安全快讯Top News

世界主要央行成立“工作组”拟建新的全球跨行交易标准,应对网络威胁

据外媒报道,世界各国主要央行已通过国际清算银行 (BIS) 推出“特别工作组”,旨在建立新的全球跨行交易标准,以便应对来自全球的网络威胁 BIS 代表来自世界 60 多个国家央行,其中包括中国人民银行、日本央行、英国央行和美联储银行等等,这些银行持有近 95% 的全球生产总值(GDP)。

Google域名支持HSTS机制,强制定向访问到安全的HTTPS协议

Google 官方博客宣布其域名 Google.com 支持 HSTS 。HSTS 代表 HTTP Strict Transport Security ,是一种帮助网站将用户从不安全的HTTP版本重定向到安全的 HTTPS 版本的机制。如果你访问的网站启用了 HSTS ,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到 HTTPS 。 Google 称在传输中加密数据有助于保护用户及其数据的安全。目前主流浏览器都已支持 HSTS 机制。

俄罗斯联邦安全局称本国 20 个政府、军事机构遭受网络间谍攻击

外媒 7 月 30 日报道,俄罗斯联邦安全局( FSB )声称发现一个有计划的网络攻击间谍软件,目前已感染大约 20 个国家机构的计算机网络、军工企业和其他组织。 FSB 表示,病毒被作为电子邮件的附件传播,允许发送方拦截数据流量、偷听电话、截图、打开麦克风和相机和记录击键。

黑客发现 Twitter 旗下短视频分享应用 Vine Docker 镜像漏洞,可下载其完整源代码

短视频分享应用 Vine 于 2012 年 10 月成为 Twitter 旗下的服务,可提供用户分享一个长达 6 秒的短视频。最近印度赏金猎人 Avinash 发现了一个漏洞,允许攻击者不受任何限制下载包含 Vine 的完整源代码的  Docker 镜像包。Avinash 使用似于 Shodan (撒旦)搜索引擎  Censys.io 发现 80 多个 Docker 镜像,从中下载了名叫 “vinewww” 的镜像,因此看到了 Vine 的全部源代码、 API 密钥以及第三方密钥和秘密。随后 Avinash 将漏洞报告给 Twitter 并获得了 10080 美元的漏洞赏金,该漏洞也在 5 分钟内被修复。

美国海军被指控盗版德国公司软件,官方索赔 5.96 亿美元

据外媒报道,德国软件开发商 Bitmanagement Software GmbH 的开发人员指控美国海军非法盗版其公司产品 —— 3D虚拟现实软件 BS Contact Geo ,目前该公司已向美国联邦提出诉讼索赔 5.96 亿美元。 根据 Bitmanagement 的说法, 2011年至2015年间美国海军曾购买过 38 个许可证,但后来该公司发现软件至少被安装在了美国海军 558466 台设备上。根据单份软件价格约 1067 美元计算,美国海军至少还需要支付约 5.96 亿美元。

黑客利用语音验证漏洞绑定号码可从Google、Facebook和微软窃取高额话费

比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码或者用户选择接收语音电话,攻击者可以创建高费率电话服务和假 Instagram、Google 或 Microsoft 账号并绑定,当公司发送验证信息时高费率号码将登记来电通话并向这些公司开具账单。甚至攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。从理论上讲,每年可以从Instagram赚取206.6万欧元,Google 43.2万欧元,以及Microsoft 66.9万欧元。