分类 每日安全资讯 下的文章

运行 Drupal、Joomla 或 Typo3 系统的网站需要及时打上补丁。编号为 CVE-2019-11831 的漏洞位于 PHP 组件 PharStreamWrapper 中,源于一个路径遍历 bug,允许攻击者用恶意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个漏洞标记中等危险级别,尽管不是高危,网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。运行 Drupal 8.7 的网站需要升级到 8.7.1,8.6 或更早版本的网站需要更新到 8.6.16,7 需要升级到 7.67。Joomla 需要升级到 3.9.6。

来源:solidot.org

更多资讯

报告称忠诚度计划是“黑客的蜜罐”

使用可以在用户最喜欢的餐馆或服装店节省几美元的忠诚度应用程序似乎是无害的。然而根据《纽约时报》上周六的报道,这正是黑客所依赖的 。据《纽约时报》报道,一个安全组织估计,每年因在线忠诚计划相关犯罪而损失10亿美元。此外,根据Javelin战略与研究公司的说法,此类犯罪从2017年到2018年翻了一番。

来源: cnBeta.COM

详情: http://t.cn/EKiZ8Eg

研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录

据外媒报道,1989年,就在网络成为现实的几个月后,一种计算机蠕虫感染了全世界全球成千上万台计算机,其中包括了NASA的计算机。蠕虫病毒在受感染电脑的屏幕上显示一条信息:“你的系统已被正式 WANKed。”

来源: cnBeta.COM

详情: http://t.cn/EKiZmLN

德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷

德国网络安全机构 BSI 就卡巴斯基杀毒软件的安全漏洞发出警告,建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息,但BSI警告说,黑客只需向其目标发送包含特制文件的恶意电子邮件,在某些情况下,甚至不需要打开该文件。

来源: cnBeta.COM

详情: http://t.cn/EKiZ1zJ

日本母公司遭黑客袭击 46 万客户信息泄露 而国内优衣库却这样说

日本迅销公司 5 月 14 日发布声明说,旗下品牌优衣库、GU 销售网站逾 46 万名客户个人消息遭未授权访问,可能造成信息泄露。优衣库方面当天对北京青年报记者表示,经调查,此次事件不涉及中国的网站及信息平台。

来源: 北青网

详情: http://t.cn/EKiZDBP

(信息来源于网络,安华金和搜集整理)

手机 APP(应用程序)过度索权、注销难等导致个人信息“裸奔”的现象,近年来屡屡被曝光并引发关注。针对手机APP违法违规收集和使用个人信息问题,有关部门连出重拳。今年,中央网信办、工信部、公安部、市场监管总局等四部门开展专项治理行动,向违法违规手机APP“开刀”。

手机APP的哪些伎俩属于违法违规收集个人信息?根据国家网信办官网消息,《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》)近日公开征求社会意见,对相关行为给出了较为明确的界定。

7 种 APP 情形被认定为违法违规

根据《征求意见稿》,APP违法违规收集使用个人信息共有7种情形,包括没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息;违反必要性原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能;侵犯未成年人在网络空间合法权益。

针对上述7种情形,《征求意见稿》有进一步的详细规定。例如,APP没有隐私政策、用户协议,在安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,进入APP主功能界面后,多于4次点击、滑动才能访问到隐私政策等,都算作违法违规行为。

业内人士指出,《征求意见稿》的制定和公开征求意见,标志着APP违法违规专项治理行动又向前迈进了一步。这一规定既为手机APP运营者自查自纠提供了指引,也为有关监管部门评估和处置违法违规APP提供了参考,内容更加细化,同时切中了专项治理过程中的突出问题,有利于行业的有序发展,也利于公民的个人隐私得到更完善的保护。

“强制授权”等将受到严厉处罚

针对用户“吐槽”已久的一些违法违规情形,《征求意见稿》作出了明确的认定。例如,一些APP仅以改善程序功能、提高用户体验为由,收集用户个人信息;不少APP在申请调阅通讯录等权限时,未告知用户收集使用的目的;很多APP收集使用规则的内容晦涩难懂、长如“天书”;一些APP利用个人信息定向推送新闻、广告,却不提供终止推送的选项……以上这些行为,都被认定为违法违规。

与此同时,强制授权、过度索权、超范围收集、注销难等诸多行为都有明确的认定规则,如收集与现有业务无关的个人信息、收集频率等超出业务功能需要,未提供更正、删除个人信息和注销用户账号功能等。

中央网信办网络安全协调局巡视员兼副局长杨春艳表示,对于存在的问题和消费者反映强烈的问题,APP监管部门将重拳出击。对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。

彻底打破滥取用户信息的潜规则

据悉,自APP违法违规收集使用个人信息专项治理工作组成立以来,至今年4月上旬,举报信息已近3500条,涉及1300余款APP。其中,对于30款用户量大、问题严重的APP,工作组已向其运营者发出了整改通知。

移动安全专家田铭表示,在大数据时代,一些互联网企业将手机APP用户视为重要资源,过度、过量索取用户隐私已成潜规则。企业获取的消费者信息越多,能绘制的消费者画像就越精准,从而达到流量变现的目的。

而获取消费者信息后,企业的数据保存和利用也存在安全隐患。一些企业的数据库缺乏有力的安全防护,在遭遇网络攻击时容易造成用户数据泄露。因此,专家指出,在认定方法最终出台后,要让相关规范在行业中得到严格执行,还需要一个循序渐进的过程。应通过技术性、长效性的个人信息保护解决方案,从源头上规范APP运营商的研发和推广,有效解决APP违规违法使用个人信息问题。

有APP运营者表示,运营团队十分关注认定方法的提出,也正在按照法律法规要求进行自查自纠。未来,将根据《征求意见稿》的进展做好合规准备,及时按照规定的要求查漏补缺,保护好用户的个人信息安全。

来源:人民日报海外版

更多资讯

Facebook 起诉韩国数据分析公司 欲重塑公司隐私形象

据外媒 Gizmodo 报道,在韩国数据分析公司 Rankwave 未能提供证据证明其遵守 Facebook 的数据政策之后,Facebook 已对该公司提起诉讼,指控 Rankwave 违反合同约定。

来源: 新浪科技

详情: http://t.cn/EK5nKxs

报道称与俄罗斯有关的社交媒体账户正在传播针对欧盟选举的虚假信息

据《纽约时报》周日报道,一组与俄罗斯或极右翼团体有联系的网站和社交媒体账户正在传播虚假信息,并在欧盟关键选举前几周鼓励政治分歧。欧盟调查人员告诉《纽约时报》,该活动与俄罗斯此前的攻击活动具有许多相同的特征,包括俄罗斯干涉2016年美国大选的事件。

来源: cnBeta.COM

详情: http://t.cn/EK5np5C

关于国家信息安全漏洞库(CNNVD)正式启动 2019 年兼容性服务申请工作的通知

CNNVD 兼容性服务是 CNNVD 面向国内外信息安全从业单位,对其产品/服务等涉及的漏洞信息进行规范性评估与认证的服务。通过 CNNVD 兼容性服务的信息安全产品/服务,可实现其漏洞信息拥有统一的规范性命名与标准化描述,为漏洞挖掘、应用、验证与规避等技术研究提供基础支持,为开发更安全的信息产品或软件系统提供理论和技术支撑,进一步满足国家重要信息系统安全保障的需求。

来源: FreeBuf.COM

详情: http://t.cn/EK5nWd9

湖南一网站遭黑客入侵发布大量招嫖信息被查处

2019 年 5 月 5 日,在湘西州公安局网技支队的大力支持下,保靖县公安局成功办理一起违反《中华人民共和国网络安全法》行政案件,及时查处一家涉黄网站。这是自今年扫黑除恶 " 大走访、大排查、大管控、大研判 " 专项整治行动开展以来,该县依法成功处置的全州第一起网络安全类行政案件,有效防止涉黄招嫖有害信息进一步扩散。

来源: 中国经济网

详情: http://t.cn/EK5nTrp

(信息来源于网络,安华金和搜集整理)

根据上个月公布的 Research Grants 2019H1,Mozilla 正寻求资助开发在 Firefox 中更有效的整合 Tor 的方法。目前 Tor 能工作在 Firefox 浏览器上,Tor 浏览器就是证据,但这种整合方法拖慢了浏览器的速度。Mozilla 认为,要让更多的用户使用 Tor 匿名网络需要解决目前 Tor 存在的效率低下的问题。学术界正在研究替代的协议架构和路线选择协议,如 Tor-over-QUIC、DTLS 和 Walking Onions。但替代的协议架构和路线选择协议是否能带来可接受的 Tor 性能增强,是否能保留 Tor 的特性,是否能大规模部署 Tor,如何全面整合 Tor 和 Firefox?Mozilla 愿意在这些方面提供研究资金。

来源:solidot.org

更多资讯

杠上美国反病毒公司:俄罗斯黑客要卖它们的源代码

5月12日,Ars technica称,Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织,自3月份以来,Fxmsp在网络犯罪论坛上声称持有了从美国三家主要防病毒公司软件开发相关的独家源代码。

来源: 雷锋网

详情: http://t.cn/EK215J0

错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联

一个有缺陷的 Windows 更新或许会令人烦恼,但还不足以引起人们的恐慌,但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢?本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题,导致设备和警察之间的通信被中断。

来源: cnBeta.COM

详情: http://t.cn/EK21Vcx

为了挖掘加密货币 两个黑客组织争夺 Linux 服务器

Rocke 和 Pascha 两个从事门罗币挖掘业务的黑客组织正在努力控制尽可能多的 Linux 云环境,以便挖掘加密货币。去年年底,自新黑客组织 Pacha 崛起以来,这场争夺战就一直秘密进行。这两个组织都进行了大规模扫描来寻找开放或未打补丁的云服务和服务器,然后用基于 Linux 的多功能恶意软件感染它们。

来源: 雷锋网
详情: http://t.cn/EK21Mwm

5 月全球 Web 服务器报告 微软减少 1.12 亿站点

Netcraft 发布了 2019 年 5 月份全球 Web 服务器调查报告。Netcraft 公司官网每月公布的 Web Server Survey 是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据。5 月份报告共收录了 1 326 664 693 个站点数据,比上个月减少了 1.19 亿个,其中活跃站点有 187 976 419 个

来源: 开源中国
详情: http://t.cn/EK21Jpv

(信息来源于网络,安华金和搜集整理)

作为全球头号浏览器,谷歌浏览器不断发展,谷歌一直在寻求提高所有平台的可用性,安全性和性能的方法。最近,谷歌开始研究一项新功能,该功能将阻止网站接管 Chromium 中的后退按钮。

由于许多用户发现许多网站或者网页使得浏览器中的后退按钮几乎没用,因为它们不想让用户离开当前页面,在这种情况下,按下后退按钮没有任何效果,因为浏览器似乎卡在同一页面上。这是一种噱头,利用后退按钮在浏览器中的工作方式,并使用重定向或历史操作。

谷歌表示,有些页面使用户很难或不可能通过浏览器后退按钮返回他们原先的页面。这是通过重定向或操纵浏览器历史记录来实现的,并导致滥用和恼人的用户体验。谷歌将通过阻止任何不涉及用户输入的行为来解决这个问题,这意味着按下后退按钮将获得预期的结果,并且不允许复杂的代码进行干预。浏览器后退按钮的新行为将跳过添加历史记录条目或重定向用户页面,但是同时不会影响 history.back/forward API。

该功能仍在开发中,可在所有平台上使用,包括 Windows,Mac,Linux,Chrome OS,Android 和 iOS。

来源:cnBeta.COM

更多资讯

法院驳回针对苹果 FaceTime 窃听漏洞发起的诉讼

据外媒报道,早在今年 1 月,FaceTime 就出现了一个重大漏洞,它能让用户在 FaceTime 电话未被接受的情况下也能强行与另一个人建立 FaceTime 连接,即使在 FaceTime 调用未被接受的情况下,同时还可以访问其音频和视频。

来源: cnBeta.COM

详情: http://t.cn/EosuMLj

报道称美国军方不知道其运营网站的具体数量

据外媒 The Verge 报道,美国国防部不确定其运营了多少个网站。据美国军事专刊 《星条旗报》 Starsand Stripes 报道,在上个月的一次活动中,马里兰州米德堡国防媒体活动代理主任、美国陆军上校 Paul Haverstick 表示,对五角大楼运营的网站数量“并不确定”。

来源: cnBeta.COM

详情: http://t.cn/EosuSvy

网络公司后台被攻击损失近千万元 民警千里抓“黑客”

去年 12 月,北京回龙观派出所接到辖区内一网络公司报警,称其开发的软件被黑客攻击,公司服务器全面瘫痪。警方经过近半年的侦查,通过层层数据梳理成功锁定嫌疑人,近日远赴成都将雇佣黑客实施网络攻击的两名嫌疑人抓获归案。目前案件正在进一步工作中。

来源: 北京晚报

详情: http://t.cn/EosupM6

土耳其对脸书数据泄露事件罚款 27 万美元

土耳其官方部门“个人数据保护机构”10 日说,就社交媒体脸书去年泄露用户数据影响土耳其用户事件,该机构于今年 4 月对脸书罚款 165 万土耳其里拉(约合 27 万美元)。

来源: 新华网

详情: http://t.cn/EosuYpu

(信息来源于网络,安华金和搜集整理)

由于 Mozilla 方面的一个失误,导致许多 Firefox 用户在上周末遇到了附加组件无法使用的 bug 。后来该公司发布了更新,才让浏览器恢复正常。对于此事,这家机构现已发表正式道歉,详细解释发生了怎样的事情,且承诺会删除期间为了推出修复程序而收集的私人数据。据悉,为了修复 bug,Firefox 初期希望用户启用遥测选项。因为在默认的情况下,其出于隐私考量而禁用了此类数据收集选项。

现在,我们已经知道附加组件遇到的故障,源自安全证书方面的 bug 。在 Mozilla Hacks 的一篇博客文章中,首席技术官 Eric Rescorla 已经给出了详细的解释。

Joe Hidebrand 在另一篇文章中写到:

我们在努力为 Firefox 带来极棒的体验,但可惜上周遭遇了失败,对此我们深表歉意。

过去几年,我们花费了很多时间,来思考如何将附加组件(Add-ons)变得更加安全。然而鉴于附加组件的功能是如此的强大,我们也必须努力构建和部署一套系统,以免用户遭受恶意附加组件的侵扰。

至于上周的问题,其实源自防护系统中的一项错误部署—— 保险模式导致附加组件被禁用了。

尽管我们认为这套机制的基本设计原则是合理的,但仍会努力改进该系统,以防将来再次发生类似的问题。

此外,Hildebrand 还向关注 Firefox 最初“紧急修复”时段收集私人数据一事的网友们保证:

为尽快解决这个问题,我们曾呼吁用户开启遥测选项,以获取附加信息。

不过在 5 月 8 日 23:28 分的 Firefox 附加组件博客上,我们宣布已经不再需要开启遥测选项,所以请大家根据自己的真实意愿来选择是否退出。

为尽可能地尊重用户,Mozilla 决定删除 5 月 4 日 11:00 到 5 月 11 日 11:00 期间手机的所有用户的遥测与研究数据。

最后,Mozilla 表示将会披露与本次事件有关的更多细节,感兴趣的朋友可以留意后续发布的报告。

更多资讯

涉及 2.75 亿条印度公民信息的 MongoDB 数据库被曝光和公开索引

援引外媒Security Discovery报道,他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库,其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

来源: cnBeta.COM

详情: http://www.dbsec.cn/zx/20190511-5.html

研究人员披露黑客入侵了三家美国杀毒软件公司

Advanced Intelligence (AdvIntel) 公司的研究人员透露,名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外,该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问,开价超过 30 万美元。

来源: solidot.org

详情: http://www.dbsec.cn/zx/20190511-3.html

恶意差评案件多发 侵蚀网络营商环境亟待立法规制

传统的网络评价机制亟待改进,以优化网络营商环境。近日在杭州互联网法院落槌的一起民事案件,将这一问题再次提上议事日程。在这起案件中,7 名 90 后组成的差评师团伙被判决赔偿阿里经济损失 8 万余元、合理支出 4 万余元。而这已经是他们因同一件事情所受到的第二次惩罚。

此前,深圳市龙华区法院以敲诈勒索罪对他们分别判处 7 个月至 2 年不等的刑期。这意味着因为恶意差评,这一团伙遭到刑事民事的“双杀”。

来源: 法制日报

详情: http://www.dbsec.cn/zx/20190511-2.html

美国巴尔的摩市政网络遭勒索软件攻击

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统,但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实,攻击他们的勒索软件是 RobbinHood。

逆向工程 RobbinHood 样本的安全研究人员 Vitali Kremez 称,恶意程序在一个系统只针对文件,不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的,攻击者需要在部署前已经获得了网络的管理级别的访问权限。

市长 Bernard “Jack” Young 表示, IT 部门有备份,但无法简单的替换备份。他说他不希望人们认为他们没有备份。

来源:solidot.org

详情: http://www.dbsec.cn/zx/20190511-1.html

美国科技媒体报道称,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星 SmartThings 敏感的源代码、证书和密钥。三星数十个自主编码项目出现在旗下 Vandev Lab 的 GitLab 实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。

三星回应称,其中一些文件是用于测试的,但研究员对此提出质疑。他表示,在 GitLab 代码仓库中发现的源代码与 4 月 10 日 在 Google Play 上发布的 Android 应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过 1 亿多次。

研究员说:“我获得了一名用户的私有令牌,该用户可以完全访问 GitLab 上的所有 135 个项目。”因此,他可以使用该员工的帐号去修改代码。

研究员还提供了多张屏幕截图和视频作为证据。泄露的 GitLab 实例中还包括三星 SmartThings 的 iOS 和 Android 应用的私有证书。

来源:新浪科技

更多资讯

“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休?

用 2000 部手机排成几面“手机墙”,每部手机同时操作自动下载 App、“刷”高注册量后骗取客户推广费……记者日前从北京市公安局海淀分局获悉,按照公安部“净网 2019”专项行动部署,北京警方在广东警方的配合下打掉一个利用计算机软件控制大量手机虚拟下载安装App产品骗取推广费的犯罪团伙,App刷量问题再度引发关注。

来源: 新华社

详情: http://t.cn/EoEvZ2K

调查显示美国人对网络安全过于自信

一项来自 webroot 的新研究调查了 1 万名美国人(每个州 200 人)的网络安全习惯,发现 88% 的人认为他们采取了正确的措施来保护自己免受网络攻击。然而,只有 10% 的受访者在网络安全测试中得分达到 90% 或更高,平均只有 60%。

来源: cnBeta.COM

详情: http://t.cn/EoEvLRj

曾被黑客攻入 亚马逊大量商户账户面临危险

最新文件显示,去年 11 月亚马逊要求英国某法院批准搜查巴克莱银行和万事达卡旗下 Prepa Technologies 的相关账户信息。亚马逊相信,自己正受到大规模欺诈攻击,身份不明的黑客去年六个月从英国亚马逊卖家账户窃取资金。

来源: 华尔街见闻

详情: http://t.cn/EoEvfrx

(信息来源于网络,安华金和搜集整理)