分类: 安全快讯

与《我的世界》相关的炸弹威胁恶作剧导致数百所学校撤离 两名涉事黑客遭指控

据外媒 The Verge 报道,近日一个与《我的世界》(Minecraft)相关的炸弹威胁恶作剧导致英国和美国数百所学校的学生撤离,而两名涉事黑客已被逮捕指控。 Timothy Dalton Vaughn和George Duke-Cohan,他们各自的黑客别名 “wantbyfeds” 和 “DigitalCrimes” ,在 2 月 8 日因黑客犯罪、阴谋和“涉及爆炸物的州际威胁” 被指控,指的是他们将众多炸弹威胁发送到不同的学校。 法院文件声称,Vaughn 和 Duke-Cohan 在一个名为 Apophis Squad 的黑客组织内行动,协调了一系列“炸弹和学校射击威胁,旨在引起对迫在眉睫的危险的恐惧,并导致两大洲数百所学校在很多场合关闭。“ 关于 Vaughn 和 Duke-Cohan 的行动的报道于 2018 年 3 月首次出现。他们向学校发送电子邮件,迫使撤离,但英国诺桑比亚警方的一份声明证实这是一个可追溯到美国的恶作剧。 该部门在 Twitter 上写道:“警方已经调查过这些电子邮件 – 这些电子邮件似乎来自美国 – 并且可以确认没有可行的威胁。” Sky News 随后报道称,这些电子邮件被“欺骗”,试图让 VeltPvP(一种流行的《我的世界》服务器)的域名暂停。检察官声称,Apophis Squad 也使用这些电子邮件,听起来威胁 Zonix,一个经常用于《我的世界》的客户,以及 VeltPvP。根据法庭文件,Vaughan 和 Duke-Cohen 使用 Discord 服务器和 IRC 房间与 Apophis Squad 的其他成员协调各个学校的电子邮件。 威胁是在几个月的时间内发出的,在法庭文件中提到了许多事件。Apophis Squad 将使用 Twitter 向想要放学一天的人发送黑客小组现金,并发送恶作剧电子邮件作为回应。2018 年 4 月 28 日,Duke-Cohen 根据 Apophis Squad Twitter 的推文发布了他们“计划在周一尽可能多地打击学校”的推文。       稿源:cnBeta.COM,封面源自网络;

日本政府计划“入侵”公民的物联网设备

据外媒 Zdnet 报道,日本政府上周五批准了一项法律修正案,允许政府工作人员“入侵”人们的物联网设备,作为前所未有的不安全物联网设备调查的一部分。该调查将由日本国家信息通信技术研究所(NICT)的员工在总务省的监督下进行。 这项计划是编制一个使用默认和易于猜测的密码的不安全设备列表,并将其交给当局和相关的互联网服务提供商,以便他们采取措施提醒消费者并保护设备。该调查计划于下个月启动,届时有关部门计划将测试超过 2 亿件物联网设备的密码安全性,从路由器和网络摄像头开始。人们家中和企业网络中的设备将进行相同的测试。 根据日本总务省的报告,针对物联网设备的攻击占 2016 年所有网络攻击的三分之二。为筹备 2020 年东京夏季奥运会,日本政府已着手实施这一计划。政府担心黑客可能会滥用物联网设备来发动针对奥运会 IT 基础设施的攻击。 管理物联网网络与智能手机网络不同,因为物联网流量的不同特征受到明显但可预测的峰值和低谷的影响。日本政府的这种担忧是事出有因的。2018 年年初在韩国举行的平昌冬奥会遭遇黑客攻击,外媒称这可能与俄罗斯黑客有关。黑客攻击了韩国政府和冬奥会主办单位使用的数百台电脑和网络,因为国际奥委会禁止数百名俄罗斯运动员参加比赛。 日本政府决定登录用户的物联网设备引发了日本的愤怒。许多人认为这是一个不必要的步骤,因为通过向所有用户发送安全警报可以实现相同的结果。但日本政府认为这无法保证使用默认或易于猜测的密码的用户会在收到通知后更改其密码。     稿源:cnBeta.COM,封面源自网络;

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

新浪科技讯 北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。 法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。 CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。 根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。 CNIL发表声明称,谷歌在信息披露的问题上缺乏透明度,并指出用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度。声明还称,即便是谷歌已经提供的信息,“对用户来说也是不易获得的”,原因是这些信息“过度分散于多个文件中”,需要用户经过五六个步骤才能访问。 “举例来说,就谷歌出于个性化目的或为了提供地理追踪服务而收集的数据而言,当用户想要获得有关这些数据的完整信息时,就会发生这种情况。”声明写道。 除此以外,CNIL还表示,用户“无法完全了解”谷歌对用户数据进行处理的程度。鉴于谷歌提供的服务多达20项,加之这些服务所涉及的用户数据十分庞大,因此CNIL将谷歌的数据处理描述为“大规模的、侵入性的”。CNIL还补充道:“谷歌对数据处理目的作出的描述过于笼统和模糊,而就谷歌为不同目的而处理的数据类别而言,情况也是如此。 ” 与此同时,用户也无法了解谷歌到底是将用户许可作为法律依据来根据“通用数据保护条例”处理数据,还是根据公司自身利益来处理数据。 根据CNIL作出的评估,谷歌为广告个性化而收集的用户许可是无效的,因为这种许可不是具体而明确的,而且用户也并未获得充分的通知。 CNIL表示:“有关广告个性化数据处理的信息被分散到了多个文件中,这就使得用户无法了解其程度如何。” 该机构承认,在用户创建帐户之后,可以对其进行一些修改,但同时指出“这并不意味着‘通用数据保护条例’受到了尊重”。相反的,CNIL指出,不仅用户修改数据的选项被隐藏在了“更多选项”(more options)按钮之下,而且广告个性化的选择是一个预先打勾的方框(这就违反了“通用数据保护条例”的规定,因为只有在用户明确作出肯定之后,许可才能被视为明确无误的)。 CNIL还指出,用户许可不够具体,因为谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如广告个性化或语音识别等)来同意各项条款。 这是一家公司因数据保护违规行为而被处以的最大一笔罚款,同时也是CNIL采取的第一次处罚行动。该机构称,这笔罚款“就其违规行为的严重程度来看是合理的”。CNIL指出:“此外,这些违规行为是持续违反‘通用数据保护条例’的行为,因为直到今天,我们还能看到这种行为。这不是一次性的、时间有限的违规行为。“ 在“通用数据保护条例”正式生效之后,到目前为止已经处以的罚款金额都要小得多:德国当局此前对一个聊天应用处以2万欧元(约合2.3万美元)罚款,奥地利当局针对CCTV被非法使用一事处以4800欧元(约合5460万美元)罚款,葡萄牙当局则已对一家亿元处以40万欧元(约合45万美元)罚款,原因是其允许员工非法获取数据。 NOYB董事长施雷姆斯对此表示欢迎。“像谷歌这样的大公司惯于‘以不同的方式解读法律’,而且往往只会在表面上修改自己的产品。”他说道。“当局应该明确表示,光是自称做到了合规是不够的,这一点很重要。” 谷歌尚未就此置评。   稿源:新浪科技,封面源自网络;

研究人员发现 iOS 12.1.2 新漏洞 新一代 iPhone 越狱有望

两位研究人员发现了 iOS 12.1.2 中的新安全漏洞,且其影响新一代的全系列 iPhone 机型,包括 iPhone XS / XS Max 和 iPhone XR 。Min Zheng 和 Xialong Bai 在 Twitter 上披露了他们的工作细节,演示可通过“面向端口编程”(POP)攻击,获得所有 2018 年发布的 iPhone XS Max 的 root 访问权限。 该攻击可绕过 iPhone XS Max 上的 PAC 系统,不过同样的事情也可以在 XS 和 XR 上完成。 在攻破了 PAC 系统之后,安全研究人员能够更加容易地 iOS 12.1.2 的越狱工具,不过这件事情不会很快发生。 近年来,越来越多的用户发现,给 iOS 越狱的好日子,已经接近尾声了。发现操作系统漏洞的安全研究人员,极少会选择将其公之于众。 在大多数情况下,研究人员会直接向苹果汇报安全漏洞,然后该公司会在下一次 iOS 更新中修复,以确保 iPhone 的安全机制不被轻易突破。 与此同时,寻求越狱的 iPhone 用户数量,也出现了大幅减少 —— 特别是考虑到流程的高度复杂性、以及操作相关的风险。 尽管越狱确实能带来一系列好处,打苹果公司显然在坚持打一场不计代价的安全攻防战。 即便如此,这些发现仍为其他研究人员研究 A12 仿生芯片中的潜在漏洞(寻找越狱的其它小道)指明了新的方向。 毕竟到目前为止,苹果尚未推出过一款牢不可破的 iPhone 。   稿源:cnBeta,封面源自网络;

为确保 SSD 数据安全 微软变更了 BitLocker 默认的硬件加密设置

去年 6 月,有安全研究人员指出,只需 100 美元的工具、并重新刷写固件,即可轻松绕过固态硬盘驱动器(SSD)的硬件加密。显然,这对用户的数据安全造成了极大的隐患。需要指出的是,该问题仅影响基于硬件的加密方式,而不影响基于软件的加密措施。在启用硬件加密的时候,Bitlocker“特别容易受到攻击”,因其依赖于 SSD 自身的加解密功能。 问题曝光指出,微软就建议用户切换到基于软件的加密方式。不过在最新的 Windows 10 19H1 编译版本中,该公司似乎已经默认切换到了软件加密。 Treo Alhonen 在 Twitter 上表示:“Windows 10 build 18317”的 BitLocker 组策略(GPO),已经默认放弃了基于硬件的 SSD 数据加密方式”。 “如果你尚未配置这项组策略,那么 BitLocker 将会采用基于软件的加密方式”。但在 Build 18317 之前,描述文字曾是“BitLocker 将默认采用基于硬件的加密”。 如果你非常关注开启 BitLocker 后的数据安全性,那么最好通过命令提示符(CMD)来检查是否启用了基于软件或硬件的数据加密。 方法是: (1)打开命令提示符(运行 cmd.exe),右键选择‘以管理员身份运行’。 (2)在用户权限控制(UAC)窗口中选择允许。 (3)输入 manage-bde.exe -status 命令。 (4)检查‘加密方法’下的‘硬件加密’设置。 如果结果中没有输出“硬件加密”的字样,那就表明驱动器在使用基于软件的加密。如果需要手动切换到后者,需要先解密驱动器、然后重新加密。 需要指出的是,该问题仅影响固态硬盘驱动器(SSD),普通机械硬盘(HDD)的用户无需担心。 不过随着 SSD 的普及率日渐提升,微软还是选择了尽快采取行动,以变更 Windows 10 BitLocker 功能的默认加密设置。   稿源:cnBeta,封面源自网络;

打造更加安全的物联网:黑莓向智能家居设备制造商开放技术授权

近年来,智能家居设备已经变得日渐普及。但是安装专家们频频发出警告,物联网基础设施存在着巨大的安全隐患。好消息是,为了让物联网世界变得更加安全,曾经在智能手机领域叱咤多年的黑莓(BlackBerry),已决定向智能家居设备制造商们,开放自家的安全技术授权。在激烈的市场竞争下,消费者已经能够享受到包括灯泡、冰箱、电视等在内的“物美价廉”的智能产品。不过黑莓提供的付费安全技术(BlackBerry Secure),能够为你的体验加上一道“放心锁”。 随着黑莓逐渐远离智能手机制造这项“主营业务”,此举标志着该公司移动技术的一次重大转型。 黑莓高级副总裁、兼移动解决方案经理 Alex Thurber 在一份声明中称 ——  2019 将是消费者开始用钱包投票,寻找更高的安全性和数据隐私性的一年。 BlackBerry 的其中一项产品,是在制造时,为智能小工具嵌入微处理器的加密密钥 —— 如遭受黑客攻击,芯片会改变其密钥,并导致设备停止工作。 此外,黑莓还发布了一款软件,能够阻止未经批准的代码在设备上运行。2016 年的时候,全球曾爆发过针对物联网设备的 Mirai 攻击。 当时黑客将大量的联网设备(比如家用路由器和安防摄像头)纳入了僵尸网络,以便将一台重要的互联网服务器搞得宕机。不过黑莓的安全方案,有望阻止类似事件的再次发生。 此外,黑莓还为工厂或企业环境里的设备,提供了一套管理服务。其旨在让企业更加严格地控制存储在设备上的信息,制定允许设备通过 Wi-Fi 或蓝牙等协议进行通信的规则。 当然,黑莓并不是这方面的先行者。早在 4 月份的时候,微软就已经发布了 Azure Sphere 微芯片。 其允许企业在联网设备上部署安全芯片和软件,此外亚马逊和谷歌也提供了各自的解决方案(Android IoT / AWS IoT),以便为联网设备提供充分的防护。 不过,对于黑莓及其合作伙伴来说,目前正是一个不错的介入时机。 在经历了 2018 年的 Facebook 数据收集、谷歌隐私、以及前一年的大规模 Equifax 漏洞之后,消费者终将渴望寻求更加安全的替代品。 物联网市场分析机构 J. Gold Associates 负责人 Jack Gold 表示: 鉴于黑莓手机的‘安全性’已深深植入每个人的脑海,该公司显然可以顺水推舟,将这一标签打向物联网世界。   稿源:cnBeta,封面源自网络;

攻击预警 | 国内某婚庆业务相关网站数百万数据遭暴露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上,目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细,包括身份证照片、电话号码、账号、密码、地址等。 安全提示:请相关业务网站管理人员及时检查网站服务配置,防止数据进一步泄露。相关业务消费者请及时修改账户密码,防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务:https://www.yunaq.com/gpt/

卡巴斯基:明年将会出现盗用生物识别数据的攻击行动

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,俄罗斯安全企业卡巴斯基实验室(Kaspersky Lab)上个月公布了针对金融机构的2019年安全预测,指出明年将会出现首起盗用生物识别数据的攻击行动。 卡巴斯基指出,愈来愈多的金融机构开始支持生物识别系统,用来识别和认证用户。而到目前为止,已经发生了多起生物识别数据泄露的意外。这两个因素加在一起,让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。 由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及,但这些国家金融组织的保护机制相对不成熟,因此在这些国家和地区可能会出现新的黑客集团。 而针对金融机构供应链的攻击也将延续到2019年,通常这些供应链上的软件供应链规模较小、安全措施也比较不足,黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。 鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制,黑客只要利用联网装置就能入侵银行的内部网路。 研究人员建议金融卡的用户最好使用芯片金融卡,并设定双重认证,才不会成为黑客的头号目标;企业用的移动金融程序也有很大的机会成为黑客觊觎的对象;金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。   稿源:新浪科技,封面源自网络;

新的 Google Chrome 攻击可能会让 Windows 10 设备发生假死

Google Chrome 中发现了一种可能完全冻结 Windows 10 设备的新漏洞。新的错误被用于技术支持骗局,让 Windows 10 出现假死,然后告诉用户他们的设备被病毒感染。新发现的错误使用 Javascript 代码创建循环,这使得无法关闭选项卡或浏览器。该弹出窗口还声称来自官方微软支持网站并声称该电脑感染了病毒,这可能会危及用户的密码,浏览器历史记录,信用卡信息和其他数据。 由于它是一个循环,每次用户尝试关闭它时,它几乎会立即再次打开,并将你的资源使用率推到 100%,这将最终让电脑死机。虽然这看起来像是一个操作系统问题,但它只是一个骗局,用户可以通过以下步骤轻松修复电脑。 从任务栏打开任务管理器,转到“进程”选项卡,点击 Google Chrome(或GoogleChrome.exe) 单击右下角的“结束任务”按钮。此外,请确保您尚未将 Google Chrome 设置为还原旧标签,因为这会再次打开欺诈网站。避免技术支持骗局的一种好方法是在支付任何钱修复您的设备之前对对方信息进行仔细核实。 这不是第一次确定针对谷歌浏览器的技术支持骗局。今年早些时候,我们报道了一个下载炸弹漏洞利用主要针对主要的网络浏览器,只有微软边缘可以应对这次攻击。防止被骗的一个很好的规则是要记住,公司通常不会要求用户付钱,除非他们彻底检查了设备并发现了问题。     稿源:cnBeta.COM,封面源自网络;

FBI 扫除了一批付费发起 DDoS 攻击的网站

据外媒报道,在执法部门和多家科技企业的协助下,美国联邦调查局(FBI)已经扫除了 15 个臭名昭著的付费式 DDoS 攻击网站。加州联邦法官批准的多份扣押凭证,已于本周四生效。在扣押非法提供 DDoS 租用的网站后,其域名也将被有关部门收走。根据在美国三处联邦法院提交的证词,检察官指控了三名男子,分别是来自几周的 Matthew Gatrel 和 Juan Martinez、以及来自阿拉斯加的 David Bukoski 。 美国司法部长布莱恩施罗德在一份声明中称:“像这样的租赁式 DDoS 攻击服务,对美国构成了重大的安全威胁。而这些协同调查和起诉,证明了与公共部门展开跨区域合作的重要性。” 本次行动扫除了包括 downthem.org、netstress.org、quantumstress.net、vbooter.org、defcon.pro 等在内的十余个非法。在协助调查的企业中,Cloudflare、Flashpoint、谷歌等科技巨头榜上有名。 长期以来,DDoS 一直困扰着互联网。许多攻击,都是利用互联网底层协议漏洞的副产品。近年来,租赁式的 DDoS 攻击服务变得愈加普遍,但它显然不可一直游走在灰色地带。 虽然许多人借助 booter 和 stresser 网站开展合法的业务 —— 比如测试企业网络对于 DDoS 攻击的弹性抵御能力 —— 但也有更多不法之徒借此来发起大规模攻击。 起诉书中提到的一些网站,攻击速度超过了每秒 40Gbps,足以让不少网站在一段时间内宕机离线。美司法部指出,Downthem 的 2000 多名客户,发动了超过 20 万次的攻击。   稿源:cnBeta,封面源自网络;