安全快讯Top News

三星多个项目代码泄露 包括SmartThings源代码和密钥

北京时间5月9日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。 三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。 迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。 部分泄露代码截图 他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。 三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。 胡赛因说:“我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用该员工的帐号去修改代码。 胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。(维金) (稿源:新浪科技,封面源自网络。)

MongoDB 数据库: 泄露超 2.75 亿条印度公民信息记录

据外媒报道,大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息(PII)的记录,该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现,泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是,还没有找到任何与所有者相关的信息。此外,存储在数据库中的数据集合的名称表明,收集整个简历缓存是“大规模抓取操作的一部分”,其目的不明。 Diachenko立即通知了印度CERT(计算机安全应急响应组)团队,但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的,且Diachenko发现了以下留言: MongoDB之前也发生过类似的数据泄露事件。究其原因,是因为其很多数据库都由所有者公开访问,并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全(Security)版块,其中显示了如何正确保护MongoDB数据库,以及MongoDB管理员的安全检查表。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Binance 遭黑客入侵 损失价值超 4000 万美元的比特币

HackerNews.cc 5 月 8 日消息,全球最大的加密交易货币场所之一Binance,今日确认公司损失了近4100万美元的比特币。这似乎是该公司迄今为止遭受的最大黑客攻击。 Binance的CEO赵长鹏发声明说公司早在5月7号前就已发现大规模的安全漏洞。黑客因此窃取了大约7000个比特币,价值4060万美元。 据该公司称,恶意攻击者使用了各种攻击技术,包括网络钓鱼和计算机病毒,实施了这一入侵,并侵入了一个BTC热钱包(一个连接到互联网的加密货币钱包)。该钱包约占公司比特币持有总量的2%,并在一次交易中提取了被盗的比特币。更令人不安的是,该公司承认,黑客设法获取了用户的关键信息,如API密钥、双因素身份验证码,以及其他潜在的信息。这些信息是登录Binance帐户所必需的。但幸运的是,用来储存大部分资金的线下钱包即Binance的冷库仍然是安全的。此外,联网的个人用户钱包没有受到直接影响。 Binance已经将其平台上的所有存款和取款业务暂停了大约一周,同时全面审查了安全性并调查了这起事件。CEO表示,该公司去年建立了一个名为“用户安全资产基金(SAFU)”的内部保险机制,该机制将覆盖黑客攻击的全部金额,不会影响用户。   消息来源:Thehackernews, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019 年 5 月 Android 安全补丁发布:共计修复 30 处漏洞

谷歌于今天发布了2019年5月的Android安全补丁,修复了最新发现的诸多重要安全漏洞以及各种Android组件中发现的其他问题。本月的Android安全补丁包含2019-05-01和2019-05-05两个安全级别,共计修复了30处漏洞,涉及Android Framework、Media framework、Android System、Kernel以及Nvidia、Broadcom和高通在内的诸多组件。 在本次安全补丁中修复的最重要漏洞会影响Media framework,允许远程攻击者执行任意代码。在安全公告中写道:“修复的这些问题中最严重的就是Media framework中的关键级安全漏洞,能够让远程攻击者使用特制的文件进行提权,并执行任意代码。这个漏洞的危险等级评估是基于该漏洞对受影响设备的影响而决定的。” 2019年5月的Android安全补丁目前已经面向所有处于支持状态的设备提供,包括Google Pixel,Google Pixel XL,Google Pixel 2,Google Pixel 2 XL,Google Pixel 3和Google Pixel 3 XL。Essential Phone用户应该是第一批获得2019年5月Android安全补丁的用户,通过OTA(无线)方式更新安装。 如果用户想要体验更安全,更安全的Android移动操作系统,我们建议所有Android用户尽快将他们的设备更新2019年5月的Android安全补丁。 访问:https://source.android.com/security/bulletin/2019-05-01   (稿源:cnBeta,封面源自网络。)

黑客集团内部是如何运作的?它们也有CEO和项目经理

网络犯罪组织会为了争夺客户而相互竞争,会花重金招募最优秀的项目经理,甚至会寻找合适的人才来担任类似于首席执行官的角色,在规范管理人员配置和攻击事务之外负责如何帮助牟取更多的资金。来自IBM和谷歌的安全研究人员描述了网络犯罪组织内部是如何运作的,并且称它们经常会公司化运作。 IBM Security威胁情报主管Caleb Barlow表示:“我们观察到他们也有比较严明的纪律,在办公时间里很活跃,他们也会在周末休息,他们也会定时工作,他们也会休假。它们会以公司化进行运作,会有一个老板全权管理所有攻击行为。它们就像是你雇佣装修公司一样,它们有着很多的分包商,就像是水电工、木工和油漆工一样,它们也和你一样正常上下班。” Barlow表示了解恶意黑客如何构建和运营其业务非常重要,而公司化可以更好地掌握他们正在攻击的任务。虽然并非所有网络犯罪组织都完全相同,但大体结构应该是这样的:领导者,例如CEO,会监督整个组织的更广泛目标。而他或者她会雇佣和领导诸多“项目经理”,而每个项目经理负责每次网络攻击的不同部分。 恶意软件的攻击者可能首先购买或创建有针对性的攻击工具,以窃取集团所需的确切信息。另一位攻击者可能会发送欺诈性电子邮件,将恶意软件发送给目标公司。一旦软件成功交付,第三位攻击者可能会努力扩大集团在目标公司内的访问权限,并寻求可以在暗网上进行销售的相关信息。 IBM还提供了一张信息图,展示了从犯罪集团的角度,如何发起为期120天针对一家财富500强公司的真实案例。负责IBM X-Force业务安全事件响应的Christopher Scott表示称在这种情况下,对财富500强企业的攻击意味着窃取和破坏数据,不同的颜色大致代表不同的工作职能。 在图形的左侧,专门破坏公司网络的攻击者以自己的方式进入业务以获得立足点。其他“项目经理”通过窃取他们的凭证来破坏各种员工帐户,并使用这些帐户执行该计划中的不同任务,从访问敏感区域或收集信息。时间线上的差距代表了黑客停止进行某些活动的时期,因此他们不会将公司用来检测犯罪活动的传感器干扰。 在120天周期尾声的时候,以鲜红色为代表的黑客专家最终画上句号,使用不同的恶意代码来破坏公司的各种数据。隶属于Alphabet集团“Other Bet”下方,专门从事网络安全的Chronicle公司研究主任Juan Andres Guerrero-Saade解释称:“如果我是一名优秀的开发人员,那么我会选择创建勒索软件并将其出售,或者将其像那些提供software-as-a-service的公司一样作为服务出售。然后我会不断维护这款恶意软件,如果你找到受害者并让他们受到感染支付赎金,那么我将收取10%或20%的分成。”   (稿源:cnBeta,封面源自网络。)

以色列国防军首次以空袭方式成功阻止激进组织哈马斯的网络攻击

以色列国防军(IDF)近日表示已经成功阻止了加沙地带的激进组织哈马斯(Hamas)上周末发起的网络攻击,并对该建筑进行了空袭。这也是IDF首次通过物理攻击方式来打击网络攻击。由于哈马斯和ID在过去三天内发生了多次互相攻击,从而导致了严重的暴力事件。 来自于 IDF 据悉哈马斯向以色列发射了600多枚火箭弹,而以色列国防军则对其数百枚军事目标进行了自己的罢工。到目前为止,至少有27名巴勒斯坦人和4名以色列平民被杀,其中有100多人受伤。以色列和哈马斯之间的紧张局势在去年有所增加,抗议和暴力事件仍时有爆发。 在上周六的战斗中,IDF表示哈马斯发起了针对以色列的网络攻击,但是并没有透露具体的攻击目标。但以色列时报称,哈马斯的目的是“[破坏]以色列公民的生活质量”。IDF表示这次网络攻击并不复杂,而且在进行物理打击之后哈马斯将不再具备网络能力。     (稿源:cnBeta,封面源自网络。)

安全研究人员玩上怀旧梗:“邪恶大眼夹”可帮助隐性感染 Office 文档

一种名叫Evil Clippy(邪恶大眼夹)的工具现在正在帮助黑客感染您的Office文档。白帽黑客一边写病毒一边玩上了怀旧梗,还配上了剧情:“多年的嘲笑使得大眼夹走向黑暗的一面。”来自荷兰的安全研究人员刚刚发布了这一“协助安全专家和测试人员创建恶意MS Office文档的工具”。 Evil Clippy可以使恶意的Microsoft Office文档无法被反病毒软件检测到,它可以隐藏VBA宏,并让流行的宏分析工具发生混淆。 该应用程序依赖于Office功能才能够运行,例如“VBA Stomping”。如果检测到已知MS Office版本,则可以使用伪代码替换恶意VBA源代码,而恶意代码仍将通过p-code执行。这样一来,该应用程序可以欺骗任何分析VBA源代码的工具,包括防病毒软件。 安全研究人员可以在此处找到该工具的最新源代码)。     (稿源:cnBeta,封面源自网络。)

FTC 就 Facebook 隐私泄露惩罚问题未能达成一致意见

据外媒报道,来自《纽约时报》的一篇新报道称,FTC难以就针对Facebook隐私泄露的惩罚问题达成一致,该委员会成员还特别在意是否让这家公司的CE马克·扎克伯格承担个人责任。 据报道,Facebook因严重侵犯公众隐私而面临FTC的巨额罚款,这家社交网络公司表示将拨出30亿美元用于支付这笔罚款,另外它还可能会被要求在公司内部设立专注隐私工作的新职位。鉴于Facebook上季度的营收有151亿美元,30亿美元对其来说只是小菜一碟。 《纽约时报》的报道指出,FTC主席Joseph Simons已让委员会的三名共和党成员准备批准一项协议,然而其余两名民主党成员则坚持采取更加严厉的惩罚。不过据报道,Simons试图避开党派路线的决定,而这可能会引发政治后果或潜在诉讼。此外,被视为软弱回应的做法还可能会削弱公众对FTC的监管信心,特别是在欧洲实施了更为严格的监管规定之后。   (稿源:cnBeta,封面源自网络。)

GitHub 源码被黑客洗劫和勒索事件 微软也未能幸免

Git仓库被黑客洗劫和勒索的事件,似乎微软也未能幸免。微软确认其开源开发平台昨天也被黑客攻击,他们被要求支付款项才能归还他们窃取的数百个源码。黑客擦除了微软多达392个代码存储库,并提出勒索要求。此前,黑客攻击了包含微软在内的大批受害者的Git存储库,删除了所有源代码和最近提交的内容,并留下了支持比特币支付的赎金票据。 勒索信息如下: “要恢复丢失的代码并避免泄漏:将比特币(BTC)发送到我们的比特币地址,并通过电子邮件admin@gitsbackup.com与您联系,并附上您的Git登录信息和付款证明,” “如果您不确定我们是否有您的数据,请联系我们,我们会向您发送证明。您的代码已下载并备份到我们的服务器上,“ “如果我们在未来10天内未收到您的付款,我们会将您的代码公开或以其他方式使用。” GitLab安全总监Kathy Wang发表声明回应网络攻击: “我们已确定受影响的用户帐户,并已通知所有这些用户。根据我们的调查结果,我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。“ Atlassian的安全研究员杰里米·加洛韦(Jeremy Galloway)已经独立证实,大量用户受到了这种黑客行为的影响。 GitHub建议启用双因素身份验证,为帐户添加额外的安全层。   (稿源:cnBeta,封面源自网络。)  

“盗梦空间栏”,Chrome 移动版上的新型网络钓鱼

一种名为“盗梦空间栏”(Inception Bar)的新型网络钓鱼技术出现了,并被证实适用于 Chrome 移动版。 该方法允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址,并附带挂锁图标,以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是,假 URL 也可以显示为带有交互式内容的动态栏。 开发人员 Jim Fisher 无意中发现这一方法,并在其个人博客进行实验,展示了它的工作方式。 在 Chrome 移动版中,当用户向下滑动页面时,浏览器会隐藏 URL 栏,为网页腾出更多空间。正因如此,网络钓鱼站点得以显示自己的虚假 URL 栏。 通常,当用户向上滚动时,Chrome 会重新显示网址栏。但黑客可以欺骗 Chrome,使真正的网址栏永远不会重新显示。 一旦 Chrome 隐藏了 URL 栏,整个页面内容都可以被移动到带有新元素overflow:scroll 的“滚动监狱”中。接下来,用户会以为他们在向上滑动页面,但事实上他们只是在“滚动监狱”中向上滚动,就像《盗梦空间》中的套环梦境一样。 虽然黑客可以使用 URL 栏的静态图像来掩盖真实的 URL,但他们甚至可以创建一个交互式 URL 栏,使其看起来更加可信。 目前为止,还没有关于恶意利用该方法造成破坏的报道。我们可以采取一些措施来保护自己免受“盗梦空间栏”的攻击: 在 Chrome 浏览器中访问网页时,可以锁定屏幕然后重新解锁。这时,被隐藏起来的真实 URL 会自动显示,如果网络钓鱼站点在起作用,用户将同时看到两个 URL 栏; 钓鱼栏右上角的选项卡数量通常显示不准确,留心检查已在不同选项卡中打开的网页数量,则可以发现异常; Chrome 的黑暗模式会将所有 UI 元素设置为黑色,而虚假的 URL 栏通常显示为白色,这也可在一定程度上帮助识别伪 URL 栏。 参考:Jim Fisher、gadgets360   (稿源:开源中国,封面源自网络。)