安全快讯Top News

Steam 玩家个人主页存漏洞,可被网络钓鱼、窃取账户余额和物品

据外媒 softpedia 报道,早些时候 Steam 游戏平台玩家被警告:暂不要点击查看个人主页,该页面存在漏洞可被攻击者恶意利用,进行网络钓鱼、盗用 Steam 账户余额买东西套现。幸运的是,目前官方已经修补了这个漏洞。 起初,有粉丝在 reddit 论坛上提出该漏洞利用方式,这是一个基于 Steam 配置文件的注入漏洞。此漏洞影响所有浏览器的 Steam 桌面和移动版本。建议用户不要去点击他人 Steam 个人主页链接并在浏览器上禁用 JavaScript 。 当用户访问其他 Steam 用户的个人资料页面查看信息时,可被攻击者重定向至网络钓鱼登录页面,盗取账户敏感信息。此外,攻击者可进一步利用,无需用户确认即可使用 Steam 账户余额在社区内进行交易、套现资金。 Steam 粉丝在发帖的同时联系了官方客户,目前 Steam 已经修复漏洞。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乐视旗下智能电视制造商 Vizio 非法收集数据赔偿 220 万美元

美国联邦贸易委员会( FTC )周一宣布,乐视旗下智能电视制造商 Vizio 已同意支付 220 万美元以和解一起非法收集电视用户观看数据的案件。 乐视在去年 7 月份宣布收购 Vizio 。Vizio是一家知名电视机品牌,总部位于美国加州尔湾(Irvine),是美国本土最大的智能电视厂商。 FTC 和新泽西总检察长办公室之前曾指控,称 Vizio 在其智能电视上安装软件,在用户毫不知情的前提下,收集了 1100 万台电视的观看数据,并与第三方共享。跟踪数据除了所收看的电视节目、IP 地址、MAC 地址,还包括用户性别,年龄,收入,婚姻状况,家庭规模,教育水平,家庭价值观等。 FTC 在一份公告中称,Vizio 将删除在 2016 年 3 月 1 日以前收集的数据,并执行一项数据隐私计划,该计划每年会被评估两次。此外,Vizio 还必须对其数据收集和共享行为予以披露、并获得用户明确同意,不得对所收集的消费者信息的隐私、安全或保密性进行虚假陈述。 本文由 threatpost 和 ocn 翻译整理,封面来源于网络 转载请注明“转自 HackerNews.cc ” 并附上原文链接

数以千计的 WordPress 网站未修复零日漏洞遭黑客入侵

上周,本站曾报道过 WordPress 修复了 REST API 引起的零日漏洞。据 Sucuri 最新报道,漏洞被披露后,黑客开始尝试扫描、利用漏洞,并成功入侵了众多 WordPress 4.7.0 和 4.7.1 版本网站。 安全公司 Sucuri 监测到的 WAF 网络被攻击趋势 该漏洞于 1 月 26 日修复并于 2 月 3 号披露详情,漏洞可导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。漏洞被披露后不到 48 小时,众多漏洞情报平台开始转载分享。默认情况下 WordPress 启用了自动更新功能,但由于部分原因,某些网站没有更新升级,这给了犯罪分子的可乘之机。 安全公司 Sucuri 表示通过观察蜜罐和网络,已检测到四个不同的黑客组织对该 WordPress 漏洞进行大规模扫描、利用。其中最成功的是“ w4l3XzY3 ”,根据 Sucuri 周一的 Google 搜索结果,w4l3XzY3 已经成功入侵了 66000 个博客页面,现在搜索结果已上升到 100000 +。 w4l3XzY3 组织正在使用的 IP 地址: 176.9.36.102 185.116.213.71 134.213.54.163 2a00:1a48:7808:104:9b57:dda6:eb3c:61e1 第二个黑客组织被称为 Cyb3r-Shia ,目前已成功入侵了 500 + 页面,正在使用的 IP 地址:37.237.192.22。此外另外两个黑客组织 NeT.Defacer 和 Hawleri_hacker 共用一个 IP 地址:144.217.81.160 ,也都各自入侵了 500 + 页面。 特别是还没有来得及更新的网站,管理员应及时检查日志文件,并阻止来自这些 IP 地址的探测,避免被博客被攻击者恶意利用。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美众议院投票通过法案:搜寻旧电邮前须有搜查令

据外媒报道,美国众议院当地时间 6 日投票表决,未来执法当局在搜查科技公司的旧电子邮件前,须先取得搜查令。报道称,对担心特朗普政府可能着手扩大政府监视权限的人士来说,这是他们维护个人隐私努力所取得的一项胜利。 据悉,众议院是以口头表决通过了这项措施。但预计该立法在参议院会遭遇阻力。去年,该法案在众议院获得一致通过后,却因遭少数共和党议员反对,而在参议院触礁。 微软等科技公司已游说国会多年,希望通过电邮隐私法案,更新一项已有数十年历史的法律,强制当局须先取得搜查令,才能拿到时间至少已有 180 天的电邮或其他数码通讯资讯。 目前,美国司法部和证券交易委员会( SEC )等机构,仅需传票就能从服务提供商搜集这些数据。 稿源:cnBeta;封面来源于网络

76 款知名应用存在安全漏洞,累积下载量突破 1800 万

安全研究人员开发的 verify.ly 服务通过扫描 iOS App Store 中的应用发现,有 76 款知名的应用存在安全漏洞,数据传输容易被拦截。无论 App Store 开发者是否使用  App Transport Security(应用传输安全功能),安全漏洞都存在。verify.ly 服务专门帮助开发者扫描 iOS App Store 中的应用,并帮助开发者增强应用安全性。今天的发现令人真震惊,因为这 76 款应用在 App Store 的累积下载量超过了 1800 万。 iOS 系统的 App Transport Security 功能无法帮助阻止这个安全漏洞。App Transport Security 在 iOS 9 中出现,主要帮助提升用户安全性和隐私,简单的说,这个功能强制应用使用 HTTPS。这次出现的安全漏洞问题是因为错误配置网络代码导致的,错误的网络代码导致苹果 App Transport Security 一直认为连接是安全的 TLS 连接,即使连接不是。因为安全问题,Strafach 并没有公开存在安全漏洞的应用名单。 稿源:cnBeta;封面来源于网络

英特尔 Atom C2000 芯片缺陷会让设备变砖

英特尔 Atom C2000 芯片家族存在缺陷会导致使用该芯片的产品停止工作。芯片巨人没有披露受影响的产品和存在缺陷的芯片数量,但已经预留了一笔资金处理该问题。 在这之前,思科发出警告称, 2016 年 11 月 16 日前出售的路由、光网络和交换机产品包含了一个有缺陷的时钟元件,会导致设备在运行 18 个月后加速发生故障。思科没有披露元件供应商的名字,但根据芯片巨人自己公布的 Atom C2000家族 修订版文档,英特尔就是思科的供应商。英特尔在文档中称,缺陷可能会导致 Atom C2000 Low Pin Count 总线时钟输出停止工作,而如果 LPC 时钟停止工作,系统也将无法启动。存在缺陷的产品型号是  Atoms C2xxx B0 步进,英特尔从 2013 年开始供应这些产品。 稿源:solidot奇客;封面来源于网络

洲际酒店证实旗下 12 家店遭入侵,大量客户支付卡数据泄露

洲际酒店集团( IHG )上周证实,旗下在北美和加勒比的 12 家酒店的支付卡系统遭入侵、客户信用卡信息泄露。 1 月 1 日本站就曾报道,安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息,并暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息,并进行了消费提现。洲际酒店立刻进行了调查。 据洲际酒店公布的消息,在 2016 年 8 月至 12 月期间在这 12 家酒店使用信用卡支付的客户都遭到数据泄露,泄露信息包括数据包括持卡人姓名、卡号、信用卡过期时间和内部验证代码。此外,洲际酒店宣称将承担数据泄露对客户造成的经济损失。 据洲际酒店官网显示受影响的酒店包括 旧金山洲际酒店 阿鲁巴岛假日酒店 芝加哥华丽一英里洲际酒店 圣何塞谷皇冠假日酒店 旧金山渔人码头假日酒店 洛杉矶世纪城洲际酒店 Mark Hopkins 洲际酒店 亚特兰大 Buckhead 洲际酒店 Willard 洲际酒店 多伦多 Yorkville 洲际酒店 圣胡安洲际度假酒店和赌场 Nashville 机场假日酒店 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

波兰金融监管网站遭黑客挂马,多家银行感染恶意软件

据外媒报道,波兰银行正在调查一项大规模的系统遭攻击事件,有 20 家波兰商业银行已证实感染了恶意软件。让人震惊的是,这些恶意可执行文件竟然来自波兰自己的金融监管机构,波兰金融监管局( KNF )。 一个未知的攻击者修改了波兰监管局网站的 JavaScript 文件并加载了恶意文件,直到事件发生一星期后监管局才得到银行的反馈发现了该异常文件。一旦,恶意软件被下载执行,将连接国外服务器并执行网络侦察、横向移动以及窃取数据。在某些情况下,攻击者能够对银行基础设施的关键性服务器加以控制。 波兰金融监管局和波兰政府称调查仍在进行,该黑客事件没有造成任何经济损失,但部分加密数据被窃取。 本文由HackerNews.cc 翻译整理,封面来源网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

微软 DRM 版权保护技术暴露 Tor 浏览器用户真实 IP 信息

HackerHouse 的研究人员发现,受 Microsoft DRM 数字版权管理的运行机制影响,在播放受 DRM 保护的媒体内容时,运行匿名浏览器 Tor 的 Windows 用户的隐私匿名性正遭到威胁,将会暴露 Tor 用户的真实 IP 信息。 DRM 是一种数字版权保护技术,技术的核心主要是两项:一是数字加密;二是权限控制。前者阻止了数字内容的非法传播;后者则限制了使用数字内容的方式,如使用期限,可否打印,能否从电脑拷贝到手机上等。从而通过加密视频和音频,防止未经授权的传播或限制使用媒体文件。(百科) 许可证密钥 受 DRM 保护的媒体内容必须从服务器上获取许可证密钥才能打开,因而此过程中需要连接网络。由于运行机制问题,用户在打开媒体文件时,DRM 将在未经用户同意的情况下向网络发出请求数据包,数据包包含 IP 、GUID 标签等等。如果用户没有正确的数字签名,DRM 将在桌面上弹出一个问题对话框。 问题对话框 研究员表示,正是由于这些“签名”的 WMV 媒体格式文件在打开之前,不向用户提供任何警告。很多 Tor 用户误点之后将暴露 IP 等真实信息。该技术可被他人利用来逆向追踪 Tor 用户,研究人员还在 vimeo 网站上传了验证视频。 验证视频截图 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

北约发布适用于网络活动的国际法《塔林手册 2.0 》

北约( NATO )协作网络空间防御卓越中心( CCDCOE )发布《 塔林手册2.0 》这是一部适合和平时期网络行动的国际法规则。 塔林手册是由埃克塞特大学国际法教授 Michael Schmitt 主导,辅以其他 19 位国际法专家撰写。虽然它没有法律地位,也不代表北约本身的意见,但是它已成为处理国际网络问题和参考的重要准则。塔林手册 2.0 最早启动于 2014 年初,国际专家组正式组成于 2015 年 3 月,参加活动的都是以个人身份而不是政府推荐。2015 年 6 月起,先后召开了三次国际专家组会议,每次会议五天,会议上审议各个章节的内容。与此同时,不同版本初稿送至政府提交评论意见,并邀请了大约 50 多名国际法学者,从法律角度进行评审。 塔林手册 2.0 是塔林手册 1.0 的升级扩展版本,都强调适用现实世界已经有的国际法规则,这与西方在网络空间的一个核心理念是相关的,即把现实世界的国际法规则适用到网络空间来。塔林手册 2.0 版本将原先用于处理网络战争的法律拓展到和平时期网络行动的国际法规则。 由 securityweek 和 黄志雄讲座 整理,封面来源:百度搜索