分类: 网络安全

Meta 宣布与国际足联合作,遏制世界杯举办时期的网络骚扰行为

Meta公司正试图在2022年国际足联世界杯期间阻止网络骚扰问题,阐述了该公司为保护球员和球迷免受有害内容影响而采取的措施。去年,Facebook和Instagram都因未能保护英格兰国家足球队的黑人球员免受种族主义虐待而受到批评,球员们在2021年欧洲杯比赛期间遭到骚扰,导致英格兰各地的球队和组织在社交媒体上抵制。 在今天的一篇博文中,Meta公司表示,它正在与国际足联等球队和协会合作,教球员如何使用Instagram上的反骚扰功能,如”关键词过滤”和”限制”。它还强调,它在今年早些时候向Instagram推出了新的提示,阻止用户回复攻击性评论,并表示它在今年4月至6月期间能够对超过1700万件仇恨言论采取行动。不过,这些功能都不是新的,也不是专门为处理世界杯而设计的。 Meta博文中写道:”我们有明确的规则,反对欺凌、暴力威胁和仇恨言论–我们不希望它出现在我们的应用上。该声明是在2022年国际足联世界杯的紧张局势下发表的,因为球迷和球员都批评主办国对移民工人、妇女和LGBTQ群体存在大量侵犯权益的行为。” 关于已经存在的其他保护措施,Meta公司强调了一些工具,这些工具允许用户自己进行调节:包括逐个管理帖子评论权限;可以禁用公共直接信息;阻止攻击性用户。但这些解决方案对于希望与粉丝自由交流的公众人物来说可能并不理想。 Meta公司为减少Instagram上的辱骂性信息所做的其他努力包括简单地要求用户不要过于刻薄。 国际足联和更广泛的足球行业围绕其球迷和成员的行为已经有了不好的名声,但即将在卡塔尔举行的2022年国际足联世界杯特别引发了关注。自从赛事被授予卡塔尔以来,围绕针对卡塔尔人权的抗议活动一直在进行,美国司法部此前认为这一决定是国际足联官员受贿的结果。 2021年的一项调查发现,至少有6500名移民工人因卡塔尔的极端工作条件(包括缺乏水)而死亡。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7167056317851533863/?log_from=3dab4d5828403_1668735515486 封面来源于网络,如有侵权请联系删除

谷歌将于 2023 年在安卓 13 中引入隐私沙箱

谷歌宣布将从明 年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。Privacy Sandbox 旨在创建技术来保护人们的在线隐私,限制秘密跟踪。 隐私沙盒的目标是: 建立新技术来保障用户信息的私密性; 使发布者和开发者能够在不依赖侵入性跟踪的情况下保持在线内容免费; 与业界合作建立新的互联网隐私标准; 公司最初将在一小部分设备上安装启动沙箱,并随着时间的推移而增加。 从明年初开始,我们计划向 Android 13 移动设备推出最初的隐私沙盒测试版,以便开发人员通过测试结果采取下一步方案。 同时,谷歌将邀请部分应用开发者访问系统API,同时帮助谷歌进行下一阶段测试。 安卓隐私沙箱取代了跨APP id,并用属性报告(Attribution Reporting)、主题(Topics)、FLEDGE等API系统来实现相关信息的记录。 Topics API的原理是一个分类器模型,可以从app使用中了解用户的兴趣,并告知广告商。 用户兴趣会每周通过设备信息来进行计算,并从上千个topic中选择最相关的5个。 FLEDGE 是另一个隐私沙箱子系统,由广告选择(Ad Selection)和受众(Custom Audience)API组成。广告选择为广告商提供哪些广告在哪些设备上可以取得更好的效果,受众API为发布者提供根据兴趣确定目标受众的选项。 这些API合起来取得了目前安卓系统中使用的广告ID(advertising ID),缓解了advertising ID被用于追踪用户的问题。 SDK Runtime 可以隔离第三方广告代码,因此APP将不再包含在其代码中。也无法访问用户兴趣和其他营销相关的数据。 总体来说,隐私沙盒在一定程度上实现了隐私保护的改进。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/350028.html 封面来源于网络,如有侵权请联系删除

F5 修复了产品中 2 个严重的远程代码执行漏洞

Hackernews 编译,转载请注明出处: Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过,安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有: CVE-2022-41622是一种通过跨站点请求伪造 (CSRF) 执行未经身份验证的远程代码,会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示:“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面(而不是数据平面)利用此漏洞。如果被利用,此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码,驻留在设备模式iControl REST中。在设备模式下,具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道:“在设备模式下,具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题;没有数据平面暴露。设备模式由特定许可证强制实施,或者可以为单个虚拟群集多处理器(vCMP)来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞,并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过: ID1145045 – 通过错误的UNIX套接字权限提升本地权限 (CWE-269) ID1144093 – 通过不正确的文件上下文绕过SELinux (CWE-732) ID1144057 – 通过更新脚本中的命令注入绕过SELinux (CWE-78)   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员在 Spotify 的后台发现了严重的 RCE 漏洞

Hackernews 编译,转载请注明出处: 安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞(CVSS评分为9.8)。Backstage是Spotify用于构建开发人员门户的开源平台,它被多个组织使用,包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。 此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞(CVE-2022-36067 又名Sandbreak)来利用。 Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞,Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。 “未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸,在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。 该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。 研究人员解释说,模板引擎利用vm2库来防止不可信代码的执行。 “在审查如何限制这种风险时,我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板,来运行shell命令。因此,Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中,Oxeye发现了一个vm2沙盒逃逸漏洞,导致主机上的远程代码执行(RCE)。 研究人员在Shodan中对Backstage favicon哈希进行了简单的查询,并发现了500多个暴露在互联网上的Backstage实例。 专家们注意到,默认情况下部署Backstage时没有身份验证机制或授权机制,允许来宾访问。一些公开的Backstage实例不需要任何身份验证。 通过进一步的测试,专家们可以确定,在许多情况下,不需要身份验证就可以利用该漏洞。 “任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎(如Mustache),可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离,可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息,请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证,请同时在前端和后端启用它。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

俄罗斯企业频发数据泄露事件,720 万用户数据在黑客论坛出售

近日,黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后,俄罗斯踏板车共享服务Whoosh确认发生数据泄露。据悉,Whoosh 是俄罗斯领先的城市出行服务平台,在40个城市运营,拥有超过75,000辆电动滑板车。 一名威胁行为者开始在黑客论坛上出售被盗数据,据称其中包含可用于免费访问该服务的促销代码,以及部分用户身份和支付卡数据。该公司本月早些时候通过俄罗斯媒体的声明证实了网络攻击,但声称其 IT 专家已成功阻止了攻击。 在今天与RIA Novosti分享的一份新声明中,Whoosh承认存在数据泄露,并告知其用户群他们正在与执法当局合作,采取一切措施阻止数据的分发。 Whoosh的一位发言人表示:“此次泄露并未影响敏感的用户数据,例如账户访问、交易信息或旅行详情。我们的安全程序还排除了第三方获取用户银行卡全部支付数据的可能性。” 据悉是“Breached”黑客论坛上的一位用户发布了一个数据库,其中包含大约720万 Whoosh客户的详细信息,包括电子邮件地址、电话号码和名字。 该数据库还包含1,900,000名用户子集的部分支付卡详细信息。卖家还声称,被盗数据包括 3,000,000 个促销代码,人们可以使用这些代码免费租用 Whoosh 滑板车。 卖家表示,他们仅以每人 4,200 美元或 .21490980 比特币的价格将数据出售给五个买家,根据用于交易的SatoshiDisk平台,还没有人购买该数据库。 在Telegram上单独出售的数据中,威胁者声称它是在2022年11月对 Whoosh 的攻击中被盗的。 俄罗斯数据库泄露 根据俄罗斯互联网监管机构 Roskomnadzor 2022年8月的一份报告,自今年年初以来,已确认有4起俄罗斯公司数据泄露事件。 2022年9月,Group-IB发布了一份报告,声称仅在今年夏天就观察到140起俄罗斯公司的数据库销售被盗,暴露的记录总数达到 3.04 亿条。 就今年的影响而言,最显着的泄密事件是外卖应用程序 Yandex Food的泄密事件,它导致了多项附属数据的泄露。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/lMRsk5r0mo8GpAigfx30Iw 封面来源于网络,如有侵权请联系删除

逾期不付赎金,高科技公司泰雷兹被 Lockbit 撕票

Lockbit勒索软件组织近来可谓是动作频频,据SecurityAffairs消息,该组织在前不久攻击全球高科技公司泰雷兹(Thales)后,已开始泄露所窃取的数据。 10月31日,泰雷兹被添加进Lockbit受害者名单中,要求在 2022 年 11 月 7 日之前支付赎金,否则将泄露被盗数据。就目前看来,Lockbit信守诺言并实施了威胁。 11月10日,他们开始公布泰雷兹的一些内部内部机密文件,其中一个文件夹显示有9.5GB大小。 Lockbit泄露的泰雷兹数据 但泰雷兹试图淡化这一事件,11月11日,泰雷兹解释称这些数据不会对其经营活动产生影响,安全专家正对数据泄露两个可能来源进行调查,努力将潜在影响降至最低。 此次数据泄露是Lockbit今年第二次针对泰雷兹发起的攻击。今年1月,在泰雷兹宣布拒绝支付赎金的情况下,Lockbit泄露了数百个 Zip文档,其中包含该公司的内部代码。 泰雷兹是全球高科技领先企业,在全球拥有 81,000 多名员工。集团投资于数字和深度技术创新,在国防、航空、太空、运输和数字安全方面拥有先进技术。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349702.html 封面来源于网络,如有侵权请联系删除

澳大利亚政府考虑将向网络黑客支付赎金的行为列为非法

澳大利亚内政部长克莱尔·奥尼尔周日表示,在最近影响到数百万澳大利亚人的网络攻击之后,政府将考虑把向网络黑客支付赎金的行为定为非法。澳大利亚最大的医疗保险公司Medibank Private Ltd在10月份遭受了大规模的网络攻击,澳大利亚正在努力应对黑客攻击的增加。 新加坡电信拥有的电信公司Optus是澳大利亚第二大电信公司,自9月以来,至少还有8家公司被入侵。 周日,当被问及政府是否计划研究禁止向网络犯罪分子支付赎金时,奥尼尔确认了这一消息,她说:”我们将在……网络战略的背景下做到这一点。” 此前,奥尼尔在周六正式确定了澳大利亚联邦警察(AFP)和澳大利亚信号局(负责拦截来自外国的电子通信)之间新的网络警务模式,以对网络犯罪进行”新的严厉监管”。 大约100名警官将成为这两个联邦机构之间新的伙伴关系的一部分,这将作为打击网络犯罪的联合常设行动。 她说,特别工作组将”日复一日地追捕那些对这些恶意犯罪负责的卑鄙小人”。 黑客们周四要求支付1000万美元,以停止泄露从Medibank盗取的高度敏感的记录,为了逼迫医疗机构就范,他们上传了更多关于客户的隐私细节,Medibank一再拒绝支付赎金。 总理Anthony Albanese此前曾表示,政府正在尽其所能限制Medibank黑客攻击的影响,并为受影响的客户设立了电话服务,以便向政府和Medibank寻求帮助。 澳大利亚联邦警察敦促受害者遭遇勒索软件后尽快报警 Deadbolt已经渗透到13个国家超过15000人和公司的电脑中,并要求受害者支付约1500澳元以换取文件解密。至少有12名澳大利亚人是这些人中的目标。 警方能够从该勒索软件组检索到150多个解密密钥,使约90%的报告受害者能够在不支付赎金的情况下访问他们的文件、照片和个人数据。 由于这次中断,澳大利亚联邦警察为一些澳大利亚受害者获得了解密密钥。 两国警方的干扰导致攻击背后的网络犯罪分子关闭了Deadbolt。 报案的受害者是第一批向警方提供线索并收到其数据的人。不幸的是,对于没有报告的受害者来说,他们取回数据的机会很低。 这次行动表明,人们举报网络犯罪是多么有价值,特别是当他们受到影响时。 澳大利亚联邦警察代理总监Ashley Wygoda说,包括Deadbolt在内的许多勒索软件尝试的受害者是小企业或在家工作的人。 “在大流行期间,人们越来越多地转向网上工作和学习,这使得人们容易受到网络犯罪分子的攻击,他们试图利用社区的高额财富,”代理警司Wygoda说。”我们看到网络犯罪分子采用了更加智能的战术,这可能导致数据、个人信息和财务的损失。” “澳大利亚联邦警察局敦促受勒索软件或任何其他网络犯罪影响的人在事情发生时尽快报告,以增加他们取得积极结果的机会。” 2021年7月,澳大利亚联邦警察成立了Operation Orcus,以协调各国执法机构打击勒索软件的努力,包括针对开发者和那些利用勒索软件即服务的人。 与合作伙伴合作,Operation Orcus已经分析了数百起勒索软件事件。自2022年7月以来,Operation Orcus已经通过18次预防性合作保护了澳大利亚的组织,并为其他调查机构准备了咨询报告。 Orcus行动包括来自ACIC、ACSC(ASD)、AUSTRAC以及州和地区警察的合作伙伴。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7165819372891144741/?log_from=6fe11e8ad1903_1668476063714 封面来源于网络,如有侵权请联系删除

得物 APP“喜得”热搜,用户手机相册还安全吗?

11 月 12 日,某短视频平台突然曝光了一段视频,视频中一网友声称双十一期间在得物 App 收到购买商品后发现货物存在问题,随即拍下视频反馈给得物官方,并上传了一些与货物相关的视频证据到得物平台。 之后发生的事情就非常诡异了,该网友发现手机突然弹出两条信息,疑似是得物涉嫌通过调用其手机权限,删除了手机里与得物货物相关的视频。据悉,用户两条视频遭删除,其中一条是开箱确定商品是有否问题,另外一条是去专柜做对比的视频。 (图源互联网) 舆论发酵后,这一视频迅速传播,有关得物 APP 侵害用户个人信息的言论开始广为流传,13 日一早,得物 APP 立刻冲上热搜,得物方面不得不站出来回应。 得物 APP 表示绝不会侵害用户权益 对于网友曝光的得物 APP 调用客户手机权限,删除其录下关于收到货物有问题的视频证据一事,得物 App官方发文表示,经内部团队核实,平台从未删除用户手机相册中的“原视频”,删除的是临时“缓存文件”,用户使用的华为手机系统可能检测到了得物 APP 临时缓存文件的处理,触发了系统拦截通知。此外,在收到用户反馈意见后,已第一时间研究优化该体验,以期避免误会。 值得一提的是,得物方面早已发文强调,公司完全没有立场和动力进行删除用户相册等不合规行为,此外,对于用户海量视频数据,得物方面也没有相应技术能力进行批量识别,甚至定向删除。 另外,得物方面认为当 App 对产生的缓存文件进行管理操作时,手机系统可能会将其判定为异常行为,并出现类似的误报。因此,对该用户反馈的被手机系统判定为异常行为的情况,正在与用户及厂商沟通确认。 APP 权限问题需要进一步管理 从权威人士的说法来看,删除用户手机相册里的视频或图片,只能人工手动进行操作。同时,就算是用户对某一个 App 打开了手机相册权限后,该 App 也只能读取相册信息,并不能定向删除手机内的视频,类似某视频平台网友出现的这种情况,发生的概率比较小,从业多年还没见过。 “得物 APP事件”并不是偶然事件,国内多家互联网厂商都曾发生类似事件。现阶段,App 运营商和用户之间的权利实际上很不平衡,当用户使用应用程序时大都需要用户授权拍照、相册、定位、通讯录等功能,这样可能导致 App 获得超出运营需求外的权限。 一旦应用程序获得如此大的权限后,难免会有一些运营商动歪心思,例如有意无意投放广告、检测用户喜好,定点推送内容,因此,App 权限获取机制应该进一步完善,已达到最大程度保护用户隐私,对于过度收集、使用用户手机权限的 APP 应当受到法律的惩处。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349707.html 封面来源于网络,如有侵权请联系删除

虚假马斯克账号都能认证?Twitter Blue 订阅引发冒牌危机

据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。 Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权,而最引人注目的特征,则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去,这一标识只对知名人士和组织机构的帐号开放。 这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。 真(右)假(左)马斯克推特账号都带有蓝色认证 到目前为止,区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标,查看弹窗中的认证说明信息,过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。 11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349499.html 封面来源于网络,如有侵权请联系删除

美官方为软件供应商提出供应链安全指南

10月31日,美国国家安全局(NSA)、网络安全及基础设施安全局(CISA)、国家情报总监办公室(ODNI)携手发布了保护软件供应链的实操指南。该指南内容总共有40页,主要提及了软件供应商在供应链中所需要承担的责任和改进方法。指南中提及的供应商主要责任包括: 第一,努力识别可能危及组织、软件开发、软件本身和软件交付(即内部部署或SaaS)环境的威胁,并实施相关的缓解措施;第二,作为客户和软件开发团队之间的联络人,需要确保软件在安全环境下开发,并通过安全渠道交付;第三,供应商通过合同协议、软件发布和更新、通知和漏洞缓解机制来提供所交付的软件额外的安全功能。 对于软件供应链的安全实践,NSA、CISA与ODNI有着一系列的规划,相关规划落实在由NSA及CISA所主导的政企工作小组所开发的“长期安全框架”(Enduring Security Framework,ESF)之中。这一框架将产出指导美国重大网络基础设施的安全指南,针对软件供应链总计有3部分:首先是今年9月发布、锁定软件开发者的《Securing the Software Supply Chain for Developers》,10月31日发布的指南适用于软件供应商,下一步则会发布针对软件供应链客户使用者的版本。 该指南针对软件供应商的供应链安全提出了非常多的建议,现将主要要点如下概述: 第一,该指南敦促软件供应商在软件收发供货过程中保证供应链安全。供应商有义务做到确认发货的软件与客户收到的软件是一样的;需要创建一个安全的哈希值来验证文件是否传送正确;需要确保软件传输通信渠道是安全的。需要通过利用国际公认的标准(如NIST SSDF)对软件进行最终检查,这有助于确保在软件发布前满足软件功能和安全要求。 第二,该指南认为供应商应提供一种机制,通过在整个软件生命周期内对代码进行数字签名,来验证软件发布的完整性。经过数字签名的代码,使代码接收者以及客户能够积极地验证和信任代码的来源和完整性。 第三,该指南要求供应商必须确保本地开发的软件和由第三方供应商提供的任何组件都需要符合安全要求。由于第三方提供的软件和模块通常会包含在供应商发布的软件产品中,为此,供应商可以通过召集专家评估第三方提供的软件是否符合适用的安全要求、与第三方软件提供者签订合同协议来解决潜在的第三方软件问题。 第四,该指南认为供应商应尽一切努力,确保提供给客户的任何软件中不存在公开的或容易识别的漏洞。在向客户提供软件之前,需要测试、了解和消除软件中的漏洞,以防止提供容易被破坏的代码。需要建立一个由架构师、开发、测试人员、密码学家和人为因素工程师组成的漏洞评估小组,其任务是识别软件中可利用的弱点。需实时检查与第三方软件和与软件相关的开放源码组件相关的软件物料清单(SBOM)。在相关问题公布后,建立并遵循企业对嵌入式组件升级的指导。 该指南下载地址: https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF    转自 Freebuf,原文链接:https://www.freebuf.com/news/349435.html 封面来源于网络,如有侵权请联系删除