微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周，这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露，尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实，微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持，不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现，但源码并不是被严格保存的，微软曾经启动了一个特殊的政府安全计划（GSP），允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露，微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上，就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码，但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是，这些文件中还提到了比尔·盖茨的阴谋论，显然是想传播错误信息。     （稿源：cnBeta，封面源自网络。）

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据，包括搜索查询、设备详细信息和GPS坐标等。 然而，日志数据库不包括任何个人信息，如姓名或地址。 9月12日，WizCase的Ata Hakcil发现了这一数据泄露，它是一个6.5TB的海量日志文件缓存，任何人都可以在没有任何密码的情况下访问这些文件，这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称，服务器在9月10日之前一直受到密码保护，此后，身份验证似乎被无意中删除了。 微软安全响应中心知悉后，Windows制造商于9月16日解决了这一错误配置。 近年来，配置不当的服务器一直是数据泄露的持续来源，它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说：“基于绝对的数据量，可以安全地推测，任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站，以及“与枪支相关的查询，包括购买枪支的搜索历史记录，以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外，这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符，如ADID（Microsoft广告分配给广告的数字ID）、“deviceID”和“devicehash”。 此外，该服务器还遭受了至少两次所谓的“meow attack”，这是一次自动网络攻击，自7月以来，该攻击已从14000多个不安全的数据库实例中抹去数据，且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息，但WizCase警告说，这些数据可能被用于其他目的。此外，这还会让犯罪分子定位用户的行踪，用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点，还是人们在必应上搜索的数百件令人尴尬的事情，”该公司表示一旦黑客掌握了搜索查询信息，他们可以根据服务器上提供的详细信息查出受害者的身份，从而使受害者容易成为敲诈的目标。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

援引外媒 Dexerto 报道，可能有超过 50 万个动视账号被入侵，包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度，以及包括《只狼：影逝二度》等其他动视游戏，并邀请更多玩家加入。 上周日晚上，Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件，他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道：“动视的账号显然正在泄漏，所以请尽快改变你的密码，尽管这可能甚至没有帮助，因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限，但很可能他们只是使用了蛮力的方法，因为动视账户不提供双因素认证。众多《使命召唤》玩家表示，由于黑客进入他们的动视账户并更改密码，导致无法进入他们的账户。 截至目前，还不知道黑客攻击是否还在进行中，也不知道受影响的账号情况如何，因为动视还没有就此事发表任何形式的声明，而最初透露事情经过的人也没有透露任何新的信息。 更新：在 1 个小时之前，动视发布公告，并提供了确认用户账号是否安全的指南。     （稿源：cnBeta，封面源自网络。）

微信已经成了很多人的主要联系方式，很多场合下人们已经从留电话变为加好友。微信通讯录越来越长，但里面一些人却很少联系，于是，一种所谓“微信清粉”的服务应运而生，相信很多人都收到、看到过这样的信息，甚至是使用过这样的服务。然而您不知道的是，这种方式可能威胁到您的信息安全。 年恒是一位医务工作者，今年9月的一天，他突然收到一条令他意外的微信信息。 年恒：“我点开看了之后发现，是有一段时间没联系的一个老师，她发了一条微信朋友圈，说她最近使用了一个微信清粉的服务，非常好用，底下有一条链接。当时我看到这个消息的时候我也是非常奇怪，因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委，对方回复说她是在一个微信群中看到了一个清粉二维码，考虑到自己微信中的好友人数非常多，确实想清理好友，于是进行了尝试。 年恒：“当时（老师）摁了一下二维码识别了之后，在她自己都不知道的情况下，就往朋友圈里面发了一些消息，同时还往群里面散布了这些消息，给她自己带来非常多的麻烦。那一天下午没有做别的，就一直在解释，说自己受骗了，是扫描二维码后自动发出的。” 采访中，不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接，不仅会自动在朋友圈发送广告，还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映，今年5月她在使用“清粉”服务后，很快发现微信中有一笔自己并不知情的交易，对方是某网络游戏。继而她发现，在这款从未接触过的网游中，竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的，又会给用户带来哪些信息安全隐患？ 专家表示，“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户，让该账户自动向其所有好友群发消息，再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群，都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后，潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧：“第一个因为你授权给他，相当于他接管了你的账户，这样他就可以调取你的个人资料，包括微信的通讯录、聊天记录，还有你手机的通讯录、聊天资料、通讯录和你的一些资料，都有可能会泄露出去；第二个他通过占有你的一个账户，他去注册一些其他的账户去做一些事情，如果这些事情是违法的，就会对你个人的一个征信带来影响；第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日，江苏南通市公安局对外披露，他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件，5名涉案犯罪嫌疑人全部落网，这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中，江苏南通市公安局网安支队的民警发现，围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华：“犯罪嫌疑人在取得微信账号的控制权限后，借机非法获取用户微信群聊二维码信息，并将这些群聊二维码以图片形式保存在服务器上。” 随后，犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间，该犯罪团伙共非法获取用户微信群聊二维码2000余万个，均出售给了福建龙岩等地的诈骗赌博犯罪团伙，同时还为他人批量关注微信公众号和刷阅读量、刷赞，先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉：“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪，相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前，5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕，案件在进一步办理中。律师表示，“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点，而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示，基于“清粉”软件所潜在的巨大风险，不建议使用此类“服务”，提升防范意识，保护好个人信息；不要轻易点击不明来源的链接、二维码；在对外转账时，提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任，想办法从源头堵住这类行为，避免用户遭受损失。     （稿源：央视，封面源自网络。）

据外媒TechCrunch报道，一名安全研究人员发现，美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票，方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉，这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司，声称拥有超1.91亿美国人的个人文件。 当完成匹配后，该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称，这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开，但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出，其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch，更糟糕的是，该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据，他可以看到更详细、更私密的信息，其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch：“我们被告知，我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私，我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示，其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中，交易和共享大量选民信息的情况并不少见，这些信息被称为选民档案，其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的，但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     （稿源：cnBeta，封面源自网络。）

安全研究员 Volodymyr Diachenko 发现，由于服务器配置错误，Razer 网站于 8 月 18 日公开了超 10 万游戏玩家的个人信息。虽然不包括信用卡付款信息，但截图表明该公司的数字商店订单记录被意外曝光，其中包括消费者的电子邮件、邮寄地址、订购的产品类型、以及电话号码等在内的个人信息。 此事耗费了将近一个月来沟通反馈 在网上发现了这一问题后，Volodymyr Diachenko 在三周内与 RAZER 进行了多次接触，最终收到了一份答复。 这家游戏硬件制造商承认服务器存在配置错误，且用户的个人信息可能已被泄露，包括消费者全名、电话号码、以及送货地址等。 不过 Razer 还是辩称，并没有其它铭感数据（例如付款方式）被泄露，且其已于 9 月 9 日修复了错误的配置。 在致外媒 TheVerge 的电子邮件中，该公司同样确认了该问题，并表示任何有疑问的客户，都可以通过 DPO@razer.com 这个邮箱与他们取得联系。 即便如此，Razer 用户仍需警惕这部分泄露信息被用于网络钓鱼活动，因此还请妥善保管线上账户的密码与付款明细。     （稿源：cnBeta，封面源自网络。）

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件，该恶意软件针对IP语音（VoIP）软交换，旨在窃取电话元数据。ESET研究人员在周四的分析中说：“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据，包括呼叫详细记录（CDR）。” “要窃取此元数据，恶意软件会查询软交换使用的内部MySQL数据库。因此，攻击者充分了解了目标平台的内部体系结构。” 软交换（软件交换机的缩写）通常是VoIP服务器，允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台，即来自中国Linknat公司的VOS2009和3000软交换，并对其恶意功能进行加密，以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件，目的是访问MySQL数据库凭据，然后对其进行解密以查询数据库。 ESET的研究人员说，攻击者必须对平台二进制文件进行反向工程，以分析加密过程，并检索用于解密数据库密码的AES密钥，这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外，CDRthicker还过滤数据库的详细信息（用户名、加密密码、IP地址），并直接对MySQL数据库执行SQL查询，以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说：“从e_syslog，e_gatewaymapping和e_cdr表中渗出的数据经过压缩，然后在渗出之前使用硬编码的RSA-1024公钥加密。因此，只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中，但这种恶意软件可能只会导致当前版本的数据更新。 也就是说，攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时，我们还不知道这些恶意软件是如何部署到被破坏的设备上的，”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设，恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息，这些信息可用于执行国际收入分成欺诈（IRSF）。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒mspoweruser报道，他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心，新功能增加了Windows 10的攻击能力，它可能会被用来下载恶意二进制文件。 对此，微软现在发表声明回应称：“尽管有这些报告，微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示，该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险，但众所周知，攻击越严重系统的安全性越低。一些用户抱怨称，他们无法通过禁用该新功能来锁定自己的电脑。     （稿源：cnBeta，封面源自网络。）

前言 ESET研究人员发现了迄今未记录的恶意软件家族，我们将其命名为KryptoCibule。对加密货币而言，这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币，试图通过替换剪贴板中的钱包地址来劫持交易，并泄漏与加密货币相关的文件，同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写，还使用了一些合法软件。有些东西，例如Tor和Transmission torrent客户端，与安装程序捆绑在一起。其他的则在运行时下载，包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1326/ 消息与封面来源：welivesecurity   ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国工资协会（APA）披露了一个影响会员和客户的数据漏洞，此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会，拥有20,000多个会员和121个APA关联的本地分会，组织培训研讨会和会议，每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书，并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日，APA发现其网站和在线商店被攻击者攻破，攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知，利用组织内容管理系统（CMS）中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权，他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示，该恶意活动可以追溯到2020年5月13日，大约是美国东部时间下午7:30。 APA说：“未经授权的个人可以访问登录信息（即用户名和密码）和个人支付卡信息（即信用卡信息及相关数据）。” 此外，在某些情况下，攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击（也称为Magecart或电子掠夺），通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后，APA立即为他们的网站和商店的CMS安装了最新的安全更新，以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后，APA的安全团队还增加了安全补丁程序的频率，并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码，并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源：BLEEPINGCOMPUTER，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。