去年孟加拉银行因 SWIFT 系统漏洞曾遭黑客盗取 10 亿美元，因为黑客转账时一字之差给银行挽回巨大损失，最终只被窃走 8100 万美元。然而这次，虚拟货币 Zerocoin 也发生了一起重大的生产事故，因代码多打一个字符导致公司损失超过 58.5 万美元（约合人民币 401.85 万元）。 由于 Zerocoin 源代码中字符打印错误多印刷了一个字符，从而使 Zerocoin cryptocurrency 加密协议出现漏洞。攻击者可利用漏洞重复使用加密凭证创建新的 Zerocoin 支出交易。事实上，攻击者凭空创造出了约 370000 个新 Zcoin 币。除了 20000 多个 Zcoin 币之外，其他的 Zcoin 币都已被黑客交易使用并流进市场。 被创造的 370000 个新 Zcoin 币相当于整个 Zcoin 市场价值的四分之一。换句话说，目前流通的零币有四分之一是伪造的。 Zerocoin 团队称攻击者十分“专业”，他们通过生成大量的交换账户、分散存款和提款等手段来隐蔽真实交易。此外，Zerocoin 称加密协议不存在漏洞、匿名性不受影响，问题出在代码印刷错误。目前漏洞已经修复。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据 Lookout 和 卡巴斯基报道，一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击，窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件，并远程泄漏了高价值的数据，包括照片和音频录音。 攻击策略：美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后，美女以各种手段诱骗士兵下载恶意软件，如 SR Chat 和 YeeCall Pro 此类的聊天软件，以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ，并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机，窃听士兵的对话并进行实况拍照，近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置，通话记录，个人照片，短信，基站信息，网络和设备数据，互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

德国政府监管机构联邦网络局发出警告，家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。该机构发现玩具中包含的技术并不安全，并且很容易被黑客攻击并且控制泄露儿童隐私。 其中一件有问题的玩具产品是 My Friend Cayla，它可以聆听儿童的问题并且连接到互联网上寻找答案。 它的工作原理非常像我们手机上的数字助理，但该设备被发现是严重缺乏安全功能。研究人员证明，攻击者可以窃听甚至通过这个玩具和儿童对话，它的蓝牙连接功能，也可以让附近的恶意人士控制 My Friend Cayla，无需和儿童在同一间房间内。 在去年年底，消费者已经因为类似原因向美国联邦贸易委员会投诉 My Friend Cayl 玩具制造商。德国监管机构发现这款玩具相当于一个隐藏的发射装置，根据德国严格的隐私法，这是非法的。销售或购买被禁止的监控系统可以最高判刑两年，因此德国政府监管机构联邦网络局鼓励父母简单地销毁这款玩具。 稿源：cnbeta，有删改，封面来源于 cnBeta

两名美国共和党议员 Lamar Smith 和 Rep. Darin LaHood 正式致函环保署总督察办公室，对部分环保署官员使用加密消息应用 Signal 秘密讨论规划策略表达担忧，认为此举可能与自由信息法相冲突。 Signal 是一款采用 Signal 协议的端对端加密消息应用，服务商基本不保留用户数据。在特朗普当选美国总统后，Signal 应用吸引了越来越多的用户。两位议员指出，环保署以前检查过雇员使用短信讨论政府事务，发现只有很少一部分消息在信息自由法下保存下来。他们担心使用 Signal 将导致环保署无法遵守联邦的记录保存要求。他们要求环保署在 2 月 28 日前做出回应。 稿源：solidot奇客，有删改，封面来源于网络

本周四，OpenSSL 开发团队修复了高严重性 DoS 漏洞（ CVE-2017-3733 ）。该漏洞是由红帽子 Joe Orton 于 1 月 31 日报道，并称该漏洞为“ Encrypt-Then-Mac 重新协商崩溃”漏洞。在重新协商握手期间，如果 Encrypt-Then-Mac 扩展协商不是在原来的握手过程中会导致服务崩溃（依赖于 OpenSSL 密码套件）。目前确定客户机和服务器都受影响的。 漏洞影响范围： OpenSSL 1.1.0 版本 ** OpenSSL version 1.0.2 版本不受影响 修复方案 将 OpenSSL 1.1.0 升级到最新版本 OpenSSL 1.1.0e 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北京清华大学女教授被诈骗1800多万元人民币的案件告破。台中警方近日逮捕以刘姓男子为首的台湾诈骗集团 8 人，依法送办。据了解，2016 年 7 月，54 岁的北京清华大学黄姓女教授遭假冒的大陆检察院人士以微信实施诈骗，共被骗走人民币 1800 多万元。 综合中央社、中时电子报、东森新闻等台媒16日报道，台中市政府警察局清水警分局当天表示，黄姓女教授被骗的部分资金在台湾的 ATM 被取现，另发现部分款项以网络银行方式转账，嫌犯使用的 QQ 账号 IP 地址位于台湾。台湾警方追查发现，由 8 人组成的诈骗集团在犯案期间利用人头电话及通讯软件 QQ、微信等为主要联络工具，企图规避查缉。 警方 15 日兵分多路搜索，在台中西屯区一处办公大楼将 7 男 1 女共 8 人逮捕，现场查获网络设备及地下汇兑电联软件等赃物和证物。 稿源：cnbeta，有删改，封面来源于网络

国外媒体 MotherBoard 网站分享了一份谷歌此前从未公开过的关于俄罗斯网络间谍组织 APT 28 的活动报告。该报告于 2014 年 9 月 5 日编写完成，内容主要为 Google 团队收集的俄罗斯间谍组织的活动情报。目前 Google 已经公开了这份报告。 报告的标题相当明确：“窥视水族馆”，而俄罗斯军事情报机构 GRU 的总部俗称就是“水族馆”。 2014 年 10 月 FireEye 曾发布了一份报告，将一些东欧国家的网络攻击与俄罗斯网络间谍联系在一起，并命名该组织为 ATP28 。该组织着重于收集对俄罗斯政府有用的情报，目标为美国国防承包商、欧洲安全组织和东欧政府机构。在 FireEye 发布报告之前，也有其他安全公司在调查该组织。显然，Google 也在其中并先于 FireEye 整理出报告，只是出于某种原因一直没有对外发布。此后 APT 28 也被称为 Pawn Storm、Sednit、Sofacy、Fancy Bear 、Tsar Team 。 Google 安全团队的这份 42 页关于 APT 28 活动的报告，可以说是相当的“罕见”：一方面虽然它很早的被整理好，但此前从未发表过，公众没想到谷歌竟然早已做出了有深度的威胁情报分析。另一方面谷歌很少出这种类型的分析报告，这种报告常见于威胁情报公司。 报告的数据来源于病毒分析数据共享平台 VirusTotal ，其中明确提到了恶意软件 Sofacy 和 X-Agent 被俄罗斯支持的黑客所使用，并针对前苏联国家，北约成员国和其他西欧国家。这意味着 Google 早在多年前就意识到该威胁，并在 FireEye、ESET 安全公司之前就将黑客组织与俄罗斯政府联系起来。 根据报告显示，恶意软件 X-Agent 多针对格鲁吉亚，罗马尼亚，俄罗斯和丹麦。碰巧前不久有报道称恶意软件 Xagent 已经有了新变种，除了攻击 Windows、iOS、Android 和 Linux 设备，现在还可以攻击 Mac 用户。 谷歌在报告中表示， 复杂的恶意软件 X-Agent 只被 APT 28 使用针对高优先级目标。常规情况下， APT 28 一般使用恶意软件 Sofacy 进行间谍活动。据 VirusTotal 显示，恶意软件 Sofacy 的数量是 X-Agent 的三倍且有超过 600 个不同的样本。 该报告中还包括有关 APT 28 使用的相关技术细节。总的来说，这份报告最让人印象深刻的一点就是：Google 的安全团队能够在其他威胁情报公司之前就早早识别出威胁源，并加以合理分析推测。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，由众议院及参议院立法者组成的两党小组提出了一项新的议案，它将要求美国警方在使用伪基站监控设备 Stingrays 前必须获得来自法院的许可文件。通常情况下，Stingrays 可以帮助警方利用嫌疑人手机或可穿戴设备发出的蜂窝网络数据来确定他们的位置。实际上，这项技术颇受争议，因为它在协助警方破案的同时还可能会损害到经过的无辜民众的利益。 对此，立法者希望通过《地理定位隐私与监控( GPS )法案》来遏制这项技术的滥用以及提高这项技术使用的透明度。众议院监督与政府事务委员会主席 Jason Chaffetz 表示，虽然他们也欢迎执法部门使用新技术抓捕罪犯，但他们也必须要时刻警惕新技术的滥用。民主党众议员 John Conyers 补充道：“当政府对某个人使用了这项追踪技术，那么它也能获取其公共行动档案，包括他的家庭背景、政治立场、职业、宗教以及其他一些亲密交往活动。” 最近一项调查显示，美司法部与国土安全局于 2010 年和 2014 年在 Stingray 上分别投入了 7100 万美元和 2400 万美元。 FBI 局长 James Comey 也曾公开发表过支持 Stingray 技术的言论，称其为发现并抓捕罪犯的关键。 稿源：cnbeta，有删改，封面来源于网络

根据威胁情报公司 Recorded Future 报道，一个被称为“ Rasputin ”的俄罗斯黑客攻击了 60 多所大学和美国政府机构的系统。 黑客 Rasputin 一直在利用 SQL 注入漏洞攻击目标系统，并在黑市上销售数据库信息。2016 年 12 月 17 日，本站就曾报道过该黑客正试图销售从美国选举援助委员会（EAC）窃取的 100 多个登陆凭证，其中部分帐号还具备最高级别的管理权限。 现在，安全公司 Recorded Future 又确定了新是一批受害者，包括十所英国大学、二十多所美国大学和众多美国政府机构。 如剑桥大学、牛津大学、爱丁堡大学、纽约大学、华盛顿大学、加州大学、美国邮政管理委员会、卫生资源和服务管理局、国家加速器实验室等（查看受害者列表） 现在市面上有很多免费的 SQL 注入漏洞扫描工具像 Havij，Ashiyane SQL Scanner，SQL Exploiter Pro，SQLI Hunter，SQL Inject Me，SQLmap，SQLSentinel，SQLninja 等，这些工具通常被安全团队用于发现、修复 SQL 漏洞，但同样可被黑客利用。不过，Rasputin 是一个有想法的人，据称他使用他自己开发的专属 SQL 工具。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据美联社报道，雅虎近日继续向其用户发出警告， 称在 2015-2016 年之间公司账号可能存在黑客入侵事件，该公司相信黑客通过伪造的 Cookie 入侵用户账号。 此次大规模黑客攻击事件可能导致 10 亿用户账户数据被盗。 雅虎周三证实，该公司正在通知用户，他们的帐户可能已被入侵，但拒绝说出多少用户受到影响。 灾难性的黑客攻击事件也引起了外界对雅虎安全性的质疑。美国最大移动运营商 Verizon 原计划以 48 亿美元收购雅虎的核心业务(互联网业务、电子邮件服务以及雅虎品牌)，但近日有报道称 Verizon 有意将收购价降低约 2.5 亿美元。 雅虎警告称，黑客可以通过“伪造的 cookie ”在无需输入密码的状态下入侵 Yahoo 帐号。宾夕法尼亚大学生物教授 Joshua Plotkin 表示：“在我们实验室小组的六个人中，至少有一个人收到了这封电子邮件。” 稿源：cnbeta，有删改，封面来源于网络