安全快讯Top News

黑客组织 “Shad0wS3C” 入侵墨西哥政府 IFREM 网站、泄露主数据库文件

黑客组织 “Shad0wS3C” 领导者 Gh0s7 称,已成功入侵墨西哥政府机构 IFREM 网站、获取了主数据库文件,包含用户数据、护照信息以及其他个人信息。黑客将部分信息公布到了网上。 IFREM (Instituto de la Función Registral del Estado México)是墨西哥注册功能研究所,旨在为公众提供相关法律和注册管理办法的办理流程。 黑客解释说,这次入侵网站并不是为了进行黑客行动主义,而是向世界展示他的团队 Shad0w Security (Shad0wS3C) ,Shad0wS3C 将再次回归人们的视野、更多的入侵事件将在未来几天公布。 黑客 Gh0s7 表示第一次入侵网站是在九月份,墨西哥政府并无“漏洞赏金计划” 因此没有将问题报告给该网站的管理员,此后 IFREM 也没有增加网站安全性防止进一步非法访问,最终导致黑客成功入侵。 稿源:本站翻译整理,封面来源:百度搜索

商业邮件诈骗将目标转向医疗机构 ,英美及加拿大 35 家机构沦陷

在过去两周里,以冒充 CEO 为形式的一系列商业电子邮件欺诈(BEC)开始将目标转向医疗机构,其中美国有 17 家机构、英国 10 家、加拿大 8 家。这些机构包括一般医院和用于专科保健、诊所性质的教学医院。即使制药公司也不能免于 BEC 诈骗,一家位于英国的公司和两家加拿大制药公司也成为诈骗目标。 CEO 欺诈是一种 BEC 骗局,骗子通过欺骗、假冒 CEO 或另一个商业主管的电子邮件帐户,向管理公司财务的首席财务官(CFO)发送欺诈性质的汇款请求,不知情的员工会将资金转移到骗子的银行账户 (平均每起诈骗造成 13 万美元的损失)。 与其他网络犯罪形式不同,这种 CEO 欺诈并不是利用安全漏洞因而很难被防御,攻击者通常伪造“发件人”和“回复”字段并将主题行限制为几个字,以避免引起怀疑并体现紧迫性。换句话说,电子邮件本身不会在其正文中包含典型的恶意附件或网址,这意味着传统的安全解决方案会将邮件默认为“安全”。 企业首席财务官(CFO)应注意每封邮件的邮件地址并验证发件人真伪并严格按照流程进行转账。 稿源:本站翻译整理,封面来源:百度搜索

谷歌向众记者、诺贝尔奖学者发送警告:你已被“国家级”黑客盯上

众多记者和学者向公众媒体报道,他们已经收到谷歌发送的警告信息,有受国家支持的黑客使用他们的谷歌帐户登录谷歌邮箱或其他网站。收到警告消息的人包括诺贝尔经济学奖得主、纽约时报专栏作家 Paul Krugman,纽约杂志的 Jonathan Chait,GQ 记者 Keith Olbermann 等等。 此外,谷歌发言人称,这些警告消息发生的实际时间在 1 个月前。为了防止黑客分析出研究人员用来检测入侵的方法,官方有意延迟了告警时间。 稿源:本站翻译整理,封面来源:百度搜索

欧洲刑警组织开展“钱骡行动”打击网络金融犯罪、逮捕 178 人

据外媒报道,欧洲网络犯罪中心( EC3 )和联合犯罪行动特别工作组( J-CAT ),以及欧洲司法和欧洲银行联合会联合行动开展第二次“欧洲钱骡行动”( European Money Mule Action ),打击为网络诈骗者充当洗钱中介牟取利益的“钱骡”。这些被称作“钱骡”的人从账户接收非法资金,然后将这些钱转汇到不同的账户。该行动获得了英国、法国、德国、希腊等 16 个国家执法机构和美国联邦调查局和美国特勤局的支持。 这次行动于 11 月 14 日至 18 日进行,共逮捕犯罪嫌疑人 178 人,查获网络金融诈骗涉案金额 2300 万欧元 。 欧洲刑警组织网络犯罪中心负责人史蒂文·威尔森表示,这次行动圆满成功,再一次证明司法、执法部门与银行业的合作可以有效打击网络金融犯罪团伙。 稿源:本站翻译整理,封面来源:百度搜索

黑客组织 “Amn3s1a” 入侵云盘网站 Mega.nz 泄露源码数据

黑客组织 Amn3s1a 近日窃取了国外高速云盘网站 Mega.nz 服务器的 2GB 源代码数据,并将源码数据公布在网上。 该云盘在国外比较受欢迎,它最显着的功能是所有上传的文件都通过 JavaScript 在本地加密并提供 50GB 存储空间,并支持高达 4TB 的付费空间。在国内由于使用环境问题,反应速度比较慢,用户体验不太好,通过代理访问会改善些。 黑客称获得了文件共享网站 Mega.nz 管理员帐户登录凭证并利用一个特权升级漏洞入侵了公司的服务器获得了内部文件。黑客表示该工具有一个“严重”的缺陷,它竟然没有开源,所以黑客进行了此次入侵行动。 外媒 ZDNet 称已经获得了黑客泄露的部分源代码数据,文件约 800MB 似乎是 Chrome 浏览器扩展插件 Megachat (内置即时通讯服务)的源代码, Mega 官方发表声明表示,用户的数据被单独的存储在系统上并不受数据泄露影响,此外,黑客也无法访问关键源代码。 稿源:本站翻译整理,封面来源:百度搜索

WordPress 自动更新服务器存漏洞,全球 27% 网站可被恶意更新

WordPress 核心更新服务器存在漏洞,允许攻击者入侵服务器并替换更新内容,受影响站点将占全球网站的 27% 。该漏洞于 9 月 2 日提交给了 WordPress 开发方 Automattic ,Automattic 在 5 天后 9 月 7 日发布了更新修复了漏洞。漏洞存在于服务器 api.wordpress.org 内的 php webhook 中,它允许开发人员设置哈希算法来验证上传代码更新的合法性。然而 WordPress 开发人员 Matt Barry 发现该验证过程采用安全性较弱的 adler32 散列算法,这导致可能的排列组合由 43 亿个( 2 的 32 次方)大幅缩减至 10 万到 40 万个。攻击者只需要数个小时即可暴力破解,获得开发者用来上传代码时使用的共享密钥,从而获得服务器访问权。 此后,攻击者可以制作一个含有后门的恶意更新下载链接,并替换 WordPress 更新服务器发送的用于更新的 URL 链接,该链接随即被推送到所有 WordPress 站点,因而,全球 27% 的网站都将受到影响。 Barry 称用于更新的 api.wordpress.org 服务是一个很可能被黑客利用的切入点,然而 Automattic 没有回应他提出的故障点讨论并更新认证机制的建议。这周在 OpenWall 安全邮件组讨论当中也有安全员提出了相似的攻击策略。 稿源:本站翻译整理,封面来源:百度搜索

Realtek 音频芯片曝致命硬件缺陷:声卡被攻击中招率100%

在防止黑客窃取隐私信息方面人们通常都会更多关注软件防护,比如安装防火墙、防病毒软件,了不起的弄一个硬盘物理加密。不过,黑客们目前已经另辟蹊径,找到了我们计算机上硬件上最隐蔽的环节来实施攻击——声卡。而且中招率接近 100%!以色列 Ben Gurion 大学的研究者写出了一段名为 “Speake(a)r” 的代码,将它植入计算机之后便会劫持声卡,即使在麦克风被禁用的情况下也能利用耳机、扬声器进行监听。 研究者表示,这种监听手段的实现依赖于 Realtek 音频芯片的一处设计缺陷。目前的 Realtek 音频芯片有一个特殊功能,在一定条件下可以将信号输出线路反转成为信号输入线路,这种功能的确方便了用户,但也给黑客提供了机会。 研究人员称,因为几乎所有个人 PC 都在使用 Realtek 音频芯片(包括主板集成声卡和独立声卡),因此这项缺陷所影响的范围是全球性的。而且由于是硬件层面的缺陷,所以目前并没有很好的方法来防止借助这种技术实施的攻击,只能期待下一代 Realtek 音频芯片可以改善设计。 稿源:cnBeta.com 有改动,封面:cnBeta  

Apple 严重 Bug:恶意视频链接可导致任意 iOS 设备死机

苹果iOS系统新发现了一个严重bug,用户只要在 Safari上播放一个.mp4视频(iOS设备请勿点击链接)就能导致任何iOS设备死机,必须硬重启。 YouTube视频播客 EverythingApplePro演示了该bug,它会导致系统逐渐失去响应。一种可能的解释是该视频在播放时会导致某种内存泄漏,系统无法正确处理。受影响的iOS版本从iOS 5到iOS 10.2,基本上涵盖了所有的用户使用版本。 稿源:solidot奇客,封面来源:百度搜索

从源头防堵信息泄露,央行下月推行”支付标记化”

央行于 11 月 9 日下发了《中国金融移动支付 支付标记化技术规范》(以下简称《规范》)行业标准的通知,强调自 2016 年 12 月 1 日起全面应用支付标记化技术。与此同时,记者注意到,上述《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。 支付标记化技术作为全球支付领域的最新前沿技术,其优势体现在三个方面: 第一,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现; 第二,支付标记仅可在限定交易场景使用,使得支付更安全; 第三,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。 因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。 稿源:cnbeta.com,封面来源:百度搜索

美国防部宣布新漏洞政策、陆军漏洞赏金计划开始报名

美国国防部( DoD )周一宣布已制定一个新的漏洞披露政策。该政策旨在为研究人员提供一个渠道,披露政府网站中发现的安全漏洞。 新的漏洞披露政策不提供任何奖励回报,它提供了一个合法渠道去报告漏洞。五角大楼希望该政策会鼓励网络安全社区去帮助政府机构提高其防御能力。 黑客发现了任何公共网站漏洞,包括国防部控制的尤其是 defense.gov 和. mil 域名,都可以通过 HackerOne 提交一份报告。该组织已承诺将在三个工作日内确认报告并公开向提交有效问题的黑客致谢。 此外,之前公布的陆军漏洞赏金项目 “ Hack the Pentagon ” 于周一正式开放注册报名,约 500 白帽黑客有望参加挑战,报名截止到 11 月 28 日,该计划将 11 月 30 日至 12 月 21 日之间进行。 稿源:本站翻译整理,封面来源:百度搜索