尼泊尔黑客 1 小时内入侵 Facebook
尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞,允许攻击者接管任何账户,而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首,并获得了公司创纪录的奖金,奖励金额尚未公布。 Aryal发现了Facebook密码重置功能存在漏洞,即请求次数不受限制,攻击者可以发送重置密码请求并利用暴力破解6位安全码。 他的研究表明,通过Android Studio重置密码时,系统会通过Facebook通知提示用户接收安全代码,即使输入失败,该代码在2小时内仍然有效。与短信重置不同,该代码在多次尝试失败后仍然有效。 对于某些用户,密码重置代码直接显示在通知中,无需点击;而对其他用户,则需要点击通知后才能查看代码。 通过暴力破解,他在一小时内测试了所有可能的代码组合,发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题,并于2月2日修复了该漏洞。 转自安全客,原文链接:https://www.anquanke.com/post/id/293637 封面来源于网络,如有侵权请联系删除
SWIFT 银行窃案又一起:尼泊尔 NIC 亚洲银行 SWIFT 服务器遭黑客入侵,失窃 4.6 亿卢比
HackerNews.cc 11 月 5 日消息,尼泊尔 NIC 亚洲银行(NIC Asia Bank)的安全专家近期发现 SWIFT 服务器遭到黑客入侵,被盗资金高达 4.6 亿卢比(约合 4700 万 RMB ),随后仅追回 1.1 亿卢比。该机构已向尼泊尔中央调查局请求支持,以便追查那些入侵 SWIFT 服务器的犯罪踪迹。 据悉,NIC 亚洲银行在印度毕马威会计师事务所的支持下申请了法庭调查,并将其结果提交至尼泊尔中央银行与中央调查局进行后续审查。尼泊尔副检察长兼刑事情报科(CIB)负责人 Pushkar Karki 证实,NIC 亚洲银行支付系统确实遭到黑客攻击,当前 CIB 已经开始展开调查,之后安全专家将根据结果针对银行采取适当保护措施。 知情人士透露,这并非 NIC 亚洲银行第一次遭受黑客攻击,其 SWIFT 服务器此前就曾于印度神牲节举办期间遭到网络攻击。据称,黑客还试图将窃取的资金转移至日本、英国、美国和新加坡等在内的六个国家后通过渣打与 Mashreq 银行进行外汇账户运营。 NIC 亚洲银行在通知监管机构之后,中央银行立即进行了一项单独的调查。其结果显示,由于操控 NIC 亚洲银行 SWIFT 系统的工作人员使用了一台专门运营 SWIFT 的设备处理其他事务,因此导致黑客有机可图。目前,NIC 亚洲银行已将所有处理 SWIFT 系统业务的六名员工转移至其他部门。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接