一周安全头条 (20190714-0720)
作者:星期六, 七月 20, 20190

行业动态 会议活动 2019年网络安全年会
7 月 17 -18 日以 “智能感知态势 携手构建安全” 为主题的 2019(第十六届)中国网络安全年会在广州召开。本次网络安全年会由国家互联网信息办公室指导,国家互联网应急中心 (CNCERT/CC) 主办,恒安嘉新(北京)科技股份公司、深信服科技股份有限公司、360集团、奇安信集团、天融信科技集团、北京启明星辰信息安全技术有限公司、阿里云计算有限公司联合主办。据悉,在本次中国网络安全年会中,七家网络安全主办单位不仅带来了最新产品展示,还分别承办七个主题分论坛。

行业动态 《数字品牌保护 (DBP) 业务应用指南》 天际友盟
近日,安全牛联合天际友盟,共同编写并于今日发布《数字品牌保护 (DBP) 业务应用指南》,供业内参考借鉴。本报告旨在介绍数字品牌保护服务已经落地的应用场景,涉及的关键技术,以及市场前景。

行业动态 华为 5G
近日,根据华为华为5G产品线副总裁甘斌介绍,华为目前已获得全球50个以上5G商用合同,且今年预计将有60个网络宣布5G商用。与3G/4G相比,5G的发展速度前所未有,预计三年内,全球5G用户将达到5亿人次。

行业动态 罚款 Facebook
近日,联邦贸易委员会以3比2的票数通过了这项和解提案——联邦贸易委员会Facebook开出50亿美元的罚单,事由为该公司在隐私及数据保护方面存在漏洞。该报道指出,虽然 FTC 已通过罚款和解提案,但仍需美国司法部审批后方可最终定案。若获批准,这将成为 FTC 有史以来开出的最大隐私违规罚单。

行业动态 漏洞悬赏 车联网
近日,安全研究人员Sam Curry因祸得福,找到了一个特斯拉车中的漏洞,并通过特斯拉的漏洞项目获得了1万美元的赏金。Curry自己购买了一辆特斯拉车进行破解,在长期破解未果后,Curry的车因挡风玻璃被撞坏准备向特斯拉进行要求修复;而就在特斯拉的客服进行响应的时候,他在发现了一个能导致打开恶意页面的漏洞。该页面能够获取当下特斯拉车的各项关键数据,包括车速、温度、系统版本、车压等。Curry表示在他提交漏洞以后,特斯拉在12小时内修复了漏洞,并且他发现自己无法再利用该漏洞。

黑客攻击 亚马逊 黑客组织Magecart
黑客组织Magecart最近利用配置不当的漏洞,攻击了超过1.7万的域名。从四月开始,攻击者开始主动扫描网络,寻找因配置不当导致任何AWS账户都能对其进行读写的Amazon S3存储空间。一旦存储空间中有js文件,攻击者就会对文件进行下载,并对文件进行改写,加上恶意代码。不过,这些恶意代码并无法窃取任何支付信息。为了防范这类攻击,亚马逊已经将所有储存空间默认为私有,防止被人恶意修改。

黑客攻击 加密货币 BITPoint
东京加密货币交易机构BITPoint Japan上周五在发现自己遭到攻击后暂停了自己所有服务。攻击发生在周四晚上,因为公司的对外汇款系统发生错误,BITPoint直接损失超过3,200万美元。公司表示他们依然在对事件以及损失进行调查,并会对受损用户进行赔偿。在事件发生后,BITPoint的母公司Remixpoint股价下跌了18.6%。

恶意软件 广告病毒
近日,安全研究者发现一种新型的病毒框架,该框架在过去三个月中,产生了10亿虚假广告传播。该病毒通过在浏览器上安全恶意插件进行虚假广告推送、给YouTube视频点赞、查看隐藏Twitch视频流等。受影响浏览器包括Chrome、Firefox和Yandex。研究人员表示,该恶意软件似乎针对某些区域,包括俄罗斯、乌克兰和哈萨克斯坦。

漏洞补丁 联想
近日,联想部分NAS设备被而发现固件中存在漏洞,会造成信息泄漏的风险。攻击者可以利用API,轻易在未被认证的情况下浏览并接入设备中储存的数据。暂时最初始的对网络上的扫描,发现了至少5,100个设备被暴露在网上,造成300万文件面临泄露风险。

漏洞补丁 蓝牙通讯协议 Windows10/iOS/macOS
近日,波士顿大学的研究者发现,在一种新的蓝牙信号Bluetooth Low Energy (BLE)中,攻击者可以通过追踪信号。研究者表示,尽管这种信号运用了随机排列的方式来躲避追踪,但是攻击者依然可以通过对制造商信号模式的研究,探测出不同厂商的信号。受影响的操作系统包括iOS、macOS、Windows 10以及Fitbit;而安卓系统未受影响。

漏洞补丁 认证绕过 iOS13/iPadOS
近日,有网友爆出iOS13和iPadOS最新测试版本存在安全漏洞,允许黑客绕过安全机制访问设置应用中的用户名和密码。据悉,当黑客在解锁状态下访问设置应用,并反复点击“网站&应用密码”选项时,可绕过Face ID、Touch IS访问用户名和密码。截至目前,苹果已收到该漏洞报告,但暂未做出回应,iOS13和iPadOS正式版将于今年秋季正式推出。

漏洞补丁 联想 技嘉
近日,Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞,攻击者需要已经拥有管理员权限。漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器(BMC)固件内,该产品被用于联想的服务器产品和技嘉的服务器主板。研究人员在 2018 年 7 月报告给了联想,11 月联想释出了补丁;今年 3 月又在技嘉的主板相同固件内发现了漏洞。研究人员发现了两个问题,其一时固件更新前没有执行加密签名检查,因此可被攻击者安装恶意固件;其二是 shell 命令注入漏洞。

数据泄露 保加利亚 居民隐私
近日,保加利亚新闻媒体收到一封神秘电邮,自称是“俄罗斯黑客”的寄信人号称攻破了该国光放110个数据库,其中包含核心政府部门的高度涉密信息。据攻击者讲述,该数据包约为11GB,另外还有10GB的数据掌握在手中。据悉,该11GB的数据包内,包含了110万公民的个人关键信息,包括身份证、社保号码、个人收入、缴税记录以及医疗信息等。

数据泄露 数据库配置 K12.com
近日,研究人员发现,在线教育平台K12.com数据库在互联网曝光逾一周,近700万学生个人隐私被泄露,泄露信息包括姓名、电子邮件地址、出生日期、性别、学校、账户身份验证密钥和其他内部数据。据悉,该泄露事件可能源于K12.com数据库配置错误,其A+nyWhere学习系统(A+LS)受影响,该系统已被美国1100多个学区使用。截至目前,该数据库已下线。

数据泄露 Evite 黑客Gnosticplayers
据媒体报道,电子邀请网站Evite发布声明承认发生数据泄露事件,逾1亿用户受影响,泄露信息不含用户社会安全号码或银行信息。据悉,Evite在今年4月发现其系统自2019年2月22日起遭黑客Gnosticplayers入侵,存储有2013年以前用户数据的数据库被泄露,泄露数据包括姓名、用户名、电子邮件地址、密码、电话号码、出生日期等隐私信息。截至目前,Evite已通知受影响用户重置密码。

数据泄露 凯悦酒店
近日,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据统计,目前国内共有18家凯悦酒店可能会受到此次数据泄露事件的影响。

漏洞补丁 媒体文件劫持 WhatsApp Telegram
近日,赛门铁克的研究人员发现了一种名为 “媒体文件劫持” (Media File Jacking) 的攻击方法。该攻击方法可利用WhatsApp 和 Telegram 收发文件时在写入磁盘和加载到应用用户界面之间存在的时间差,趁此间隙快速修改文件。据悉,该攻击只对对保持默认设置的 WhatsApp 和 勾选了 “保存到图库” 选项的 Telegram 有效。目前,赛门铁克已向 WhatsApp 和 Telegram 报告了自己的发现。WhatsApp 认为该问题应由谷歌解决,并将寻求评论的媒体引向了谷歌即将推出的 Android Q。Telegram 对此事不予置评。

数据泄露 安全罚款 医疗保险 Premera Blue Cross美国最大的医疗保险公司之一的Premera Blue Cross将因信息泄露事件赔偿30个州共1,000万美元。州政府表示,审计员在之前已经过警告过Premera系统中存在隐患,包括系统没有及时升级以及进行安全更新,但Premera对此置若罔闻;另一方面,Premera也并未满足HIPAA合规要求。泄露发生在2014年5月到2015年3月,攻击者获取了1,040万用户的个人敏感信息,包括医疗记录、银行账户信息以及社保卡账号,其中大部分人在华盛顿州。

 


相关文章

写一条评论

 

 

0条评论