据外媒报道，近日，俄罗斯黑客似乎对 Instagram 发起了一次网络攻击，导致其中一部分用户无法再访问自己的账号。即便拥有双重身份(2FA)验证的一些用户也发现他们的账号被攻破。获悉，受影响用户的电话号码、邮箱地址等联系信息也遭到篡改，另外个人资料图片甚至 Facebook 个人资料链接也被改掉。 现在，已经有 Instagram 户在 Twitter 和 Reddit 上抱怨此事，据统计，在过去7天时间里 899 名用户在 Twitter 上发帖超过 5000 条。 虽然 Instagram 方面表示黑客攻击活动并没有加剧，但根据 Twitter 上的活动以及 Google Trends 的记录来看却在加剧。 另外看起来恢复对不再为自己拥有的电话号码和邮箱地址的访问也成为了一件麻烦的事情，Instagram 提供的账号恢复自动操作设置阻碍了这一过程。而令人担忧的是，2FA 认证也被破解，这似乎表明黑客可以盗取他们想要的任何账户。 目前尚不清楚黑客最初是如何登录这些账户的，也不知道俄罗斯黑客为何要盗取这些账号，或许他们又在为下一次的社交媒体干涉政坛行动做准备。不过也有可能这次的网络攻击并未俄罗斯黑客所为，而是有人想要嫁祸给它。       稿源：cnBeta.COM，封面源自网络；

美国联邦调查局（FBI）近期向银行业发布警告，称网络犯罪分子可以绕过 ATM 取款机上的各种安全措施，从而让 ATM 非法吐钞。FBI 表示获得尚未证实的匿名线报，称网络犯罪份子计划在未来几天内对全球 ATM 取款机发起这种攻击，目前仍不确定漏洞所在，可能和一些发卡机构违规操作有关。 图片来自于 U.S. Air Force photo by Tech. Sgt. Josef Cole 这通常称之为“unlimited operation”，通过安装恶意软件来破坏金融机构或者而支付终端，允许黑客进行网络访问获得管理员级别的访问权限。一旦黑客攻入该系统，那么就能关闭 ATM 提款金额（和交易限额）上的限制，甚至能够提取数百万的大额资金。   稿源：cnBeta.COM，封面源自网络；

苹果的设备一直被认为相当具有安全性，但是它可能并非完全如此。虽然 Windows 可能容易受到攻击，但 macOS 好像也不那么安全，例如一台全新的 MacBook 就城门大开，很容易被黑客入侵。本周在拉斯维加斯举行的黑帽安全会议上有安全专家展示了该威胁。 问题出现在针对使用 Apple 的设备注册计划及其移动设备管理平台的 MacBook 上。设计这种功能的想法主要是为了方便企业当中的设备管理：将 MacBook 直接发送给员工，以便他们可以在办公室或家中设置设备。 Fleetsmith 的首席安全官 Jesse Endahl 和 Dropbox 的工程师 MaxBélanger 发现了这些设置工具中的一个错误，可以利用它来获得罕见的远程 Mac 访问。 我们发现了一个错误，允许我们在用户第一次登录之前破坏设备并安装恶意软件。当他们登录时，当他们看到桌面时，计算机已经受到损害。 – 杰西恩塔尔 研究人员已经向苹果通报了这个漏洞，并且该公司上个月已经发布了 macOS High Sierra 10.13.6 的修复程序。但是，上个月之前制造的设备仍然容易受到攻击，组织需要更新操作系统以确保漏洞。 苹果没有评论该公司推出的错误或修复程序。   稿源：cnBeta.COM，封面源自网络；

据外媒报道，来自 BBC 的一篇报道指出，有黑客攻入了美国职业高尔夫球运动员协会 (PGA) 服务器并将目标锁定在于本周举行的 PGA 锦标赛和即将在法国举行的莱德杯的市场宣传材料上。据了解，黑客用勒索软件锁住了 PGA 的电脑，很显然，他们的目的非常简单–付钱解锁。 据 Golfweek 披露，黑客要求主办方用比特币付款，至于具体多少金额并未公布。 据称，黑客们还给 PGA 工作人员留下一条警告信息，即不要试图破坏他们设置的加密程序。根据 Golfweek 的说法，这可能会导致某些文件将无法恢复，另外目前市面上还没有解开该加密程序的软件。 针对这一事件，美国 PGA 并未立即回应，不过一位发言人告诉 BBC ，PGA 锦标赛将不会因此受到影响。     稿源：cnBeta.COM，封面源自网络；

Snapchat 是一款主打“阅后即焚”功能的消息应用，不过近日，这款 app 的源码也在代码托管网上上玩了一回“阅后即焚”。事情的起因是，一位据说来自巴基斯坦东南部 Sindh 省 Tando Bago 村的“the handle i5xx”，在 GitHub 上创建了一个名叫“Source-Snapchat”的资源库。 尽管发稿时，该资源已经被 Snap 公司依据《数字千年版权法案》（DMCA）提出的版权撤除请求而被 GitHub 移除，但事件还是引起了很大的反响。 据悉，该资源库自称为‘SnapChat 源代码’，并通过苹果的 Objective-C 语言编写，所以曝光的应该是 iOS 版 Snapchat 应用的全部或部分内容。 不过当前，我们还无法确定它属于其中服务的一个小组件，还是该公司的一个单独项目。 至于发布者‘i5xx’的身份，其账号信息关联的是‘Khaled Alshehri’，但很可能是个假名。外媒 TNW 指出，其姓氏在巴基斯坦并不常见。 此外，账号简介链接到了一个位于沙特的在线服务，其提供从安全扫描、iCloud 删除，到软件开发和 iTunes 礼品卡销售在内的各种技术服务。 四天前，GitHub 发布了一份来自 Snap Inc. 的 DMCA 版权撤除请求，不过它可能是在更早之前提交的（在线时间或超过 2 个月）。 需要指出的是，Snap Inc. 在 DMCA 请求中使用的语气（多段纯大写字母组成的句子），传达出了一种切实的恐慌感（甚至措辞来不及做得更加严谨）。 Snapchat 源代码被泄露，有人将它放到了这个 GitHub 资源库中。我司无法给出确切的 URL 指向，也不会公开发布它。 显然，这从侧面反映了此前上传的资源库内容的重要性。 然而有知情者指出，本次泄露并非出于恶意，只是某位研究人员无法将他的某些发现传达给该公司。在 GitHub 根据 DMCA 请求撤除之后，他还威胁再次上传源代码，直到该公司正式作出回应。 不过事实是，Snap Inc. 在 HackerOne 上有一个活跃的账户和 bug 赏金计划，且响应速度极快 —— 安全研究人员是很容易与该公司取得联系的。 根据 HackerOne 的官方统计数据，其在 12 小时内回复了初步报告，并已支付超过 22 万美元的奖金。外媒 TNW 已经联系 Snap 发表评论，感兴趣的朋友可以留意我们的后续报道。         稿源：cnBeta.COM，编译自：TNW，封面源自网络；

据外媒报道，黑客活动群体“匿名者”刚刚在 YouTube 和 Twitter 上向 QAnon 发出了威胁，扬言在星期天攻击该“挺川”运动及其创建者。在 3 分钟的视频中，“匿名者”威胁攻破线上阴谋论 QAnon，因后者已从互联网越步至现实生活中 —— 其支持者甚至在佛罗里达州坦帕湾的集会上挥舞起了“Q”记号。“匿名者”担心，QAnon 的活动可能会对现实生活带来不利影响。 去年晚些时候，有人开始以“Q”的名义，在匿名看板上预告或点评重大事件。虽然无人知晓其幕后身份（有可能不止一个人在运营该账号），但其言论吸引了许多阴谋论爱好者的关注。 一位变声后的“匿名者”在视频中称，有人将会受到伤害，所以该团体呼吁大家一起采取行动。“匿名者”声称他们已经制定了计划，因其无法对人们被误导和利用一事做到袖手旁观。 对于这一威胁（#OpAQnon），QAnon 的 Twitter 账户并未立即作出回应。   稿源：cnBeta.COM，封面源自网络；

据外媒 Securityaffairs 报道，工业网络安全公司 Dragos 研究人员报告称，在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织（又名Leafminer），一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃，研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周，赛门铁克的研究人员根据对 Leafminer  组织的追踪，发布了一份关于网络间谍团队活动的详细报告，研究人员称该组织攻击活动的范围可能更广，他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表，列表按照其对地区和工业的兴趣对每个条目进行了分组，目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统，黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击，为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击，黑客通过注入网站链接以提示SMB连接，收集 Windows 凭据。然后，攻击者部署脚本来安装连接到 C&C 广告的恶意软件，然后让攻击者控制受感染的计算机。 根据Dragos的说法，即使 RASPITE 主要针对 ICS 系统，但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止，RASPITE 的活动主要集中在电力部门的初始访问，虽然目标是电力设施，但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力，包括像乌克兰那样的大规模停电。   消息来源：Securityaffairs，编译：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

讯 北京时间 8 月 2 日早间消息，美国社交新闻网站 Reddit 周三宣布，该公司的几个系统遭到黑客入侵，导致一些用户数据被盗，其中包括用户目前使用的电子邮箱以及 2007 年的一份包含旧加密密码的数据库备份。 Reddit 称，黑客获取了旧数据库备份的一个副本，其中包含了早期 Reddit 用户数据，时间跨度从 2005 年该网站成立到 2007 年 5 月。 “虽然这是一次严重的攻击，但攻击者并没有获得 Reddit 系统的写入权限。他们获得的是部分系统的只读权限，其中包含了备份数据、源代码和其他日志。” Reddit 创始工程师克里斯多夫·斯洛维（Christopher Slowe）写道。 斯洛维表示，Reddit 今年 6 月 19 日发现，攻击者在 6 月 14 日至 6 月 18 日期间入侵了该公司几名员工的帐号。 Reddit 表示，此次攻击是通过拦截员工的短信实现的，该短信中包含了一次性登录码。该公司还补充道，他们已经将此事通知受影响的用户。 斯洛维表示，该公司大约在 3 个月前聘请了第一位安全主管，“他目前还没有退出。”     稿源：，稿件以及封面源自网络；

据外媒报道，三名乌克兰公民近日因参与一项针对 100 多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到，该团伙在过去总共从 6500 多个销售点终端盗取了超 1500 万张信用卡记录。据安全研究人员介绍，这个叫做 Carbanak 的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。 最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或 SEC （美证券交易委员会）投诉文件展开。 在一次网络攻击中，该组织冒充 FDA （食品与药物管理局）的食品安全与应用营养中心，向目标企业发出了一封通报一起食品中毒事件的邮件。邮件写道：“你可以在列表附件中找到针对你家餐厅将展开的调查和检查时间。”实际上，这个附件是一个恶意软件。 现在，Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等 26 项罪名。起诉书指出，这些人建立了一个虚假的安全公司以此来掩护他们的黑客行为。据悉，针对这 3 人的逮捕行动则是在德国、波兰以及西班牙与乌克兰当局的合作下展开，眼下他们当中还有 2 人仍在等待引渡。 实际上这并非第一个与 Carbanak 网络攻击行动有关人员的逮捕行动，今年 3 月，西班牙国家警察宣布他们已经逮捕了该组织策划者 Denis K。     稿源：cnBeta.COM，封面源自网络；

据外媒报道，美国国土安全局(DHS)想要阻止下一个NotPetya。当地时间周二，该部门宣布成立国家风险管理中心，该中心将致力于协助私营企业避免遭受以及应对来自世界各地的网络攻击。重点是保护黑客攻击的重要基础设施。今年3月份的时候，DHS曾发出警告称，俄罗斯黑客一直在窥探着美国电网。 今年早些时候，美国官方指出，虽然2017年的NotPetya勒索软件网络攻击发生在乌克兰，但它却是有史以来最具破坏力的网络攻击，它给美国和欧洲国家造成了数十亿美元的损失。而在NotPety勒索软件出现前一个，WannaCry勒索软件攻击席卷全球，使许多医院、学校、机场被迫停止数字操作。 据悉，DHS部长Kirstjen Nielsen在纽约举办的网络安全峰会上宣布了成立国家风险管理中心的消息。她表示，对一家科技公司的网络攻击可能会迅速演变成一场会影响到金融、能源以及医疗保健系统的危机。 这项合作将允许私营公司向DHS寻求帮助，同时还能通过正在进行的网络攻击信息来帮助DHS展开进一步的工作。另外，Nielsen指出，在某些情况下，网络攻击的受害者可以向当地警方求助，而这个全新的国家中心将作为一种资源为民众提供更多的帮助。   稿源：cnBeta.COM，封面源自网络；