AlphaBay 是目前全球最活跃的暗网市场之一。据外媒报道，化名为 Cipher0007 的黑客两天前在 reddit 披露：已成功利用网站内部邮件系统漏洞获取了AlphaBay 近 20 万未加密的对话信息。由于官方并未默认对数据进行加密，从而使黑客能够轻易查看买卖双方销售和利用非法药物、恶意软件以及失窃数据的所有对话消息。 买卖双方超过 218,000 条私人对话消息暴露 黑客 Cipher0007 为证明已成功入侵 AlphaBay 网站，曾随机公布了 5 个用户私人对话的屏幕截图，图片显示 AlphaBay 用户在未加密的情况下公开交换了他们的姓名、地址和跟踪号码。 AlphaBay 修复漏洞并支付赏金 AlphaBay 论坛消息显示，黑客在 Reddit 发布消息的数小时内，官方就已及时修复了漏洞，并保证用户的订单数据和比特币地址都是安全的。同时，官方建议用户使用 PGP 密钥，并始终加密其敏感数据，包括交付地址、比特币钱包 ID、跟踪号码等。 作为全球最大暗网市场之一的 AlphaBay 必须通过 Tor 浏览器进行访问，此次数据泄露无疑是为执法部门跟踪用户非法行为提供了便利。据了解这已不是 AlphaBay 第一次因漏洞导致信息泄露了，去年 4 月 AlphaBay 就曾因新推出的 API 存在漏洞导致攻击者获得至少 13500 条买卖方对话信息。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

Android 用户想要减少中招几率，常规建议是只通过 Google Play 商城下载和安装应用程序，尽量减少或者不使用其他第三方下载途径。去年爆发的 HummingBad，让我们知道 Play 商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生 30 万美元的营收，感染用户数量已经超过 8500 万台，在 Check Point 公布的“全球最流行恶意软件”排行中位居第四。现在，这款恶意软件卷土重来，在Google Play商城上已经找到新变种–HummingWhale。 援引 Check Point 报道，目前已经有多款应用被 HummingWhale 所感染，在应用商城中假冒中国开发者名字进行发布。受感染的应用通常采用这样的结构，com.[name].camera（例如  com.bird.sky.whale.camera 和 com.color.rainbow.camera），但是应用名称都不相同。 Check Point 指出这些应用中都包含一个 1.3MB 的加密文件–“assets/group.png”，通 HummingBad 的 “file-explorer” 文件相似。这实际上是一个 APK 安装文件，允许在受害 Android 设备上下载和安装其他应用。 这款恶意程序使用 DroidPlugin 的 Android 框架，显示各种虚假广告，或者创建一个虚假的引荐 ID 来为攻击者利用盈利。通过对文件头的深入分析，相信 HummingBad 的幕后团队是 Yingmob。目前 Google Play 上已经有 40 款应用在传播这款恶意程序。 稿源：cnbeta，有删改，封面来源：百度搜索

据路透社消息，由于越来越多的银行机构遭遇黑客入侵，欧盟正考虑对银行的网络防御能力展开压力测试。最近几年，针对银行机构的网络攻击愈演愈烈，且入侵手段越来越高明。 去年 2 月，孟加拉国央行在美国纽约联邦储备银行开设的账户遭黑客攻击，失窃 8100 万美元。孟加拉国央行怀疑，黑客事先给央行的一台打印机植入木马病毒，造成看似平常的“故障”，导致央行没能及时察觉这起震惊全球金融界的窃案。事件发生后，全球监管部门都加强了对银行的安全需求。虽然如此，复杂的网络攻击仍层出不穷。去年 11 月，英国零售巨擘特易购（Tesco）旗下银行发现，约 9000 个帐户被黑客入侵，总计 250 万英镑被盗领。 对此，欧洲银行管理局（EBA）去年 12 月发布报告称：“黑客未授权访问银行关键系统和数据的威胁与日俱增，而银行却没有足够的能力来应对。”知情人士透露，欧盟监管部门强化安全的下一步行动将是在欧盟范围内展开压力测试，预计于明年年中展开。 欧洲中央银行（ECB）去年曾宣布，将在欧元区 19 个国家之间建立一个专门的数据库来登记网络犯罪事件。但是，这 19 个国家之间的信息交换十分匮乏。欧洲银行管理局一官员对此表示，他们一直都在关注网络安全问题，但针对压力测试问题，目前尚未做出决定。 稿源：cnbeta，有删改，封面来源：百度搜索

23 日，Google Project Zero 安全专家 Tavis Ormandy 对外表示，Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞，或可诱发大规模攻击事件。 专家发现攻击者可使用包含 magic （魔术）字符串的任意 URL 触发漏洞，从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题，但并未达到效果。研究员强调，由于 magic 模式内嵌于 <iframe> 标签中，即使没有 XSS 攻击者仍可执行任意代码。 Mozilla 方面对思科的修复方式并不满意，同时指出 webex.com 没有严格遵循 Web安全协议（HSTS）和内容安全策略（CSP）。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件，直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户，这一漏洞的爆发恐将造成重大影响。 安全专家 Ormandy 已对外发布 PoC 进行漏洞演示，只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接：https://lock.cmpxchg8b.com/ieXohz9t/ 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据香港《文汇报》 23 日报道，澳大利亚当地移民及边境保护局计划今年试用“免人手处理”的新入境系统，于机场设立电子扫描站，利用生物识别技术辨认入境游客的面孔、眼睛虹膜及指纹，取代传统出示护照的入境程序。 消息称，澳大利亚政府预计系统普及后，可于 2020 年前自动处理高达 9 成的游客入境检查。澳政府发言人表示，自动化入境程序便利旅客，并有助边境部门应对旅客数目增加带来的挑战，集中资源辨识具威胁的入境人士。此次计划是澳政府前年公布“无缝游客入境计划”的重要阶段，预计未来 5 年耗资 9400 万澳元推动。在新计划下，机场将逐步弃用现有的电子闸门，游客毋需再经过电子闸门扫描护照，也不用边境人员人手检查入境者护照。 澳边境安全主管科因解释，相关系统是全球首例，由于近年机票详情、游客出入境、犯罪记录等乘客数据在全球流通，他们得以利用相关大数据设计自动入境程序。 稿源：cnBeta 节选；封面：百度搜索

据 Shodan 22 日一份数据报告显示，目前全球仍有超过 199,500 网站仍未修复 “心脏出血” OpenSSL 漏洞，或是源于许多组织没有正确修复漏洞所致。 2014 年 4 月 7 日，开源安全组件 OpenSSL 爆出高危漏洞（CVE-2014-0160），漏洞成因是 OpenSSLHeartbeat 模块存在一个 Bug，使攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据，而这段数据中可能包含用户的用户名、密码、密钥等敏感信息，因此该漏洞获得了一个名副其实的名字“心脏出血（OpenSSLHeartbleed）”漏洞。 作为互联网史上最大漏洞之一，“心脏出血”漏洞影响了全球多达三分之二服务器的安全性，据 ZoomEye 2014 年监测结果显示全球约有 2,443,550 个 IP 受此漏洞影响。ZoomEye 团队在“心脏出血”漏洞爆发一周年之际，对全网 IP 进行了回归性普查发现，虽然受影响 IP 已经降低到了 1 年前的 14.6%，但还有较大量（377,221）的 IP 漏洞并未修复。 然而 Shadow 最新报告却表明，距漏洞爆发至今已过去两年零九个月，仍有几十万网站漏洞未被修复。 超过 199,500 网站易受攻击 Shodan 首席执行官 John Matherly 表示，由于未正确修复“心脏出血”漏洞，全球还有超过 199,500 个网站容易受到黑客攻击。报告指出目前受影响最大的国家仍是美国（41,332），其次是韩国（15,380）、中国（14,116）、德国（14,072）以及法国、俄罗斯等。可以想象若是近二十万网站漏洞都被利用，势必会造成更大规模的数据泄露事件。 如何正确修复心脏出血漏洞 修复“心脏出血”漏洞至少需要三个步骤： ① 及时更新：更新 OpenSSL 至最新版本，目前大部分机构都已完成了这一步； ② 创建新密钥：防止攻击者已通过漏洞窃取服务器密钥，或是进一步窃取机密数据； ③ 补发安全证书：防止攻击者继续利用漏洞损害公司或客户权益。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

日前，为依法查处互联网数据中心（IDC）业务、互联网接入服务（ISP）业务和内容分发网络（CDN）业务市场存在的无证经营、超范围经营、“层层转租”等违法行为，切实落实企业主体责任，加强经营许可和接入资源的管理，强化网络信息安全管理，维护公平有序的市场秩序，促进行业健康发展，工信部发布《工业和信息化部关于清理规范互联网网络接入服务市场的通知》，通知中规定：未经电信主管部门批准，不得自行建立或租用专线（含虚拟专用网络VPN）等其他信道开展跨境经营活动。 基础电信企业向用户出租的国际专线，应集中建立用户档案，向用户明确使用用途仅供其内部办公专用，不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。 全文阅读：《工业和信息化部关于清理规范互联网网络接入服务市场的通知》 稿源：网易财经，封面：百度搜索    

据外媒报道，日前隶属于 BBC 的一个 Twitter 账号被盗并发布了一条令人震惊的消息：“突发新闻：特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除，BBC 方面表示这一假新闻出自黑客之手。 “我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久，美国黑客组织 OurMine 控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据 BBC 方面披露，OurMine 并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应：“第一次攻击并不是由我们发起。由于我们在这个账号上发现了异常现象，于是为了确认该账号是否被黑，我们对其发起了攻击，很不幸的是，它遭到了攻击。我们立即发布了其遭攻击的消息。我们从不会毫无理由地去攻击他人。我们是一个安全组织。” 据了解，OurMine 此前确实有过攻击 Netflix、Marvel 等高知名度 Twitter 账号的历史，但它从未传播过假新闻或恶意软件，其发起的攻击仅仅是为了告诉人们脆弱的安全问题。直至目前还没有任何机构、组织或个人承认这起网络攻击事件。BBC 方面表示，他们已经拿回了对该账号的控制权。 稿源：cnBeta.com；封面：百度搜索  

据外媒报道，当地时间周六， 圣丹斯电影节票房及其他系统因遭到网络攻击而被关闭。 圣丹斯电影节即“日舞影展”，是全世界首屈一指的独立制片电影节，圣丹斯美国电影展由罗伯特·雷德福于 1984 年年一手创办，并由圣丹斯研究所举办。圣丹斯电影节每年 1 月 18 日 – 28 日在美国犹太州帕克城举行，为期 11 天。 电影节主办方发表声明承认了这一事故，但表示此次攻击并没有影响到放映，影迷们仍能在电影节上继续欣赏影片及艺术家的声音。至于攻击源头，主办方表示现在还不清楚。据了解， 黑客通过电影节官方 Twitter 账号发表了攻击声明。 不过现在，电影节主办方已经在官推上发文表示所有系统都已恢复正常运转。 稿源：cnBeta.com，封面：百度搜索

据外媒报道，从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期，然而据非官方统计，目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布，从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示，HTTPS 将应用于新注册的 .GOV 网站所有子域当中，并强调即使在局域网中也应该坚持使用。就目标日期而言，GSA 声称这项新措施会在 2017 年春天生效，域名客户将在更改发生前 30 天收到通知。 据悉，GSA 并非唯一推进 HTTPS 的组织，似 Google、Apple、Let’s Encrypt 等全球互联网公司都在为推动 HTTPS 的普及而努力。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。