标签: 黑客

黑客网站曝光了超过 490 万乔治亚州居民的详细个人信息

上周六,某黑客论坛公布了包含 493 万 4863 乔治亚州居民的详细个人信息的数据库。在大小为 1.04 GB 的 Microsoft Access 数据库文件中,可查看到包括全名、家庭住址、出生日期、身份证编号、手机号码之类的隐私内容,甚至连已故公民的信息也没放过。 周末的时候,数据泄露监视和预防服务公司 Under The Breach 曝光了本次泄漏事件,并向外媒 ZDNet 分享了一些细节。 由快照可知,数据库包含了超过 490 万条记录,其中包含了数百万已故公民。根据 2019 年的人口普查,该州目前预估人口在 370 万左右。 目前尚不清楚黑客论坛中有多少访客已获取该数据库,数据泄露的源头也仍然是个谜。 在周日的报道中,ZDNet 认为可能源自该州的中央选举委员会(CEC)。然而在周一的一份声明中,该委员会已予以否认,因其通常并不会收集如此详尽的个人信息。 至于黑客论坛,其拒绝在致 ZDNet 的一份声明中透露他们是从何处获得数据的,但已排除了 CEC 的嫌疑。目前当地有关部门正在对此事展开深入的调查。   (稿源:cnBeta,封面源自网络。)

疫情期间 世界卫生组织网站遭受了两倍多的网络攻击

路透社报道称,随着新冠病毒引发的 COVID-19 疾病的全球大流行,世界卫生组织也在本月遭受了多倍的网络攻击。WHO 首席信息安全官 Flavio Aggio 表示:“黑客的身份尚不清楚,但他们本次并未得逞”。即便如此,安全专家还是将源头指向了某个被称作 DarHotel 的高级网络间谍黑客。 Flavio 警告称:疫情爆发以来,冠状病毒已在全球范围内导致了 1.5 万多人的死亡,同时针对抗击疫情的世界卫生组织及其合作机构的攻击企图也出现了激增。 网络安全专家兼纽约黑石法律集团律师 Alexander Urbelis 指出,其在 3 月 13 日前后监测到了针对 WHO 的恶意活动。 当时他正在对一群黑客保持持续的关注,结果发现他们激活了一个山寨 WHO 内部电子邮件系统的恶意网站,于是很快意识到了黑客组织的攻击企图。 尽管 Urbelis 表示自己不清楚谁该为此事负责,但据另外两位消息人士透露,其怀疑幕后是一个名叫 DarkHotel 的高级黑客。自 2007 年以来,他就一直在从事网络间谍活动。   (稿源:cnBeta,封面源自网络。)

研究发现重新打包的恶意软件被用来攻击其他黑客

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现,通过重新打包被感染的恶意软件,黑客本身也成为了其他黑客的攻击目标。此前多年,黑客普遍在利用现有的工具来实施网络犯罪行动,比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身,也成为了某些别有用心者的目标。通过注入木马,制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示,攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客,甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击(包括从事安全研究工作的白帽),那重新打包攻击工具的那个人,也能够访问到受害者的敏感数据。 据悉,这些迄今未知的攻击者,正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具,攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年,当时它经常被用于对付中东地区的目标,多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近,黑客已将恶意软件注入到休眠或不安全的网站中,以逃避检测。以最近的攻击为例,可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出,攻击者破坏了不知谁拥有的几个网站,以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是,这种将 njRat 木马注入黑客工具的过程几乎每天都在发生,意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因,目前暂不得而知。   (稿源:cnBeta,封面源自网络。)

黑客在 PayPal 的 Google Pay 集成中发现漏洞 进行未经授权的付款

据外媒ZDNet报道,近日黑客在PayPal的Google Pay集成中发现了一个漏洞,现在正使用它通过PayPal帐户进行未经授权的交易。自上周五以来,用户报告称在其PayPal历史中突然出现了源自其Google Pay帐户的神秘交易。 受害者报告说,黑客滥用Google Pay帐户来使用链接的PayPal帐户购买产品。根据截图和各种证词,大多数非法交易发生在美国商店,尤其是在纽约各地的Target商店。而大多数受害者似乎是德国使用者。 根据公开报告,估计此次损失在数万欧元左右,一些未经授权的交易远超过1000欧元。黑客正在利用哪些漏洞尚不清楚。PayPal告诉ZDNet,他们正在调查此问题。在这篇文章发表之前,谷歌发言人没有返回置评请求。 德国安全研究员Markus Fenske周一在Twitter上表示,周末报告的非法交易似乎与他和安全研究员Andreas Mayer在2019年2月向PayPal报告的漏洞相似,但PayPal没有优先考虑修复。 Fenske告诉ZDNet,他发现的漏洞源于以下事实:当用户将PayPal帐户链接到Google Pay帐户时,PayPal会创建一个虚拟卡,其中包含其自己的卡号,有效期和CVC。当Google Pay用户选择使用其PayPal帐户中的资金进行非接触式付款时,交易将通过该虚拟卡进行收费。 Fenske 在接受采访时说道:“如果仅将虚拟卡锁定到POS交易,就不会有问题,但是PayPal允许将该虚拟卡用于在线交易。”Fenske现在认为,黑客找到了一种方法来发现这些“虚拟卡”的详细信息,并且正在使用卡的详细信息在美国商店进行未经授权的交易。 研究人员表示,攻击者可以通过三种方式获取虚拟卡的详细信息。首先,通过从用户的手机/屏幕读取卡的详细信息。其次,通过编程方式,使用感染用户设备的恶意软件。第三,通过猜测。Fenske说道:“攻击者可能只是强行将卡号和有效期强行加起来,而有效期大约在一年左右。这使得搜索空间很小。”他补充说:“ CVC无关紧要。任何人都被接受。” PayPal工作人员正在研究不同的问题-包括Fenske最新描述的攻击情形以及他的2019年2月漏洞报告。 PayPal发言人告诉ZDNet:“客户帐户的安全是公司的重中之重。我们正在审查和评估此信息,并将采取任何必要的行动来进一步保护我们的客户。”   (稿源:cnBeta,封面源自网络。)

黑客利用疫情传播 Emotet 恶意程序 日本地区最猖獗

网络诈骗者往往会抓住时下热点,欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中,就有诈骗者利用澳大利亚山火进行虚假众筹,以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒,因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的,这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件,那么计算机就会被感染。 根据初步调查这种恶意行为在日本最为猖獗,诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet(连续4个月位排行第4的恶意软件)的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置,这鼓励受害者打开文档,如果打开该文档,则尝试在其计算机上下载Emotet。 也有报道称,诈骗者正在使用带有恶意链接的网络钓鱼电子邮件,乍一看似乎将用户定向到疾病控制与预防中心(CDC)的官方网站,而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。   (稿源:cnBeta,封面源自网络。)  

美政府披露所谓朝鲜黑客使用的七款恶意软件

上周五,美国五角大楼、联邦调查局和国土安全部,联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件,涉及网络钓鱼和远程访问,以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中,还附上了有关详情的链接。 链接到 VirusTotal 的帖子,公布了有关散列密码、文件名和其它技术详情,可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局(IEA)的咨询顾问称,行动背后有着 Hidden Cobra 的身影,美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件,有六个都被上传到了 VirusTotal,包括: Bistromath:功能齐全的远程访问木马和植入程序,可执行系统调查、文件上传和下载、处理和命令执行,以及对麦克风、剪贴板和屏幕的监视。 Slickshoes:一种信标植入手段,可加载但不执行,能够辅助 Bistromath 实现诸多功能。 Hotcroissant:一种功能齐全的信标植入手段,可实现上文列出的诸多相同功能。 Artfulpie:可从硬编码的网址执行 DLL 文件的下载,在内存中加载和执行植入程序。 Buttetline:另一种功能完备的植入手段,使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 Crowdedflounder:一个 Windows 可执行文件,旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出:上周五的行动,标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因,是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构,均援引过去年八月的联合国报告,预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。   (稿源:cnBeta,封面源自网络。)

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Citrix 产品存漏洞,8 万家公司面临风险

黑客可以利用Citrix的应用交付控制器 (NetScaler ADC) 和网关 (NetScaler Gateway) 中的漏洞(CVE-2019-19781)潜入公司内网。这个漏洞是由Positive Technologies的Mikhail Klyuchnikov发现的。 据估计,158个国家/地区的80,000家公司面临潜在风险,其中大多数在美国 (38%),其次是英国,德国,荷兰和澳大利亚。 “利用该漏洞,黑客不需要盗取任何账号就可以直接访问公司内网。” Positive Technologies发表的帖子中写道。 该漏洞会影响该产品的所有版本以及支持该产品的所有平台,包括Citrix ADC和Citrix Gateway 13.0,12.1,12.0,11.1和10.5。 专家指出,由于黑客无需盗取账户便能利用该漏洞,由此,所有黑客都可以在未授权情况下获得服务器中的产品和内网资源。 Citrix可用于连接工作站和关键业务系统。由于可以通过内网使用Citrix,黑客有可能通过漏洞从服务器攻击内网资源。 Citrix发布了解决措施,他们推荐用户更新所有易受攻击的软件版本。 Positive Technologies指出,该漏洞是2014年在Citrix软件中引入的,因此,重要的是还要检测以前的漏洞利用。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)