也是一次“噩梦”。黑客获取了大量员工个人信息,包括波兰身份号码、个人护照信息。公司要求员工紧急冻结个人银行账号,并且向政府机构以及相关银行报告了攻击事件。 另外,该公司还要求员工把个人电脑带到IT部门,检查是否被植入恶意软件或是其他入侵工具。 之前,由于游戏爆出质量问题,索尼公司采取了极端措施,将《赛博朋克2077》游戏从“PlayStation游戏商店”紧急撤架。而1.2版补丁被认为是解决问题的最重大补丁包,该公司表示:“我们对于1.2版补丁的开发目标超过了之前所有的补丁。”       (消息及封面来源:新浪科技)

谷歌游说议员 拟利用 SolarWinds 听证会向微软施压

据报道,谷歌正在游说参议院情报委员会成员,准备利用“SolarWinds黑客攻击听证会”向微软施压,询问其产品是否存在网络安全漏洞,并在此次黑客攻击事件中发挥了作用。去年12月,从事网络安全管理软件制作的SolarWinds公司表示,其安全防护软件遭黑客攻击。黑客还借助这款软件的后门,攻击了大量美国公司、政府部门,其中微软公司也受到了攻击。 SolarWinds称,黑客最初是通过微软Office 365服务中的漏洞进入其系统的。而微软则强烈否认了这一点。但微软承认,黑客获取了其部分产品的源代码,并审查了与这些产品相关的代码。 该事件曝光后,在过去的两个月里,微软因其产品在散布黑客网络中所扮演的角色而面临严格审查。 周一,谷歌向议员们提供了一份十多个问题的清单,一名参议院助手表示,这些问题旨在审查微软产品的安全性,如Windows 10、Azure和Office 365。 分析人士称,谷歌的这一举动,也是科技巨头利用政治几乎相互削弱的最新例证。微软自己也使用过这种策略:去年,微软总裁布拉德·史密斯(Brad Smith)曾呼吁各国政府,加强对苹果和谷歌运营应用商店的方式,进行反垄断调查。此外,就在本周,微软还公开支持在欧洲推动谷歌等公司为新闻链接付费。 目前尚不清楚,这个由16名成员组成的小组中的每一位议员是否都收到了谷歌的问题清单。         (消息及封面来源:cnBeta)

微软与 FireEye 敦促国会制定强制性的安全报告披露规则

在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后,微软和 FireEye 高管于本周二联合敦促国会采取行动,以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示:“我们需要让私营机构承担明确、一致的披露义务,否则企业会在遭受黑客入侵时纷纷保持沉默”。 显然,作为 SolarWinds 入侵事件的余波,安全行业对当下的糟糕状况感到十分无奈,因而 Brad Smith 认为大家是时候做出集体的转变。 我们需要用明确、一致性的义务,来代替这种可怕的沉默。只有这样,私营组织才会在遭受到重大事件影响时及时披露信息。 曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道: 企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告,而不必担心因此而受到法律的制裁。 与此同时,美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报,还应通报与黑客攻击 / 入侵事件相关的细节。 FireEye 指出,去年 12 月,拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞,渗透了多达 1.8 万名客户的内部网络,其中就包括 FireEye 和微软。 某位白宫官员在上周表示,在长达数月的行动期间,其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响,且情报官员直指攻击者与俄方有关。 Kevin Mandia 和 Brad Smith 指出:“遗憾的是,按照现行的法律,相关企业并不需要主动公开披露黑客攻击事件”。 “虽然法律上没有提出举报和披露的义务,但我们认为这么做仍然很有必要。 除了保障每位客户的权益,还有助于维护联邦政府的安全。 如果没有这方面的信息披露与共享,那我们就无法确保这个国家的安全。” 据悉,虽然目前全美多州已明确规定要以某种形式披露安全公告,但在经历了多年的拉扯之后,联邦政府仍未能将此事摆上重要的日程。 参议院情报委员会主席 Mark Warner 周二表示:“我们可能等到有意披露的机构,但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者,但就是没人选择挺身而出”。 基于此,Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度,并且建议在联邦层级上做出相应的努力。           (消息及封面来源:cnBeta)

美众议院将举办 SolarWinds 黑客攻击听证会

据外媒CNET报道,美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布,他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上,SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前,美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉,该黑客攻击始于2020年3月左右,当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码,该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道,此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实,美国财政部、能源部和商务部都遭遇了黑客入侵。据报道,此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         (消息及封面来源:cnBeta)