一周安全头条 (20190811-0817)
作者:星期六, 八月 17, 20190

行业动态 政策法规 移动互联网应用 个人信息收集
8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。通知称,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,现面向社会公开征求意见。《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》显示,该标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。

行业动态 应用指南报告 信息资产 风险与合规管理
近日,安全牛正式线上发布《信息资产风险与合规管理 (ITARC) 应用指南》,旨在从业务和资产的关联角度出发,联合国内多家有丰富经验的安全厂商和咨询机构,为业内提供信息资产风险与合规管理的理念与解决方案。同时,《信息资产风险与合规管理 (ITARC) 应用指南》的线下发布会将于8月21日(周三)下午3点半至4点50,在国家会议中心大宴会厅(即北京网络安全大会展区)的发布舞台举行。

融资并购 个人数据合规
数据合规公司Securiti.ai获得A轮融资3,100万美元。Securiti.ai推出了新平台Privici.ai,通过运用人工智能的方式,识别公司储存和使用的个人数据类型,从而帮助企业更好地对数据使用进行合规。

安全研究 漏洞补丁 波音787
最近,安全研究机构IOActive在波音787梦想客机的固件系统中发现一系列漏洞,包括不安全的功能调用、整数溢出、缓存溢出等等。之后,波音回复表示他们并不认为这些漏洞是可被利用的漏洞,同时他们已经采取措施,防止这些漏洞被攻击者利用。

安全研究 自动加密系统 菲亚特加密
近日,麻省理工学院(MIT)研究人员宣布,成功开发出了一款用于创建该代码的新系统。该系统被称为“菲亚特加密”(Fiat Cryptography),可以自动为所有硬件平台生成并同步验证经过优化的加密算法,而这一过程以前都是由人工完成的。MIT研究人员在今年5月份的EEE安全与隐私研讨会上发表了他们的论文,并在论文中列出了他们系统的细节,以便任何人都能实现它。据悉,目前该系统已被Google用于保护其Chrome网络浏览器通信。

安全研究 漏洞补丁 IBM X-Force Red 实验室 Wi-Fi入侵
近日,IBM X-Force Red 实验室表示,他们已经创建了一个价格低于 100 美元的 DIY 设备,可以以日常的快递包裹为媒介将其送到指定机构,然后就能够通过远程控制来嗅探并破解目标企业的本地 Wi-Fi,进而访问敏感的企业网络,这项新技术被 X-Force Red 称之为 “Warshipping”。据悉,X-Force Red 使用现成的组件构建了该设备(包括低功耗单板计算机和物联网调制解调器),然后通过他们的远程服务器对其进行控制以发动成功的攻击。

漏洞补丁 硬件驱动 Windows
近日,研究人员在40个Windows驱动系统中发现安全漏洞,攻击者可以利用这些漏洞形成提权。该漏洞可以让攻击者伪装成代理从而以特权身份接入硬件资源。该漏洞影响了20个全球知名硬件厂商,其中15个已经对受影响驱动程序进行了升级。

漏洞补丁 微软 CTF 协议漏洞
近日,Google Project Zero 安全团队的研究员表示,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。据悉,该漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。

漏洞补丁 远程控制 Windows
Windows用户需要尽快将自身的系统升级到最新版本,修复存在的4个远程桌面漏洞。修复的这4个漏洞都能被蠕虫病毒利用,从而快速从一台终端感染到另一台终端。利用这些漏洞,攻击者可以不需要通过认证,在不和使用者进行任何互动的情况下控制受影响机器。另外,在微软的8月更新中,除了这4个漏洞之外,还修复了89个漏洞,其中25个是关键漏洞,64个是严重漏洞。

漏洞补丁 蓝牙密钥协商
近日,包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超过10亿台蓝牙设备,被发现易受一个被命名为CVE-2019-9506的高度严重漏洞攻击,该漏洞可能允许攻击者监视两台设备之间传输的数据。该漏洞被称为蓝牙密钥协商(Key Negotiation of Bluetooth, KNOB)攻击,可以让距离目标设备较近的远程攻击者拦截、监视或操纵两个配对设备之间的加密蓝牙通信。

漏洞补丁 Adobe
Adobe周二发布了8月份漏洞,修复了在自己8大产品中118个漏洞。其中,Adobe Acrobat and Reader涉及的漏洞数量最多,达75个;另外,Photoshop CC中修复了34个漏洞。Adobe表示,修复的这些漏洞暂时并未被大范围发现被利用。

漏洞补丁 0day提权漏洞 Steam
近期,全球流行的Steam游戏客户端被曝出0day提权漏洞,影响全球一亿多Steam用户。该漏洞可让机器上的低权限用户以SYSTEM权限运行程序。这意味着恶意软件很可能利用这个漏洞对受害者的机器进行深度破坏。考虑到Steam是一款总用户1.2亿,日常在线用户3百多万,并时刻有大量新用户加入使用的软件,预计这个漏洞将对全球游戏用户产生深远影响。

黑客攻击 捷克外交部
近日,捷克外交部被曝本周二遭到外国国家权力机构发动的网络攻击,但杰克官方并未对事件相关细节进行披露,也未指明发动攻击的国家。一位政府消息人士告诉路透社,捷克当局怀疑这些袭击来自俄罗斯。

黑客攻击 数据泄露 Raidforums Cracked.to
近日, Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。除了电子邮件地址,Raidforums 还泄露了 Cracked.to 论坛用户的 IP 地址、私信、bcrypt 转储的哈希密码等数据,由网站论坛应用程序 myBB 所生成。

黑客攻击 海莲花组织 柬埔寨 微步在线
近日,微步在线狩猎系统捕获到海莲花组织针对柬埔寨的一起新的攻击活动,经分析发现:此次攻击发生在6月底至今,受害者似为柬埔寨政府相关目标,推测可能旨在窃取政治情报;攻击载体为伪装Word文档的RAR自解压文件,攻击者在自解压层新增注册表操作以绕过UAC;攻击者通过核心木马多层加载机制和插入花指令等对抗分析,核心木马具备收集受害主机相关配置信息和接受C2指令控制执行各种操作的功能;通过对相关样本、IP和域名的溯源分析,共提取4条相关IOC,可用于威胁情报检测。

数据泄露 漏洞补丁 英国航空 电子票务系统 未加密链接
近期,英国航空公司电子票务系统曝出信息泄露漏洞,可以让攻击者非法查看乘客的个人数据或更改他们的预订信息。有研究人员于本周二称,英国航空公司通过电子邮件发送给乘客的乘机登记链接没有进行加密,攻击者很容易从中读取出受害者的预订号码、电话号码、电子邮件地址等信息。位于同一公共WiFi网络中的攻击者可以很轻易拦截链接请求,伪装成正常用户,进入乘客的出行页面。更糟糕的是,某些机场早先因其WiFi网络的漏洞而臭名昭著。攻击者最终可获取受害者的大量个人数据,修改他们的出行信息。具体包括:电子邮件地址、电话号码、会员号码、姓名、预订号、行程、航班号、航班时间、座位号等信息。这一漏洞最早于今年7月被发现。在研究人员发现这个漏洞后,立马通知了航空公司。

数据泄露 交友软件 3Fun
近期,为“好奇和单身人士”服务的3Fun手机约会应用被曝出发生了会员数据数据泄露事件,涉及用户隐私和地理定位。3Fun声称在全球拥有超过150万会员。每天会产生超过18万条交流信息。Pen Test Partners的安全研究人员发现,这款约会应用存在几个严重的安全漏洞,导致用户的实时位置和其他敏感数据被泄露。具体数据包括出生日期、性偏好、聊天信息和私人照片。此外,信息泄漏和用户设置无关,即使用户正确地启用了隐私设置,个人数据也会被泄漏。研究人员注意到,该应用对数据的管理过滤只在客户端实现,攻击者只需使用简单的流量中转软件,即可绕过安全限制,查看到敏感信息。

数据泄露 美国 Choice Hotels酒店
近日,总部位于美国马里兰州的酒店特许经营商Choice Hotels被曝70万条客人信息被黑客窃取,包括客人全名、地址、电话号码、电子邮件地址等。据悉,此次入侵在进行了数天后才被发现,攻击者从一个不安全的MongoDB数据库中窃取数百万条客人信息。Choice Hotels称,在数据库中发现的560万条客人记录中,只有70万条是客人的真实数据,其余都是测试数据。攻击者要求Choice Hotels支付0.4比特币作为不泄露信息的交换,按当前价格计算相当于4200美元。事后,Choice Hotels表示正在努力采取额外的控制措施,以防止此类情况再次发生。

数据泄露 Facebook 监听风波 语音转录
近日,Facebook又被爆出监听用户语音通话的负面消息,承认其雇佣了外部承包商,将Messenger录下来的用户对话语音转抄为文字,而Facebook对此行为的解释是通过转录对话,以评估工具的准确性。同时Facebook还强调这些语音来源是完全匿名的,并且都获得了提供者的同意。不过Facebook没有告知承包商雇员这样做的目的,外部承包商不仅不知道语音来源,更加不知道Facebook为什么要将语音转换为文字。在面对众多用户的质疑下,Facebook选择暂停语音转录文字的工作。

数据泄漏 生物识别信息 BioStar 2 Suprema 未加密数据
近日研究者发现,生物识别公司BioStar 2发生信息泄露事件,造成大量数据外流。BioStar 2运用面部识别以及指纹扫描作为识别用户的方式之一,其客户包括了银行、政府、英国交警等上千个组织。BioStar 2的重要客户,安防公司Suprema也成为了一个“受害者”。据了解,全球83个国家、5700机构在使用Suprema的安防管理系统。研究者在进行扫描的时候发现了BioStar 2的网站漏洞。在进一步查看是否存在泄漏问题的过程中,他们发现了大量未加密、未设密的数据库(即不是保存生物识别信息的哈希值,而是真实数据)。这约有23GB的数据,2,780万条记录:包括了未受保护用户姓名、口令、面部与指纹识别数据、进出记录、设施日志、员工资料和管理面板等。
相关阅读

 

一周安全头条 (20190804-0810)

 


相关文章

写一条评论

 

 

0条评论