安全快讯Top News

流行 WordPress 插件再现严重 SQL 注入漏洞

一个安装量超过 100 万的流行 WordPress 插件被发现存在严重 SQL 注入漏洞,允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该插件叫 NextGEN Gallery,开发者已经修复了该漏洞,释出了 v2.1.79 版,安装该插件的网站应该尽可能快的更新。网站如果允许用户递交帖子,并且激活了 NextGEN Basic TagCloud Gallery 选项,允许访问者通过标签导航图库,攻击者可以修改 URL 参数,插入 SQL 查询指令,加载恶意链接时插件将会执行指令。该漏洞是因为对 URL 参数不正确的输入处理导致的,这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。 稿源:solidot,有删改,封面来源于网络

乐天中国官网陷瘫痪:疑遭黑客攻击至今仍未恢复

韩联社 3 月 1 日报道,据乐天集团 1 日消息,乐天中国官网(lotte.cn)前日下午陷入瘫痪,直至记者截稿,仍无法打开。环球网记者登录乐天中国网站后发现,该往仍处于瘫痪状态。 韩媒报道称,乐天方面表示,专家经查判断,官网瘫痪为黑客发起病毒攻击所致。 对中国移动和中国联通的有关数据进行分析的结果显示,2 月 27 日和 28 日乐天中国官网的流量骤增至平时的 10-25 倍左右。 截止至 1 日21:30,乐天中国官网仍处于瘫痪状态 乐天有关负责人表示,目前可发现部分网民对乐天官网的个别攻击行为,但尚无有组织的攻击或抵制行为。公司在华员工正在密切关注相关情况,“未雨绸缪”防范突发情况。 乐天集团 28 日与韩军就部署“萨德”签署易地协议。根据协议,乐天向国防部出让星州高球场,韩国国防部将南杨州市军用地块转让给乐天。韩国国防部表示,会很快开始设计和施工,在 5-7 个月内即可完成“萨德”部署。中国外交部发言人耿爽回应此事说,中方对此表示坚决反对和强烈不满,“我们强烈敦促有关方停止相关部署进程,不要在错误道路上越走越远。” 稿源:cnBeta,有删改;封面源自网络

旧版 vBulletin 漏洞被利用:黑客泄露 126 家论坛 82 万账号信息

由于旧版 vBulletin 存在的一个严重漏洞,这款被互联网论坛广泛使用的软件已被黑客利用、并泄露了来自 126 家论坛的 82 万账号。@ CrimeAgency 在 Twitter 上声称,黑客窃取了来自论坛管理员和注册用户的个人信息,并将之流到了某个地下黑客论坛上。公告平台 Hacked-DB 在扫描数据后证实了此事,而 Hack Read 的报道称,这轮攻击发生在 2017 年 1 -2 月间。 黑客成功窃取到了 81 万 9977 个用户账号,其中包含了电子邮件地址、哈希后的密码、以及 1681 个独立 IP 地址等私密信息。多数账号与 Gmail 有关联(超过 21.9 万个),其次是 Hotmail(12.1 万)和雅虎邮箱(10.8 万)。有报道称:在攻击 vBulletin 平台前不久不久前,黑客还曾利用过多个安全漏洞。虽然该问题已在最新版本的软件中得到了修复,但那些未及时升级的论坛仍然会躺在这一攻击之下。 想要检查那些网站使用了 vBulletin 是非常简单的,比如运行 Google Dorks,别有用心的攻击者可以轻松看到网络所使用的软件版本。完整影响列表请移步至 Pastebin 查看. 稿源:cnbeta,有删改,封面来源于网络

美媒:印度“无现金社会”计划或令 10 亿人身份信息面临泄露风险

据美国彭博社 2 月 27 日报道,印度 2009 年创建了一个生物识别系统收集公民个人数据用于政府福利发放,但该系统并不十分完善,信息泄露的风险值得担忧。去年十一月印度又开始逐步推行一项新计划希望减少现金交易活动,更多人的个人信息将进一步被收录到上述系统中,但此举或意味着印度更多人的信息可能有遭泄露的风险。 印总理莫迪团队投票竞选经理辛瓦姆•辛格上周收到一封邮件,内容包括姓名、地址、电话号码、银行流水以及金融投资记录,但这些信息没有一个是关于他的。这封邮件来自印度的全国性生物识别项目,辛格认为,“这次事件像是有人制造假身份钻政府福利的空子,也可能是误发,但无论如何没有人愿意泄露个人信息给别人,且现在印度政府欲实现无现金社会,这个问题更应得到关注。” 印度政府回应表示,“独特身份系统”系统不会发生任何泄露信息的情况。但负责该项目的机构表示将会调查上述事故。 印度总理莫迪称印度在 11 月初废除了在市场流通的 86% 的印度货币,以遏制非法囤积现金。上述“独特身份系统”分配给每位用户 12 位数字的个人身份证,也是印度政府计划推行的“无现金计划”的关键。 印度政府欲将 12 亿人口(包括儿童)中大约 88% 的的信息,与“独特身份系统”挂钩——从入学,护照到购买煤气都将依赖该系统。这也势必会建成一个更大的数据库。报道说,在一个没有隐私权法的国家,印度人在身份盗窃或数据泄漏的情况下无法补救。 稿源:cnBeta、环球网;封面:cnBeta

美联邦通讯委员会(FCC)主席指出:网络中立是一个错误

FCC 主席 Ajit Pai 在 2017 年移动世界大会演讲期间表示,网络中立是一个错误,FCC 现在将对此采用更加宽松的监管措施。他表示,网络中立性为宽带市场注入了巨大的不确定性,不确定性是增长的敌人。Ajit Pai 长期以来一直反对网络中立,并在 2015 年投票反对该提案。 Ajit Pai 的论点是,互联网提供商在旧规则下做得很好,新的规格损害了互联网公司的投资。 Ajit Pai 表示,FCC 委员会批准零评级计划,这正是为什么美国所有四家运营商现在提供无限数据计划的原因。这些公司的无限数据计划具有高度竞争性,因为上一届 FCC 主席制订了一套明确的规则,它们处于竞争环境。Ajit Pai 认为 FCC 委员会不应干涉市场上的任何东西,除非市场发生巨大的失败,Ajit Pai 认为竞争可以保持开放的互联网,即使没有任何第三方制订的规则。 Ajit Pai 已经担任该委员会的主席一个多月,在那段时间,他已经开始采用几种不同的方式打压网络中立性,包括批准零评级,缩减透明度规则,建议停止主要的新隐私要求。 稿源:cnBeta;封面源自网络

3.6 万名波音公司员工个人信息因雇员操作不当泄露

据调查,去年年底一位波音公司员工向其配偶发送了一份公司电子表格,无意中泄露了 36000 名员工的个人信息。信息包括姓名、出生地点、BEMSID 或员工 ID 号码以及会计部门代码,在表格的隐藏的列中还包括社会保险号和出生日期。 事件发生在 2016 年 11 月 21 日,波音员工遇到格式化问题后,将公司的电子表格电子邮件发送给给他的配偶。今年 1 月 9 日波音公司发现了这起数据泄露,但直到 2 月 8 日才公布。经员工和他的配偶的确认以及计算机法医调查,敏感文件并没有扩散泄露。数据泄露的影响都在控制范围内,公司还未受影响员工提供两年免费的身份窃取保护服务。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Necurs 僵尸网络不断发展,新增 DDoS 攻击模块

近日,BitSight 的 Anubis 实验室发现,Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一,主要用于发送垃圾邮件活动,而 Necurs 则是一种恶意软件,用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前,Pereira 和他的团队发现,除了通常用于通信的 80 端口之外,恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析,研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信,其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型,按头部中 msgtype 字节来区分: ○ 启动 Proxybackconnect( msgtype 1); ○ 睡眠( msgtype 2); ○ 启动 DDOS( msgtype 5),包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前,研究人员还未发现 Necurs 被用于 DDOS 攻击,只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过,基于 Necurs 僵尸网络现有的规模,产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

智能泰迪熊玩具泄露 200 多万条亲子聊天记录

互联网填充智能玩具 CloudPets (泰迪熊)暴露了 200 多万条儿童与父母的录音、以及超过 80 万个帐户的电子邮件地址和密码。 安全研究员 Troy Hunt 发现,这些用户数据存储在一个公开的 CloudPets 数据库中,没有被密码或者防火墙保护,攻击者无需身份验证即可访问。此外,有证据表明已经有攻击者访问了数据库,还删除了数据并索要赎金。Hunt 称至少联系了 CloudPets 泰迪熊智能玩具的制造商 Spiral Toys 四次告知数据库漏洞,但没有收到回复。 这已经不是第一次提到智能玩具泄露用户的隐私数据。此前,德国政府监管机构联邦网络局就发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。起因就是因 My Friend Cayla 严重缺乏安全功能可被黑客控制,并泄露儿童隐私信息。 家长因谨慎使用智能玩具保护孩子的隐私。此外,玩具厂商因提高网络安全意识并加强安全保护措施切实维护好消费者的“利益”。监管机构也应制定相应的规范制度并督促改进。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯网络专家被指控叛国罪,七年前曾向美国共享数据

俄罗斯当局逮捕了两名 FSB 高级网络安全官员以及一名卡巴斯基实验室的员工。他们都由于一份七年前的指控被捕:做出有利于美国的叛国行为。据消息人士透露,嫌疑人可能将秘密信息传递给美国公司 Verisign 以及其他身份不明的美国公司,而这些公司与美国情报机构共享了这些机密信息。 当局还没有公开解释逮捕的原因,但有消息告诉路透社调查机构称,这次逮捕与 2010 年 Pavel Vrublevsky 发起的指控有关,Vrublevsky 是一个俄罗斯商人也是在线支付公司 ChronoPay 的创始人。 美国公司 Verisign 否认从俄罗斯网络安全专家那里接收到了秘密情报:“一方面,我们公司是通过非保密的渠道获得了信息。另一方面,公司不认为提供给政府机构和顾客的信息包含国家机密” 目前俄罗斯当局和俄罗斯联邦安全局拒绝就此案置评。有分析人士指出,此次逮捕行动是克里姆林宫对任何俄罗斯专家与美国政府进行合作的一种警告响应。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

五角大楼宣布开源代码库,公开部分项目非保密软件代码

五角大楼宣布了开源代码网站 Code.mil(或 github.com/deptofdefense/code.mil),将用于公开联邦雇员开发的非保密软件代码。 目前项目还只是一个雏形,还没有代码公开。五角大楼正在征询有关开源代码授权协议的意见,根据代码授权的一个提议,这些公开的代码是没有版权的,美国公民可自由的将这些公开的代码用于私人项目或公共项目。 稿源:cnBeta;封面源自网络