据外媒 3 月 5 日报道，lgtm.com 的安全研究人员发现 Pivotal 公司 Spring Data REST 中存在一个严重漏洞，能够允许远程攻击者在目标设备（该设备运行着使用 Spring Data REST 组件的应用程序）上执行任意命令。 研究人员认为该漏洞与 Apache Struts 中导致 Equifax 数据泄露的漏洞比较相似，并将其追踪为 CVE- 2017-8046。 根据 Semmle / lgtm 发布的安全公告显示，该漏洞与 Spring 表达语言（SpEL）在 Data REST 组件中的使用方式有关，而且缺少对用户输入的验证也是允许攻击者在运行由 Spring Data REST 构建的应用程序设备上执行任意命令的很大一部分因素。 目前该漏洞很容易被利用，因为 Spring Data REST 的 RESTful API 通常可公开访问，所以其中存在的缺陷可能会更轻易地让黑客控制服务器和访问敏感信息。 受影响的 Spring 产品和组件： Spring Data REST 组件，2.5.12,2.6.7,3.0RC3 之前的版本 Maven构件：spring-data-rest-core，spring-data-rest-webmvc，spring-data-rest-distribution，spring-data-rest-hal-browser Spring Boot，2.0.0M4 之前的版本 当使用包含的 Spring Data REST 组件时：spring-boot-starter-data-rest Spring Data，Kay-RC3 之前的版本 据了解，Pivotal 已针对该漏洞发布了安全补丁，并敦促其用户更新他们的应用程序。 相关报告： 《 CVE-2017-8046: RCE in PATCH requests in Spring Data REST 》 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 5 日消息，日本游戏开发商 Nippon Ichi Software 透露，其美国分公司 NIS America 的网上商城 store.nisamerica.com 和 snkonlinestore.com 于 1 月 23 日至 2 月 26 日的某个时间段遭受了严重的数据泄露，可能会影响在线客户的个人信息和财务数据。 根据 NIS America 上周向受影响客户发的一封电子邮件得知，该公司在 2 月 26 日上午发现其结账页面被链接了一个恶意程序，具体流程为： 黑客设法在用户下单后获取其付款卡细节和个人信息，然后恶意程序将用户返回到 NIS America 存储页面，以完成进一步的欺骗交易。 邮件中并未提及具体有多少客户在此次事件中受到了影响，也没有提供进一步的攻击详情。为了表示歉意，该公司通过其在线商店向客户提供了 5 美元的优惠折扣。 目前 NIS America 表示他们已解决了此次恶意事件，并增加了新的安全措施来提高其在线商城的安全性。此外，NIS America 建议客户更改帐户密码，并监控其银行或信用卡帐单的可疑活动，以及注意欺诈性电子邮件、文本、电话或请求个人信息的可疑网站。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 3 月 2 日报道，全球最大语音识别公司 Nuance 声称因受恶意软件 NotPetya 的攻击影响，其损失金额已超过 9000 万美元。 NotPetya 于去年 6 月 27 日在全球各地尤其欧洲地区爆发，最初只被认为是勒索软件 Petya 的变种，后经深入研究发现 NotPetya 其实是比勒索软件更具破坏性的硬盘擦除器。 在这场攻击活动中，受影响的企业包括俄罗斯石油公司 Rosneft、马士基航运集团、美国医药巨头默克集团（Merck）、联邦快递（FedEx）、全球领先巧克力饼干零食生产商亿滋国际（Mondelez International）、语音识别公司 Nuance、利洁时集团（Reckitt Benckiser）和圣戈班集团（Saint-Gobain）等，据估计，这些公司至少都损失了数百万美元。 去年，Nuance 估计其 2017 年第三季度的收入因 NotPetya 攻击约会损失 1500 万美元，但目前该公司表示，这次袭击造成的经济损失总额已接近 1 亿美元。一份 Nuance 向证券交易委员会（SEC）提交的最新 10-Q 文件显示了该总额的由来： NotPetya 在 2017 年为其带来的经济损失约为 6800 万美元，再加上由于实施了补救措施， Nuance 还产生了约 2400万 美元的增量成本。 文件指出，NotPetya 恶意软件影响了 Nuance 的一些系统，比如其医疗保健客户使用的系统（主要用于转录服务，以及由成像部门用来接收和处理订单）。目前来说， Nuance 公司的医疗保健部门受到的冲击最大。 除此之外，该公司还表示，虽然此次袭击的直接影响在 2017 财政年度中得到补救，但 2018 财年第一季度的业绩仍会受到继续影响。由此，Nuance 决定将在 2018 及以后的财政年度投入更多的资金来改善和提升信息安全。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 4 日消息，英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新型智能电表存在安全漏洞，可能会对数百万布列塔尼人（西欧法国西北部布列塔尼半岛上的居民）的物联网设备构成严重风险。 新型 SMETS 2 智能电表解决了能源公司第一代 SMETS 1 仪表的各种问题。与旧的 SMETS 1 仪表不同，能源供应商可以使用 SMETS 2 以电子方式远程接收仪表读数。 据 “ 每日电讯报 ” 报道 ， GCHQ 认为智能电表存在安全隐患：攻击者能够窃取智能电表用户的个人信息，并且通过篡改账单来获取利益。一位网络安全专家表示，攻击者对智能电表的通用计量表尤为钟爱，因为如果他们能够使用相同的软件攻击每个计量器，那么潜在回报会非常高。也就是说，网络犯罪分子通过人为地增加抄表数量，使账单数额变得更高。然后，他们利用一些手段去拦截支付，并欺骗能源公司相信该支付行为是正常合法的。 除此之外，文章也透露了其他方面上智能电表可能会引起的问题。 GCHQ 警告称攻击者能够使用这些存在漏洞的设备作为 “ 特洛伊木马” 进入客户的网络。 英国政府担心某些国家的黑客开勇能源智能电表的缺陷造成电力飙升，从而损害国家电网。 安全专家也表示，BlueBorne 攻击可能会通过利用蓝牙连接来将智能电表暴露给黑客。 不过促进智能电表推出的能源公司 Robert Cheesewright 却试图淡化其设备的风险，并解释说智能电表没有直接管理与财务相关的数据，但显然这种解释未曾考虑到不同的攻击场景，例如 2014 年，安全研究人员 Javier Vazquez Vidal 和 Alberto Garcia Illera 发现西班牙数百万联网电表由于缺乏适当的安全控制而容易受到网络攻击。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据德国新闻机构 DPA 报道，俄罗斯黑客组织 APT28（又名 Fancy Bear、 Pawn Storm、 Sednit、Sofacy 和 Strontium）攻破了德国外交部和内政部的计算机网络，并在其中植入了恶意软件。有关安全专家认为 APT28 在这些部门的潜伏时间可能长达一年。截至目前，已约有 17 千兆字节的数据被窃取，可用于进一步攻击德国政府。 德国政府在去年 12 月发现了这起入侵事件后，采取了相应的控制措施。目前该事件还在调查中。 其实俄罗斯 APT28 黑客组织并不是第一次被指责与德国的网络攻击有关，早在 2015 年，该黑客组织被认为入侵了德国议会的系统。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 1 日消息，美国海军陆战队在本周遭受了重大的数据泄露，超过 21,000 名海军陆战队员、水手以及普通公民的高度敏感信息被意外暴露在未加密的电子邮件中。据悉，邮件附件中列出了被泄露人员的个人财务详细信息，其中包括截短的社会安全号码、信用卡信息、银行路线号码、电子资金转账详情、住宅位置、邮寄地址以及紧急联系信息。 据美国海军海军陆战队时报报道，该起事件是由于美国国防部的国防旅行系统（DTS）在 2 月 26 日将一封包含高度敏感个人信息的邮件分发到错误的电子邮件名单中（未分类的 “ usmc.mil ”海军域名以及民用帐户）而造成的。目前具体有多少人接收到了邮件还并不清楚。 DTS 是美国国防部门用于管理官方授权旅行、旅行路线和差旅费用的管理系统。 事件发生后，海军陆战队发言人安德鲁·阿兰达少校在发布会上声称该事件没有涉及恶意行为，并且也已经撤回了电子邮件 ，以减少接收它的账户数量。 他表示，海军陆战队目前正在调查泄露行为的严重程度，并计划更改条例以更好地保护个人数据，避免将来发生类似事件。与此同时，他们也在努力通知那些受到数据泄露影响的人，并就减轻欺诈和身份盗窃风险提供指导。 其实这并不是美国联邦政府近年来首次发生影响军事和国防人员的重大数据泄露事件。 例如， 2015 年，美国人事管理办公室称其遭受过两起数据泄露事件，暴露了至少 2210 万人的敏感信息，其中包括现任和前任联邦雇员、承包商、以及其家人和朋友。这是美国政府历史上最具破坏性的网络抢劫案之一。从那时起，美国联邦政府就实施了一系列的措施来增强其网络安全。 不过今年 1 月份，美国国土安全部还是遭到数据泄露，暴露了超过 24 万名前任和现任雇员的敏感身份信息。 相关阅读： 美国海军数据泄露，涉 13.4 万士兵个人信息 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 25 日消息，有关消息人士向新闻媒体透露，加拿大联邦政府预计为网络安全引入 10 亿美元的资金，以解救网络犯罪盛行、政府难以应对的困境。 根据加拿大当地媒体报道， 加拿大政府将于本周发布预算细节： 拟议的预算中将为打击国家网络犯罪提供资金，这可能会包括培训下一代网络专业人员、通过外包本地私营公司来加强军方的网络安全能力的费用。 此外，预算还将为政府和私营部门共同开发的网络项目提供资金。例如，加拿大的网络安全由加其信息和技术公司提供，而这些公司将与联邦政府合作开发硬件和软件解决方案。 与此同时，一些匿名消息人士告诉加拿大 CBC 新闻 ，鉴于美国 2016 年总统选举期间发生的事情， 加拿大联邦政府可能还打算获得单独资金，以帮助保护 2019 年的全国选举免受外国干涉。 加拿大加强网络安全的措施被认为是及时的，因为如果在没有具体计划的情况下去制止网络攻击，很可能会浪费金钱和资源。正如联合国秘书长安东尼奥·古特雷斯在里斯本大学 2 月 19 日发表的讲话中所说，各国应该开始制定明确的规则（即国际规则）， 以保护公民免受网络犯罪。 消息来源：futurism，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 2 月 26 日报道，以色列移动取证公司 Cellebrite 称其拥有一款新型的黑客工具，用于解锁 iOS 11 及更早版本的 iPhone 设备，这似乎几乎已经涵盖了市面上任何型号的  iPhone 。 除此之外， Cellebrite 的解锁技术也能够应用于一些谷歌安卓系统的智能机。 Cellebrite 公司成立于 1999 年，主要是为其客户提供数字取证工具和手机软件，同时它也是美国执法机构重要的安全承包商。根据相关资料显示，Cellebrite 的主要产品之一是通用法医提取设备（UFED），可帮助调查人员从手机中提取所有数据和密码。 Cellebrite 在一份 “ 高级解锁与数据提取服务 ”文件中表示，其服务除了适用于 iOS 5 至 iOS 11 版本的设备之外，还可以在  iPhone、iPad、iPad mini、iPad Pro 和 iPod touch 的操作系统中使用 。 不仅苹果设备，Cellebrite 还可以解锁三星（Galaxy 和 Note 系列）、阿尔卡特、谷歌 Nexus、宏达电、华为、LG、摩托罗拉、中兴等多家公司的谷歌安卓系统智能手机。 Cellebrite 认为其高级解锁服务是业界唯一能够克服市场领先设备上多种复杂锁定方法的解决方案， 苹果 iOS  以及谷歌安卓设备上的 PIN 、模式、以及密码锁定或者其他密码都能够被获取。 其实早在两年前，2015 年圣贝纳迪诺枪击案发生后，FBI 就曾要求苹果解锁恐怖分子的 iPhone 设备，不过苹果方面以保护用户数据安全为理由拒绝了警方。 虽然现在看来 Cellebrite 的 iPhone 黑客工具似乎能够为 FBI 提供一些帮助，但苹果也会定期推出补丁和软件更新，以解决用户的潜在威胁。为了安全意见，建议用户保持设备的最新状态，因为 Cellebrite 公司的技术是否适用于最新更新的 iOS 11 还并不确定。 消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 27 消息，Cloudflare 和 Arbor Networks 公司于周二警告称，恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务（DDoS）放大攻击，全球范围内许多服务器（包括 Arbor Networks 公司）受到影响。 memcached 是一个高性能的分布式内存对象缓存系统，用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提高动态、数据库驱动网站的速度。此外，客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次（DDoS）放大行动中，攻击者使用与受害者 IP 相匹配的假冒 IP 地址，将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节，但其响应却比正常的要高出数万倍，这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地，但主要是在北美和欧洲范围内，目前大部分服务器由由 OVH，DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps，但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps，甚至可能还会更高。Arbor Networks 指出，这些攻击中使用的查询类型也可以针对 TCP 端口 11211，但由于 TCP 查询不能真实被欺骗，因此该协议被滥用的可能性并不高。 根据 CDN （内容交付网络）监控的攻击数据来看，目前大约有 5700个与 memcached 服务器相关的 IP 地址，但专家预计未来会发现更大的攻击，因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国，其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持，并提醒系统管理员确保他们的服务器不能从 Web 访问。另外，互联网服务提供商（ISP）也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

先进攻击战略的传播已经模糊了治国方略和谍报技术之间的界限，使威胁局面超越了传统安全措施的防御能力。根据 2018 年 “ CrowdStrike 全球威胁报告 “显示：通过分析 176 个国家每天 1000 亿件事件的综合威胁数据发现，勒索和数据武器化已成为网络犯罪分子的主流，严重影响了政府、医疗以及其他行业。导致这种情况的部分原因是由于与国家有关的网络攻击活动和有针对性的勒索软件数量正在增加，不过也有可能受到地缘政治甚至是军国主义剥削目的的影响。 此外，供应链泄露、加密欺诈以及采矿业务为国家资助者和网络犯罪人士提供了新的攻击手段。 CrowdStrike 的联合创始人兼首席技术官 Dmitri Alperovitch 表示：“ 我们已经看到网络对手发起了大规模的破坏性攻击，导致机构组织在数天或数周内无法正常运营。在未来的一段时间内，安全团队很可能在及时发现、调查和防御攻击方面面临着更大的压力。” 除此之外，报告还显示，一些已经建立的、资源充足的网络操作不断创新，例如探索分发犯罪软件的新方法，并采用先进的战术渗透，从而摧毁系统。 以 2017 年为例，CrowdStrike 观察到 ，约有 39％的攻击活动中传统防病毒软件无法检测到恶意软件的入侵，其中制造业、服务业和制药行业面临着最多数的恶意软件威胁。目前根据 CrowdStrike 统计， 2017 年的平均 “ 突破时间 ” 为 1 小时 58 分钟（突破时间表示攻击者从入侵的初始系统横向移动到网络中的其他机器所花费的时间——译者注）。 CrowdStrike 情报副总裁 Adam Meyers 表示：“ 现在各国与网络犯罪人士之间的界限日益模糊，以至于威胁的复杂性提升到了一个新的高度。” 消息来源：infosecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。