HackerNews.cc 10 月 25 日消息，网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现美国最受欢迎的化妆品公司 Tarte 因两台 MongoDB 数据库未设置加密权限，导致近 200 万用户信息在线泄露且被黑客组织 Cru3lty 的访问，其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。 知情人士透露，Kromtech 于 10 月 18 日发现此次数据泄露后立即向 Tarte 发出安全警报，虽然公司并未做出回应，但与该公司挂钩的所有数据库均在事件曝光后设置了访问权限。Diachenko 表示，他并不是唯一一个发现该公司数据泄露的人。经调查显示，黑客组织 Cru3lty 于早期就已访问该公司数据库信息并对其进行删除与加密操作。据悉，该组织还在公司数据库中留下了一封勒索赎金信函，要求公司支付比特币后才能对其进行恢复。目前，尚不清楚 Tarte 是否已经与 Cru3lty 取得联系并缴纳赎金，也不了解该数据库在线暴露时长。不过，公司发表声明： “保障客户信息安全是我们的首要任务。现今，我们已经意识到事态发展的严峻程度，且正与执法部门取得合作。与此同时，我们还采取了安全措施，以确保公司数据得到最高保护。另外，公司也已通知受损客户与其合作伙伴增强防御体系。” 研究人员表示，不管是大公司还是小企业，一旦客户数据系统遭黑客入侵，其部分数据的泄露，或将导致犯罪分子可以交叉引用这些数据进行其他入侵，以获取客户完整卡号或更多信息。此外，如果受害者没有数据备份或安全防御措施，就可能对其造成极大损失。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，银行卡组织万事达卡（MasterCard）已经向希望构建自有解决方案的开发者们，开放了该公司的区块链结束，其专为改善速度、透明度、跨境支付成本而设计，旨在推动 B2B 领域的发展。万事达卡实验室执行副总裁 Ken Moore 在一篇博客文章中写到：“通过将区块链技术与我们的结算网络和相关规则结合到一起，我们已经创建了一套安全、可审计、易于扩展的解决方案”。 谈到支付，我们希望为合作伙伴提供选择上的灵活性，让他们可以基于客户的需求，无缝地使用我司现有的、或者全新的支付方式”。此外，该银行卡组织还特地在 YouTube 上发布了视频短片，简要地向大家介绍自家技术。万事达卡实验室创新支付部门负责人 Ricardo Sota 表示： 我们的区块链技术可以实现接近实时的卡支付交易结算，消除了整合和改善了结算。与竞争对手的区块链解决方案相比，我司在隐私、灵活性、可伸缩性、以及结算网络的覆盖范围上具有更大的优势。 如需获知万事达卡区块链技术和 API 的详情，可移步如下链接查看：https://developer.mastercard.com/product/mastercard-blockchain 稿源：cnBeta，封面源自网络；

根据最新研究发现，暗网经济正在助推勒索软件蔓延。据悉，在今年十月份发布的一份报告中，反病毒服务提供商 Carbon Black 的研究人员发现，勒索软件在 2016-2017 年期间的销售量增长了 2502%。研究人员表示，这项研究报告监测了全球 21 个顶级暗网平台，然后再将收集到的数据进行推算得出了这个一结果。事实上，目前全球有超过 6300 个平台提供勒索软件交易。然而，随着销售量增长率达到惊人的 2502%，也使得勒索软件的总销售金额达到了 620 万美元，比上一年总销售额多了 25 万美元。 虽然总销售额看上去并不是太多，但是这种增长趋势却令人印象深刻——研究人员支出，如果不是预料之中，这样的增长主要是由供需推动的，该报告指出：“网络犯罪分子越来越多地看到市场机遇，并且希望通过勒索软件来快速获利”。勒索软件市场的不断扩大，一部分原因是由于一些工具让匿名变得更加轻松（比如比特币和 Tor 代理等），另一部分原因是因为勒索软件不断扩散，让许多人都可以轻松发起非法交易，去勒索别人。 报告表示：“随着技术创新日趋成熟，地下勒索软件经济已然成为一个类似于商业软件的行业，甚至包括开发、技术支持、分销、质保和客服等‘一条龙’服务。” 根据 CSO Online 的数据显示，去年勒索软件支付的金额达到了 10 亿美元，相比于去年增长了 4000%。不仅如此，勒索软件的开发人员也获得了不少收益。去年，一些勒索软件开发人员的收入能够超过 10 万美元，而在合法商业软件领域，程序员的中等收入大约为 7 万美元。而且，随着地下供应链的不断成熟，勒索软件开发人员不需要独立研发整套工具包：比如，一个程序员可能会专门从事加密技术研发，去锁定受害者的电子设备；而另一个程序员可能会专门负责如何收取勒索到的钱款。 安全专家认为，这种专业化程度的不断提升，是推动地下勒索软件经济快速增长的关键因素。推出一款 “赚钱” 的勒索软件早已经不是一个人在战斗了，过去，可能需要有一个人非常擅长开发和部署复杂的勒索软件，但现在你只需要知道在哪里购买所有必须的组件，然后把工具包补充完整即可。 Carbon Black 的报告中这样说道：“由于现有勒索软件经济服务层级细化，这个行业本身已经开始变得更加强大。这些细化服务降低了行业准入障碍，想要发起勒索的攻击者不再需要较强的专业技能，甚至你可能是个完全不同技术的‘小白’，只要你有比特币，就可以对任何人发起攻击。” 另一方面，勒索软件的攻击目标范围很广，也是没有止境的，导致这种情况的主要原因是企业普遍缺乏基本的安全控制：企业一直忽略对关键数据的备份，而且也很少测试自己的软件，看看是否过期，或是及时更新安全补丁。研究人员警告说，依靠执法部门来防范攻击基本上是没什么用的，所以企业主要还是需要依靠自身力量来对抗勒索软件。 而阻止勒索软件的关键，就是要说服受害者不去支付 “赎金”。根据 Carbon Black 分析的数据显示，约有 59% 的受访对象表示自己愿意支付低于 100 美元的“赎金”来重新获得自己的数据，但如果攻击者把“赎金”上限提升到 500 美元以上，那么大约只有 12% 的受访对象愿意接受。 报告最后总结说：“ 整套系统只有在受害者愿意支付‘赎金’的前提下才能运转起来，所以只要有人愿意支付，这个问题就会一直延续下去。” 稿源：，稿件以及封面源自网络；

美国参议院情报委员会于近期以 12 票赞成、3 票反对，通过了更新的《外国情报监视法》（FISA）。据报道，FISA 的第 702 条允许政府对美国境内的外籍人士实施监控，以获取情报，用于打击国际恐怖主义和网络威胁。该法案的目前版本将于 2017 年底失效，参议员们提议修改并延长该法案有效期至 2025 年。 美国参议院情报委员会主席理查德•伯尔说：“这项议案再次授权给我们国家最有价值的情报搜集机构，确保情报委员会和执法部门的每一个人都有所需的工具和权力，来保障我们的安全。” 据报道，更新的法案加入了参议员马克•沃纳的提案。该提案规定：若联邦调查局（FBI）在调查中需要查看和使用美国人的信息，需要在一个工作日内向外国情报监视法庭提交申请，后者则有两个工作日来裁决。而分析指出，任何基于国外情报和执法要求的申请都是合法的，也就意味着基本上所有的申请都会得到批准。不过，投反对票的参议员认为，该法案没能做到在应对外国威胁的同时，保护美国人民的权利和隐私。 美国中央情报局、国家安全局前雇员爱德华·斯诺登对此前公众未知的监听项目进行披露后，美对法案进行了修正，该法案以第 702 条法规而闻名。 稿源：cnBeta、中新网，封面源自网络；

据《华尔街日报》早些时候报道，一位 NSA 合同工或雇员将情报机构的机密材料带到家中，俄罗斯情报机构利用这位雇员计算机上安装的卡巴斯基软件窃取了 NSA 机密。报道认为俄罗斯情报机构使用了卡巴斯基的一个修改版本，因此卡巴斯基不可能不知情。 本周三，这家俄罗斯安全公司发布了调查报告，再次强调它对此事不知情。报告称，这位 NSA 雇员的计算机后来感染了恶意后门。后门是通过盗版软件下载和安装到计算机上的。为了运行盗版软件，该雇员关闭了杀毒软件，被感染后这位雇员多次运行卡巴斯基扫描计算机。 据悉，计算机运行了一个家庭版的卡巴斯基，启用了 Kaspersky Security Network 服务，启用之后该服务会将新的以前未知的恶意程序上传到卡巴斯基的服务器。杀毒软件在扫描过程中发现了一个 7zip 压缩档中含有恶意程序，因此将其上传到卡巴斯基服务器供研究人员进行进一步分析。 分析人员发现压缩文件包含了恶意程序和源代码，属于他们已经研究过的 NSA 黑客组织 Equation Group。分析人员随后将此事报告给 CEO，CEO 之下下令将该存档从所有系统中删除。卡巴斯基声称他们没有与第三方分享这一发现。 稿源：solidot奇客，封面源自网络；

卡巴斯基实验室的安全研究人员透露，一些受欢迎的交友软件容易受到各种攻击，这将导致泄露个人用户的详细信息，包括姓名、雇主姓名，甚至他们的住所信息。研究人员在对受欢迎的交友软件（ Tinder、Bumble、OkCupid、Badoo、Mamba、Zoosk、Happn、WeChat 和 Paktor ）进行调查后，根据个人资料中提供的数据，确定了用户的真实身份。另外，通过了解用户的雇主，研究领域或他们的学校，可以找到用户的社交媒体帐户，从而知道他们的真实姓名。 卡巴斯基表示，他们在其他社交媒体网站上识别 Happn 和 Paktor 用户的准确率为 100%。Tinder 和 Bumble 的成功率分别下降到 60％ 和 50％，这仍然相当惊人。上述九个应用程序中的六个显示了用户的某种形式的位置数据，例如用户和他们感兴趣的人之间的距离。通过移动并记录两个用户之间的距离数据，“很容易确定猎物的位置”。Happn 的表现似乎是最糟糕的，能显示与其他用户的具体距离数据。该应用程序甚至显示了两个人擦肩而过的次数，使其更容易跟踪某人。 卡巴斯基调查的大部分应用程序都是通过 SSL 加密渠道查询将数据传输到服务器，但并不总是如此。在 Android 版本的 Mamba 中使用的分析模型不会加密有关移动设备的数据，而 iOS 版本以一种一个未加密的方式传输消息等所有数据。同时，通过 HTTP 上传照片，可以让攻击者确定潜在的受害者浏览哪些个人资料。更糟糕的是，研究人员发现，九个应用程序中有五个易受 “中间人攻击”，因为它们没有验证证书的真实性。几乎所有的应用程序通过 Facebook 授权，意味着缺乏证书验证可能导致窃取临时授权密钥。 卡巴斯基表示，这可以让社会媒体账户数据的犯罪访问长达三周左右。Android 用户需要担心更多，因为九个应用程序中有八个“通过超级用户访问权限为网络犯罪分子提供了太多信息”。在 iOS 中获得 root 访问权限的恶意软件很少见。卡巴斯基表示，其事先向开发人员通报了其调查结果，并补充说，有些已经解决了问题，而其他仍在修复问题。 稿源：cnBeta，封面源自网络；

HackerNews.cc 10 月 23 日消息，CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件，其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统，从而被动参与黑客发起的网络攻击活动。目前，该恶意程序被用于僵尸网络 Wonder 传播。 调查显示，研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此，研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外，该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。（如下图） 对此，研究人员经检验证实，位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是，它的每个链接指的都是原始页面。只要点击一个链接，研究人员就将被重定向至 “support.com” 相应页面。另外，研究人员还发现了一些隐藏的路径，其中包含僵尸程序使用的信息和命令。（如下图） 知情人士透露，该恶意软件由两部分组成： Ο 下载器：它是一个 .NET 可执行文件，其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。 Ο 真正的僵尸程序：当它被下载和执行时，将会感染主机、设置持久机制并启动恶意操作。 CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节，感兴趣的用户可通过以下链接下载完整报告进行查看：《Malware Analysis Report: Wonder Botnet》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 月 24 日报道，美国 11 名参议员提出一项提案，希望能对 NSA 无授权的监控项目 Section 702 进行一次大改革。这项由 Rand Paul 和 Ron Wyden 领导提出的提案将要求调查人员在获得搜查令后才能查询该项目下的美国公民数据。 也许在这项提案下，NSA 的监控项目将可能需要 4 年时间才能重新获得授权，但它却能为现有框架加入其它隐私和监管保护纲要。据悉，Paul 是共和党中唯一一位签署了这份提案的议员。 目前并不清楚这项提案将对 NSA 的争议性项目带来多少改变。不过改革倡导者看起来并不相信这项提案会解决掉“后门搜查漏洞”这个问题。据称，饱受争议的 Section 702 将在今年年底失效。 稿源：cnBeta，封面源自网络；

据外媒报道，近日有消息称，有黑客攻破了伦敦一家知名整容医院并从中偷走了大量照片和来自名人甚至还有皇室成员的敏感信息。而一个叫做 Dark Overlord 宣称为伦敦桥整形（LBPS）的网络攻击负责。 Dark Overlord 最早是在去年出现在大众面前，当时它从一些学校、医疗中心甚至一家跟 Netflix 合作的制片厂那里盗取了信息并以此勒索他人或机构。 这次，Dark Overlord 告诉外媒 Daily Beast，他们最近对 LBPS 发起的网络攻击是成功的，他们已经掌握了数 TB 的数据库、名字以及其他一切信息，并且当中还有一些皇室家族。另外，Dark Overlord 还称他们获得了大量病人照片和特写照片–一些则展示了男性和女性生殖器的手术，一些展示了病人术后的样子。据了解，这个黑客组织扬言要将这些整形照片公布于众。 对此，LBPS 证实了漏洞的存在，但他们还不确定究竟哪些数据遭到了泄露。另外他们还补充称，安全和病人个人信息保密对于他们来说一直都是最重要的，为此他们投资了市场先进的安全技术。 稿源：cnBeta，封面源自网络；

针对勒令企业交出客户存储在海外服务器上的电子邮件一事，微软于 2016 年 4 月份向美国司法部提起了诉讼。不过在司法部推出一项解决该问题的新政策之后，这家软件巨头现正撤诉。微软解释称，该政策对 “噤声令” 施加了限制，确保其只在绝对必要的时候才被使用。此外对于这些命令，其现在要面临更多的困难，因为它通常没有设置固定的期限，所以持续的时间也并不确定。 微软副总裁兼首席法务官 Brad Smith 写到： 对于隐私和自由表达权利来说，这是一个重要的进步。对于我们的客户来说，这无疑是一场胜利。我们很高兴美国司法部采取了这些措施，保护了宪法赋予所有美国人民的权利。 当微软发起诉讼的时候，该公司声称收到了来自政府方面的 2567 份法律要求，而其中涵盖的“噤声令”、有 68% 似乎是为了防止该公司向客户披露有关请求的详细信息。Smith 补充道： 直到今天，模糊的法律标准允许政府定期秘密地进行保密工作，而无论他们是否基于手头调查的细节。但在今后，这类事情将不再发生。 尽管赢得了这一轮胜利，微软还是请求有关部门作出更多改变。其希望参议院能够推进 2017 年的经济改革法案，因其更新了远在 Web 和云计算出现之前、就已于 1986 年被制定的《电子通信隐私法案》。 稿源：cnBeta，封面源自网络；