外媒 TechCrunch 报道，在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄露事件，导致数万用户的个人隐私被窃取。导致泄漏的原因是公司托管在亚马逊云端的一个云存储桶被攻击，且没有受到保护。在事件发生之后该公司只是修复了这些数据，但没有向用户发出提醒。 Mercato 成立于 2015 年，主要帮助超过 1000 家小型杂货店和专业食品店提供取餐和配送服务，用户不需要注册 Instacart 或亚马逊 Fresh 等送货服务。Mercato 在波士顿、芝加哥、洛杉矶和纽约开展业务，并在这些地区设有办公场所。 根据外媒 TechCrunch 获得的一份数据副本，该副本中包含了 7 万份订单，时间是在 2015 年 9 月至 2019 年 11 月的，包括了客户姓名和电子邮件地址、家庭地址和订单详情。每条记录还有用户用于下单的设备的 IP 地址。该数据集还包括公司高管的个人资料和订单细节。 目前还不清楚安全漏洞是如何发生的，因为亚马逊云上的存储桶默认是私有的，也不清楚公司是什么时候得知这一曝光事件的。公司需要向州检察长披露数据泄露或安全漏洞，但在法律要求的地方，比如加州，还没有发布通知。该数据集在加州有超过 1800 名用户，是该州数据泄露通知法规定的触发强制披露所需人数的三倍多。   （消息及封面来源：cnBeta）

在 SolarWinds 软件更新打包服务器遭遇黑客攻击，并且对政企客户造成了巨大的威胁之后，拜登政府也终于下决心组建一支网络安全领域的专业队伍。周一的时候，有外媒报道称，拜登总统已任命两位前国家安全局资深人员，担任美国政府的高级网络安全职务，其中还包括了首位国家网络总监（National Cyber Director）。 今年早些时候发生的针对美国科技巨头 SolarWinds 公司的黑客入侵 + 后门程序植入事件，目前已知至少波及到了 9 家联邦机构。 在周一宣布的人事任命中，包括了奥巴马执政时期的前国家安全局官员、美国网络司令部发起者之一的 Jen Easterly，他已被提名为国土安全部旗下的网络安全咨询部门（CISA）的新负责人。 此外拜登任命了前国家安全局副局长 John“Chris”Inglis 为国家网络总监，这个新职务由国会在去年年底时设立，旨在监督和负责民政与国防机构的网络安全和相关预算。 预计他将与一月份被任命为国家安全委员会网络安全副顾问的 Anne Neuberger 紧密合作，作为 NSA 的前高管，后者也是网络安全的第一负责人，比如协助政府应对 SolarWinds 攻击和 Exchange 邮件服务器黑客事件。 最后，拜登提名了前奥巴马时代的网络安全政策助理秘书 Rob Silvers 来担任国土安全部的战略、政策和计划副部长（近期也有被选至 CISA 的最高职位）。 上述信息由《华盛顿邮报》最先披露，不过 Jen Easterly 和 Rob Silvers 的提名仍需通过参议员的确认。   （消息及封面来源：cnBeta）

Gigaset 透露，在其 Android 设备上发现的恶意软件感染事件，是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示，此事似乎可追溯到 3 月 27 日，受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270（plus）、以及 GS370（plus）等系列。 通过与安装的系统更新 App 下载并安装，这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告，并在 4 月 7 日阻断了进一步的感染。 目前 Gigaset 已经为受影响的设备部署了自动清除恶意软件的措施，并建议用户将设备连接到互联网（打开 WLAN 或开启移动数据）和连接至充电器。 如果一切顺利的话，感染恶意软件的设备可在 8 小时内得到恢复。以下是本次 Gigaset 设备上感染的恶意软件完整列表： ● Gem ● Smart ● Xiaoan ● asenf ● Tayase ● com.yhn4621.ujm0317 ● com.wagd.smarter ● com.wagd.xiaoan 此外 Gigaset 敦促用户访问“设置”应用，以检查设备是否存在安装疑似恶意软件的感染迹象，并且确保设备上的其它软件也都更新到了最新版本。 具体受影响的设备型号包括 GS160 / GS170 / GS180 全版本，以及 GS100_HW1.0_XXX_V19、GIG_GS270_S138、GIG_GS270_plus_S139、GIG_GS370_S128 和 GIG_GS370_plus_S128 等最高版本。 除此之外，GS110、GS185、GS190、GS195、GS195LS、GS280、GS290、GX290、GX290plus、GX290 PRO、GS3 和 GS4 系列并未受到本次事件的影响。   （消息及封面来源：cnBeta）

Ubiquiti 是一家专业的消费级路由器厂商，凭借着安全和可管理性赢得市场的认可。不过该公司近日却被指责掩盖一个“灾难性”的安全漏洞，在沉默了 24 小时之后，现在该公司发表了一份声明，并没有否认举报人的说法。 在今年 1 月 11 日发给“第三方云提供商”的公开信中，表示发现了一个轻微的安全漏洞。不过知名网络安全新闻网站 KrebsOnSecurity 报道称，该漏洞实际远比 Ubiquiti 描述的更加严重。一位来自该公司的举报人向 Krebs 透露，Ubiquiti 本身也被黑客入侵，只不过该公司的法律团队阻止了向客户准确报告危险的努力。 黑客获得了对公司 AWS 服务器的完全访问权，因为据称 Ubiquiti 在 LastPass 账户中留下了根管理员的登录信息，黑客可能已经能够访问客户通过公司的云服务设置控制的任何 Ubiquiti 网络设备。 消息人士告诉 Krebs：“他们能够获得单点登录cookie和远程访问的密码学秘密，完整的源代码控制内容，以及签名密钥”。而 Ubiquiti 今天晚上终于发表声明时，公司依然在强调目前没有任何证据表明用户数据被访问或者被盗。 但正如 Krebs 所指出的那样，举报人明确表示，该公司并没有保留日志，而这些日志可以作为该证据，说明谁做了或没有访问被黑的服务器。Ubiquiti 的声明还证实，黑客确实试图向其勒索钱财，但并没有涉及掩盖事实的指控。 “正如我们在1月11日通知您的那样，我们是一起网络安全事件的受害者，该事件涉及未经授权访问我们的IT系统。鉴于布莱恩-克雷布斯的报道，人们对此事产生了新的兴趣和关注，我们希望向我们的社区提供更多信息。 首先，请注意，自1月11日通知以来，我们对客户数据的分析和产品的安全性没有任何变化。针对此次事件，我们利用外部事件响应专家进行了彻底的调查，以确保攻击者被锁定在我们的系统之外。 这些专家没有发现任何证据表明客户信息被访问，甚至是目标。攻击者试图通过威胁发布被盗的源代码和特定的 IT 凭证来敲诈公司，但没有成功，他从未声称访问过任何客户信息。这一点以及其他证据表明，我们相信客户数据不是此次事件的目标，也不是与此次事件有关的其他访问。 在这一点上，我们有充分的证据表明，肇事者是一个对我们的云基础设施有深入了解的人。由于我们正在与执法部门合作进行调查，我们无法进一步评论。 说了这么多，作为预防措施，我们仍然鼓励您更改密码，如果您还没有这样做，包括在您使用相同用户ID或密码的任何网站上。我们也鼓励您在您的Ubiquiti账户上启用双因素认证，如果您还没有这样做。 谢谢您的支持。—Team UI ”         （消息及封面来源：cnBeta）

美联社报道称，美国土安全部门要员的电子邮件账户，亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉，这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf，以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月，FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件，导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称，疑似俄方黑客入侵了特朗普政府要员的电子邮件账户，而受害者本就负责着与之对抗的工作。 此外上月的消息称，除了百余家私营企业，SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时，美国土安全部尚未就此事给出回应。不过美联社称，在事件曝光后的几天里，Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           （消息来源：cnBeta；封面源自网络）

Kek Security （Keksec）是一个极为活跃的黑客组织，Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞，使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络，用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略，以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1520/     消息来源：Lacework， 译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，美检察官和法庭记录显示，一名俄罗斯男子在美国认罪，他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪，另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉，这种软件会破坏目标网络上的数据，其只有通过攻击者提供的软件密钥才能解锁。通常情况下，从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此，杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道：“他们冒这样的风险或许可以表明，这是一次旨在获取信息的情报行动，而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道：“你可以在几千英里以外的地方进行，而这不需要承担任何资产风险。” FBI表示，这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月，27岁的Kriuchkov告诉法官，他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑，这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议，他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来，他已经被拘留了7个月。联邦当局称，他当时正前往机场准备飞往国外。 法庭文件还显示，去年7月和8月，Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期，当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           （消息及封面来源：cnBeta）

据外媒报道，去年夏天，美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二，他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年，之后则还有3年缓刑。 Clark在17岁的时候被指控策划了一场社交媒体网络攻击，一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。 该协议允许现年18岁的Clark被判为“青少年罪犯”，这使他避免了至少长达10年的刑期。不过如果Clark违反了缓刑处罚那么他将被强制执行最低刑期。 据悉，他将在一所专为年轻人设立的州立监狱服刑。另外，他可能有资格在一个军事化的新兵训练营中服役一段时间。 希尔斯堡州检察官Andrew Warren在一份声明中说道：“Graham Clark需要对这一罪行负责，其他潜在的诈骗者需要看到后果。在这种情况下，我们能承担这些后果，同时也认识到，我们对任何孩子的目标是，只要有可能则是让他们吸取教训，而非毁掉他们的未来。” 当地时间周二下午，Clark出现在希尔斯伯勒县监狱的虚拟法庭听证会上。自被捕以来，他一直被关押在那里。他身穿红色制服，戴着医用口罩，留着平头。 Clark在回答法官Christine Marlewski提出的一系列标准问题时其声音表现得非常单调。他在法庭上认罪并放弃接受审判的权利。除此之外，他几乎没说别的。 辩诉协议的条款要求，在没有得到执法部门许可和监督的情况下，禁止Clark使用电脑。他将不得不接受有关部门对他财产的搜查并交出其控制的所有账号的密码。 Clark的辩护律师David Weisbrod则证实，当事人交出了其获得的所有加密货币。             （消息及封面来源：cnBeta）

3 月 2 日，微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新，修复了一个预认证的远程代码执行（RCE）漏洞链（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止，目前有超过 5000 台右键服务器检测到了 webshells，超过 6 万个客户受到影响，而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的，他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道，有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此，如果这些日期是正确的，那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的，要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始，不断有 Exchange 用户遭到网络攻击，首先是 Tick，然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明，多名黑客在补丁发布之前就获得了漏洞的细节，这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天，黑客采取了更加疯狂的攻击，包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是，所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织，除了一个例外（DLTMiner），它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里，ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据，在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell，而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用，它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确定了超过 10 个不同的网络威胁者，他们很可能利用最近的 Microsoft Exchange RCE，以便在受害者的电子邮件服务器上安装植入物。 我们的分析是基于电子邮件服务器，我们在这些服务器上发现了离线地址簿（OAB）配置文件中的webshell，这是利用RCE漏洞的一种特殊技术，已经在42单元的一篇博客文章中详细介绍过。遗憾的是，我们不能排除一些威胁行为者可能劫持了其他组投放的webshells，而不是直接使用该漏洞。一旦漏洞被利用，webshell 被安装到位，我们观察到有人试图通过它安装更多的恶意软件。我们还注意到，在某些情况下，几个威胁行为者针对的是同一个组织。           （消息及封面来源：cnBeta）

一支安全研究团队近日展示了基于浏览器的全新旁道攻击（Side-channel attack），即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击，安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击，这导致了“首个基于浏览器的旁道攻击”，完全由层叠样式表（CSS）和HTML构建，即使在脚本执行被完全阻止时也能工作。 研究人员表示，这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用，如VPN、代理，甚至TOR。 根据该演示背后的研究人员发表的一篇论文，Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间，而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道：“旁道攻击者试图绕过这些限制，通过利用其他浏览器API（如消息传递或多线程）创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中，最简单的选择是完全禁用 Javascript。例如，苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项，以此来减轻此类攻击。 尽管如此，来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的，因为它只依赖于 CSS 和 HTML，这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文，分析的重点是 Prime + Probe ，这是一种缓存旁道攻击，它拥有检测目标访问哪些缓存集的能力，然后可以用来洞察目标的情况。 研究人员表示：“除了受到防御措施的影响，微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导，但过去几年，其他替代产品的普及率越来越高，比如AMD的Zen架构、三星的Exynos，以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明，和英特尔的同类产品相比，有时候攻击在苹果和三星这些新型 CPU 上更加有效，这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决于目标架构和内部采用的防御措施。该攻击甚至可以在采用英特尔、AMD、三星和苹果 M1 芯片的设备上，针对包括Tor浏览器、Chrome Zero 等在内的强硬浏览器环境发挥作用。 研究人员接着通知了受影响的芯片厂商。苹果公司回应称，公开披露他们的研究结果不会引起任何担忧。对此安全团队表示：“我们推测M1架构利用了不太先进的缓存启发式方法，因此，我们的攻击所执行的简单化内存扫描在这些设备上比在英特尔架构上更能刷新整个缓存”。 团队继续表示：“缓存攻击无法通过降低定时器分辨率，废除定时器、线程或数组，甚至完全禁用脚本支持来防止。这意味着，任何与连接到不受信任网站的浏览器共享缓存资源的秘密承载进程都有潜在的暴露风险”。           （消息来源：cnBeta；封面源自网络）