标签: 数据泄露

以色列选举管理应用程序意外泄露了数百万选民的数据

近年来,数据泄露和安全漏洞有着高发的态势,甚至在一些重要的领域都难以幸免。以色列报纸 Haaretz 报道称,由第三方管理的 Elector 选举应用,近日就曝出了严重的问题,导致超过 600 万的选民数据被意外泄露。据悉,该应用由一家名叫 Feed-b 的公司开发和运营。尽管其迅速采取了措施,但已为时过晚。 为方便向支持者传达信息、并引导其至就近的投票站,以色列各政党纷纷推出了选举类应用程序。 然而由于 Feed-b 管理不善,导致外界可在未公开的一段时间内,无限制地访问 645 万 3254 名公民的等数据。 信息中包括了用户的全名、身份 ID、地址、性别、电话号码、以及以色列选民不经意间提供的其它个人数据。 以色列报纸 Haaretz 指出,这并不是他们首次见到类似的安全违例,但可能是规模最大的一次。   (稿源:cnBeta,封面源自网络。)

研究人员通过操纵电脑屏幕亮度来设法盗取数据

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行,与互联网断开连接,并受到严格的监督。虽然这些安全措施使它们更难被破解,但过去已经探索出几个秘密通道,利用计算机的声音、热量,甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度,然后用监控摄像机进行视频流捕获,最后通过图像处理解码。 研究人员已经能够通过简单地更改电脑屏幕亮度级别,来从电脑中提取数据,这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道,以色列本·古里安大学网络安全研究中心负责人Mordechai Guri博士与两名学者一起进行了这项研究。 尽管目标电脑不需要网络连接或物理访问来传递数据,但确实需要先感染恶意软件,该恶意软件将敏感信息编码为“字节流”,然后通过缩小尺寸在屏幕上对其进行调制亮度变化,人眼看不见。然后,被破坏的画面由摄像机记录下来,攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出,这个秘密通道是不可见的,即使用户在电脑上工作,这种攻击也无法察觉。 通过显示-摄像头通信,屏幕被一系列的1和0调制,研究人员能够以0%的错误率重建信息。对于他们的实验,他们使用了安全摄像机、摄像头和智能手机,距离目标PC的距离不同,数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策,研究人员建议实施严格的政策,他们还建议在屏幕上使用偏振光片,这样可以为用户提供清晰的视野,但远处的摄像头只能录到暗屏。   (稿源:cnBeta,封面源自网络。)

伪装为 WAV 的恶意软件在受害设备上挖矿 但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。 这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。 研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。 该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。” 研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。   (稿源:cnBeta,封面源自网络。)

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。 凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源:zdnet, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。 该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:  ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。 我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。 第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源:cnBeta,封面源自网络。)

马斯特里赫特大学遭勒索攻击:几乎所有 Windows 系统都瘫痪

马斯特里赫特大学(Maastricht University)成为了勒索软件的最新受害者,黑客于圣诞节前夕(12月23日)入侵并破坏了该大学的Windows系统。这家位于荷兰的大学在12月24日发布的公告中表示,几乎所有Windows系统都感染了勒索软件,电子邮件系统影响尤为严重。 在12月27日发布的后续更新中,该大学工作人员日夜不停地进行恢复工作。并解释称团队已经付出最大努力,希望最大程度地减少对教育、科研人员以及学生的影响。在公告中并未提及黑客部署的勒索软件类型,也不确定黑客是否已经获得了数据访问权限,并且在被勒索软件感染之前提取了相关信息。 在最初的公告中写道:“马斯特里赫特大学(UM)正在研究解决方案。UM正在调查网络攻击者是否有权访问此数据。目前尚不清楚UM需要多少时间来找到解决方案,但是,要使这些系统再次完全投入运行,肯定会需要一段时间。” 马斯特里赫特大学解释说,它已经向执法部门提交了一份报告,目前正在与专家合作进行进一步调查,并在袭击发生后进行康复。“自发现攻击以来,UM的IT人员以及该领域的外部专家一直在全力以赴。当前阶段主要是进行相关调查和维护工作。而且团队正在开发解决方案,确保大学未来能够收到更全面的保护,免受此类攻击。” 团队表示:“为了尽可能安全地工作,UM暂时将所有系统脱机处理。一切目的都是为了让学生和员工尽快(可能分阶段)访问系统。考虑到攻击的规模和程度,尚无法指出何时可以准确地做到。目前也无法确认哪些系统受到影响那些没有,这需要进一步的调查。”   (稿源:cnBeta,封面源自网络。)

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

阿联酋社交应用 ToTok 被发现监视其用户 已被下架

与WhatsApp和Skype相似,阿联酋用户消息传递应用程序ToTok对外宣称旨在连接任何人。但是,美国官员却发现该应用程序的目的邪恶。阿拉伯联合酋长国政府一直在利用这款名为ToTok的消息应用跟踪用户。包括但不限于数据挖掘文本对话,通过定位服务收集物理位置以及记录设备使用时的音频。 ToTok能够成为一个流行应用的吸引力在于它在限制了其他更受欢迎的消息服务的国家(如阿拉伯联合酋长国)中运行良好。在中东国家,许多公民无法使用诸如WhatsApp之类的流行消息传递应用程序。 ToTok可用于Android和苹果iOS设备,在中东,欧洲,亚洲,非洲以及最近在北美变得越来越流行。在发现安全隐患后,苹果和谷歌都已从其应用商店中删除了该应用。以前下载ToTok的用户仍然可以使用该应用程序,直到他们从手机上手动将其删除为止。 ToTok的用户群主要位于阿联酋。但是,在其推出的几个月再到从App Store和Google Play移除之前,它也已成为美国下载次数最多的社交应用之一。 据《纽约时报》报道,目前尚不清楚情报官员何时确定ToTok有跟踪用户和挖掘数据的操作。一位知情人士说,美国官员已在内部警告一些盟友有关运行ToTok的危险。   (稿源:cnBeta,封面源自网络。)