一周安全头条(20190526-0601)
作者:星期六, 六月 1, 20190

行业动态  华为  美国报道称,华为周五对路透社表示,联邦快递(FedEx)近期将从日本寄往中国华为的两件包裹寄到了美国,并试图将另外两件从越南寄往华为亚洲其他地区办事处的包裹也转运到美国,这些行为都是未经授权的。华为提供了联邦快递追踪记录的图像。华为表示,这四个包裹只包含文件,“没有技术”相关信息。本月23日,联邦快递曾在其官方微博表示,有关近期社交媒体平台流传联邦快递将客户货件没收,并转运至美国检查的消息与事实严重不符。华为则表示目前正在审查与美国联邦快递公司(FedEx Corp)的合作关系。

国家安全  维基解密  美国将对阿桑奇进行起诉,指控罪名达18项,其中一项为黑客攻击罪名,其余17项罪名均与反间谍法案有关。阿桑奇协助并教唆前美国情报人员曼宁,将大量美国机密文件非法获取并且发布在维基解密之上,共获得90,000份与阿富汗战争相关的报告、400,000份伊拉克战争相关报告、800份关塔那摩被押人员评估、以及250,000州政府通信。每项间谍罪指控将使阿桑奇面临10年监禁,而黑客攻击罪名将达5年监禁。

融资并购  威胁情报威胁情报公司Recorded Future周四宣布将被Insight Partners收购,收购价达7,800万美元。Recorded Future从开源网站、技术网站以及暗网上实时获取信息,并且运用机器学习提供相关的分析以及告警。公司表示,有90%的百强公司使用自己的服务。

融资并购  FireEyeFireEye周二宣布以2.5亿美元收购安全仪器公司Verodin。Verodin的安全设备平台对组织的网络安全控制能力进行监控、测试以及确认,发现配置问题以及其他安全隐患,同时对新发生的威胁可能产生的影响进行评估。该收购预计将给FireEye今年带来2,000万美元的收益,到2020年带来7,000万美元收益。

融资并购  云安全  派拓网络派拓网络周三宣布已经收购两家安全公司,进一步加强自己的云安全能力。第一家被收购的公司是容器安全公司Twistlock,收购价约为4.1亿美元。该公司的旗舰产品为云本地安全平台,通过API将任意底层架构最后hiIC恒的容器、无服务器功能、以及容器即服务平台打包成一个单独的全栈安全平台。另一家公司PureSec为无服务器架构提供保护,同时帮助客户建立并运维安全和可靠的无服务器应用。该解决方案为无服务器应用提供包括漏洞管理、准入控制、以及实时威胁的端到端安全能力。

调查报告  GDPR年度报告近日,欧洲数据保护委员会(EDPB)在GDPR实施一周年之际,发布其首份GDPR年度报告。报告揭示了欧洲经济区 (EEA:欧盟28国、冰岛、芬兰和列支敦士登) 各国家监管机构(SA)在这一年中是如何携手一致实施GDPR的。EDPB报告发现,GDPR实施头一年里,EEA各SA共上报了206,326例案件,分属3个主要门类:近半数(94,622)是投诉;64,684件涉及数据泄露通知;剩下的则是 “其他” 问题,31家SA采取最后一种监管方式共判处了55,955,871欧元的行政罚款。

调查报告  互联网犯罪  商业邮诈骗近日,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。该年度报告显示了仅在2018年,IC3收到的投诉数量就已高达35万起,平均来看,每天接收的投诉数量就超过900起;而2018年因网络犯罪造成的总经济损失约高达27亿美元。在这近乎30亿美元的亏损中,商业电子邮件诈骗(BEC)或电子邮件账户入侵(EAC)诈骗几乎占据2018年报告的总损失的一半——高达近13亿美元。除了勒索攻击外,还有一种值得注意的高财务风险诈骗类型——“工资单转移诈骗”。

开源软件安全  Github  代码安全GitHub近日新增了新功能:可以对已知的开源软件漏洞在他们用户的元数据库位置进行自动的安全更新。GitHub用户可以对GitHub进行许可,从而让GitHub自动在用户的元数据库建立完整路径,或者自己手动创建。自从2017年推出自己的安全警告系统以来,GitHub已经发出了近2,700万个安全警告,而这项功能的出现可以极大限度帮助开发者加强代码的安全性。

黑客攻击  钓鱼攻击  Office365邮件近日,研究人员检测到新型网络钓鱼攻击,黑客将钓鱼内容伪装成Office 365邮件,警告用户其账户中大量文件被删除,用户点击警告框后会进入伪造的登录页面,其输入的账号密码也会被钓鱼网站获取并保存。随后,钓鱼网站会将用户重定向到正常登录页面掩盖钓鱼行为。微软提醒用户,Microsoft、Outlook账户的登录表单仅来自microsoft.com、live.com或outlook.com,请勿登录来自其他URL的表单。

黑客攻击  苹果近日,一名澳大利亚17岁少年为了获得苹果公司的一份工作,通过伪造凭证黑进了苹果公司的主机,所幸苹果公司并未受到任何影响,同时也未造成任何信息泄露。法官在听取了少年的动机后,决定给少年一个为期9个月的良好行为保证处分,期望他能将自己的才能运用在更好的地方。

漏洞补丁  WPA3   WiFi安全近日,两名研究人员发现 WPA3 WiFi 标准包藏5个漏洞,其中4个可对网络安全造成严重威胁。本次漏洞可被分为两类:Dragonfly握手系统中的漏洞,以及针对WPA3-ready设备的降级攻击。通过对运行个人认证的家庭网络进行攻击尝试,研究人员表示该漏洞可被滥用于恢复WiFi网络密码,发起资源耗尽型攻击,以及迫使设备使用更弱的安全组。如果缺乏HTTPS的额外保护,该漏洞可被利用于盗取敏感信息,包括信用卡、密码、聊天消息、电子邮件等等。

漏洞补丁  本地提权  微软上周,一名女性安全研究人员在三天内接连公布了4个微软Windows零日漏洞,且均为本地提权漏洞,可将被黑系统上的本地用户权限提升至管理员权限。这4个漏洞,外加一个微软上周刚修复漏洞的利用程序,都被该女性研究人员以SandboxEscaper (沙箱逃逸者) 之名发布到了GitHub上。事后,微软在声明中称:微软向客户承诺会调查所报告的安全问题,并将尽快为受影响设备提供更新。我们敦促漏洞发现者遵从协同披露操作,以减少客户的潜在风险。

漏洞补丁  TXT代码执行  微软Google Project Zero研究员Tavis Ormandy宣布在微软的记事本文本编辑器中发现代码执行漏洞。目前,Ormandy已经向微软报告了该问题,并宣布将根据谷歌漏洞政策披露等待90天,然后再透露该漏洞的技术细节。

漏洞补丁  Docker近日研究者在Docker容器平台发现一个漏洞。该漏洞存在于Docker的cp(复制)指令当中,其机制为TOCTOU;在该漏洞中,在复制路径确认安全与实际对文件进行复制行为之间,可以对复制的状态发生改变(比如路径)。但是,研究者又表示该漏洞无法被远程利用,这也是尽管该漏洞并没有补丁,研究者和厂商依然愿意公开的原因。

漏洞补丁  DuckDuckGo  浏览器近日,开源的 DuckDuckGo 浏览器安卓版 5.26.0 中被曝存在一个地址栏欺骗漏洞,可导致潜在攻击者发动 URL 欺骗攻击。该 app 的下载量超过500万次。安全研究员 Dhiraj Mishra 发现了这个漏洞 (CVE-2019-12329),并通过 HackerOne 告知该应用的安全团队。Mishra 的PoC 通过特殊构造的 JavaScript 页面使用 setInterval 函数每隔10到50毫秒的时间重新加载一个 URL,从而欺骗欺骗 DuckDuckGo 隐私浏览器的地址栏。虽然真正的 duckduckgo.com 网站每隔50毫秒自动加载一次,但内部 HTML 被修改以显示完全不同的内容。

数据泄露  Flipboard近日,新闻聚合网站Flipboard服务器遭黑客攻击长达9个多月,逾1亿用户个人账户信息和数字令牌可能被泄露,泄露数据包含用户名、哈希值、加密密码,及和第三方服务捆绑的Flipboard个人资料。事件发生后,Flipboard发布声明称,服务器上存储的密码大多使用bcrypt强密码哈希算法加密,较难被破解。截至目前,事件仍在调查中,暂不清楚受影响用户数量。

数据泄露  Canva在线图像设计工具网站Canva上周五遭到黑客攻击,造成1.39亿注册用户的信息被窃取,窃取数据包括用户名、真实姓名、邮箱地址、城市、国家等信息。事件发生后,Canva迅速承认,并且通知他们的用户支付信息以及其他财政信息并未泄露,同时被窃取的密码已经被加密,无法被外界破解。另一方面,Canva同时表示用户用以通过Facebook和谷歌账户进行登录的凭证也被加密,因此不需要改变这两个平台的密码。Canva已将这起事件告知澳大利亚政府,同时将求助FBI进行调查。

数据泄露  苹果  iTunes苹果公司目前遭受集体诉讼的打击,有消费者声称其iTunes中的购买信息被苹果公司卖给第三方。根据5月24日在加利福尼亚州北部联邦区提起的诉讼,原告要求的赔偿金额超过500万美元。来自罗德岛和密歇根州的三位iTunes用户Leigh Wheaton,Jill Paul和Trevor Paul提起诉讼,声称尽管苹果公司参与了一项广告活动,“标榜在数据隐私问题上亲消费者立场”,甚至在拉斯维加斯的广告牌上写着口号“iPhone里的一切都会留在你的iPhone里”,他们还在挖掘和向第三方出售个人信息。当事人抱怨苹果公司收集的数据违反了他们自己所在州的隐私法。

数据泄露  Perceptics近日,车牌识别公司Perceptics遭黑客入侵,数百GB内部文件被窃,包括Microsoft Exchange和Access数据库、ERP数据库、HR记录、Microsoft SQL Server数据存储等。据悉,此次泄露文件名和附带目录总数量近6.5万,包括商业计划、财务数据和隐私信息。截至目前,Perceptics已对该事件展开调查。

相关阅读

https://www.aqniu.com/industry/48849.html

 


相关文章

写一条评论

 

 

0条评论