一周安全头条(20190128-0203)
作者:星期日, 二月 3, 20190

政策法规  物联网安全

日本近日通过一条法案,允许政府工作者黑进公民个人设备,来作为物联网安全调查的一环。这项法案主要针对于2020年日本要举办奥运会进行保护。该项法案将由日本的情报通信研究机构(NICT)在日本总务省的监督下进行,最早将于下月开始从摄像头和调制解调器开始入手。政府雇员将使用默认密码与字典对设备尝试破解,一旦发现存在安全隐患,将会通知相关人员知会设备拥有者进行安全升级。

行业动态  GDDR 微软

微软CEO萨提亚•纳德拉在世界经济论坛上重申微软对全球隐私保护的呼吁。纳德拉表示隐私权是基本人权,同时他希望美国可以启用与GDPR类似的法规。

行业动态  GDPR 诉讼

近期,欧洲非政府组织“不关你事(NOYB:None of Your Business)”对8家跨国流媒体服务公司提出了10起GDPR相关投诉。投诉称,涉事流服务公司没能以透明的信息、通信及方式(GDPR第12条)响应数据主体的合法访问权(GDPR第15条)。其中4家公司为美国大型企业:Amazon Prime;Apple Music;Netflix和YouTube。另外4家是欧洲公司:DAZN(伦敦)、Flimmit(维也纳)、SoundCloud(柏林)和Spotify(斯德哥尔摩)。最高罚金从80.2亿欧元(苹果)到2000万欧元(DAZN和Spotify)不等。

行业动态  安全认证  CISSP

(ISC)2宣布对自己的各类认证证书进行年费上调——从之前的每年85美金上调到每年125美金,其中包括作为知名的CISSP证书。不过,该费用将成为固定费用,即无论用户在(ISC)2有多少认证证书,每年都是125美金。对于很多企业、机构,CISSP认证是一个人安全管理能力的体现,很多企业都会要求自己的相关员工拥有CISSP证书。

融资并购  医疗安全

Medigate近日获得A轮融资1,500万美元,从而总融资额达到2,000万美元。该公司为医疗设备提供安全保护,同时有资产管理解决方案。公司的员工曾为飞利浦、西门子和罗氏公司的医疗设备挖掘漏洞。

融资并购  硬件安全  nCipher

硬件密码制造商nCipher宣布从Thales脱离,重新独立成为公司。该公司于2008年被Thales收购;而在之后Thales收购Gemalto并把重心倾向于Gemalto,使得nCipher一定程度上认为独立出来对公司更加有利,能让公司运作更加灵活。尽管如此,nCipher依然面对一定的挑战,比如在线支付以及云,都是在nCipher被Thales收购后的新趋势。

融资并购  API安全

Salt Security近日宣布进入市场并且获得1,000万美元融资。Salt Security能够检查并且阻止API攻击。Salt Security表示,绝大部分友商只能检测到已知的API攻击,而他们的产品可以利用AI实时发现异常并且进行阻断。另外,Salt Security也提供API漏洞的修补方案。

融资并购  加密技术

加利福尼亚安全公司Fortanix获得B轮融资2,300万美元,总融资额达到3,100万美元。Fortanix专注于加密数据以及应用,其最大特点在于他们的加密技术不仅仅能够加密传输以及储存状态的数据,同时确保密钥、数据和应用在使用中的安全。

融资并购  云安全

邮件安全公司Mimecast近日收购云迁移公司Simply Migrate,具体数额尚未透露。这次收购的目的是为了让Mimecast的客户能更容易地将自己的遗留邮件存档迁移到自己的云端系统。遗留邮件存档往往存在着一些敏感信息,而之前的遗留邮件存档系统却很可能相当脆弱,容易被攻击者入侵;但是通过迁移到安全云端,可以极大提升邮件系统的安全性。

融资并购  云安全

云安全公司Aporeto获得B轮融资2,000万美元,总融资额达到3,450万美元,这笔资金将被用于研发和市场开拓。Aporeto通过授权、认证以及对每个工作负载用密码签名的身份加密所有通信的方式对应用、容器和微服务进行保护。

调查报告  2019网络安全投资

近期,风投资本公司 Strategic Cyber Ventures (SCV)发布针对2018年安全行业风险资本融资情况的报告——《2018网络安全投资状态》。调查结果显示: 2018年便已超50亿美元,但2019年这一势头不可持续。甚至提出更糟的是,这种不可持续不是可用资金上的不可持续,而是安全行业无法产生足够的利润供风投公司获取投资回报。换句话说,“僵尸企业太多了”。

数据安全  自动驾驶

近日,一名中国籍苹果工程师Jizhong Chen被FBI逮捕。据悉,chen曾一直接参与苹果自动驾驶项目“泰坦计划”。但因近期被他人举报疑似将2000多个机密文件备份到了他的个人电脑上,包括自动驾驶汽车项目的手册、原理图,以及数百张包含项目敏感信息的照片而被控告。而据外媒报道,该被捕工程师可能试图将这些文件提供给中国电动车公司小鹏汽车。对此,小鹏汽车已经在其官微回应称,该被捕人员不是小鹏汽车员工,从未收到此人的求职申请,没有与其进行过任何有关应聘和业务方面的接触,报道非实。

信息泄露  数据库安全

近日,又有一个数据库的51GB敏感信息泄露。泄露原因是由于对ElasticSearch数据库的不正当配置,使得该服务器缺乏密码保护。泄露信息包含大量高度敏感信息,包括美国社保卡号、姓名、电话、住址、信用记录等。该服务器已经被下线。

信息泄露  Equifax

美国法院近日表示,受到2017年的Equifax信息泄露影响的银行以及个人可以开始起诉Equifax;而小型企业暂时可能需要暂缓起诉,除非他们能证明信息泄露对自身带来了直接的负面影响。银行(作为信用卡发行者)以及平民将分为两个组:23家金融机构联合表示由于此次事件造成他们信用卡信息被泄露,他们不得不重新发放信用卡以及赔偿客户;而平民方面,现在有96个人组团并且在找更多受到此次信息泄露影响的人加入。

恶意软件  隐写术

网络安全公司Confiant在近日的报告中指出,近日有一批黑客利用网站广告对Mac进行攻击。该组织利用隐写术将恶意代码隐藏在广告图像中。在1月11日到1月13日的活跃期间,受感染广告总共被500万人浏览。通过将隐写术,恶意代码可以通过各层网络防御。代码通过创建一个画布,从特定URL处获取图像,然后建立一个函数查看浏览器是否支持某种特定字体;一旦支持,图像将会被转化成指令并被执行。

蠕虫病毒  无文件攻击

研究者近日发出告警,新一波Ursnif(又称Dreambot)病毒来袭。该病毒能在中毒设备上进行信息窃取,包括邮件信息、网上银行凭证等。值得注意的是,该病毒使用了无文档形态的攻击,即病毒本身不需要病毒文件即可感染设备。在Ursnif的使用上,攻击者会发送带有存在恶意宏脚本word文档的邮件,一旦接收者打开word文档,恶意文件会从服务器直接下载一个payload在内存中直接执行。由于其不存在病毒文件,因此很容易绕过很多防御。

黑客攻击  航空系统

空中客车公司近日表示自己侦测到一起在他们商用航空系统中的一起网络攻击,攻击者已经获取到部分用户信息——因此必然会受到GDPR的惩罚。但是,攻击者是否窃取到敏感的技术信息尚未明确,同时攻击者动机也依然不明。

黑客攻击  LinkedIn

 

近日,一位名叫“Andrev”的黑客通过Pastebin发布了一则消息,声称其攻击了LinkedIn服务器,并窃取了约1.59亿的用户信息。为证实其行为,他发布了一个包含100个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业CEO。并称打算将整个数据库信息打包出售,标价99美元。另外,对于无购买意向的人,黑客也表示可以收费提供个体攻击服务,费用为41美元。

漏洞补丁  iPhone X

 

近日,奇虎360 Vulcan 团队安全研究员招啟汛发布了一个内核漏洞的概念验证,该漏洞是可远程越狱 iPhone X 的漏洞利用链中的第二环,可帮远程攻击者在不惊动用户的情况下越狱 iPhone X,访问目标设备上的数据,利用设备计算能力等等。最新版iOS已修复该漏洞,但因为利用代码可以直接在沙箱中触发,因而问题并没有完全解决。

 

漏洞补丁  插件安全

商用插件Total Donations近日被发现数个0day漏洞,这些漏洞影响到所有已知版本的Total Donations。攻击者可以利用这些漏洞,在受影响网站上提升账户权限,获取敏感信息。由于开发者暂时没有进行任何反应,安全研究员建议将该插件完全卸载。

漏洞补丁  远程攻击

安全研究人员督促思科Small Business RV320和RV 325 Dual Gigabit WAN VPN路由器的用户尽快打上最新的思科补丁。研究人员在网上发现了超过9,000个受两个严重漏洞影响的路由器——尽管这两个漏洞在最新思科补丁中被修复。这两个漏洞,其中一个能让未被认证的远程攻击者获取设备的敏感信息,比如hash后的管理员密码;而另一个漏洞则能在攻击者获取足够权限的情况下远程执行代码命令。

漏洞补丁  Microsoft Exchange

安全研究人员近日指出,Microsoft Exchange的2013以及更新版本存在漏洞,攻击者可以利用漏洞进行提权使得任何有收件箱的人都能获取域名管理员权限。约有90%使用活动目录与Exchange的存在该漏洞。研究人员表示,由于Exchange本身默认存在延伸权限,因此很可能无法通过补丁解决该问题。但是,企业可以通过将Exchange从对域名对象的权限中移除来防止攻击。

漏洞补丁  FaceTime

 

近日,360CERT监测到Iphone FaceTime 通话出现隐私泄露漏洞。该漏洞允许攻击者在被害者接听 FaceTime 通话前,获得被害者音频,造成用户隐私泄露。据悉,该漏洞存在于运行iOS 12.1或更高版本的设备中。目前,Apple 已暂停 FaceTime 服务,但是部分区域和系统版本的设备仍受影响。为避免数据泄露,建议用户暂时禁用FaceTime功能。

网络犯罪

FBI以及欧洲数个国家的执法机构近日合作关闭了一家贩卖肉鸡服务器与主机接入权限的网站——xDedic。该网站对每个接入权限卖价从6美金到10,000美金不等,涵盖了教育、政企、医疗等各个领域的服务器与主机。据估计,该网站共获利超过6,800万美金。

网络犯罪  资产转移

孟加拉共和国因为菲律宾银行Rizal Commercial Banking Corp(RCBC)涉及到一起网络攻击对其进行起诉。一名不知名的黑客在2016年2月从孟加拉中央银行在美联储的银行账户中窃取8,100万美元,并转移到RCBC,然后逐渐提取并适用于当地赌场。菲律宾在2016年已经由于此事件对该银行进行了2,100万美元的罚款;而RCBC否认了该指控并且控诉孟加拉中央银行“大量掩盖(自己的过失)”。

相关阅读
一周安全头条(20190120-0126) 


相关文章

写一条评论

 

 

0条评论