有用户怀疑 LastPass 的主密码数据库可能已被泄露
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的LastPass账户的用户,这意味着他们已经有一段时间没有使用该服务,也没有改变密码。这表明正在使用的主密码列表可能来自早期的数据库。 一些用户声称,修改密码并没有帮助,一个用户声称,每次修改密码时,他们都看到来自不同地点的新的登录尝试。目前还不清楚密码泄露的严重程度,也不清楚LastPass目前是否受到攻击。 到目前为止,LastPass还没有发表官方声明。如果有可能的话,建议LastPass用户更改密码,启用双因素认证,并留意可疑的登录尝试。也可以选择从该服务中删除密码,并迁移到1Password或苹果的iCloud Keychain。 LastPass是一个免费的密码管理器,可用于桌面和移动设备。 (消息及封面来源:cnBeta)
Twitter 否认用户密码在攻击中泄露 但仍在恢复相关帐号
新浪科技讯 北京时间7月17日早间消息,据外媒报道,Twitter表示,在周三针对该公司内部工具的大规模攻击中,“没有证据”表明用户的密码被盗,不过Twitter仍在努力恢复对被锁定帐号的访问。Twitter在周四下午发布的一系列消息中分享了相关进展。 在此次攻击中,攻击者劫持了Twitter上的多个大号,包括美国前总统奥巴马、前副总统拜登、埃隆·马斯克、比尔·盖茨和坎耶·韦斯特,并发布比特币骗局。Twitter周三决定锁定多个账号,以防止进一步损失。在周四发布的Twitter消息中,关于为什么要锁定这些帐号,Twitter公布了更多细节。 Twitter表示:“出于高度谨慎,同时作为我们昨天保护用户安全的响应措施的一部分,我们锁定了所有在过去30天内尝试改密码的帐号。”不过,即使帐号被锁定,也“并不一定意味着”帐号的密码泄露。Twitter认为,实际上只有“一小部分”被锁定的帐号受到影响。 Twitter表示,正“尽快”恢复相关帐号的访问权限,但可能还需要更多时间。 尽管Twitter认为密码没有泄露,但目前尚不清楚,攻击者是否能获取相关帐号的私信消息。除锁定一些帐号以外,Twitter还在黑客攻击的几小时内,彻底禁用了所有加v帐号发布消息的功能。不过,在设置限制的情况下,加v帐号仍可以转发现有消息。 Twitter周三发布消息称,该公司的内部工具在此次攻击中被攻破。在周三晚的一条消息中,Twitter表示:“我们相信,我们探测到协同社交工程攻击。攻击成功将我们的一些员工作为目标,这些员工拥有内部系统和工具的权限。”匿名的消息人士表示,Twitter员工帮助他们获得了帐号,其中一人称,他们向Twitter员工付钱以获得帮助。(维金) (稿源:新浪科技,封面源自网络。)
瑞士电信( Swisscom)证实 80 万数据被盗,涉全国 1/10 公民信息
据 IBTimes 英国网报道,瑞士电信 (Swisscom) 于 2 月 7 日承认其用户数据在去年年底遭到破坏,约 80 万名客户(占瑞士总人口的 10 %)的个人信息遭到泄露。不过 Swisscom 承诺此次事件不会涉及用户任何敏感信息(比如密码、会话或支付数据)。 知情人士透露,一个身份不明的用户访问了 Swisscom 客户的姓名、地址、电话号码和出生日期等信息,目前 Swisscom 认为该用户是通过其销售合作伙伴获取数据的。 Swisscom 方面表示,尽管挪用的个人资料属于非敏感类别,但公司还是将调查该事件列为首要任务。此外,为了更好地保护第三方公司对个人数据的访问, Swisscom 做出了一些重要改变,其中包括: 相关合作伙伴公司的访问权限已被立即封锁; 在销售合作伙伴账户中引入双因素认证,同时削减运行大容量查询的能力; 第三方账户上的任何异常活动都会触发警报并阻止访问。 到目前为止, Swisscom 还没有发现任何针对受影响客户的攻击事件。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标
外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
研究称智能手机传感器可以泄露你的 PIN 码
即使一些人可能已经窃取你的智能手机,如果他们不知道你的 PIN 码对他们可能也不会有太大的好处。现在来自新加坡南洋理工大学的研究人员已经创建了一个系统,可以根据传感器提供的信息正确猜测手机的 PIN 码。 在 Shivam Bhasin 博士的领导下,研究团队通过让三个人在 Android 智能手机上随机输入 70 个四位 PIN 码来 “ 训练 ” 系统。在每部手机上安装了一个特殊的应用程序,从加速计、陀螺仪、磁力计、接近传感器、气压计和环境光线传感器收集数据。 随后研究人员利用深度学习算法来分析数据,将特定传感器读数与屏幕键盘上的特定数字进行匹配。Bhasin 解释说:“ 当你拿着你的手机并输入 PIN 码时,按 1、5 或 9 时手机的移动方式是非常不同的。同样,用你的右手拇指按下 1 将比按下 9 时阻挡更多的光线。” 当系统根据传感器的反应猜测四位数的 PIN 时,在解锁使用 50 个最常用 PIN 之一的电话时,准确率为 99.5 %(不超过三次尝试)。 Bhasin 认为,可以想象的是,人们可能会不知不觉地利用技术将恶意软件下载到手机上。在访问手机的传感器和获取用户的 PIN 后,程序会将信息传输给能够解锁手机的人。 为了防止这种情况发生,他建议手机操作系统限制对手机传感器的访问,以便用户只能授予可信任应用程序的权限。 关于这项研究的一篇论文最近在《 Cryptology ePrint Archive 》杂志上发表。 稿源:cnBeta,封面源自网络;