分类: 安全快讯

美股券商 Robinhood 承认以明文方式存储了部分用户密码

美股券商Robinhood在致受影响用户的电子邮件中,承认以明文方式存储了部分用户的密码。该公司在邮件中表示“本周一晚上,我们发现在我们的内部系统中部分用户的凭证以可读格式存储。通过全面彻底的检查之后目前我们已经解决了这个问题,没有任何证据表明除了我们的响应团队以外的人访问过这些信息。” 虽然没有找到用户泄露的证据,不过Robinhood已经向受影响用户重新设置密码。公司发言人向外媒ZDNet表示,并非所有Robinhood用户都受到影响,但无法透露具体数字。根据帮助页面,我们被告知该问题已得到解决,现在正在使用Bcrypt算法对密码进行哈希处理。 就在Robinhood开发人员发现明文存储密码的同一天,该公司刚刚宣布完成了3.23亿美元的E轮融资,使该公司的价值达到76亿美元,比之前的估值高出约35%。虽然以明文方式存储密码是一个巨大的安全错误,但是Robinhood依然是一家“优秀的公司”。仅在今年,Facebook,Instagram和Google都承认以明文形式存储用户密码。   (稿源:cnBeta,封面源自网络。)

研究发现对于 Windows 10 而言 大多数零日漏洞都已无效

微软已经证明他们最新的操作系统是最安全的:自2015年以来,只有40%的Windows零日漏洞可以成功利用在最新的Windows版本。微软安全响应中心的安全工程师Matt Miller撰文分析了2015年至2019年间的零日漏洞。 早在二月份,著名黑客米勒在BlueHat以色列安全会议上发表了演讲,他表示,在发布补丁之前,Windows漏洞可被利用,但通常几个月后就会失效。 事实也是如此,由于Control Flow Guard和Device Guard安全系统的加入,只要开启了更新操作系统功能的用户大多受到保护。在三分之二的实战演练中,由于添加到操作系统中的安全保护措施,0day漏洞对最近版本的Windows无效。 此外,调查结果显示,在过去12年中,微软解决的所有安全漏洞中有70%是与内存管理相关的问题。Miller的MSRC同事目前正在探索Rust作为C和C ++的替代品。语言的安全功能可能会导致与内存相关的错误数量进一步减少。   (稿源:cnBeta,封面源自网络。)

NSA 计划筹建网络安全理事会 以便与国土安全部和 FBI 更好地协作

外媒报道称,美国家安全局(NSA)正计划组建一个网络安全理事会,以帮助其与国土安全部和联邦调查局等部门更好地展开工作。据悉,NSA 希望重振其白帽任务,该网络防御部门将于今年 10 月启动。NSA 周二表示,现任局长高级顾问 Anne Neuberger 将成为该网络安全理事会的领导人。 (图自:维基百科,via Cnet) 此前,Anne Neuberger 曾担任 NSA 助理副主任、首席风险官、兼 NSA / USCyerbcom 选举安保小组负责人,该小组在 2018 年的美国中期选举期间发挥了很大的作用。 NSA 在周二的一份声明中称:“新的网络安全方法,将给予 NSA 和美国政府的主要合作伙伴以更好的定位,比如与国土安全部和联邦调查局展开的合作。此外,它可让我们更好地与客户分享信息,使之能够抵御恶意的网络活动”。 据悉,在纽约福特汉姆大学举行的国际网络安全大会上,NSA 局长 Paul M. Nakasone 发表了相关讲话,并正式宣布了这一消息。   (稿源:cnBeta,封面源自网络。)

一香港男子被认为是在微软应用程序部署恶意广告的罪魁祸首

据外媒ZDNet报道,一名来自香港的嫌疑人认为是过去几个月内侵入微软应用程序和服务的恶意广告浪潮背后的罪魁祸首。根据专门跟踪恶意广告活动的网络安全公司Confiant 本周与ZDNet分享的一项调查,嫌疑人被认为是一名香港男子,至少经营两家名为Fiber-Ads和Clockfollow的幌子公司。 Confiant表示,嫌疑人使用这两家公司在广告中放置合法的广告网络。隐藏在广告中的恶意代码劫持了查看广告的用户,并将其重定向到其他网站。然后,嫌疑人在MyMediaAds(一个在线广告商平台)上使用一个帐户,将被劫持的流量出售给其他威胁行动者,将用户从合法的应用程序和网站重定向到推送虚假防病毒应用程序、Flash更新、技术支持网站和其他诈骗的网站。 根据其内部数据,Confiant表示,香港威胁行动者仅在今年就已经造成超过1亿的不良广告。“台式机和移动设备的目标数量相对较少,但桌面Windows和iOS受到攻击者的青睐,”Confiant高级安全工程师Eliya Stein表示。 虽然来自此威胁行动者的大多数不良广告都是通过网络广告展示的,但其中一些广告也已经覆盖了Windows应用和微软服务。Stein说道,这个威胁行动者是最近在微软新闻应用程序,各种微软游戏和Outlook中发现的不良应用程序内广告的背后罪魁祸首。 该过程的工作方式如下:用户打开Microsoft应用程序,应用程序加载广告,广告中的恶意代码会将用户的默认浏览器打开为恶意URL。其中一些恶意广告活动影响了法国或德国等地理区域的用户。 然而,这个威胁行动者的恶意广告活动不仅仅是在微软应用程序中展示广告,Confiant称这“只是从这个恶意行动者已经积极和颠覆性的恶意广告猖獗中蔓延开来。” 在过去的几周里,Confiant一直在与受影响的广告平台合作,禁止这位来自香港的威胁行动者。Stein在接受采访时告诉ZDNet,“在我们的调查过程中,一个平台确认了这些活动背后的买家是在香港以外的地方。” “广告生态系统中越来越多的恶意行为者正在香港开展业务,他们在公开场合开展活动时,在某种程度上不会受到法律后果的影响,”他补充说。“我们希望这篇文章能够揭示这一现象,我们很高兴将来会与执法机构分享这些调查结果。   (稿源:cnBeta,封面源自网络。)

美国国家安全局前承包商因盗窃政府信息被判处 9 年徒刑

据CyberScoop报道,当地时间周五美国国家安全局(NSA)前承包商Harold T. Martin 因涉嫌大规模盗窃机密文件而被判处9年徒刑。Martin被认为与美国政府最大规模机密文件泄密事件有关,在二十年内收集了多达50TB的机密政府文件。 美国地区法官Richard Bennett作出的判决并未达到Martin可能面临的最高刑期 – 对他的20项罪名中的每一项都面临最高10年的刑期。然而,该判决与他的公设辩护人与美国政府达成的认罪协议一致。根据政府的判决备忘录,美国律师说,他的盗窃行为应该面临“相当长”的监禁时间,CyberScoop获得了该备忘录。 他们写道:“被告的犯罪行为具有特别严重的性质和情况,需要一个重要的刑期。” “近二十年来,他选择通过窃取和保留国防信息来侵犯公众的信任和国家的法律。被告一直知道他犯下的这些罪行。” Martin的公设辩护人在判决备忘录中写道,在政府调查他的所有努力中,他们没有发现国家安全局的承包商犯了叛国罪。公共辩护人写道:“政府从未发现任何证据证明他是叛徒或对我们国家构成威胁。” 在1996年至2016年8月期间,Martin窃取了数千页关于机密政府计划的文件,并将其存放在他的家中、库房和汽车中。这些文件详细介绍了计算机基础设施、美国网络司令部的目标和弱点,以及有关NSA功能,目标信息和外国网络入侵技术的详细信息。一些文件还涉及中央情报局的外国情报来源和国家侦察组织的秘密。 根据政府的量刑备忘录,这些文件仍属于机密档案。 虽然Martin知道他的命运,但围绕大规模泄密的更广泛的谜团仍然没有得到解决 – 就在Martin于2016年被捕前几天,一个名为 Shadow Brokers 的团体开始在网上泄露机密的NSA黑客工具。根据法官先前的一项裁决,据称是Martin的一个账号,称有人称“这有效期为三周”。据检察官称,数小时后,被盗的政府文件在网上发布。 Shadow Brokers 与Martin案件之间没有直接联系。 Bennett周五在法庭上提醒美国律师关于推文和时间表。美国助理检察官 Zachary Myers 表示,美国政府不会进一步发表评论,而是指出时间表确实与案件有关。Martin的公共辩护人Jim Wyda周五表示,没有迹象表明Martin打算通过该推文进行任何交易。 Shadow Brokers如何获得对工具的访问权仍然是未知的,无论该团体是否可以访问NSA服务器来窃取或从该机构的内部人员处获得这些工具。正如CyberScoop先前报道的那样,该小组处于反间谍调查的中心。联邦调查局既不会确认也不会否认调查的存在。 Martin的辩护人认为长期以来Martin的精神健康导致他的盗窃。上周提交的量刑备忘录也是如此。 “随着他的心理健康状况下降,Martin先生继续痴迷于沉浸在工作中。他开始从工作中拿走文件和其他资料,最初通过说服自己能够让他更好地完成自己的工作来证明自己的行为,“他的辩护人写道。“随着时间的推移,Martin先生的行为变成了囤积障碍。” Myers周五告诉法庭,美国政府认为找到档案的方式并不表明他有囤积问题。“这不是囤积的情况,这是偷窃,”Myers周五在巴尔的摩的联邦法院表示。他认为,被窃取的信息“并非处于混乱状态”,政府发现这些信息是“合乎逻辑的”和“重复的”。 Bennett周五指出,他对Martin涉嫌囤积问题的案件表示担忧,并指出,对于一个囤积者来说,他似乎组织得很好。 Martin于1988年开始在美国海军服役。1994年,在美国海军预备役服役期间,之后他为多家政府承包商工作,包括Booz Allen Hamilton。2012年至2015年间,他在国家安全局工作。   (稿源:cnBeta,封面源自网络。)

以色列间谍软件声称击败了苹果 iCloud 的安全保护措施

以色列公司NSO集团一直在告诉其政府客户,其Pegasus恶意软件现在可以提取更多关于任何特定个人的数据。除了该人智能手机上的数据外,该组织声称可以隐蔽地检索该人存储在Apple,Google,Microsoft,Facebook和亚马逊所拥有服务器上的所有信息。据英国“金融时报”报道,其中包括所有信息和照片,以及有关手机位置整个历史的数据。 英国《金融时报》注意到,该组织没有否认这些能力的说法,而且独立的研究工作已经表明,在记者和人权活动家的手机上存在PegASUS恶意软件。该报的匿名消息来源描述了NSO的销售演示,也提供了书面证据。该销售人员表示,无需“在目标设备上提示两步验证或警告电子邮件”即可获得个人数据提供完全访问权限。 但是,必须在手机上安装此Pegasus恶意软件,同时需要root访问权限。如果攻击者具有root访问权限,则用户的Cloud安全会遇到问题。同时,一旦加载,就会发现Pegasus恶意软件会复制用于访问云存储的登录凭据。然后,该信息将使用恶意软件发送给政府或其他组织,然后他们可以完全访问该云存储。根据销售文件,该系统甚至可以与最新的iPhone和Android手机配合使用。 苹果公司对英国“金融时报”记者表示,其iOS是世界上最安全,最安全的计算平台。 苹果已成功阻止以前版本的Pegasus,包括iOS和macOS平台。虽然可能存在一些昂贵的工具来对极少数设备进行有针对性的攻击,苹果认为这些工具对于广泛攻击消费者并不有用。同样,微软称它正在不断发展其保护措施。亚马逊和微软表示他们正在调查相关问题。   (稿源:cnBeta,封面源自网络。)

商务电子邮件泄密事件频发 平均每月损失 3 亿美元

商务电子邮件泄密(BEC)频率正逐年增加,并且企图窃取的价值也在不断攀升,每月平均造成的损失就超过3亿美元。该数据是从自2016年以来每月的可疑活动报告(SAR)中分析获得的,从最初的500起在2018年增加到了1100起。 金融犯罪执法网络(FinCEN)对过去两年发生的BEC事件进行了统计,确认了最常见的目标类型、窃取资金的目标预期以及诈骗者所使用的技术。根据FBI互联网犯罪投诉中心(IC3)提供的《Internet Crime Report》报告,显示BEC诈骗已经成为网络犯罪的主要攻击方式。 诈骗者的主要手法是通过伪装成为公司的客户或者高级管理人员来骗取资金,以欺骗组织中的关键人员将资金连接到攻击者控制的银行账户,导致这些公司损失了12亿美元。 FinCEN剖析了以往的BEC诈骗案,发现在2016年诈骗者平均每月盗取1.1亿美元,但在2018年增加到了3.01亿美元。根据这些数据,仅去年一年,网络犯罪分子就一直在抢劫超过36亿美元的公司。 FinCEN表示:“2016年,金融机构提交了近6,000个与BEC相关的SAR,平均每月交易额达1.1亿美元。2017年,与BEC相关的SAR数量增加到11,000多个,平均每月为2.41亿美元。2018年,与BEC相关的SAR数量上升至近14,000件,平均每月可疑交易额为3.01亿美元。” 根据FinCEN的分析报告,诈骗者最喜欢的BEC攻击目标是制造业或建筑业的公司,占总受害者的25%。不过景观美化,零售,餐馆和住宿等专业服务的商业实体也成为诈骗者喜欢攻击目标,占比达到18%。而金融机构从16%下降到9%,房地产公司则快速攀升,占比达到了16%。 FinCEN指出,大多数来自BEC欺诈案件的最终攻击受益者都是在美国境内。在73%的案例中在美国,只有27%的交易有外国目的地。不过这并不表明大部分威胁都是从美国发起的,表明这些骗取的钱财可能会通过美国进行中转,然后再发送到全球各地。 骗子有不同的策略来实现他们的目标。 2017年,他们曾经冒充公司的首席执行官,这些公司的首席执行官有足够的权力指导负责付款的个人将资金汇入特定账户。 这种方法在2018年从33%下降到12%,表明欺诈者正在调整并寻找新方法来发挥他们的技巧。去年,他们似乎更喜欢冒充客户和供应商,并使用假发票试图获得报酬。他们还根据所解决的行业部门调整总和。 FinCEN表示“模仿供应商或客户发票的BEC平均交易金额为125,439美元,而假冒首席执行官的平均交易金额为50,373美元。” 报告中的一个例子是立陶宛男子使用假发票欺骗从跨国公司骗取了将近1亿的费用;这笔钱随后转到了他控制的海外账户。   (稿源:cnBeta,封面源自网络。)

谷歌上调 Chrome 漏洞赏金额度 最高达 30000 美元

据外媒CNET,自2010年以来,谷歌已向一些报告Chrome浏览器安全漏洞的安全研究人员支付赏金。而现在谷歌宣布将提高赏金额度。据Chrome安全博客文章称,这将包括将最高基础赏金额度从5000美元增加到15000美元,并将“高质量报告”的最高赏金金额从15000美元增加到30000美元。 对于Chrome操作系统,谷歌基于浏览器的Chromebook软件基础,谷歌也将其常规赏金额度提高至15万美元,以揭露可能在更受限制的访客模式下危害Chromebook或Chromebox的攻击。谷歌周四表示,固件中发现的安全漏洞或让攻击者绕过Chrome OS锁定屏幕的安全漏洞也会产生奖励  。 最重要的是,谷歌正在增加对模糊测试的奖励,这是一种寻找漏洞的方法,它会在产品中投放随机数据,以便找到问题输入。谷歌在博客文章中称,“ 在 Chrome Fuzzer Program下提交Fuzzer的研究人员的额外奖励也增加到1000美元。” 谷歌表示,自2010年Chrome漏洞奖励计划创建以来,人们已经报告了超过8500个漏洞,谷歌已经为此支付了超过500万美元。 Google对其有资格作为“高质量报告”的具体规则进行了详细说明。 谷歌也为发现Google Play漏洞提供更高的赏金。该公司称,远程代码执行漏洞的赏金从5000美元增加到20000美元,将有关不安全私人数据窃取漏洞的赏金从1000美元上调至3000美元,以及将受保护应用程序组件相关漏洞的赏金从1000美元增加到3000美元。据谷歌称,如果你“负责任地”向参与的应用程序开发者披露漏洞,你将获得奖金。   (稿源:cnBeta,封面源自网络。)

FaceApp 可能面临 FBI 和 FTC 对其安全问题的调查

病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。 在给FBI主任Christopher Wray和FTC主席Joe Simons的公开信中,Chuck Schumer说他严重关切正在汇总数据的保护以及用户是否知道谁可以访问这些数据。Chuck Schumer要求联邦调查局评估上传到FaceApp的任何数据是否能够落入俄罗斯政府手中。他还要求联邦贸易委员会检查它是否有足够的保障措施来保护用户的隐私。 FaceApp目前在美国大受欢迎,已经有数百万美国用户。该应用程序可让您拍摄自拍照,或选择已有的照片,并应用AI年龄过滤器,让您看起来更老或者更年轻。该应用程序周三发表声明,回应了有关如何处理用户照片的隐私问题。该应用程序否认对用户数据的任何错误处理。   (稿源:cnBeta,封面源自网络。)

F-Secure 开发平台让用户轻松找到各大科技公司收集的数据

据外媒报道,在现在这个时代当希望在网上得到的东西是免费的同时人们也必须要付出一定的代价,那就是自己的隐私。社交媒体显然就是个人数据收集者,但看起来它做的还远不止此。而这正是F-Secure希望能传达给网友的。 据悉,其最新开发的Data Discovery Portal就是为了向用户展示其在使用一些最受欢迎的免费网络服务的真实成本,其中涵盖了亚马逊、苹果、Facebook、谷歌、Snapchat和Twitter。 为了让用户们关注个人隐私这件事变得更加容易,于是F-Secure开发了Data Discovery Portal。虽然所有大型科技公司都让用户知道他们收集了哪些数据,但看起来他们对此的宣布做得并不好,很多时候人们并不知道应该去哪里找这些东西。数据发现门户就解决了这个难题。 F-Secure表示,它提供这一工具是公司日益关注身份保护的一部分工作。身份保护可以在数据泄露之前、期间和之后保护到消费者。   (稿源:cnBeta,封面源自网络。)