援引外媒 Dexerto 报道，可能有超过 50 万个动视账号被入侵，包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度，以及包括《只狼：影逝二度》等其他动视游戏，并邀请更多玩家加入。 上周日晚上，Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件，他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道：“动视的账号显然正在泄漏，所以请尽快改变你的密码，尽管这可能甚至没有帮助，因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限，但很可能他们只是使用了蛮力的方法，因为动视账户不提供双因素认证。众多《使命召唤》玩家表示，由于黑客进入他们的动视账户并更改密码，导致无法进入他们的账户。 截至目前，还不知道黑客攻击是否还在进行中，也不知道受影响的账号情况如何，因为动视还没有就此事发表任何形式的声明，而最初透露事情经过的人也没有透露任何新的信息。 更新：在 1 个小时之前，动视发布公告，并提供了确认用户账号是否安全的指南。     （稿源：cnBeta，封面源自网络。）

微信已经成了很多人的主要联系方式，很多场合下人们已经从留电话变为加好友。微信通讯录越来越长，但里面一些人却很少联系，于是，一种所谓“微信清粉”的服务应运而生，相信很多人都收到、看到过这样的信息，甚至是使用过这样的服务。然而您不知道的是，这种方式可能威胁到您的信息安全。 年恒是一位医务工作者，今年9月的一天，他突然收到一条令他意外的微信信息。 年恒：“我点开看了之后发现，是有一段时间没联系的一个老师，她发了一条微信朋友圈，说她最近使用了一个微信清粉的服务，非常好用，底下有一条链接。当时我看到这个消息的时候我也是非常奇怪，因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委，对方回复说她是在一个微信群中看到了一个清粉二维码，考虑到自己微信中的好友人数非常多，确实想清理好友，于是进行了尝试。 年恒：“当时（老师）摁了一下二维码识别了之后，在她自己都不知道的情况下，就往朋友圈里面发了一些消息，同时还往群里面散布了这些消息，给她自己带来非常多的麻烦。那一天下午没有做别的，就一直在解释，说自己受骗了，是扫描二维码后自动发出的。” 采访中，不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接，不仅会自动在朋友圈发送广告，还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映，今年5月她在使用“清粉”服务后，很快发现微信中有一笔自己并不知情的交易，对方是某网络游戏。继而她发现，在这款从未接触过的网游中，竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的，又会给用户带来哪些信息安全隐患？ 专家表示，“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户，让该账户自动向其所有好友群发消息，再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群，都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后，潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧：“第一个因为你授权给他，相当于他接管了你的账户，这样他就可以调取你的个人资料，包括微信的通讯录、聊天记录，还有你手机的通讯录、聊天资料、通讯录和你的一些资料，都有可能会泄露出去；第二个他通过占有你的一个账户，他去注册一些其他的账户去做一些事情，如果这些事情是违法的，就会对你个人的一个征信带来影响；第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日，江苏南通市公安局对外披露，他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件，5名涉案犯罪嫌疑人全部落网，这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中，江苏南通市公安局网安支队的民警发现，围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华：“犯罪嫌疑人在取得微信账号的控制权限后，借机非法获取用户微信群聊二维码信息，并将这些群聊二维码以图片形式保存在服务器上。” 随后，犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间，该犯罪团伙共非法获取用户微信群聊二维码2000余万个，均出售给了福建龙岩等地的诈骗赌博犯罪团伙，同时还为他人批量关注微信公众号和刷阅读量、刷赞，先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉：“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪，相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前，5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕，案件在进一步办理中。律师表示，“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点，而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示，基于“清粉”软件所潜在的巨大风险，不建议使用此类“服务”，提升防范意识，保护好个人信息；不要轻易点击不明来源的链接、二维码；在对外转账时，提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任，想办法从源头堵住这类行为，避免用户遭受损失。     （稿源：央视，封面源自网络。）

据外媒报道，美联邦检察官于当地时间周三宣布，两名伊朗人被指控侵入美国电脑网络窃取数据，他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据，包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿，这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前，这两人都被FBI通缉。 据了解，该案件于当地时间周二在新泽西州的联邦法院提起，被指控的几个目标就在该州。 起诉书称，袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称，这些网络攻击至少可以追溯到2013年。 据称，其中一个目标是一个总部设在纽约的国际组织，该组织提倡非军事和安全使用核技术。起诉书称，在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前，Heidarian和Farhadi窃取了敏感的核信息。 起诉书称，另一个目标是阿富汗的一个政府机构，该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示：“除非各国政府拒绝为网络犯罪提供安全港，否则我们不会将法治引入网络空间。今日的被告现在会明白，为伊朗政权服务不是一种资产而是一种犯罪枷锁，他们将一直背负着这种枷锁，直到他们被绳之以法的那一天。”     （稿源：cnBeta，封面源自网络。）

安全研究员 Volodymyr Diachenko 发现，由于服务器配置错误，Razer 网站于 8 月 18 日公开了超 10 万游戏玩家的个人信息。虽然不包括信用卡付款信息，但截图表明该公司的数字商店订单记录被意外曝光，其中包括消费者的电子邮件、邮寄地址、订购的产品类型、以及电话号码等在内的个人信息。 此事耗费了将近一个月来沟通反馈 在网上发现了这一问题后，Volodymyr Diachenko 在三周内与 RAZER 进行了多次接触，最终收到了一份答复。 这家游戏硬件制造商承认服务器存在配置错误，且用户的个人信息可能已被泄露，包括消费者全名、电话号码、以及送货地址等。 不过 Razer 还是辩称，并没有其它铭感数据（例如付款方式）被泄露，且其已于 9 月 9 日修复了错误的配置。 在致外媒 TheVerge 的电子邮件中，该公司同样确认了该问题，并表示任何有疑问的客户，都可以通过 DPO@razer.com 这个邮箱与他们取得联系。 即便如此，Razer 用户仍需警惕这部分泄露信息被用于网络钓鱼活动，因此还请妥善保管线上账户的密码与付款明细。     （稿源：cnBeta，封面源自网络。）

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件，该恶意软件针对IP语音（VoIP）软交换，旨在窃取电话元数据。ESET研究人员在周四的分析中说：“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据，包括呼叫详细记录（CDR）。” “要窃取此元数据，恶意软件会查询软交换使用的内部MySQL数据库。因此，攻击者充分了解了目标平台的内部体系结构。” 软交换（软件交换机的缩写）通常是VoIP服务器，允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台，即来自中国Linknat公司的VOS2009和3000软交换，并对其恶意功能进行加密，以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件，目的是访问MySQL数据库凭据，然后对其进行解密以查询数据库。 ESET的研究人员说，攻击者必须对平台二进制文件进行反向工程，以分析加密过程，并检索用于解密数据库密码的AES密钥，这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外，CDRthicker还过滤数据库的详细信息（用户名、加密密码、IP地址），并直接对MySQL数据库执行SQL查询，以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说：“从e_syslog，e_gatewaymapping和e_cdr表中渗出的数据经过压缩，然后在渗出之前使用硬编码的RSA-1024公钥加密。因此，只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中，但这种恶意软件可能只会导致当前版本的数据更新。 也就是说，攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时，我们还不知道这些恶意软件是如何部署到被破坏的设备上的，”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设，恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息，这些信息可用于执行国际收入分成欺诈（IRSF）。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国工资协会（APA）披露了一个影响会员和客户的数据漏洞，此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会，拥有20,000多个会员和121个APA关联的本地分会，组织培训研讨会和会议，每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书，并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日，APA发现其网站和在线商店被攻击者攻破，攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知，利用组织内容管理系统（CMS）中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权，他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示，该恶意活动可以追溯到2020年5月13日，大约是美国东部时间下午7:30。 APA说：“未经授权的个人可以访问登录信息（即用户名和密码）和个人支付卡信息（即信用卡信息及相关数据）。” 此外，在某些情况下，攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击（也称为Magecart或电子掠夺），通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后，APA立即为他们的网站和商店的CMS安装了最新的安全更新，以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后，APA的安全团队还增加了安全补丁程序的频率，并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码，并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源：BLEEPINGCOMPUTER，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近年来，网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上，Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露，只需点击一个按钮，浏览器就会跳转到正确的网址来帮助你轻松修改密码。 据悉，这项功能采用了“众所周知”的解决方案，因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转！ 以 WordPress 为例，该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 通过集成密码泄露检查和一件跳转修改功能，Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能，则谷歌会将你引导至它的主页。 按照计划，谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能，届时感兴趣的朋友可尝试手动开启或关闭该标记（flags）。 此外作为一项标准功能，其已在 Apple Safari 中得到使用，后续也将很快登陆其它基于 Chromium 内核的马甲浏览器中。     （稿源：cnBeta，封面源自网络。）

致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后，该公司正式宣布了这一消息，从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明，此次安全漏洞发生在一名黑客（或多名黑客）利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示，黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间，也没有说明它是何时发现的。不过，该公司表示，在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容，Freepik表示，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的信息。 该公司将这一数字定为450万，其中包括使用第三方联合登录账户的用户（谷歌、Facebook或Twitter）。 “对于剩下的377万用户，攻击者得到了他们的电子邮件地址和密码的哈希值，”该公司补充道。”散列密码的方法是bcrypt，还有22万9千名用户的方法是saltted MD5。随后，我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示，现在正在根据被采取的措施，用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户，这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。 当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     （稿源：cnBeta，封面源自网络）

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上，欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧，这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞，在此前四年多的时间里，该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示，此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧，这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心，根据这项法律，针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头，因为上述这些公司都在爱尔兰设有地区总部，但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示，在未能解决对其在Twitter案件中的分歧后，该机构启动了欧盟隐私监管机构之间的争端解决机制，这是该程序首次启动。Twitter案件是个风向标，因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定，或基于什么理由，但反对意见可能与其机制和罚款金额有关。 根据GDPR规定，监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款，基于Twitter 2019年的收入，罚款金额可能高达6900万美元。然而，该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素，例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律，在涉及多个国家的案件中，主要监管机构（如DPC）会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见，还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会，该委员会将通过投票决定。这个过程持续一个月，但可以延长到两个月，然后再延长两周。根据法律文本，一旦委员会批准了一项决定，主要监管机构需要在1个月内通知公司。     （稿源：网易科技，封面源自网络）

透明度活动组织 “分布式拒绝秘密”（DDoSecrets）在今年夏天早些时候公布了296GB的敏感执法数据后，被正式定为 “犯罪黑客组织”。这一描述来自于6月底美国国土安全部情报与分析办公室向全国各地的融合中心散发的一份公告。该公告的措辞与美国政府早前对维基解密、匿名者和LulzSec的描述如出一辙。 公告中写道：”一个犯罪黑客组织分布式拒绝秘密（DDS）于2020年6月19日进行了一次针对联邦、州和地方执法数据库的黑客和泄密行动，可能是为了支持或回应因乔治-弗洛伊德之死而引发的全国性抗议活动。”据称，DDS泄露了全球200个警察部门、融合中心和其他执法培训和支持资源的十年数据。DDS此前曾针对俄罗斯政府进行过黑客和泄密活动。” 据报道，BlueLeaks的数据是由一名自称与Anonymous有关系的黑客提供给DDS的，包括来自200多个警察部门和融合中心的10年信息。这些记录包括警方和FBI的报告、公告、指南以及有关监控技术和情报收集的技术资料。一些新闻机构利用BlueLeaks的数据发布了关于执法手段的报道，包括黑人生命重要抗议者的反监视方法，反法执法部门威胁的分析，以及对COVID-19大流行期间广泛佩戴面具挫败面部识别算法的担忧。 6月底，Twitter针对泄密事件暂停了DDS的账户，并大规模屏蔽了泄密数据集的超链接，使其无法在平台上分享。对于一家长期以来允许DCLeaks等极端主义内容和容留选举干预链接的工作公司来说，这是一个非常严厉的步骤。上个月，德国当局查封了托管BlueLeaks数据的DDS服务器，有效关闭了该组织的在线记录库。这次查封是应美国当局的要求进行的。 DDS创始人之一艾玛-贝斯特（Emma Best）告诉The Verge，他们 “绝对 “相信这份文件表明，美国当局正在以调查维基解密的方式调查他们的组织，而维基解密的创始人朱利安-阿桑奇（Julian Assange）被控阴谋窃取和发布五角大楼的机密文件。贝斯特坚持认为，该组织从未参与过任何入侵获取文件的行为，只是在文件被他人获取后发布。他表示，与维基解密和阿桑奇不同，我们没有参与实际的黑客攻击，也没有为黑客提供物质支持。 （稿源：cnBeta，封面源自网络。）