安全快讯Top News

美国纽约曼哈顿地区遭遇大面积断电,是否为伊朗反击?

据 Network Security 的专家报道,上周六晚,纽约市遭遇了停电事故,整个曼哈顿地区失去电力供应。有趣的是,停电这天恰好是 1977 年大停电纪念日。整个城市没有了电力,交通瘫痪,所有的日常活动都无法正常进行。 Con Edison 是纽约电力供应商公司之一,据他们所说,事件发生在周六的 16:47。此次事故是因为变压器故障引起的,不过全部的信息要等到调查结束才能公开。地方当局提到,电力服务已经在午夜时分完全恢复。 除了公共照明失效,停电还导致四个地铁站关闭(哥伦布圆环,洛克菲勒中心,哈德逊码头和第五大道)。据专家称,列车员们不得不手动操作机械,以此将乘客送至最近的车站。 由于停电,人们不得不用手机灯光照亮回家的路,而在大型住宅楼里,因为电梯没有工作,人们只能走楼梯。在曼哈顿的一些地方,如克林顿区,居民们不得不协助警方指挥交通。 还没有等到相关当局和公司确定事件的确切原因,谣言就已经传开了。根据国际网络安全研究所(IICS)的专家所说,有人认为这一事件(和其他类似事件)可能与美国政府和伊朗之间已开始的网络战存在联系。 最近,伊朗当局声称,他们已经拆除了中央情报局操纵的间谍网络,这与多次报道的间谍被捕事件有关,他们被捕时正在中东进行情报任务。还需要了解的是,受政府资助的黑客团体往往破坏力极大。有报道称黑客对其他政府的电网发动过攻击。他们使用了复杂的恶意软件变种,可以大规模地破坏能源供应。虽然距离调查结束还有很长的路要走,但专家们不应排除任何可能性。   消息来源:SecurityNewsPaper, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果再发静默更新 删除其他存在 Zoom 漏洞软件的 Web 服务器

今天苹果向 The Verge 在内的多家媒体发出通知,表示已经向 Mac 设备发送静默安全更新,以删除 RingCentral 和 Zhumu 自动安装的软件。这些视频会议应用程序都使用了 Zoom 的技术,由于它们本质上都是白标签(White Labels),因此它们同样存在 Zoom 的安全漏洞。 具体来说就是它们可以安装辅助应用,在没有用户干预的情况下打开你的网络摄像头。即使卸载这些应用程序啊也不会删除这些辅助Web服务器,这意味着许多用户无法获得软件供应商的更新来解决问题。而解决这个问题的最佳方法就是苹果的介入,苹果计划为Zoom的所有合作伙伴解决这个问题。 Zoom发言人Priscilla McCarthy告诉TechCrunch:“我们很高兴与Apple合作测试此更新。我们希望今天解决Web服务器问题。我们感谢用户的耐心,因为我们会继续努力解决他们的问题。 本周早些时候,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。 这在一定程度上是可行的,因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上,即便卸载了Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装Zoom。   (稿源:cnBeta,封面源自网络。)

Sprint 发警告:有黑客通过三星官网新办号码页面获取用户数据

美国移动通讯运营商Sprint近日发布警告称,有黑客通过三星官网(Samsung.com)上新办号码“Add a line”页面入侵获取用户账号信息,目前尚不清楚有多少用户受到影响。Sprint在致受影响用户的信中表示:“6月22日,Sprint检测到有黑客通过三星官网‘新办号码’页面在未经你知悉和授权的情况下访问了你的Sprint账号。” Sprint在信件中表示:“黑客可能已经获取了你的个人信息,包括电话号码,设备类型,设备ID,每月经常性费用,用户ID,帐号,帐户创建日期,升级资格,姓名,帐单地址和附加服务。”Sprint表示黑客获取的信息并未构成“欺诈或身份盗窃的重大风险”,但对于受影响用户来说显然并不赞同这种评估说法。 对此Sprint表示已经要求所有受到影响的账户在3天后于6月25日重置PIN码。Sprint的安全通知内缺少了一些非常重要的细节,例如被窃用户的数量、黑客首次通过Samsung.com网站开始访问Sprint帐户的日期,以及黑客是否修改了任何客户帐户详细信息。ZDNet向Sprint提出了所有这些问题,并首先询问了Sprint如何发现这一漏洞。发言人没有及时回复。   (稿源:cnBeta,封面源自网络。)

iOS 13 和 iPadOS 爆安全漏洞:解锁状态下可访问用户名和密码

援引外媒报道,在 iOS 13 和 iPadOS 的最新测试版本中发现了一个安全漏洞,允许绕过安全机制访问设置应用中的用户名称和密码。不过外媒也坦言该漏洞在实际场景中对于消费者的安全威胁并不大。外媒 iDeviceHelp 本周一指出,用户反复点击“网站&应用密码”选项可以绕过 Face ID、Touch IS 或者密码进行访问。不过这个问题对用户的影响并不是特别大,只有用户在解锁状态下访问设置应用才能起效。 目前苹果已经收到这个问题的报告,但官方并未做出承认。不过毕竟是Beta版本,存在漏洞在所难免,而iOS 13和iPadOS的正式版将于今年秋季正式推出。 视频来源:https://player.youku.com/embed/XNDI3NTA3MDE1Mg== 视频来源:https://player.youku.com/embed/XNDI3NTA2OTg2MA==    (稿源:cnBeta,封面源自网络。)

美国最快 2 周内批准对华为出口许可证

截至今天,华为被美国商务部列入“实体清单”已经60天了,也就是说对华为的制裁持续了整整2个月,不过G20会谈之后美国方面宣布部分解禁,美国企业可以继续向华为出售产品,但只限于不影响美国国家安全的产品。放松制裁之后,美国商务部宣布美国企业可以申请向华为出口的许可证,只是之前美国政府部门依然没有明确具体规则。 上周末,美国政府的高级官员告知制造业代表(针对华为出口的)许可证将在未来2周到4周内发放,不过这名官员依然没有提及明确的细则,到底哪些产品是可以出口的,哪些不可以出口。 美国总统在G20会谈之后表示解禁华为只限于不影响美国国家安全的产品,而美国家经济委员会主席拉里·库德洛他表示解禁即将生效,商务部将会为需要解禁的公司提供一些许可证。 对于解禁范围,他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”,否认这是“大赦”,表示国家安全仍然是最重要的考虑因素。 对于解禁,华为方面之前也表达了官方态度——在上周的2018年可持续发展发布会上,华为董事长梁华表示“美国不应该只是放松管制,应该取消实体清单禁令。” 此外,美国部分芯片公司早前也找到了在不违反实体清单限制的清下对华为恢复供应的方式,外媒报道称,包括Intel及美光在内的多家美国芯片公司已经找到了可以绕过美国限制从而继续对华为出口技术及产品的方法。 根据爆料,这些公司很可能是利用了美国之外的工厂,由于半导体产业的全球供应链特殊性,Intel、美光等公司会在美国本土或者其他海外国家生产芯片,然后送到另外的国家封装,最后的生产地并非美国,因此可以不算做美国制造。   (稿源:cnBeta,封面源自网络。)

时隔三年半:罗技无线接收器依然存在 MouseJack 严重安全漏洞

三年半前,外媒The Verge的编辑Sean Hollister亲眼见证了安全专家Marc Newlin在不物理接触设备、甚至不需要知道IP地址的情况下,利用罗技无线鼠标上的小型USB收发器触发几行代码,就可以实现全格硬盘、安装恶意程序等一系列操作,更糟糕的是整个操作就像物理访问该电脑一样。于是在2016年,外媒The Verge发表了关于“MouseJack”的黑客方式,罗技官方随后也立即发布了紧急修复补丁来修复这个问题。 然而本周早些时候,安全专家Marcus Mengs表示罗技的无线Unifying dongles实际上依然存在漏洞,非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候,就有机会入侵你的电脑。 而且Mengs表示罗技依然在销售那些容易受到MouseJack黑客攻击的USB收发器。随后外媒TheVerge就立即联系Newlin,随后他表示在近期购买的罗技M510鼠标上依然搭配的是这种有安全漏洞的USB收发器。 随后外媒The Verge联系了罗技,一位公司代表承认市场上依然存在一些尚未打上补丁的USB收发器。事实上,在2016年年初被曝光MouseJack漏洞以来公司并没有真正意义上的产品召回。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTAwOA== 罗技评估了企业和消费者的风险,并没有召回已经进入市场和供应链的产品或组件。我们为任何特别关注的客户提供了固件更新,并对以后生产的产品进行了更改。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTE2OA== 罗技代表表示公司确实为新制造的产品“逐步修复”,但他们还不能确认何时在工厂进行了更改。 根据Newlin的说法,MouseJack并不仅限于罗技,戴尔,惠普,联想和微软等使用了Nordic和Texas Instruments公司芯片和固件的无线接收器均存在相同的问题。不过罗技的优点之一,就是允许用户更新这些无线接收器的固件。 视频来源:https://player.youku.com/embed/XNDI3MzYwNTI5Mg==   (稿源:cnBeta,封面源自网络。)

美众议院拟立法禁止大型科技公司发行数字货币

北京时间7月15日早间消息,根据路透社看到的立法草案副本,一项阻止大型科技公司作为金融机构运作且禁止其发行数字货币的提案,已经分发给众议院金融服务委员会占据多数席位的民主党进行讨论。 在Facebook公司提出天秤币引起广泛反对之后,该法案提出对违规企业处以每天100万美元的罚款。 但这样一个全面的提议可能会招致热衷创新的共和党成员的反对,而且该法案可能很难在众议院获得足够的票数。 即使获得众议院通过,它仍然要通过参议院的投票才能成为法律,后者是一场十分艰难的斗争。 但该提案仍然向越来越关注金融服务领域的大型科技公司发出了强烈信号。 这项提案名为《禁止大型科技公司开展金融业务法案》(Keep Big Tech Out Of Finance Act)。它所定义的大型科技公司,指的是主要提供在线平台化服务且年营收至少为250亿美元的科技公司。 符合这一定义的Facebook上个月表示将在2020年推出其全球加密货币。 Facebook和包括万事达卡、PayPal、优步在内的28家合作伙伴,将组成天秤币协会来管理这种新加密货币。但目前还没有银行加入其中。 美国总统特朗普上周批评天秤币和其他加密货币,并要求想要“成为银行”的相关企业申请银行牌照,还要受到美国和全球法规的约束。 在此之前,美联储主席杰罗姆·鲍威尔(Jerome Powell)告诉立法者,Facebook的天秤币的计划无法向前发展,除非它解决了对隐私、洗钱、消费者保护和金融稳定的担忧。(鼎宏)   (稿源:新浪科技,封面源自网络。)

全美超过 225 位市长支持不向黑客支付赎金的决议

据《纽约时报》报道,全美超过225位市长支持一项不向黑客支付赎金的决议。这项名为“反对向勒索软件攻击犯罪者付款” 的决议指出,市长们应“团结一致反对在发生IT安全漏洞时支付赎金”。 该决议来自6月28日至7月1日在檀香山举行的年度美国市长会议。根据该声明,自2013年以来,至少有170个县、市或州政府系统成为勒索软件攻击的目标。这些攻击使用的恶意软件程序使系统无法运行,黑客通常要求以加密货币的形式支付费用。 该决议发布之前,今年有近二十多个美国城市受到勒索软件攻击,其中包括佛罗里达州的莱克城,后者授权向黑客支付43个比特币以重新获得对其手机和电子邮件系统的访问权。5月份在巴尔的摩开始了另一场引人注目的高调攻击,该攻击通过网络钓鱼邮件关闭了重要的城市系统。黑客要求该市支付13个比特币(当时价值约为76280美元,现在估计约为151599美元)。但是,联邦调查局建议市长副总参谋长Sheryl Goldstein不支付赎金。据估计,这次攻击至少造成了1800万美元的损失。 巴尔的摩市长Bernard C.“Jack”Young在今年的会议上支持了这项措施,并在周三的一份声明中表示,“支付赎金只会激励更多人参与这种非法行为。” 美国市长会议代表了1407个城市,每个城市的人口数超过30000。这些市长的普遍立场与联邦调查局的建议一致。   (稿源:cnBeta,封面源自网络。)

K12.com 暴露了多达 700 万条涉及学生个人信息的数据库记录

据 Comparitech 的安全研究人员称,在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户的身份验证密钥和其他内部数据。 这些信息在线提供了一个多星期,目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称,该问题影响了K12.com的A+nyWhere学习系统(A + LS),该系统被美国1100多个学区使用。 数据库配置错误可能是导致它可以在BinaryEdge和Shodan上公开访问和发现的原因,这两个搜索引擎专门为面向公众的数据库编制索引。 6月25日发现的曝光首次发生在6月23日,直到7月1日才得以修复。 错误配置的数据库暴露公司收集和持有的大量个人信息的事件近年来变得非常普遍。就在最近几个月,面向公众的数据库暴露了大量Instagram知名人士账号的联系信息、康复病人的医疗记录、AMC Networks高级服务的订户等等。在其中一个例子中竟然还发现了包含美国8000多万家庭敏感信息的数据库。在这种情况下,确实很难确定是否有人恶意访问了这些信息。     (稿源:cnBeta,封面源自网络。)

华为:和运营商建 1500 多张网络 没证据证明设备有后门

7月12日上午消息,华为发布《2018可持续发展报告》称,过去30年,华为和运营商一起建设了1500多张网络,在全球170多个国家和地区,为30亿人提供网络服务。事实证明,华为为客户建设的网络没有大面积的网络瘫痪,没有恶性的网络安全事故,也没有任何证据证明华为的设备有后门,华为的产品一直在行业中保持着良好的安全运行记录。 华为报告声明,迄今为止,华为没有任何法定义务在华为设备中或者允许他人在华为设备中安装“后门”,也没有任何法定义务为任何人收集情报信息。未来也会严格按照法律赋予的权利和程序来处理这样的诉求,华为以客户为中心,并致力于保护客户或者用户的合法权益不会受到侵害。 华为表示,已经构建起完善的网络安全保障体系,并积极地通过外部独立第三方安全机构对华为的产品进行认证。报告还提到,近期第三方独立评估机构CFI颁布的报告显示,华为设备运行的稳定性和可靠性连续三年高于行业平均水平。   (稿源:新浪科技,封面源自网络。)