安全快讯Top News

视频共享平台 DailyMotion 被黑, 8520 万用户数据泄露

据外媒报道,流行的视频共享平台 DailyMotion 遭黑客入侵,数千万用户的信息被盗。数据泄露索引服务公司 LeakedSource 周一宣布,已发现 Dailymotion 公司泄露的 8520 万条用户记录。 Dailymotion 是仅次于 YouTube 的全球第二大视频网站。截至 2010 年 10 月,该网站获得每月超过 9300 万的访问者,alexa 排名第 32。 根据 LeakedSource 透露,DailyMotion 数据泄露事件可能发生在 2016 年 10 月 20 日,这意味着黑客可能已经在地下论坛转售了一个多月的数据,泄露的数据包括 8520 万账户的的电子邮件地址和用户名。其中约 20% 的帐户(超过 1800 万用户)包含有密码,密码使用 Bcrypt 散列算法保护,且被反复用 Bcrypt 算法进行了十轮,在一定程度上黑客很难去破解。 目前,视频共享平台 Dailymotion 未对该事件发表任何评论,尚不清楚黑客通过何种方法入侵数据库。 用户可以登录 LeakedSource 查看自己的邮箱是否被收录,如果存在,请建议您尽快更改您的密码。 稿源:本站翻译整理,封面来源:百度搜索

苏格兰足球协会邮件数据库遭入侵,向球迷群发恶意软件

当地时间 12 月 5日,苏格兰足协证实第三方电子邮件数据库遭黑客入侵,黑客访问了数据库并向订阅用户发送包含恶意软件的垃圾邮件。 电子邮件以“尊敬的客户”为标题,要求用户在 48 小时内支付账单。当点击账单后,系统会提示用户下载了一个文件,该秘密格式文件包含恶意软件可感染用户电脑。 苏格兰足协在 Twitter 上发表申明,提醒用户不要点击邮件并尽快删除电子邮件。此外,苏格兰足协也在其官方网站中发表声明陈述了入侵事件,并表示用户的银行或信用卡详细信息没有遭黑客窃取。 目前,调查正在进行,但苏格兰足球支持者协会在 Twitter 上声称攻击服务器来自中国。 稿源:本站翻译整理,封面来源:百度搜索

任天堂推出 3DS 漏洞赏金计划,最多可获 20000 美金

近日,任天堂在漏洞众测平台 HackerOne 上挂上了 3DS的漏洞悬赏任务,提交漏洞的用户可获得任天堂评估给出的 100 到20000 美金不等的报酬。   HackerOne 是一家传奇的漏洞众测平台,很多世界知名的公司都使用它来排除漏洞,例如:Yahoo、Twitter、Adobe、Facebook 等,甚至美国国防部也与其合作参与 “Hack the Pentagon” 的漏洞奖励计划。在HackerOne 有来自 150 多个国家 3000 多名黑客,同时 HackerOne 也是最早接受并利用黑客开展商业模式的公司之一。 此次任天堂在 HackerOne 上公布的任务仅针对 3DS 平台。简而言之,任天堂将对第一位上报合格的漏洞的用户奖励 100 至 20000 不等美元的报酬,具体的奖励金额由任天堂自行评估给出,并且保密。任天堂或者公众已知的漏洞不符合奖励的条件,同时奖励不会发放给处于制裁名单上的人与处于制裁国家名单上的人。 稿源:游民星空,封面:游民星空

韩国军方网络遭入侵泄露大量军事机密,疑朝鲜黑客所为

据韩国先驱报 6 日报道,韩国国防部证实军方内部网络有史以来第一次遭黑客入侵,导致大量军事机密被泄露。此次攻击事件发生于今年 9 月,官方怀疑系朝鲜黑客所为。为防止恶意软件的传播,受影响的网络已被隔离。 “网络攻击行动是以中国沈阳地区服务器作为跳板,黑客或与 2014 年韩国水电与核电公司 入侵事件有关”,国防部一位消息人士透漏,“军方成立了一个网络调查小组彻查入侵事件,才发现大量军事数据已被泄露 —— 其中还包含军方机密信息。这似乎与朝鲜方面有关。” 官方拒绝公布入侵事件的更多细节,“我们不能透露具体有哪些机密失窃,因为它可能会让(朝鲜)获得网络战争的优势”,同时也拒绝透露有多少设备受到网络攻击,但他补充说,内部网络的多台服务器已感染恶意软件。 目前韩国方面迫切需要解决内外网络混用的安全方案,军方也在紧急寻求相关对策。 稿源:本站翻译整理,封面:百度搜索

加拿大寻求更大监管能力:设置软件后门、强制解密、保存纪录

据外媒报道,加拿大新政府正在寻求更大的监管能力,未来它将要求所有服务商都要具备解密功能、强制储存电话和网络纪录、允许用于拦截的后门以及无需搜查令的基本用户信息访问。 虽然强制解密和加密后门在美国没能成功,但在英国《Snoopers’ Charter》监控法 却获得了通过。如今加拿大也开始为尝试推行监控法进行意见收集。 除了通信拦截之外,加拿大政府还希望能获取其他一些服务上的拦截功能。由于端到端的加密服务,连服务供应商自己都没法看到实际内容,执法部门当然也不行。最佳的解决办法就是要求这些公司在通信服务中加入后门。但如果这样的现象得到普及,也就意味着将会有越来越多的客户避免使用这些服务。这也成为了西方许多国家尝试想要通过监控法案的原因所在,这将让民众不得不接受使用存在后门的服务。此外,加拿大新政府还认为应当拥有无需搜查令也能访问用户信息的权力。 稿源:cnbeta.com 节选有删改,封面来源:百度搜索

欧盟督促谷歌、微软等巨头加快打击“仇恨言论”步伐

欧盟委员会周日表示,Facebook、Twitter、谷歌旗下 YouTube 以及微软等美国科技巨头必须加快速度打击网络仇恨言论,否则欧盟将借助法律强制他们这么做。 早在这一警告 6 个月前,这些科技巨头就已经签署了一项自愿行为准则,同意 24 个小时之内在欧洲采取措施打击仇恨言论。这些措施包括在必要情况下移除或者禁止访问相关仇恨言论内容,加强与公民社会组织的合作,针对仇恨言论提出“相反的论述”(counter-narratives)。然而,欧盟委员会称,美国科技巨头对于行为准则的遵守情况很难令人满意。在前 24 小时内,他们只审核了 40% 的已记录案例”欧盟委员会官员称,“ 48 小时后,审核的案例比重上升到 80% 以上。这表明,我们制定的目标是切实可行的,但是这需要IT公司做出更大努力。” 欧盟委员会称,他们可能会制定法律来迫使 IT 公司加快打击仇恨言论。除非,科技公司加快行动,证明非立法措施也可以奏效。 稿源:cnbeta.com节选,封面来源:百度搜索

朝鲜“最安全的”红星操作系统曝远程命令注入漏洞

据外媒报道,Hacker House 研究员发现朝鲜红星操作系统 RedStar OS 3.0 存在远程任意命令注入漏洞,只需要单击超链接,即可让攻击者远程访问用户的计算机、装恶意软件,。 红星(Red Star)操作系统是朝鲜在 Linux 操作系统的基础上自行研发、改进的电脑操作系统。最新的 3.0 系统界面与苹果 OS X 操作系统相似。 由于朝鲜使用独立的区域网络,而不使用万维网,浏览器是基于 Firefox 浏览器改版而成,被称为“我的国家”(Naenara)。 研究员注意到系统中 /usr/bin/nnrurlshow 为特定命令行应用程序并可处理 URI 请求的特性。黑客还发现浏览器存在漏洞 Naenara 执行注册时不擦除应用程序的命令代码请求,将格式错误的 URI 传递到 nnrurlshow 命令行应用中,触发执行命令代码 。 黑客可以诱使用户在浏览器上点击一个链接,之后将启动电子邮件客户端并调用命令行指向“ mailto:`cmd` ”,此后黑客就可以获得权限执行任意代码,操纵电脑、安装恶意软件等。 稿源:本站翻译整理,封面来源:百度搜索

英国政客投票将自己排除在政府监视范围内

英国通过了史上最受争议的监控法律,而政客们却 将自己排除在监视法律之内。英国的 Investigatory Powers Act 要求记录浏览历史、要求科技公司帮助解密加密通讯记录——意味着需要实现某种后门。对于大多数人而言,只要有国务大臣签发的搜查令就能对其进行监视;而对于议会成员和其他政客,搜查令需要获得首相的批准。受到保护的政客除了国会议员,还有地方议会和欧盟议会的成员。 稿源:solidot奇客 有删改,封面:百度搜索

谷歌 Chrome 新版更新发布,修复 36 个安全漏洞、默认启动 HTML5

上周四,谷歌发布 Chrome 55.0.2883.75 版本更新,本次更新修复了 36 项安全问题并提升稳定性,其中包括 12 个高严重漏洞。此外,同时将 HTML5 作为网页的默认支持选项。 本次更新修复的 36 个漏洞,有 26 个来自漏洞赏金项目,总计支付研究人员 70,000 美元的奖励,另外 10 个安全补丁是谷歌自己发现并解决的。漏洞中存在 12 个高严重漏洞,涉及跨站点脚本 bug、默认 PDF 查看器“ PDFium ”漏洞、V8 JavaScript 引擎漏洞等。 谷歌过去曾宣布,逐步对 Flash 页面进行“限制”并替换成 HTML5 页面。这次 Chrome 浏览器将将网页的默认支持选项转变为 HTML5 ,但也没有完全禁止 Flash 的运行,用户可通过手动加载 Flash 或设置白名单加载 Flash 。 稿源:本站翻译整理,封面来源:百度搜索

美国网络安全强化委员会发布网络安全建议报告

今年 2 月,美国总统奥巴马成立了的国家网络安全强化委员会旨在通过一系列长期与短期举措改善美国的网络安全态势。 12 月 1 日,国家网络安全强化委员出台了一份 PDF 报告讲述如何保护和发展数字经济(即网络安全防御办法 ),其中含有对奥巴马政府和即将当选总统的特朗普的 16 条网络安全建议。美国政府发布报告指出:“技术进步远远超过现行的安全防御,我们必须改变现行处理和实施网络安全战略和实践的方式。 该报告详细说明了奥巴马对网络安全的愿景、对网络威胁的演变表示了极大的关注,并提出了确保国家基础设施的建议。 此前欧盟网络与信息安全机构也出台医院物联网安全指导方针,保障网络安全。 稿源:本站翻译整理,封面来源:百度搜索