来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证（2FA）并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布，其 漏洞研究团队（VRT） 发现了一个未披露的漏洞，该漏洞影响了cPanel＆WebHost Manager（WHM）网络托管平台。” “ c_Panel＆WHM版本11.90.0.5（90.0 Build 5）具有两因素身份验证绕过漏洞，易受到攻击，从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响，因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在，将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说，攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题： 11.92.0.2（ZoomEyes搜索结果） 11.90.0.17（ZoomEyes搜索结果） 11.86.0.32（ZoomEyes搜索结果） 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

网络威胁情报（CTI）专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似，查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证： 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1408/         消息来源：domaintools，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管该软件包没有多余的装饰，但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间，还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1406/         消息来源：malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据报道，Muslim Pro应用程序在全球范围内下载量超过9850万，据称已向美国军方出售了“粒度位置数据”，但这一指控被否认，目前正由新加坡个人数据保护委员会进行调查。 数据保护委员会（PDPC）确认正在对指控进行投入，并向Pros开发商Bitsmedia寻求更多信息。监管机构告诉当地媒体：“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问，用户不应下载或使用任何应用程序。” 成立于2009年，总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处，并已通过在200个国家的用户下载审核。 据报道，该应用程序已将位置数据出售给X-Mode，这是美国第三方数据聚合商，向其客户出售服务，其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说，穆斯林Pro是向美国军方出售数据的移动应用程序之一，包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。 Bitsmedia否认了这些指控，并在星期二和星期四发表了两份声明，认为该报告“不正确且不真实”。 Bitsmedia注意到它符合诸如欧盟的GDPR（通用数据保护法规）和加利福尼亚消费者隐私法案（CCPA）之类的全球数据隐私法律和法规，称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”（R＆D）工作时访问开发者。 这可能包括分析数据以更好地了解用户行为，从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算，并有助于规划和设计功能，以及改善整体用户体验。应用程序开发人员还坚持认为，它不会共享任何敏感的个人信息，例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的，这意味着我们的数据不会归因于任何特定的个人。”“我们采用行业标准的安全措施和保护措施，并选择领先的技术合作伙伴，以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。” 虽然它驳斥了Vice Media的主张，但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode的所有关系，该关系“立即生效”。 它与“选定的技术合作伙伴”合作，以改善其应用程序的质量，并与合作伙伴共享数据，以实现“广告等常见目的”，这是它的主要收入来源。这样做是“完全遵守”所有相关法律的，并实施了“严格的数据治理政策”以保护其用户数据。 根据应用程序开发商的说法，它与社交媒体网络和数据分析公司等第三方合作，并在其用户同意下共享数据。它还指出，除了“社区”部分外，穆斯林Pro中提供的功能都可以使用，而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。” 如果它被发现违反了新加坡的个人数据保护法（PDPA），Bitsmedia可能面临 严重的经济处罚。 新加坡本月刚刚更新了数据保护法规，以允许本地企业未经事先同意就出于某些目的（例如业务改进和研究）使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款，超过先前100万新加坡元上限。 新加坡通信和信息部长伊斯瓦兰（S. Iswaran）在 讨论修正案的讲话中说，数据是数字经济中的关键经济资产，因为它提供了有价值的见识，可为企业提供信息并提高效率。 Iswaran说，它还将增强创新能力并增强产品，并成为具有变革潜力的新兴技术（如人工智能（AI））的重要资源 。 PDPA的主要变化之一是“同意的例外”要求，该要求现在允许企业出于“合法目的”，业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外，还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。 此外，PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据，以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。 企业还可以在未经同意的情况下使用数据来促进可能尚未标记为产品化的研发。除“视为”和“例外”之外，所有其他目的（例如直接营销信息）仍然需要获得消费者的事先同意。 PDPC去年调查了185起涉及数据泄露的案件，并发布了58项决定。它命令39个组织支付170万新加坡元的罚款，其中最高罚款分别为75万新加坡元和25万 新加坡元，分别由综合健康信息系统和新加坡卫生服务处处置。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

交友网站Bumble暴露了用户的政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 在仔细查看了Bumble（通常由女性发起对话）的代码后，安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款，而且还能够访问近1亿用户个人信息。 该公司回应，Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示，此类服务与黑客颇有渊源。 漏洞详情 Sarda通过电子邮件告诉Threatpost：“我花了大约两天的时间找到了最初的漏洞，又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知，但这些问题可能会造成重大破坏。” 她对Bumble漏洞进行了反向工程，并发现了多个端点，这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。 Bumble Boost的另一项高级服务被称为The Beeline，它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说，她使用开发者控制台来找到一个端点，该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。 但是，除了高级服务之外，该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据，从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段，其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 黑客还可以判断用户是否安装了移动应用程序，以及他们的定位。 漏洞报告 Sarda说，ISE团队向Bumble报告了该发现，试图在公开进行研究之前缓解漏洞。 “在公司沉默了225天之后，我们着手进行了发表研究的计划，”萨达通过电子邮件告诉Threatpost，“只有当我们开始谈论公布时，我们才会在20/11/11收到HackerOne的电子邮件，内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。 Sarda解释说，她在11月1日进行了重新测试，所有问题仍然存在。截至11月11日，“某些问题已得到部分缓解。” 她补充说，这表明Bumble对他们的漏洞披露程序（VDP）的反应不够。 根据HackerOne的说法，并非如此。 “漏洞披露是任何组织安全状况的重要组成部分，” HackerOne在一封电子邮件中告诉Threatpost，“确保漏洞可以由人们自己解决，这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题，但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作，以确保迅速解决所有与安全相关的问题，并确认没有用户数据受 漏洞管理 Cequence Security常驻黑客Jason Kent认为，API是一种被忽视的攻击媒介，并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。           消息及封面来源：threatpost，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时，发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt（又名Hive0081），该黑客组织于2018年首次被发现。在最近的攻击活动中，黑客使用了两个新型后门，分别为“ TriFive”和“ Snugy”，后者是基于PowerShell后门（CASHY200）的变体。 专家分析：“ TriFive和Snugy后门是PowerShell脚本，它们使用不同的命令和控制（C2）通道与黑客进行通信，从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件，使用Exchange Web Services（EWS）在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”  “ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门，因为它们不同于之前使用的工具。” 在发布报告时，专家们尚未确定该黑客如何访问Exchange服务器。 TriFive使用了来自目标组织的合法帐户名和凭据，这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户，并创建主题为“ 555s”的电子邮件草稿，其中包括加密和base64编码格式的命令。 通过将编码后的密文设置为电子邮件草稿的邮件正文，将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中，后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息，运行命令并从受感染的服务器中窃取数据。 研究人员共享了危害指标（IoC），以允许管理员检查其环境是否受到威胁，xHunt黑客组织的活动仍在继续。       消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

联邦调查局发出安全警报：黑客正在滥用配置错误的SonarQube应用程序访问并窃取美国政府机构和企业的源代码存储库。 联邦调查局表示，黑客最早从2020年4月开始进行网络攻击活动， 于本周在网站上公开。该警报特别提醒基于Web的应用程序SonarQube的所有者：供应商已将其集成到软件构建链中，测试源代码并发现安全漏洞，然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上，并连接到源代码托管系统，例如BitBucket、GitHub或GitLab帐户、Azure DevOps系统。 联邦调查局表示：未使用默认管理员凭据（admin / admin）以其默认配置（在端口9000上）运行系统的单位不受保护。 黑客滥用了错误配置来访问SonarQube，转到连接的源代码存储库，进而访问和窃取专有应用程序的数据。   “ 2020年8月，未知黑客通过公共生命周期存储库工具从两个组织窃取了内部数据。被盗数据来自使用了受影响组织网络上运行的默认端口设置和管理员凭据的SonarQube。” “该网络攻击活动与2020年7月的一次数据泄漏事件相似，一个已知黑客通过安全性较差的SonarQube窃取并发布了被攻击企业的专有源代码。”   2018年5月以来，安全研究人员就警告将SonarQube应用程序在线暴露给默认凭据存在高度安全隐患。 鲍勃·迪亚琴科（Bob Diachenko）表示：当时在线可用的所有3000个SonarQube实例中，大约30％至40％没有启用密码或身份验证机制。 瑞士安全研究人员Till Kottmann也提出了相同问题。Kottmann在公共门户网站上收集了数十家科技公司的源代码，其中许多来自SonarQube应用程序。Kottmann告诉ZDNet： “大多数人似乎都不会更改相关设置，但SonarQube的安装指南有详细解释。” FBI发布了保护SonarQube服务器的相关措施：首先是更改应用程序的默认配置和凭据；然后使用防火墙防止未经授权的用户访问该应用程序。       消息及封面来源：ZDNet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

在对2020年9月Ryuk黑客网络攻击事件的调查中，我们发现Ryuk黑客使用了获得初始访问权限的新方法：一个名为Buer的恶意软件删除程序。10月，该网络攻击事件演变成更大规模的垃圾邮件活动，并携带Buer及其他类型的恶意软件。 Buer于2019年8月首次推出，它是一种恶意软件服务产品，可用于交付客户所需的软件包，对目标Windows PC进行攻击，并允许恶意活动建立数据阵地。Buer曾与银行木马攻击等恶意软件有所联系，而现在，它显然已经被勒索软件运营商所接受。在许多方面，Buer可以替代Emotet和Trickbot的Bazar装载系统（都使用类似的行为进行部署）。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1393/       消息来源：Sophos，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉，犯罪分子Aleksandr Brovko是“数个精英在线论坛的活跃成员，这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。”Brovko编写了能够解析来自僵尸网络来源的数据脚本，搜索了数据转储以盗取个人身份信息（PII）和帐户凭据。 美国司法部声称：“Brovko攻击了超过200,000台未经授权的个人识别信息或金融帐户访问设备。” 2007年到2019年，Brovko持续参与该网络攻击计划，并被美国高级地方法院TS Ellis III判处八年徒刑。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。