安全快讯Top News

贝宝(PayPal)修复安全漏洞曾允许黑客窃取 OAuth 令牌

Adobe 公司软件工程师 Antonio Sanso 发现在线支付工具贝宝(PayPal)存在严重安全漏洞,允许黑客窃取第三方开发者开发的应用程序在支付时使用的 OAuth 凭证。 研究员称其他使用此类安全认证标准的网站上也存在此类问题,包括 Facebook 和 Google 。 漏洞归结于 PayPal 如何处理返回的应用程序授权认证令牌即 REDIRECT_URI 参数。 开发人员可通过特定 dashboard 注册应用使用 PayPal 支付服务,之后应用可生成令牌请求并发送到中央授权服务器,服务器会制定返回参数 REDIRECT_URI 正常情况: redirect_uri=https://demo.paypal.com/loginsuccessful&nonce=&newUI=Y 但是由于 PayPal 可使用 localhost 作为 REDIRECT_URI 参数。 将返回页面重定向至黑客自己设置的 localhost 页面 redirect_uri=http://localhost.intothesymmetry.com/&nonce=&newUI=Y 黑客可从自己的页面中提取 PayPal 返回的支付请求中的认证令牌信息, 研究员称早在九月就将漏洞报告到 PayPal ,但 PayPal 回应说:“这不是一个漏洞”。PayPal 分析了报告,并最终在 11 月份发布更新,研究人员也获得了相应赏金。 稿源:本站翻译整理,封面来源:百度搜索

沙特遭到毁灭性黑客攻击,民航总局关键数据被清空

彭博社 援引知情人士的消息报道,国家支持的黑客过去两周对沙特阿拉伯发动了一系列毁灭性的网络攻击,大肆进行破坏,抹掉了包括民航总局在内的多个政府机构计算机上的数据。沙特表示正对此展开调查。消息来源称数字证据显示攻击源头是在伊朗。报道称,这次网络攻击的猛烈程度让沙特官员措手不及,民航总局总部的数千台计算机遭到破坏,关键数据遭到清空,迫使其停工了数天。沙特官方声称攻击没有影响航空运输、机场运营和导航系统,称攻击只破坏官方的管理系统。 稿源:solidot奇客, 封面:百度搜索

委内瑞拉陆军网站被黑,军队数据库 3000 帐户详细信息曝光

据外媒报道,昨日委内瑞拉陆军网站遭黑客 Kapustkiy 入侵,军队数据库中至少 3000 账户详细信息遭到曝光,随后 Kapustkiy 表示他还发现了委内瑞拉陆军的 webmail 系统漏洞,可任意登录获取所有注册用户的个人信息。但他“并没有这么做”, Kapustkiy 强调其多次入侵各国政府网站旨在推动网站漏洞的修复。 黑客的努力似乎并没有白费,目前意大利和印度当局已表态愿意与 Kapustkiy 合作一起修补已发现的官网漏洞。 相关阅读: 黑客 Kapustkiy 入侵印度多个高级委员会网站,宣布加入“希腊黑客军团” 黑客 Kapustkiy 入侵匈牙利人权基金会网站,20,000用户敏感信息泄露 黑客 Kapustkiy 入侵意大利政府网站,数据库泄露 4.5 万用户信息 黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库” 黑客 Kapustkiy 再次犯案,巴拉圭驻台湾大使馆数据库被“拖库” 印度驻外大使馆多个员工数据库惨被“拖库” 稿源:本站翻译整理, 封面:百度搜索

美总统将有权向全国发送“警报”短信, iPhone 或将被 CIA、FBI 监控

2016 年美国国会通过了 WARN 法案,拨款 1 亿美元资助“无线紧急警报(Wireless Emergency Alerts)”项目。据《纽约杂志》Select/All 博客消息,美国当选总统唐纳德·特朗普在明年 1 月 20 日宣誓就职后,将能通过 WEA 系统向所有美国人发送无法屏蔽的消息。 特朗普此前常在 Twitter 上发表颇具争议的言论。除竞选内容外,还频繁转发对自己有利的新闻、与粉丝频繁互动、甚至经常“攻击”竞争对手希拉里、发布种族仇恨言论。就连 Twitter 官方都不得不表态:如果特朗普违反仇恨言论规定将予以封杀。 另据彭博社消息,美国联邦调查局(FBI)、国家安全局(NSA)以及中央情报局(CIA)都会在特朗普上台之后获得更大的监视权力。当初苹果和 FBI 大战数回合时,仍在竞选美国总统的唐纳德·特朗普就曾经站出来为 FBI 发声并讨伐苹果。曾有美国媒体预测,迎接特朗普有可能就意味着向苹果的安全性说再见。 稿源:cnbeta.com,本站整理;封面:百度搜索

欧洲刑警组织意外泄露 54 份反恐调查数据

据荷兰 ZEMBLA 电视节目 11 月 30 日报道,由于欧洲刑警组织工作人员失误,导致反恐调查数据意外泄露。数据包含 54 个文件 700 多页秘密调查档案。文件涉及 2006〜2008 年马德里爆炸案等多起恐怖事件调查结果,也包括从未被公开过的反恐调查事件。 欧洲刑警组织副主任 Wil van Gemert 已经承认了泄露事件,并发表了完整的声明:一位经验丰富的工作人员违反了工作条例,在家中将内部数据下载至个人硬盘之上,但没有对连接网络的硬盘设置密码保护,导致数据泄露。经过调查目前数据泄露并未造成负面影响,文件中的部分人士仍处于“长期”调查活动的监控状态。欧洲刑警组织已向各盟国发出通告并继续追踪事件进展,此外还将进行内部整改,避免此类事件发生。 稿源:本站翻译整理,封面来源:百度搜索

英国国家彩票网站遭黑客入侵,26500 账户受影响

据运营商柯莱特(Camelot)公司表示,英国国家彩票网站遭黑客入侵,26500 个用户账户遭黑客非法访问,约 50 个账户的信息遭篡改。 英国国家彩票的运营商柯莱特发表声明证实了黑客入侵事件,2016 年 11 月 28 日,在线安全监控部门发现部分国家彩票账户存在可疑活动。950 万用户中约有 26500 个账户出现异常,其中只有 50 个用户的个人信息发生变化、这些账户已被锁定等待用户解锁。 柯莱特表示网站不存储任何信用卡信息且受影响账户的余额没有发生变化,所以这次事件没有数据被窃取,彩票业务也不受影响。 这次黑客事件主要原因是,这些用户在不同的网站平台都使用相同的登陆信息,国家彩票网站上注册使用的电子邮件地址、密码已在其他站点泄露 稿源:本站翻译整理,封面来源:百度搜索

新恶意软件“ Gooligan ”已盗取 100 万谷歌账户,74% 安卓设备受影响

据外媒报道,安全公司 Check Point 发现一个命名为“ Gooligan ”的新 Android 恶意软件。恶意软件已经感染了超过 100 万个谷歌账户的 Android 设备,并以每天 13000 部设备的感染速度增长。 恶意软件 Gooligan 利用 Android 设备的漏洞获得 Root 权限,窃取电子邮件地址和存储在本地的身份验证令牌,从而劫持 Google 帐户,访问相应 Google 应用的敏感信息。如 Gmail、谷歌照片、谷歌文档、Google Play、云盘、G Suite 等其他程序的数据。 据 Check Point 博客显示,Gooligan 伪装成合法应用隐藏在第三方应用平台,一但安装,Gooligan 会利用安卓 VROOT (CVE-2013-6282) 和 Towelroot (CVE-2014-3153) 漏洞 下载、安装 Root 工具。受影响的设备包括 Android 4.x (Jelly Bean, KitKat) 和 5.x, (Lollipop) ,这些安卓版本的市场占有率超过 74% ,其中有 57% 的设备在亚洲,大约 9% 的设备在欧洲。 如何确定账号是否被盗? 安全公司 Check Point 提供了一个在线工具来检查你的 Android 设备是否已经感染了 Gooligan 恶意软件。 登录 https://gooligan.checkpoint.com 网站,输入邮箱号码。 如果被盗 1、关机并找专业售后刷机 2、更改谷歌密码 稿源:本站翻译整理,封面来源:百度搜索

Mozilla 和 Tor 释出紧急更新修复正被利用的 0day 漏洞

Mozilla 和 Tor 释出了紧急更新修复了正被利用去匿名 Tor 用户的 0day 漏洞。该漏洞只影响Windows 版本, OS X 和 Linux用户不受影响。根据 Firefox v50.0.2的发布公告,该漏洞编号为 CVE-2016-9079,被标为高危漏洞,除了影响 Firefox 外,还影响 Thunderbird 邮件客户端,以及基于 Firefox 扩展支持版的 Tor 浏览器。与该漏洞相关的 bug 被认为已经在 Firefox 代码中存在了五年之久。由于漏洞利用代码是被用于去匿名 Tor 用户的身份,因此它被怀疑是执法机构如 FBI开发的。 稿源:solidot奇客,封面:百度搜索  

Kangaroo 勒索软件曝光,暂无解决方案

援引安全公司 Bleeping Computer 报道,在感染名为“袋鼠”(Kangaroo)的勒索软件之后,用户开机进入桌面之前会伪装成法律声明来恐吓受害人,甚至阻止运行任务管理器、禁用负责显示 Windows UI 的 Explorer.exe 进程。 这款勒索软件并非通过下载携带恶意程序的文件或者访问钓鱼网站进行传播,而是黑客使用远程桌面手动进入受害人的电脑。一旦受害人执行了 Kangaroo 勒索软件,就会显示一个受害人身份 ID 以及加密密钥的窗口。 随后,该勒索软件就开始对文件进行加密,在加密文件上会显示.crypted_file的后缀。在完成对硬盘文件的加密之后,软件就会自动进入锁屏,并表明电脑存在严重的安全隐患,要求受害者向黑客支付一定费用才能完成解密。 令人感到遗憾的是,尽管 Bleeping Computer 已经找到了通过安全模式绕过锁屏的方法,但是这些加密的文件目前仍未有解密的工具实现。 稿源:cnbeta.com,封面来源:百度搜索 ·

英国 NPCC 报告网络摄像头勒索案件数量剧增,四起自杀事件与此有关

据外媒报道,英国国家警察局长委员会 (NPCC) 近日发布报告中,从去年开始“性勒索”案件数量急剧增加,在英国至少有四起自杀事件是与这种形式的勒索有关。”英国警方表示,今年已接到 864 起与网络摄像头勒索相关的报案,这个数量是去年全年的两倍。受害人的年龄则在 14-82 岁之间,其中受害人主要是 21-30 岁的男性。 NPCC表示:“性勒索”是犯罪分子利用假身份与受害人在网上结为好友,并说服他们在网络摄像头前进行色情表演,并通过网络摄像头获取这些照片并以此来威胁受害者。除非他们支付赎金,不然就将这些照片发给他们的家人或朋友。 有时候犯罪分子还会提高他们的赎金要求。 英国国家打击犯罪调查局 (NCA) 和 NPCC 针对这种情况发起了一项新活动,并针对这些受害者提出一些建议: 1.不要惊慌——警方将认真处理你的案件。警方也将秘密处理你的案件,并且不会对你所处的状况作出评价。 2.不要支付——我们建议不应该向敲诈者支付赎金。即使你向敲诈者支付赎金,他们仍然可能会公布材料或提高赎金金额。 3.保留好任何证据——你可以暂停你的社交媒体账户,但不应该删除它们。 警方可以访问一些暂停的账户来获取信息。 另外,你应该将所有相关邮件或信息截图,来协助警方调查。 4.通知社交媒体服务商——社交媒体服务运营商或许可以移除敲诈者上传的材料。 他们或许可以在相关材料再次出现时设置提醒。” 稿源:cnBeta,封面:百度搜索