分类: 数据泄露

疑因泄露受害者数据,LockBit 团伙遭受 DDoS 攻击

Hack Read 网站披露,LockBit 勒索软件团伙的数据泄露网站遭受了大规模 DDoS 攻击(分布式拒绝服务攻击),随后被迫关闭。值得一提的是,此次 DDoS 攻击似乎是对其曝光安全公司 Entrust 被盗数据的报复。 Entrust攻击事件详情 2022 年 6 月 18 日,安全公司 Entrust 成为网络攻击的目标,7 月 6 日,该公司通知其客户有关数据泄露的详情。7 月 21 日,一名安全研究人员访问了该公司发给其客户的数据泄露通知副本后,入侵事件随之公开披露。 8 月 18 日,LockBit 勒索软件团伙表示对 Entrust 数据泄露事件负责,并威胁该公司,如果拒绝在 24 小时内支付赎金,将泄露大约 30GB 的数据信息。 之后,名为 Soufiane Tahiri 的安全研究员访问了 LockBit 团伙和 Entrust 之间的通信副本。据他透露攻击者最初要求 800 万美元赎金,后来将赎金减少到 680 万美元,但 Entrust 声称只能支付 100 万美元。 LockBit 勒索软件团伙和 Entrust 之间的聊天记录(图片:Soufiane Tahiri) DDoS攻击细节 这一系列攻击事件中,有意思的是 LockBit 勒索软件运营商刚准备开始发布从 Entrust 窃取的数据时,他们基于 Tor 的泄漏网站就收到了 DDoS 攻击,网站(LockBit 3.0)也已下线。目前尚不清楚此次 DDoS 攻击背后发起者。 据思科 Talos 研究员 Azim Shukuhi 透露,LockBit 集团每秒收到来自 1000 多个服务器的 400 个请求。这些请求种包括一个强制勒索软件运营商删除数据的字符串。 从 LockBit 的说法来看,Entrust 应该是此次 DDoS 攻击的幕后主使,但该公司即使真的参与其中,想必也不可能承认,毕竟它是一家合法的网络安全公司。 此次针对 LockBit 组织的 DDoS 攻击事件也不能排除是其竞争对手所为,也有可能是一起针对 LockBit 运营商并诬陷 Entrust 的计谋。 泄露网站下线后,LockBit运营商立刻进行反击 在遭受了 DDoS 攻击后,LockBit 团伙发誓要报复 DDoS 攻击的幕后主使。在一条推文中,该团伙声称将以三重勒索模式代理以前的双重勒索模式,发动报复式攻击。另外,该组织还高调宣布,作为其战略转变的一部分,正在积极招募新的成员。 讲到这里,简单介绍一下三重勒索模式。作为不久前设计出针对受害者的新方法,三重勒索模式最近在 REvil 组织的攻击中被使用,这种方法增加了一个额外威胁层,例如对受害者进行 DDoS 攻击以迫使其支付赎金。相比之下,在使用双重勒索技术时,攻击者在要求赎金之前,会在其目标设备上窃取数据并进行加密。 最后,LockBit 强调将开始在其赎金记录中添加随机的支付链接,以使 DDoS 等反击手段难以影响其支付网站。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342968.html 封面来源于网络,如有侵权请联系删除

研究发现 Google 追踪 39 种个人数据,苹果追踪 12 种

新的研究称,在五大科技公司中,Google追踪的用户隐私数据比其他公司都多,而苹果追踪的数据最少。此前,苹果公司专门推出了《应用程序跟踪透明度》指引,以保护用户的隐私不受其他公司的影响。然而,一份新的报告称,苹果也在避免自己做任何超过运行其服务所需的追踪,据StockApps.com报道,苹果”是最有隐私意识的公司”。 研究人员评价:”苹果只存储维护用户账户所需的信息,这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而,它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动,在Google的案例中,还包括Gmail中的电子邮件。 研究报告没有详细说明其方法,但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中,Google跟踪每个用户的39个独立数据点,而苹果只跟踪12个。出乎意料的是,Facebook却只追踪14个数据点,而亚马逊追踪23个,Twitter追踪24个。 StockApps.com的Edith Reads说:”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策,这些政策可能有几页长。结果,用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络,如有侵权请联系删除

美科技巨头收集了大量用户数据,其中 Google 追踪 39 种私人数据

据91Mobiles报道,数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示,科技公司收集了用户的大量敏感数据,似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为,但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时,StockApps发现,这些公司从用户那里收集了多达39种数据,并在需要时使用这些数据,而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter:许多人每天都会频繁使用的网站/应用程序。 根据该报告,Google从用户那里收集的数据最多,有39种。接下来是Twitter,它搜集了24种数据。紧随其后的是亚马逊,它从用户那里累计了23类数据。当用户使用他们的平台时,Meta拥有的 Facebook会获取14种数据。排名最后的是苹果,它在12个不同类别中保存的数据量最少。 来自StockApps.com的Edith Reads对此评论说:“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且,不是所有用户都有法律背景,这很可能无法正确掌握隐私政策。” “除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息,以及如何利用这些信息来获取利益。这意味着,用户通过接受隐私政策,能够让Google获取他们所需要的所有信息”。” 虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据,但它确实表明,收集的数据被用于他们的利益,这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1308141.htm 封面来源于网络,如有侵权请联系删除

勒索软件 LockBit 旗下站点因泄露 Entrust 数据遭到 DDoS 报复攻击

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。 当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。 在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。 昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。 LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。 从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。 作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。 此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1307537.htm 封面来源于网络,如有侵权请联系删除

英特尔新型 CPU 漏洞可致敏感数据泄露

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。 英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中,负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 (n = 100,σ = 15.70%),成功率为 94% 该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥,并且更糟糕的是破坏证明,这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证,确定性地泄露 AES 密钥、RSA 私钥,并提取 SGX 密封密钥以进行远程认证。” 研究人员还提出了几种固件和软件缓解措施,以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。 英特尔已经发布了固件更新以解决该漏洞。 随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778),攻击者可能会滥用该攻击来恢复 RSA 密钥。 该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写),需要测量调度程序队列的争用级别,以潜在地收集敏感信息。 尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。” 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/0rn40GzfZaQJo4-hkHOklA 封面来源于网络,如有侵权请联系删除

思科证实被勒索攻击,泄露数据 2.8 GB

2022年8月10日,思科证实,Yanluowang勒索软件集团在今年5月下旬入侵了公司网络,攻击者试图以泄露被盗数据威胁索要赎金。 对此,思科发言人表示,攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据,声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日,攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统,并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户(包含从其浏览器同步的凭据)后,使用员工被盗的凭据获得了对思科网络的访问权限。随后,攻击者多因素身份验证 (MFA) 推送说服员工接受该通知,并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终,攻击者者诱骗受害者接受其中一个 MFA 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟,Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,其中就包括后门。 在获得初始访问权限后,攻击者进行了各种活动来维护访问权限,最大限度地减少取证,并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境,但在未来的几周内,Yanluowang依旧尝试重新获得访问权限,均未成功。 黑客声称从思科窃取数据 虽然思科一再强调,Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出,“我们没有在这次攻击中观察到勒索软件的部署,但使用的 TTP 与“勒索软件前活动”一致,这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中,我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据,大约有3100个文件,其中很多文件涉及保密协议、数据转储和工程图纸。此外,攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件,作为攻击的证据,并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341607.html 封面来源于网络,如有侵权请联系删除

员工被钓鱼,云通讯巨头 Twilio 客户数据遭泄露

据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341361.html 封面来源于网络,如有侵权请联系删除

Twitter 证实,零日漏洞致 540 万账户数据泄露

Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除

2.88 亿条印度养老基金持有人的身份数据被暴露在互联网

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分,这显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知,数据库中的信息可能被用来拼凑出一个印度公民的完整档案,使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息,包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关,包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息(PII)外,这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图,显示了周三暴露个人信息的数据字段,同时提醒了印度计算机应急响应小组(CERT-In)。在发布他的推文后不到一天,这两个有问题的IP地址已经无法访问。 但Diachenko说,目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外,是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次,2018年,印度中央公积金专员通知技术支持部门,黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而,该养老基金机构后来在记录上声称,其方面没有数据泄漏,但没有提供证据。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络,如有侵权请联系删除

研究发现,攻击者能利用 Chromium 浏览器书签同步功能数据泄露

书签同步已经成为浏览器的一个标准功能,能帮助用户在某一设备上对书签进行改动时,也能同步到其他设备上。然而,研究发现,这种操作也给网络犯罪分子提供了一个便捷的攻击途径。 SANS技术研究所的学术研究人员大卫·普雷弗(David Prefer)的这一发现,是对攻击者如何滥用浏览器功能,从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说,书签可以被滥用来从企业环境中吸走大量被盗数据,或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。 在最近的一篇技术论文中,普雷弗将这一过程描述为 “bruggling”——浏览器和偷渡的谐音。这是一个新颖的数据渗出载体,他用一个名为 “Brugglemark “的概念验证(PoC)PowerShell脚本进行了演示。 泄露原理 如果攻击者已经渗透进系统环境中,他们可以从受害用户那里窃取浏览器的同步凭证,或自行创建浏览器配置文件,并在另一设备系统中访问这些书签。攻击者可以使用同样的技术将恶意的有效载荷和攻击工具偷偷带入一个系统环境。 在实操层面,普雷弗举例,即攻击者可能已经破坏了一个企业环境并访问了敏感文件。为了通过书签同步来渗出数据,攻击者首先需要把数据放到可以存储为书签的形式中。要做到这一点,攻击者可以简单地将数据编码为base64格式,然后将文本分成独立的小块,并将每个小块保存为单独的书签。 普雷弗通过反复试验发现,如今的浏览器允许将大量字符存储为单个书签,实际数量因浏览器不同而存在差异,例如,在使用Brave浏览器时,普雷弗发现他只需使用两个书签就可以很快同步整个《勇敢的新世界》(Brave New World )一书,而用Chrome浏览器做同样的事情需要59个书签。普雷弗在测试中还发现,浏览器配置文件可以一次同步多达20万个书签。 将文本保存为书签并同步后,攻击者需要做的就是从另一台设备登录浏览器,访问、重新组合这些书签并将其从 base64 解码回原始文本。 普雷弗表示,在同步过程中没有利用任何漏洞,主要集中在如何通过书签同步这一实用功能进行恶意滥用。 普雷弗的研究主要集中在浏览器市场份额的领导者 Chrome 上,而如 Edge、Brave 和 Opera等其他浏览器,它们和 Chrome 都基于同一个开源 Chromium 项目。但他指出,Bruggling 也可能同样适用于 Firefox 和 Safari 等浏览器。 SANS研究所的研究院长约翰内斯·乌尔里奇(Johannes Ullrich)认为,通过书签同步的数据渗出给了攻击者一种绕过大多数基于主机和网络的检测工具的方法。对大多数检测工具来说,这些流量会显示为谷歌或任何其他浏览器的正常同步流量。 值得注意的是,书签同步可能不是唯一一个能被滥用的功能,普雷弗表示,自动填充、扩展、浏览器历史记录、存储的密码、首选项和主题等都可以同步并进行滥用,但这些还有待进一步的研究。 防范建议 普雷弗建议,企业组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录进行同步的电子邮箱数量,攻击者将无法使用自己的帐户进行同步。此外,浏览器厂商可通过基于帐户年龄或从新地理位置登录等因素动态限制书签同步。类似地,还可以阻止包含 base64 编码的书签以及具有过多名称和 URL 的书签。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340801.html 封面来源于网络,如有侵权请联系删除