安全快讯Top News

墨西哥多家银行巨款神秘消失 或遭“黑客”窃取

墨西哥中央银行和监管机构14日说,1800万至2000万美元近期在多家银行的电子转账过程中不翼而飞,可能遭“黑客”窃取。 中央银行企业支付和服务系统主管洛伦扎·马丁内斯说,4月到5月至少发生5起针对墨西哥官方电子支付系统SPEI的袭击。他否认媒体先前关于“丢失”4亿比索(约合2039万美元)的报道。“正在核查金额,一些转账被拦截,款项正在回流。” 马里奥·阿尔韦托·迪科斯坦索在政府中主管保护金融业客户的委员会,说遗失金额可能在3.5亿至4亿比索(1875万至2039万美元)之间。部分款项通过SPEI系统转账,交易者身份和收款人信息暂时不清楚。 路透社以两名了解政府调查的人士为消息源报道,黑客向北方商业银行等银行发送数以百计错误指令,把数以万计乃至数以十万计比索转至其他银行的虚假账户中,随后在数十家分行提取现金。 在墨西哥,跨行支付系统允许不同银行之间实时转账。一名消息人士说,黑客可能在银行有内应,缘由是如此大量现金提取在墨西哥并不常见。 据美联社报道,三家银行4月27日在软件筛查过程中发现漏洞,其他银行继而马上进入安全检测模式,发现巨款“窟窿”。马丁内斯说,SPEI系统没有受到破坏,但由其他机构或第三方提供的连接支付系统的软件出现漏洞。 不过,巨款蒸发没有影响储户,而是让多家银行吃了哑巴亏。迪科斯坦索说,这是一次惨痛教训,银行今后必须提高系统安全标准,不仅保护客户资料安全,还要保护自身的身份信息。 中央银行要求所有银行追加安全举措,延长借记卡消费预授权、电子支付等交易的转账时间。这对一些零售银行业务客户或自助柜员机(ATM)用户而言无疑会带来一定的不便。   稿源:新华网,封面源自网络;

Signal 桌面应用程序新代码注入漏洞,窃取用户明文聊天记录

距离 Signal 桌面应用程序上一个代码注入漏洞(CVE-2018-10994)被披露不到一周的时间内,安全研究人员又发现了另一个严重的代码注入漏洞(CVE-2018-11101)。与之前的漏洞相似,新漏洞允许远程攻击者可以在无需任何用户交互的情况下,通过向接收者的 Signal 桌面应用程序发送消息来注入恶意代码,从而以明文形式窃取用户的 Signal 聊天记录。 两者漏洞之间的唯一区别在于前一个驻留在处理聊天中共享链接的函数中,而新漏洞则是存在于处理引用消息验证的不同函数中,即引用回复中的前一条消息。换句话说,若要利用 Signal 桌面应用程序的易受攻击版本上新补丁的错误,攻击者需要将恶意 HTML / JavaScript 代码作为消息发送给受害用户,然后使用任何随机文本对同一消息进行引用或者回复。如果受害者在其易受攻击的 Signal 桌面应用程序中接收到包含恶意 payload 的引用消息,那么它将自动执行 payload,而不需要任何用户交互。 除了聊天记录被窃取之外,研究人员在其博客中还指出,攻击者甚至可以使用 HTML iFrame 从远程 SMB 共享中包含文件,该文件可能被滥用来窃取 Windows 密码。 目前开发人员已针对 Windows、MacOS 以及 Linux 用户发布了 Signal 桌面版 1.11.0,建议可能会受到漏洞影响的用户尽快更新。 相关参考: 《新漏洞利用 PoC 》 《CVE-2018-10994》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美参议院投票结果:同意保留网络中立性法规

本周三,美国国会参议院以52比47的投票结果拒绝了联邦通信委员会废除网络中立性法规的决定,该法规由奥巴马政府于2015年制定。该投票结果的双方比分差距要比预想的更大,反对联邦通信委员会废除网络中立性法规的参议员包括47名民主党人、3名共和党人、和两名无党派人士。 很多政治家都确信该议题将激励更多年轻的投票者参与到今年的国会选举投票中来。根据大量民调显示,网络中立性法规赢得了很高的民众支持度。 现在还不清楚国会众议院是否会就该议题进行投票,不过白宫曾对联邦通信委员会修订的新法规表示支持,不愿恢复网络中立性法规。 参议院民主党领袖查尔斯·舒默(Chuck Schumer)说: “可以将互联网比作是公路。我们不限制跨洲高速公路的通行,同样,我们不允许电信公司限制消费者访问自由互联网。不会说,某些人可以在高速公路上行驶而某些人不行,我们同样也不会在互联网上这么做。”   去年11月份,联邦通信委员会(Federal Communications Commission,FCC)宣布将废除奥巴马政府于2015年制定的网络中立性法规,该法规旨在禁止互联网服务提供商屏蔽某些,或降低这些网站的访问速度,或向访问某在线内容的用户收取额外费用。 该网络中立性法规是为了确保一个免费和开放的互联网环境,允许消费者平等地访问互联网,禁止宽带服务提供商对自己或其赞助商提供的内容提供优待,例如加速自家内容的访问速度,而降低竞争者服务的访问速度。 由FCC制定的新法规要求互联网服务提供商提前告知消费者都有哪些网站将被屏蔽、被减慢访问速度、或提供额外付费“专线”。 在此次投票中胜出对于民主党人来说是罕见的,因为当前国会参议院是由共和党人控制的。网络中立性法规也是反奥巴马政府制定的政策的浪潮中的少数幸存者。 上周,FCC称将在今年6月11日正式废除网络中立性法规,并开始实施于去年11月份通过的新法规,该新法规赋予了电信运营商们更多的权力,即改变消费者访问互联网的方式。 该修订后的新法规是互联网服务提供商们的一次胜利。在2015年通过的网络中立性法规制约下,互联网服务提供商们的行为受到政府和FCC的严格监控。科技公司们,如Facebook和谷歌则对该新法规持反对态度。 互联网服务提供商Comcast、Verizon、和AT&T都承诺说不会在新法规生效后屏蔽或歧视任何合法网站和内容。 本周三,AT&T称其支持开放的互联网,支持应用于所有互联网公司的法规,向所有互联网用户保证其提供的服务是中立的、透明的、开放的、无歧视的、和注重隐私保护的。   稿源:新浪科技,封面源自网络;

Facebook新“罪过”:利用宗教性取向等敏感信息发布广告

由英国《卫报》和丹麦广播公司进行的调查发现,Facebook平台允许广告客户根据用户的政治信仰、性行为和宗教信仰等敏感个人信息,向用户发布广告。 根据现行欧盟数据保护法律及5月25日即将生效的欧盟《通用数据保护条例》,这些信息均属于敏感信息。 由两家公司联合进行的调查发现,Facebook利用用户的敏感个人信息,允许广告客户根据推测的用户个人兴趣发布广告。根据相关法律,在使用用户敏感信息前,Facebook需要获得用户明确同意。 当然,Facebook可以声称,它收集的有关用户亲密关系/兴趣的资料,即使包含性行为和宗教信仰等敏感信息,也不属于个人信息。 针对两家媒体的调查,Facebook发言人发表声明称, “与其他互联网公司一样,Facebook根据我们认为用户可能感兴趣的主题发布广告,但没有使用敏感的个人信息。这意味着,某一用户被认为对‘同性恋自豪日’广告感兴趣,原因只是他对与‘同性恋自豪日’有关的网页点赞或点击了‘同性恋自豪日’广告,并不反映用户的性格——例如性别取向或性行为。我们提供有Ad Preferences工具,用户可以管理他们会看到的广告类别。我们的广告业务符合欧盟法律,与其他公司一样,我们也在备战《通用数据保护条例》,确保业务符合其要求。” Facebook或因此在近期遭到起诉。之前就有业内人士称,《通用数据保护条例》就是针对Facebook而推出的。根据这一条例,违法企业可能被处以相当于全球营收4%的罚款。 《通用数据保护条例》是Facebook广告业务面临更严格审查的原因之一,最近爆发的剑桥分析数据泄露丑闻是另外一个原因。 Facebook通过收集用户信息发布广告,但根据欧盟现行和未来的数据保护框架,在收集、处理用户的特殊类型数据时,企业需要征得用户的明确同意。这意味着,在收集、处理敏感数据时,Facebook需要确保事先征得用户同意,例如通过弹出式窗口形式。 Facebook声称其核心业务是社交媒体,而非收集、处理用户数据用于运营微定位(microtargeted)广告平台。有业内人士称,如果Facebook所言不虚,它为什么把社交服务与广告定位功能捆绑在一起——向用户表示不接受精准广告就不能享用社交服务?   稿源:凤凰网科技,编译:霜叶,封面源自网络;

美电话追踪公司Securus遭黑客攻击:至少2800个登录名和密码泄露

据外媒cnet报道,美参议员Ron Wyden曾曝光了Securus公司为警方提供实时追踪电话的能力。现在,最新消息称,这家公司遭到了黑客攻击。根据Motherboard的报道,黑客至少拿到了包含有2800个登录名和加密密码的电子表格。 其中一些密码已经被破解。Motherboard表示,为了证实该网络攻击的事实他们对一些登录名进行了测试。 目前还无法完全确定这一报道,也还不清楚这些被盗走的登录名是否会让黑客也拥有追踪对应用户手机的能力。 对此,Securus方面并未立即置评。   稿源:cnBeta,封面源自网络;

Red Hat Linux DHCP 客户端被曝远程命令注入漏洞

近日,Google 安全研究人员在Red Hat Linux 及其衍生工具(如 Fedora 操作系统) 的 DHCP 客户端(dhclient)软件包中发现了一个严重的远程命令注入漏洞 CVE-2018-1111,可能允许攻击者在目标系统上以 root 权限执行任意命令。目前红帽公司也于本周二发布安全公告确认该漏洞影响了“Red Hat Enterprise Linux 6 和 7”,并建议所有运行 dhclient 软件包受感染版本的客户尽快进行更新。 Google 安全小组的 Felix Wilhelm 发现漏洞驻留在 DHCP 客户端软件包中的 NetworkManager 集成脚本中,由于该脚本主要是用于为使用 DHCP 协议获取网络配置,当用户主机连接到网络后,它会发出 DHCP 请求来获取网络配置参数,例如 IP 地址和 DNS 服务器。而带有恶意 DHCP 服务器、或者连接到与受害者相同网络的攻击者则会通过伪造 DHCP 响应来利用该漏洞在目标系统上以 root 权限执行任意命令。 出于安全考虑,虽然用户可以选择删除或禁用易受攻击的脚本,但Red Hat表示这会阻止在本地系统上配置 DHCP 服务器提供的某些配置参数,例如本地 NTP 或 NIS 服务器的地址。 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安卓系统涉嫌侵犯用户信息隐私,谷歌面临澳大利亚政府调查

谷歌正面临澳大利亚政府的调查,原因是可能非法获取数百万安卓智能手机用户的数据。 路透社15日报道称,网络巨头甲骨文在一份报告中提出了该项指控,并受到澳竞争和消费者委员会(ACCC)及政府部门的隐私专员的高度关注和跟进调查,显然,这将使得谷歌再次陷入信息安全和隐私政策方面的巨大争议中,另一陷入用户信息泄露丑闻的网络巨头脸书也在外界压力下宣布加强自查措施,有分析观点称,来自政府及社会对互联网用户信息安全和隐私权的关注,将对互联网业界公司的业务及技术模式产生影响。 路透社称,甲骨文公司的报告指出,由于系统设置,安卓用户在使用手机时作为手机系统开发方的谷歌母公司Alphabet会收到关于用户互联网搜索和用户定位的详细信息,而且这些手机用户在不知情的情况下向电信服务商支付了谷歌收集数据时消耗的千兆字节费用。澳大利亚政府监管机构发言人15日表示,ACCC已经跟甲骨文见面,正在分析他们的报告,并与隐私专员紧密合作。澳政府还希望通过调查了解有多少消费者了解谷歌定位数据的使用。行业分析师估计,澳大利亚有超过1000万的安卓系统用户。不过路透社称,暂时无法确认甲骨文报告内容的真实性。 关于安卓系统涉嫌侵犯用户信息隐私,并让用户因此支付额外费用,谷歌发言人表示,公司收集数据“已获得用户许可”。但一些分析人士指出,绝大部分消费者不太可能理解他们在使用智能手机时签署的条款内容。这使得其数据安全面临威胁。 一些电信服务商已经开始行动,澳大利亚最大电信公司Telsta表示该公司正向谷歌沟通了解“是否存在用户数据被非法侵犯”的情况。也有观点称,甲骨文与谷歌之间长期存在争议,因此其报告“可能无法保证公平性”,前者试图向后者收取使用Java语言的授权费用但遭到拒绝。 报道称,该项调查将引发更多关于互联网大公司在线收集和使用用户数据合法性的讨论。今年初,社交媒体巨头脸书被爆出其用户数据被网络营销公司“剑桥分析”非法利用,该公司分析师科根利用8700万脸书用户信息,向用户定向投放广告,在2016年美国总统大选中支持特朗普团队。4月底美国福克斯新闻称,有消息显示另一网络巨头推特也涉嫌将用户数据卖给科根。该丑闻在舆论上引起轩然大波,脸书CEO扎克伯格不得不多次致歉并到美国国会作证,并宣布启动内部调查,而英国政府信息委员会也介入此事正在调查剑桥分析公司的服务器。 美国《华尔街日报》15日称,脸书已宣布禁用一大批应用程序,理由是这些应用在脸书的社交平台上获取大量用户信息。该消息由脸书产品合作副总裁阿奇博在博客上公布,称扎克伯格自今年3月发起内部审计行动以来,该公司对平台上的第三方应用是否非法利用用户数据进行了“详尽调查”,目前已禁用了约200个应用。脸书方面强调,目前由内部和外部专家组成的“大型团队”仍在进行调查,“只要我们找到不正当数据利用的证据,就会对相关程序进行禁用,并对外公布”。但相关调查还有很多工作有待完成,需要时间。同时,脸书对社交平台进行了一系列调整,目的是限制程序开发者获取平台用户数据。 英国《金融时报》15日称,在线平台和社交网络用户的信息安全已经成为舆论当前重点关注的问题,互联网大公司被认为掌握信息技术和系统垄断优势,因而其内部成员乃至机构有滥用用户信息谋求利益的可能。5月下旬欧盟将实施“欧盟通用数据保护条例”(GDPR),要求数据公司在收集用户个人信息方面保持透明性,强化用户对于个人资料的控制和主导权利。一些机构称,这可能会促使更多用户拒绝接受谷歌的在线个性化广告,从而避免信息被泄露,或将让谷歌每年损失数十亿美元营收。   原标题:《甲骨文举报安卓用户搜索和定位数据被收集》 稿源:环球时报,封面源自网络;

外媒:白宫取消网络安全协调员职位

据多家外媒报道,特朗普政府已经撤除了白宫网络安全协调员的职位。获悉,该职位由前美国总统奥巴马在2009年设立,当时黑客和网络安全威胁还没有像现在这么普遍。据各家媒体指出,国家安全委员会此举则是为了减少官僚主义现象而非出于安全目的。 批评者们认为,这一职位具有重要的象征意义,同时在结构上也非常重要。参议院Mark Werner表示,协调员是联邦政府唯一一个负责协调整个政府应对日益增长的网络威胁的人。 参议员Martin Heinrich则认为,特朗普政府此举显示了他们并没有认真对待来自俄罗斯网络军队的威胁,这与民众所需的正好相反。 白宫并未立即回复记者置评要求。   稿源:cnBeta,封面源自网络;

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;

美当局确认一名 CIA “Vault 7″泄露事件主犯

据外媒报道,美国官方已经确认Vault 7泄露案中的一名主要嫌疑人。据了解,在Vault 7泄露案中,大量CIA使用的网络攻击遭到曝光,包括针对iPhone和Mac的软件漏洞。《华盛顿邮报》称,来自最新的法庭文件显示,政府当局认为Joshua Adam Schulte为维基解密提供了CIA绝密网络武器和间谍工具技术相关信息。 资料图 这位前CIA职工现因另外一项指控被关押在曼哈顿的一座监狱里。 Schulte于2016年离开CIA工程小组开始为一家私营企业工作,在此之前他在CIA负责破解为恐怖分子和其他目标所持有的电脑、智能手机和其他设备破解方法的代码。 代码文档被维基解密获取并于去年3月以Vault 7的名义对外公布。从iOS漏洞到Windows、Android恶意软件,大量攻击手法被曝光。 针对该次曝光,苹果随即作出反应,表示大量iOS漏洞都已经在先前的更新中得到修复。 去年7月,Vault 7又曝光了针对在Mac OS X10.6 Snow Leopard和OS X10.7 Lion运行的硬件的可操作漏洞。 虽然FBI在去年3月的曝光之后对Schulte在纽约的公寓进行了搜查但并未找到证实其跟Vault泄露案相关的证据。不过8月他被控持有儿童色情物品,在此之前,调查人员发现他在2009年在一上创建了的非法内容。当时Schulte还是德州大学的一名学生。 对此,Schulte并不认罪,并表示多达100个人都曾经访问过这个服务器。9月,Schulte被释放,但前提是他能保证自己不会离开纽约市以及从事与计算机相关的活动。去年12月,Schulte因违反相关规定再次入狱。 Schulte在提供《华盛顿邮报》的声明中指出,他曾向CIA监察长和国会监督委员会上报了不称职的管理和官僚主义行为,他认为这一动作让自己陷入了困境。“对于这些不幸的巧合,FBI最终作出了草率的判决,认定我是泄露的罪魁祸首并将矛头对向我。” 稿源:cnBeta,封面源自网络;