安全快讯Top News

Google域名支持HSTS机制,强制定向访问到安全的HTTPS协议

Google 官方博客宣布其域名 Google.com 支持 HSTS 。HSTS 代表 HTTP Strict Transport Security ,是一种帮助网站将用户从不安全的HTTP版本重定向到安全的 HTTPS 版本的机制。如果你访问的网站启用了 HSTS ,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到 HTTPS 。 Google 称在传输中加密数据有助于保护用户及其数据的安全。目前主流浏览器都已支持 HSTS 机制。

俄罗斯联邦安全局称本国 20 个政府、军事机构遭受网络间谍攻击

外媒 7 月 30 日报道,俄罗斯联邦安全局( FSB )声称发现一个有计划的网络攻击间谍软件,目前已感染大约 20 个国家机构的计算机网络、军工企业和其他组织。 FSB 表示,病毒被作为电子邮件的附件传播,允许发送方拦截数据流量、偷听电话、截图、打开麦克风和相机和记录击键。

黑客发现 Twitter 旗下短视频分享应用 Vine Docker 镜像漏洞,可下载其完整源代码

短视频分享应用 Vine 于 2012 年 10 月成为 Twitter 旗下的服务,可提供用户分享一个长达 6 秒的短视频。最近印度赏金猎人 Avinash 发现了一个漏洞,允许攻击者不受任何限制下载包含 Vine 的完整源代码的  Docker 镜像包。Avinash 使用似于 Shodan (撒旦)搜索引擎  Censys.io 发现 80 多个 Docker 镜像,从中下载了名叫 “vinewww” 的镜像,因此看到了 Vine 的全部源代码、 API 密钥以及第三方密钥和秘密。随后 Avinash 将漏洞报告给 Twitter 并获得了 10080 美元的漏洞赏金,该漏洞也在 5 分钟内被修复。

美国海军被指控盗版德国公司软件,官方索赔 5.96 亿美元

据外媒报道,德国软件开发商 Bitmanagement Software GmbH 的开发人员指控美国海军非法盗版其公司产品 —— 3D虚拟现实软件 BS Contact Geo ,目前该公司已向美国联邦提出诉讼索赔 5.96 亿美元。 根据 Bitmanagement 的说法, 2011年至2015年间美国海军曾购买过 38 个许可证,但后来该公司发现软件至少被安装在了美国海军 558466 台设备上。根据单份软件价格约 1067 美元计算,美国海军至少还需要支付约 5.96 亿美元。

黑客利用语音验证漏洞绑定号码可从Google、Facebook和微软窃取高额话费

比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码或者用户选择接收语音电话,攻击者可以创建高费率电话服务和假 Instagram、Google 或 Microsoft 账号并绑定,当公司发送验证信息时高费率号码将登记来电通话并向这些公司开具账单。甚至攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。从理论上讲,每年可以从Instagram赚取206.6万欧元,Google 43.2万欧元,以及Microsoft 66.9万欧元。

口袋妖怪 Pokemon GO 遭新黑客团体 “PoodleCorp” DDoS 攻击致服务器长时间停机

2016年7月16日下午2点左右,风靡全球的《口袋妖怪Go》游戏服务器遭名叫“PoodleCorp”的黑客组织DDoS攻击,该组织头“XO”表示,本次攻击由他们发起,并宣称更糟糕的还在后头。大量玩家受到影响,他们无法登录游戏、无法出去寻找精灵。“PoodleCorp”黑客组织是一个成立不到1个月的6人小团体,像“蜥蜴小队”和“幽灵小队”发动DDoS攻击的黑客团体一样热衷于破坏别人的“乐趣”。据他们的网站显示自6月22日以来该组织也DDoS攻击过StreamMe, Battle.NET, and League of Legends 服务器、还污损过几个YouTube频道。

黑客组织 “OurMine” 攻击汇丰银行( HSBC )服务器,宣称只是安全测试

据外媒报道 7 月 12 日,黑客组织 “OurMine”  宣布成功入侵汇丰银行位于美国、英国的服务器,并上传截图作为证据,同时宣称此举只为检查该服务器网络安全状态。 据悉自 Myspace 、linkedin 等社交媒体数据泄露之后,黑客组织 “OurMine”  利用账号重密码问题相继入侵  Facebook 创始人扎克伯格、Twitter CEO 等知名人士账户。

美VPN提供商PIA称俄“非法”没收其服务器,决定更改证书并退出俄罗斯市场

VPN提供商私人互联网接入(PIA)表示,其服务器已经被俄罗斯政府没收,所以公司决定退出该国市场并抗议俄罗斯最新的反恐法:所有网络流量记录必须保存一年。由于公司不保存任何用户数据,所以没有任何身份被识破,用户的隐私是安全的。此外,防止俄罗斯政府破解其加密方式,公司已改变用于加密客户流量的所有证书。

法国黑市网络“FDN”新增赌博业务,上传宣传视频到YouTube拉客户

像许多国家一样,法国也有自己的“黑暗网络”,一般来说这些网站的网址只在“受信人”间传播不公开宣传。然而,2016年7月1日法国最大的地下黑市网络“FDN”开始面向公众,它通过YouTube视频(由于版权声明该视频已下线)宣传自己的业务范围并附上网址链接。“FDN”还新增加了赌博业务,这是第一次看到暗网被用于非法赌博活动。赌博是一个非常有利可图业务,但考虑到目前有限的参与赌博人数,这就很好解释为何“FDN”通过YouTube视频宣传自己从而增加“用户”人数。