任天堂正在禁用通过任天堂网络ID(NNID)登录Nintendo Accounts的方式，这是因为此前已有16万个账户受到黑客攻击企图的影响。任天堂表示，自4月初以来，“通过我们的服务以外的其他一些手段非法获得的登录ID和密码已经被用于访问这些账户。” 包含账户昵称、出生日期、国家和电子邮件地址等信息都可能在此次漏洞事件中被访问，部分账户还遭遇欺诈性购买。 任天堂现在建议所有用户启用双因素验证，受影响的账户的密码现在正在重置，这些旧的NNNID哦通常用于3DS和Wii U设备。任天堂最新的Switch游戏机使用了更新后的任天堂账户系统，但直到今天为止，这些旧的账户都可以继续访问新账户系统。 受影响的用户也将通过电子邮件通知，该公司警告说，如果你使用了相同的NNID和任天堂账户的密码，那么“你的余额和注册的信用卡/PayPal可能会在‘我的任天堂商店’或任天堂网店被非法使用。” 本周早些时候的媒体报道称，一些任天堂账户被破解，不少人利用这一账户购买数字项目，如 Fortnite VBucks 捆绑的数字项目。任天堂正在要求受影响的用户联系该公司，以便它可以调查购买历史，并取消购买。   （稿源：cnBeta，封面源自网络。）

世界卫生组织（WHO）近日报告称，针对组织工作人员的网络攻击以及针对普通公众的电子邮件诈骗数量大幅增加。而针对近期曝光的帐号泄漏事件，世卫组织表示这些泄漏的数据并不是最近才泄漏的，也没有给世卫组织的系统带来风险。 不过世卫组织表示这些泄漏的登录凭证在旧的外联网系统中使用，此前被现任和退休的工作人员以及合作伙伴使用。该卫生机构目前正在将受影响的系统迁移到一个更安全的认证系统。 根据新闻稿，诈骗者还冒充世卫组织，向公众发送电子邮件。诈骗者一直试图欺骗公众向一个虚构的基金捐款，而不是真正的COVID-19声援应对基金，该基金最终将帮助世界各国应对新的疾病。 世卫组织首席信息官贝尔纳多·马里亚诺在评论这一消息时说 确保会员国的健康信息的安全和与我们互动的用户的隐私是世卫组织在任何时候都要优先考虑的问题，尤其是在COVID-19大流行期间。我们感谢会员国和私营部门向我们发出的警报。我们大家都在这场斗争中携手并进。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg   一、概述 腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击，被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末，传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外，观察当前病毒版本，其进程结束（防文件占用）列表内已出现国产安全软件，这也代表着该病毒团伙已将其狩猎范围拓展到了国内。 经分析，该病毒使用RSA+AES算法加密文件，加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率，从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具，被攻击后无法恢复文件，所以我们提醒各政企机构提高警惕。 二、分析 为了提升病毒读写文件效率，病毒通过采取IOCP完成端口模型，后续在工作者线程内读取完成消息队列，使用异步读写文件的方式实现病毒加密文件过程的高性能化。 在工作者线程内处理完成队列消息，根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密，读写消息再投递。 同时为了进一步提升病毒加密过程效率，病毒运行后会检查CPU判断是否支持AES-NI指令集，加密时若支持相关指令则使用 aeskeygenassist，aesenc等加解密专用指令完成AES加密流程，否则使用其它常用计算指令完成加密流程。 加密文件前病毒会首先本地生成RSA密钥对信息，使用硬编码的RSA（N,E）对其进行加密，加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内，同时将本地生成RSA密钥对中的RSA公钥（N,E）信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据，分别为0x100字节的被加密AES密钥信息，0x500字节被加密用户RSA密钥信息，0x10固定串信息。 硬编码的RSA（N,E）信息，无私钥情况无法解密full内容，也无法解密文件 病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥，随后开始尝试对文件进行加密。 当无法访问文件时，病毒会尝试更改文件所有者为自身进程，再次尝试访问文件。同时会尝试结束大量数据占用进程和服务（其内包括了国产安全软件相关进程，文档保护相关进程），加密时会避开大量系统关键目录，大量非数据类型后缀的文件。 病毒不加密以下白名单相关的文件和文件夹： 该病毒还会嗅探局域网内主机135，445端口是否开放，如果开放则尝试遍历其主机内的共享资源进行加密 加密文件结束后，文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息，被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息，留下名为Restore-My-Files.txt的勒索信，要求用户登录暗网缴纳赎金，之后获取解密工具，对应暗网地址则提供了文件试用解密功能，聊天购买解密工具议价等服务。 三、安全建议 企业用户： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令密码，并定期更换。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署腾讯T-Sec终端安全管理系统，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台，内网各节点漏洞应及时进行漏洞扫描修复。 8、使用腾讯T-Sec终端安全管理系统（腾讯御点，产品官网：https://s.tencent.com/product/yd/index.html）拦截病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、可启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5 b65198ea45621e29ba3b4fbf250ff686 d2e3b3cbdfd40e549c281b285c7fe9bd 553d21ec9c4e8a08d072e50f3ae0afe1 1f4581b36253f0f5d63e68347d1744a7 94d7e268d4a1bc11f50b7e493a76d7a0 49250b4aa060299f0c8f67349c942d1c d5c5558214a0859227e380071925ee58

据外媒TechCrunch报道，一个存储着数百万张信用卡交易信息的庞大数据库，在公开暴露在互联网上近三周后，已经被保护起来。该数据库属于Paay公司，这是一家位于纽约的信用卡支付处理商。与其他支付处理商一样，该公司代表销售商户（如网店和其他企业）验证支付，以防止欺诈性交易。 但由于服务器上没有密码，任何人都可以访问里面的数据。 安全研究人员Anurag Sen发现了这个数据库。他告诉TechCrunch，他估计数据库中大约有250万条银行卡交易记录。在TechCrunch代表他联系了该公司后，数据库被下线。”4月3日，我们在一个服务上调出了一个新的实例，目前我们正在废止这个服务。”Paay联合创始人Yitz Mendlowitz说。”发生了一个错误，导致该数据库在没有密码的情况下被曝光。” 该数据库中包含了一些商户的每日刷卡记录，时间可追溯至2019年9月1日。TechCrunch查看了部分数据。每笔交易都包含了完整的明文信用卡号码、到期日和消费金额。这些记录还包含了每个信用卡号码的部分掩盖副本。这些数据不包括持卡人的姓名或卡片验证值，这使得信用卡更难被用来进行诈骗。 Mendlowitz 对这一调查结果提出了质疑。”我们不存储卡号，因为我们没有用处。” TechCrunch向他发送了部分显示卡号明文的数据，但他没有回应后续报道。 这是今年以来第三家承认安全漏洞的支付处理商。今年1月，Sen发现另一家支付处理商的数据库遭曝光，其中存储着670万条记录。本月早些时候，另一名研究人员发现两家支付法院罚款和水电费的支付网站也留下了几个月的缓存数据暴露。 Mendlowitz表示，该公司正在通知15到20家商户，并表示该公司已经聘请了一位专家来了解安全漏洞的范围。   （稿源：cnBeta，封面源自网络。）

据外媒报道，在当局处理像COVID-19这种威胁生命的疾病时，最糟糕的事情之一就是安全漏洞。而现在这样的事情已经发生，因为不明身份人士公布了近25000个电子邮件地址和密码，这些电子邮件地址和密码来自不同的组织，包括美国疾病控制与预防中心(CDC)、盖茨基金会、美国国立卫生研究院（NIH）、世界卫生组织（WHO）和世界银行。 目前还不清楚这些机构遭黑客入侵的时间，也不清楚谁对入侵事件和信息的传播负责，但结果还是令人担忧。其中一些密码仍然可以被用来访问电子邮件地址。监视网上极端主义和恐怖组织的SITE情报组告诉《华盛顿邮报》，这些电子邮件的登录信息在周日被共享。到了周一，这些邮件已经被极右极端分子用来进行黑客攻击和骚扰。 “新纳粹分子和白人至上主义者利用这些名单，在他们的活动场所中积极发布这些名单，”SITE的执行董事Rita Katz说。”极右极端分子利用这些数据，在分享新冠病毒大流行的阴谋论的同时，还呼吁开展骚扰运动。这些所谓的电子邮件凭证的分发只是整个极右分子长达数月的行动的另一个部分，目的是将COVID-19大流行病武器化。” 这些信息最初出现在4chan上，然后被转移到Pastebin上，然后又出现在Twitter和Telegram上的极右极端主义账户上。最大的一批电子邮件地址属于NIH（9938个），其次是CDC（6857个）、世界银行（5120个）和WHO（2732个）。 澳大利亚网络安全专家Robert Potter 表示，一些WHO的电子邮件地址和密码组合是真实的。”他们的密码安全性令人震惊，”Potter 说，关于泄露的WHO凭证，他说。”有48人用’密码’作为他们的密码。其他人用的是自己的名字或 ‘changeme’。”Potter表示，世卫组织的信息来自于2016年的一次黑客攻击。目前还不清楚其他凭证的来源，也不清楚是谁能够获得这些凭证。其中一些可能是从暗网购买的。 新纳粹组织一直在利用这些信息传播和助长COVID-19的阴谋论。有一个团体说，这些邮件地址的数据 “证实了SARS-COV-2实际上是人工合成的病毒”，这也是目前流传的新冠病毒阴谋论之一。世卫组织最近表示，这种新型冠状病毒是动物源性的，没有任何迹象表明COVID-19病毒是在实验室里合成的。   （稿源：cnBeta，封面源自网络。）

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码，一些秘密密钥和云存储凭据，甚至其应用程序的副本都可以公开访问。 TechCrunch报道说，网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器，他发现该服务器被配置为允许任何人注册为新用户并登录。 Clearview AI最早在1月份成为头条新闻，当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库，其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片，Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配，从而有可能从单个图像中揭示一个人的身份。 自从其作品公开以来，Clearview AI一直辩护说自己的软件仅适用于执法机构。但是，有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在，此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。 据TechCrunch称，该服务器包含公司面部识别数据库的源代码，以及允许访问其Windows，Mac，Android和iOS应用程序副本云存储的密钥和凭据。Mossab Hussein因此能够截取该公司iOS应用程序的屏幕截图，苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein还表示，他可以访问该公司的Slack令牌，这可能允许访问该公司的内部私人通讯。 Mossab Hussein还说，他从该公司的云存储中发现了大约7万个视频，这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch，这些镜头是在大楼管理层许可下捕获的，这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿，但TechCrunch指出，负责该建筑物的房地产公司未回复置评请求。 针对网络安全故障，Clearview AI表示，未公开任何可识别个人身份的信息，搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核，以确认未发生其他未经授权的访问，这表明Mossab Hussein是唯一访问配置错误服务器的人，服务器公开的密钥也已更改，因此它们不再起作用。 上市后，Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台（包括Facebook，Twitter和YouTube）已指示Clearview停止抓取图像，已告知警察部门不要使用该软件，佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。   （稿源：cnBeta，封面源自网络。）

除了软硬件和网络通讯协议上的漏洞，近年来我们还见到了各种稀奇古怪的 PC 数据窃取方案，比如通过芯片工作时的电磁波、或人耳难以察觉的扬声器 / 麦克风方案来泄露数据。近日，以色列本·古里安大学的研究人员更是突发奇想，演示了如何通过风扇振动和智能手机，成功地从 PC 上窃取数据。 即便是物理上相互隔离、且没有接入到互联网，这套被称作 AiR-ViBeR 的方案，还是能够以人们难以察觉的方式来泄露数据。 理论上，我们可以将 CPU、GPU、机箱风扇等机电组件的振动模式与特殊的恶意软件结合使用，以直接操控风扇的转速。 视频详见：https://www.cnbeta.com/articles/tech/968891.htm 概念验证期间，研究人员使用了一部和计算机放在同一张桌面上的智能机。尽管两者之间没有物理和常见的无线连接，但手机仍可通过加速度计来记录振动的变化。 三星 Galaxy S10 等高端设备，其内置的传感器已拥有足够的精确度，分辨率达到了 0.0023956299 m / s2 。 这种方式的另一个优点，就是攻击者无需破解任何移动设备 —— 无需在 Android / iOS 设备上启用特殊的权限，即可在后台神不知鬼不觉地读取加速度计的数据。 相关代码甚至可以借助 Web 浏览器的 JavaScript 脚本来实现，不过目前这项研究的最远传输距离也只有 1.5 米、且速度相当缓慢，因此大家没必要太过担心。   （稿源：cnBeta，封面源自网络。）

据外媒 TheStar 报道，乌克兰安全研究人员Bob Diachenko每天都会花一部分时间在互联网上搜索一些不安全的数据，以修复这些数据，以免被黑客利用。上个月，他发现了一个不安全的服务器，存储了4200万个信息，几乎都是来自伊朗的信息，并与聊天应用Telegram有关。 至于是谁获得了这些数据并将其放置在服务器上，Diachenko并没有直接的线索。只有一个全黑的登陆页面，上面有一只白鹰的标志和一条波斯语的信息。上面写着 “欢迎来到狩猎系统”。 Diachenko表示，他通知了伊朗的一个网络安全机构，不久之后，服务器就被关闭了。但在它消失之前，其他网络间谍开始了自己的调查。最终，他们找到了一个黑客组织，这个组织有被称为“ Charming Kitten”（迷人小猫），并得出了一个惊人的结论。Diachenko偶然发现了一个伊朗政府的间谍行动。 “10多年来，我一直在监控伊朗的网络攻击和监视，我从未见过这样的事情，”伊朗网络安全和数字权利研究人员Amir Rashidi说。他在纽约工作，是一名伊朗网络安全和数字权利研究人员。”他们可以用这个来对付我的亲戚、朋友、家人。” 彭博社审查了这一队数据，其中部分数据包含了与服务器上存储的账户相关的用户名、电话号码、用户简历以及唯一的代码–或 “哈希”。目前还不清楚这些数据是否主要来自于Telegram非官方应用用户，2018年伊朗当局封锁了Telegram。一些使用与Telegram相同源码的非官方应用，此前曾与伊朗政府有关联。 Diachenko说，无论是哪种方式，这些数据都可能被用来克隆人们的账户，并对私人通信进行间谍活动，识别匿名使用Telegram的人，或者发送针对特定群体的宣传或虚假信息。 Rashidi表示，伊朗此前曾有选择地针对特定人群的账号，并对其进行黑客攻击。但 “狩猎系统 “表明伊朗当局正在使用新的、更激进的技术来收集和分析关于其公民的巨量信息。他表示：”这是我第一次看到他们试图大规模分析数据的证据。” Telegram在一份电子邮件声明中说，该公司认为这些数据来自于伊朗使用的非官方版本的应用程序，它说这些数据可能从人们的手机中隐蔽地收获了关于Telegram用户的信息。”我们能够研究的数据样本清楚地表明，这些数据是通过第三方应用窃取用户的数据来收集的，”Telegram发言人Markus Ra表示。 “如果你的朋友中有人使用了你的号码，那么你的号码和用户名就可能会出现在像 “狩猎系统 “这样的数据库中。”Ra说，”即使你自己没有使用过那个恶意的APP，也会有可能出现在数据库中。” 根据对服务器上的账户和Telegram上的账户进行对比审查，数据库中至少有部分用户账户与官方Telegram应用的活跃用户有关。时间戳显示，部分Telegram用户记录的访问时间最早是在2020年3月。 伊朗网络警察部门没有回应置评请求。伊朗通信和信息技术部副部长Amir Nazemi表示，他向伊朗总检察长办公室提交了关于数据泄露事件的投诉。他拒绝就网络警察或其他政府机构是否参与 “猎杀系统 “发表评论。 Diachenko发现该服务器的消息被一家计算机行业刊物报道。几名伊朗安全研究人员继续深入研究这些数据。其中在美国生活和工作的Mohammad Jorjandi,说，他发现存储用户数据的服务器被一个叫 Manouchehr Hashemloo的人注册到了德黑兰西北部的一个办公室。 Jorjandi利用彭博新闻社看到的在线记录，确定Hashemloo使用的Gmail地址与一名与伊朗政府有联系的知名黑客使用的Gmail地址相同。这名黑客的名字叫ArYaIeIrAN，据称与伊朗政府支持的黑客组织Charming Kitten有关联，该组织有针对伊朗持不同政见者、学者、记者和人权活动家的历史。 Jorjandi因此断定，建立 “狩猎系统 “服务器的人很可能是为伊朗政府工作。 ClearSky网络安全公司此前也曾发现了与Hashemloo相关的化名ArYaIeIeIrAN所实施的几次黑客行动，2017年的一份报告引用了该黑客的Gmail地址，并将其与Charming Kitten所实施的行动联系在一起。 Hashemloo没有回应电子邮件的置评请求。另一名伊朗安全研究人员表示，Hashemloo是 “安全领域的知名人士”。   (稿源：cnBeta，封面源自网络。）

疫情让视频聊天应用Zoom迅速成为了新宠，但也成为了黑客攻击的新目标。援引外媒报道有超过50万个Zoom账户在暗网和黑客论坛上出售，单价不到一便士，有些甚至还可以免费赠送。 这些帐号都是通过凭证填充（credential stuffing）方式攻击获取的，黑客试图利用旧有数据泄露的账户登录到Zoom。成功登录的账号被汇编成名单，卖给其他黑客。 而部分Zoom帐号在黑客论坛上免费提供，以便黑客可以利用这些账户进行zoom-bombing恶作剧和恶意活动。而另一些则是以单价不到一分钱的价格出售。根据网络安全情报公司Cyble与BleepingComputer分享的信息，黑客们提供这些免费账户是为了在黑客社区中获得更多的声誉。 外媒BleepingComputer已经联系了这些名单中被曝光的随机电子邮件地址，并确认其中一些凭证是正确的。一名被曝光的用户告诉BleepingComputer，所列出的密码是一个旧的密码，这表明其中的一些凭证很可能是来自于旧的凭证填充攻击。 Cyble希望通过大量购买这些帐号，以便用来警告客户可能出现的漏洞。Cyble以每个账户0.0020美分的价格购买了超过53万个Zoom凭证，每个账户的价格不到一分钱。购买的账户包括受害者的电子邮件地址、密码、个人会议网址和他们的HostKey。 Cyble告诉BleepingComputer，这些账户包括大通、花旗银行、教育机构等知名公司的账户。对于这些属于Cyble客户的账户，情报公司能够确认这些账户是有效的账户凭证。   （稿源：cnBeta，封面源自网络。）

旧金山国际机场已确认，其两个网站在3月份被黑客入侵，攻击者似乎已经访问了其员工和承包商的用户名和密码。该机场在4月7日的一份通知中证实，SFOConnect.com和SFOConstruction.com这两个网站是 “网络攻击的目标”，黑客在这两个网站上 “插入了恶意的计算机代码，以窃取一些用户的登录凭证”。如果被窃取，这些登录凭证可能会让攻击者进入机场的网络。目前还不知道是否有任何额外的保护措施，如多因素认证等，以防止网络漏洞。 该通知还补充说：”用户可能会受到这次攻击的影响，包括那些通过基于Windows操作系统的个人设备或非机场维护的设备从机场网络以外的Internet Explorer访问这些网站的用户。” 通知称，机场于3月23日将员工专用网站下线，并发布了强制重置密码的通知。现在两个网站都已恢复运行。 旧金山国际机场的发言人没有立即发表评论。 攻击者利用现有的漏洞在网站上注入代码以获取输入的数据，如用户名和密码甚至信用卡信息等，这种情况并不罕见。 两年前，英国航空的网站上有38万名客户的信用卡记录被黑客在其网站和移动应用上注入恶意代码，导致38万名客户的信用卡记录被盗取。这次攻击导致了欧洲历史上最大的数据泄露罚款–约2.3亿美元–这要归功于当时新出台的GDPR法规。   （稿源：cnBeta，封面源自网络。 ）