HackerNews.cc  9 月 2 日消息，某黑客因不满意 DDoS 服务出租平台 TrueStresser 提供的服务，入侵该平台后窃取了部分客户敏感信息，并于社交媒体 Pastebin 与 Hastebin 上公然发布。此外，该黑客声称他不仅窃取了 331 名用户电子邮件账号、用户名与密码，还在线发布了 TrueStresser 控制面板登录凭证，致使任意用户均可使用该凭证命令僵尸网络发动 DDoS 攻击。 安全研究人员 Derrick Farmer 表示他曾通过黑客泄露的 16 个明文用户密码之一进行登录，以便验证该起事件是否真实，随后他所使用的 IP 地址便就到了大规模的  ICMP Flood 攻击。 TrueStresser 平台在发现数据库遭窃后立即向另一 DDoS 服务出租平台 Defcon.pro 租用攻击服务基础设施，后者现今拥有超过 7,700 名客户，可在短短一天内发动逾 3,900 次 DDoS 攻击。目前尚不清楚黑客是何时以及如何入侵的 TrueStresser 平台，研究人员表示还将深入调查。 原作者：India Ashok，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Instagram 此前曾对外宣称，其应用程序界面存在一处安全漏洞，允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过，虽然该漏洞已被修复，但影响范围远比想象还要严重。知情人士获悉，该漏洞似乎正是导致赛琳娜 ·戈麦斯账号突然发出大量前男友贾斯汀·比伯裸照的缘由。 官方最新消息披露，虽然一开始 Instagram 表示此次攻击仅影响到获得认证的账号，但最新更新数据却指出未获得认证的用户账号也在影响范围之内。据了解，在这一网络攻击曝光数小时后，黑客建立了一个名为 Doxagram 的搜索数据库，即用户可花费 10 美元在其获得一次搜索受害者联系信息的机会。目前，黑客总共在上面发布了 1000 个账号，包括 50 个关注者最多的账号。 Instagram 至今仍未公布受影响账号数量。据历史统计 Instagram 总共拥有 7 亿多个活跃账号，然而黑客声称他们手上已掌握逾 600 万个账号信息。另外，Instagram 还表示在这次攻击中用户的账号密码并未被盗。截止当前，虽然 Doxagram 已经下线，但并不清楚它是否还会卷土重来。不过，即便 Doxagram 已经关闭，但网络安全公司 RepKnight 发现包括演员、歌手与运动员在内的多数名人信息于暗网出售： 演员：艾玛·沃特森、艾米莉亚·克拉克、扎克·埃夫隆、莱昂纳多·迪卡普里奥、查宁·塔图姆 歌手：哈里·斯泰尔斯、埃莉·古尔丁、维多利亚·贝克汉姆、碧昂斯、Lady Gaga、蕾哈娜、泰勒·斯威夫特、凯蒂·佩里、阿黛尔、史诺普·道格、布兰妮·斯皮尔斯 运动员：弗洛伊德·梅威瑟、齐达内、内马尔、大卫·贝克汉姆、小罗纳尔多。 目前，虽然尚不清楚此次大规模网络攻击幕后黑手真正身份，但 Instagram 已与执法部门展开合作。此外，安全专家提醒 Instagram 用户启用双因素身份验证并始终通过复杂密码保护账号信息。 本文根据 thehackernews 与 cnBeta 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 31 日报道，黑客组织 OurMine 近期对维基解密网站（WikiLeaks.org）发起了攻击，此前主页面显示：“ Hi，我们是 OurMine（安全团队），不要担心我们仅仅只是为了测试你的…Oh 等等，这并非一次安全测试！Wikileaks，还记得当时你是怎么挑衅要我们入侵试试的吗？”  OurMine 是一个自称为安全黑客团队，他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在前几天他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号（注：窃取 1.5TB 数据的并非 OurMine 团队），但 OurMine 宣称 “ 在测试安全性 ”。不过，他们此前主要攻击的目标是科技圈内的 CEO、企业与新闻网站，其通过漏洞入侵社交账号后兜售自家安全服务。 此外，该信息上继续写道：“ Anonymous，还记得那时候尝试攻击 wikileaks 时使用虚假信息人肉的我们吗？那么如你所愿，我们能够单挑你们所有。让 #WikileaksHack 成为推特的热词吧。” 截止发稿前，维基解密网站已恢复正常。 稿源：cnBeta，封面源自网络；

据外媒 8 月 31 日报道，Instagram 对外宣称，此前至少有一名黑客已成功窃取知名用户帐号个人信息，然而发生该事件的主要原因是由于系统存在安全漏洞，但目前该漏洞已被修复。 Instagram 发言人表示：“ 我们最近发现有一人或者多人通过 Instagram API 漏洞非法入侵知名用户帐号，以查看联系人信息（特别是邮件地址和手机号码）”。 Instagram 应用程序界面存在一处安全漏洞，允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过，目前用户不必太过担忧，因为 Instagram 账号并无密码泄露且漏洞已被修复。此外，Instagram 已将该问题通报所有帐户持有人以避免用户再次遭窃。 稿源：，稿件以及封面源自网络；

继五月之后，英国国家卫生局（ NHS ）再次成为网络攻击受害者，即旗下多个系统于 8 月 25 日再次感染恶意程序。援引当地媒体报道，英国拉纳克郡多家医院（包括 Hairmyres, Monklands 以及 Wishaw General Hospital ）的员工排班与电话系统遭到恶意程序攻击，目前当地的监管部门已经呼吁如果有必要可以前往急诊处，并承诺一旦系统恢复正常并重新上线则会立即恢复排班。 拉纳克郡官方 Facebook 上写道：“由于 NHS 拉纳克郡 IT 系统问题，员工排班系统和电话系统被迫宕机，目前处于无法访问的状态。但是 EOL 依然可用，因此如果在未来 72 个小时之内首先可以前往急诊处。任何值班取消都应该联系医院总机进行确认。 ” NHS 拉纳克郡首席执行官 Calum Campbell 发布声明，证实存在恶意程序感染的问题，并表示部分系统已经离线由合作的 IT 公司负责清理。 稿源：cnBeta，封面源自网络；

据英国《 泰晤士报 》于 8 月 23 日报道，黑客组织 “ 奇幻熊 ” 从足球管理机构以及足球协会的往来邮件中截取一批足坛涉 “ 禁药 ” 运动员名单并在线曝光。目前，泄露出来的名单有在 2010 年南非世界杯期间，被相关机构允许使用违禁药物的 25 人，其中包括特维斯、贝隆、库伊特、海因策、马里奥·戈麦斯等知名球员。 据悉，这些球员使用的药物包括倍他米松、地塞米松、沙丁胺醇等，不过这些运动员都是因为出于治疗的目的，经过申请后获得了使用这些药物的豁免权。此外，该组织还透露，在 2015 年，足坛共有 160 名运动员被检测出药物阳性。在被曝光的信息中，包括英足总发送给国际足联有关的四起反兴奋剂案件，其中有两起案件还在处理当中。 对此，英足总表示，“那些机密信息被公之于众很令人沮丧，那些进行中的案件的信息，直到最后调查结束之前，都不应该被公开泄露 ”。早于去年 9 月，这个名为 “ 奇幻熊 ” 的网络黑客组织就开始入侵体育管理机构和反兴奋剂机构的网络数据，并向外界公布大量通过申请药物豁免权以服用 “ 禁药 ” 照常参赛的运动员名单。 在此之前，包括英国长跑名将莫·法拉赫、日本乒乓球选手福原爱、捷克网球名将科维托娃、美国网球选手威廉姆斯姐妹等等，都在名单当中。此外，西班牙网球天王纳达尔也是其中之一，他曾表示，自己服用违禁药物获得了世界反兴奋剂组织的准许，“并没有什么好隐藏的”。 稿源：东方体育、澎湃新闻网，封面源自网络；

网络安全公司 Netcraft 发现黑客使用 .fish 域名网站伪装成法国银行官网瞄准客户进行钓鱼式攻击。当用户访问 parser.fish 时，他们将被重定向到一个伪装成法国银行 BRED 的越南网站，同时试图盗取用户银行证书。 经调查发现，Parser.fish 域名在多伦多的托管服务 Tucows 上匿名注册，这并非不平常，但这几乎不可能找出谁是网站拥有者，以及它是如何被黑，最有可能的解释是该网站遭到黑客入侵。幸运的是，目前该网站已被清除恶意代码。 .fish 成为顶级域名已经有一段时间，它是几个新顶级域名之一。如 .sexy、.tech 与 .xyz，它们和地理位置没有关系，.fish 顶级域名主要针对那些对水生生物感兴趣的用户。根据 Netcraft 的说法，访问量前 100 万位的网站当中只有有一个网站采用 .fish 和一个网站采用 .fishing 域名，目前大约有 6000 个网站 .fish 域名。 稿源：cnBeta，封面源自网络；

据外媒报道，安全研究人员近期发现黑客组织 OurMine 攻击 PlayStation 官方推特和脸书账号后，宣称自身已窃取 PSN 数据库信息，并且要求索尼的员工和他们联系。 OurMine 是一个自称为安全黑客团队，他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在前几天他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号（注：窃取 1.5TB 数据的并非 OurMine 团队），但 OurMine 宣称 “ 在测试安全性 ”。此前他们还曾窃取过维基百科合作创始人 Jimmy Wale s的全球维基媒体账号、黑过 Youtube 旗下媒体的账号并且修改了 300 多个知名油管账户的视频描述——都被改成了转向 OurMine的 网站链接。 据悉，在窃取了PlayStation官方推特和脸书账号后，OurMine黑客团队抓紧时间发了几条推文，大多数依然是给自己打广告，例如：“这里是 OurMine，我们是一个安全团队，如果你在 PlayStation 工作请和我们联系——这是我们的网站链接。” 不过让不少人担忧的是，OurMine 在推特上宣称他们还窃取了 PSN 数据库，不过他们拒绝将这些数据公开：“不，我们不会公开数据。我们是一个安全团队，如果你在 PlayStation 工作，请前去我们的官方网站。” 索尼很快取回了账号权限并且删除了 OurMine 发布的几条推特/博文。不过 OurMine 黑客团队还是用官方推特狠狠地刷了一波存在感。至于 PSN 数据库是否真的被黑了，我们也不得而知。就目前来看，这只是一场尴尬的闹剧。 稿源：cnBeta、GamerSky游民星空，封面源自网络；

据外媒报道，安全专家近期发现黑客伪造美国合法加密货币交易平台 Bittrex，旨在窃取用户登录凭据与账户资金。 美国加密货币交易网站 Bittrex 于 2015 年正式推出，支持包括比特币在内的数百款加密货币交换。不过，它仅支持英文且尚无任何联盟计划。Bittrex 由专业人士操作，主要目标是赢得客户信赖，确保货币交易更加安全快速。 据悉，一名在线用户于 8 月 15 日首次发现自身 Bittrex 帐号遭黑客入侵，且被盗约 2000 美元。研究人员随后经调查发现，黑客模仿合法网站 Bittrex 创建虚假交易平台，甚至连登录页面都极其相似，以诱导受害者泄露自身登录凭据。不过，伪造的 Bittrex 网站存在微小差异。例如，该虚假网站域名为 Blttrex.com，它使用字母 “ l ” 取代 “ i ”。 一家提供 IP 地址信息的知名平台 who.is 向媒体透露，虚假的 Bittrex 网站由俄罗斯公民 Sergey Valerievich Kireev 注册，其网站收集的所有地址、电话号码、城市与邮政编码均可在 who.is 平台使用。另外，虽然该网站已处于离线状态，但尚不清楚是否被托管公司强制下线。目前，Bittrex 尚未对此进行回应。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在新加坡 Hack in the Box 大会前，一名参与者披露 iPhone 5s “安全区域” 已被攻破且解密密钥也已被放出，但目前 iPhone 用户没有立即担心的必要。8 月 16 日，Redmond Pie 率先爆料此事，因为某位名叫 “@xerub” 的 Twitter 用户晒出一款针对 Secure Enclave 固件的提取工具。如果经验不够老道，一般人也玩不转这款工具，因其输出为二进制的内核、以及管理 Touch ID 指纹传感器和 Secure Enclave 通信相关的软件。 需要指出的是，该过程并不涉及 Touch ID 指纹传感器 / Secure Enclave 在过去和当下传输的任何信息。然而，提取一部 iPhone 5s 上的加密密钥，也并不意味着该设备就此变得不安全。只是说在面对‘钓鱼’利用的时候，大家需要比以往多长个心眼，最好是认真检查下设备的 Secure Enclave 固件有没有问题。目前暂未听说有利用该工具来收集数据的报告，也不清楚攻击者将如何在目标设备上操作或安装。即便有基于此开发的工具，也都只是针对 iPhone 5s 而已，且需要物理接触到设备并加载定制固件。 苹果 A7 及后续处理器上的 Secure Enclave 安全区，均针对 iOS 设备上的数据存储操作进行了全加密保护。该工具需要借助自身的‘安全启动’，且可通过个性化的软件更新过程（与应用程序处理器隔离），因此需要对每一部设备都单独安装一次。Secure Enclave 负责处理来自 Touch ID 传感器的指纹数据，判断其是否与当前已注册的指纹相匹配，以允许机主的访问。每套配对的 Touch ID 分享了它们的加密密钥，然后用一个随机数来生成该会话的完整加密密钥。 稿源：cnBeta，封面源自网络；