一周安全头条 (20190901-0907)
作者: 日期:2019年09月07日 阅:6,479

哈萨克斯坦 公共根密钥 互联网供应商(ISP)

近日,哈萨克斯坦开始要求其公民在浏览器中安装政府的公共根密钥。政府通过本国互联网供应商 (ISP),要求用户必须安装该根密钥才可访问互联网。此举似乎是想通过中间人攻击来截获和窃听网络通信。如果攻击者控制有浏览器网络连接中一方或多方的公共根密钥,也就是说处于观察者地位的一方拥有可以解密安全通信的密钥,那么中间人攻击将变得极其容易。如此一来,政府机构就可以解密用户的HTTPS流量,捕获其内容,重新加密,再发送给接收者。

通信监控 南非 国家情报收集

南非当局承认对所有通信进行大规模监视。前国安局长 Arthur Fraser 的宣誓书及其它向法庭递交的文件披露了这一信息。这一大规模监视可上溯到 2008 年,国安局的情报收集流程是在 National IntelligencePriorities(国家情报优先架构)要求下进行的,主要针对迫在眉睫的威胁、有组织犯罪、恐怖活动,以及食品安全、水安全和非法资金流动等。通过窃听海底光缆,南非政府还对互联网流量进行了大规模拦截。国安局辩解称此类的大规模监视和数据收集是全球惯例。

行业动态 漏洞收购 Zerodium

近日,漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价,发现自2015年公司成立以来,安卓0day漏洞价格首次高于iOS漏洞价格。此外,Zerodium将这次变动发布在推特上。其中,还提及了在当前的市场上iMessage和WhatsApp的零点击漏洞价格有所上升,而iOS的一次点击漏洞价格有所下降。安卓和iOS的RCE + LPE非持久性零点击漏洞之前收购价是100万美元,而如今则上涨到150万美元。Zerodium发布了新的漏洞列表,其中,安卓持久性全链零点击漏洞价格达到250万美元,而iOS漏洞则为50万美元。

行业动态 罚款 隐私保护 儿童信息 Google

Google周三接受由联邦贸易委员会以及纽约州开出的1.7亿美金的罚款。在这次罚款中,Google违反了儿童网络隐私保护法中要求网站在收集13岁儿童个人信息前需要通过家长同意的规定,在YouTube上直接获取儿童信息,从而更精确地发放广告。1.7亿美元的罚款是儿童网络隐私保护法迄今为止最高的罚款额度。

行业动态 安博通 科创板上市

近日,科创安全第一股安博通SH688168成功上市,市值高点达到107.5亿元,截止上午收盘时,股价为181.05元,对应市值92.66亿元。2018年安博通营业收入1.95亿元,同比增长率29.58%,实现净利润5964万元;当前市场对应市盈率155.4,市销率为47.5。

融资并购 微服务 Splunk

Splunk近日宣布收购微服务应用厂商Omniition,具体金额尚未透露。Omnition以SaaS的方式提供分布式应用追踪能力,而这次收购后,他们将可以帮助Splunk的用户在Docker、Kubernetes、Terraform、Envoly/Istio以及其他微服务技术上部署他们的应用。

融资并购 物联网安全 派拓网络

派拓网络周三宣布以7,500万美元的价格收购物联网安全 Zingbox。Zingbox提供基于云平台的生命周期管理解决方案,通过AI与机器学习识别、保护并优化设备。派拓网络希望通过这次收购,提升自己下一代防火墙与Cortex平台的物联网安全能力,增强物联网可视化能力。

调查报告 漏洞赏金 HackerOne

近日,HackerOne在其最新发布的年度《黑客驱动的安全报告》中表示,漏洞悬赏项目发起公司支付给关键漏洞发现者的平均赏金已经飙升至 3,384 美元/个,比前一年的平均水平增加了 48%,而加密货币和区块链公司支付的赏金水平最高——平均达到了 6,124 美元。紧随其后的是互联网和在线服务公司、航天航空公司、电子和半导体公司。在过去的12个月中,HackerOne 平台的客户共接收到了超过 30,000 个安全问题,这些客户共计向漏洞研究人员提供了超过 2100 万美元的赏金。

调查报告 网络安全支出 IDC

9月2日,据IDC最新发布的《IDC全球半年度网络安全支出指南,2018H2》预测,2019年全球网络安全相关硬件、软件、服务投资将达到1066.3亿美元,相比2018年增长9.40%。2019年中国网络安全市场总体支出将达到73.5亿美元,2019-2023年预测期内的年CAGR(复合年均增长率)为25.1%,增速继续领跑全球网络安全市场。到2023年,中国网络安全市场规模将增长至179.0亿美元。从行业上来看,政府、通信、金融仍将是中国网络安全市场前三大支出行业,与往期保持一致,占中国总体网络安全市场约六成的比例。

调查报告 互联网安全态势 CNCERT

近日,国家互联网应急中心CNCERT发布《2018年中国互联网网络安全报告》。报告内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解等多个方面。其中,报告对网站安全监测、计算机恶意程序传播和活动、DDoS攻击监测、安全漏洞通报与处置等情况进行深入细致的分析,并对典型网络安全事件做专题分析。此外,报告对2018年国内网络安全组织发展和CNCERT举办的重要网络安全活动做了阶段性总结。

漏洞补丁 基板控制器(BMC)Supermicro

近日,研究人员发现在硬件厂商Supermicro多个产品的基板控制器(BMC)上发现漏洞。攻击者可以利用该漏洞,通过远程虚拟插入一个USB的方式和主机进行连接,从而达到了和物理直连主机同样的效果——在这个基础上,攻击者可以做到植入木马、修改主机配置、禁用设备等几乎所有操作。受此漏洞影响的公网服务器分布在90多个不同国家,共计超过4.7万台。Supermicro在收到研究者报告后马上发布了补丁,并且督促无法及时进行修复的客户将他们的BMC下线或者通过阻断TCP端口623的方式禁止虚拟媒体。

黑客攻击 特洛伊木马(RAT) 政府 金融

近日,安全研究人员发现了多个针对全球政府和金融实体的恶意攻击活动,攻击者使用Revenge和Orcus远程访问特洛伊木马(RAT)攻击。攻击活动通过几种独特的策略、技术和程序(TTP)链接在一起,使用了C2基础架构混淆、分析规避以及无文件攻击等持久化技术。

黑客攻击 信息泄露 充电设备

近日,网络安全专家警告称,黑客可能正在采取一种新方法,通过手机的充电线获取个人信息。专家表示,黑客已经找到了将恶意软件植入手机充电线的方法,通过这种恶意软件,黑客可以劫持手机和电脑等设备。由于这种恶意软件的植入过程不需要手机用户进行操作,植入到系统中之后能够完全隐藏起来,用户不会发现新增了奇怪的应用。所有的手机用户都可能面临这一风险。专家建议,外出时应自带手机充电线,避免使用公共充电线,包括机场、酒店等场所提供的的充电设备。

信息泄露 XKCD网站

近日,动漫网站XKCD被研究员发现遭到黑客攻击,超过56.2万用户的个人信息遭到泄露。这些信息包括IP地址、用户名、邮箱地址、以及用MD5加密的密码。值得一提的是,在今年1月,页面RPG游戏《塞勒姆小镇》也遭到了黑客攻击,产生了信息泄露——这两者的共同点是都使用了phpBB软件。尽管现在依然无法判定攻击模式,但是很有可能攻击者利用了相关的0day漏洞。

数据泄露 福昕

近日,知名PDF阅读和编辑软件提供商福昕通过邮件披露了一次数据泄露事件。未经授权的黑客访问了其系统中My Account账户数据,可能泄露的信息包括用户的电子邮件地址、密码、用户名、电话号码、公司名称和IP地址。据悉,福昕目前有超过5.25亿的用户正在使用该公司的软件,暂不清楚本次泄露事件的影响范围,但据有关消息透露中国区用户不受此次泄露事件影响。目前,从该公司的声明来看,尚不确定黑客是否能直接获得明文密码。不过,福昕公司向用户保证,由于系统并未存储支付卡信息和个人身份信息,因此个人家庭和钱款信息不会受到影响。

数据泄露 Option Way

近日,法国旅游预订网站Option Way被曝泄露了100GB的不安全客户数据,该数据库包括姓名、电子邮件ID、地址、电话号码和旅行详情等详细信息。据悉,本次数据泄露涉及到的客户主要来自法国、比利时、瑞士、阿尔及利亚和澳大利亚。除了客户数据之外,泄露的数据库还包含公司员工的详细信息和用于交易的信用卡信息。随后,Option Way表示,它以加密的方式处理数据,并符合CNIL(法国数据保护机构)提出的要求。但安全研究公司vpnMentor随后指出,他们发现Option Way的大部分数据库未加密且未受保护,并且还能够通过操纵网址获更多的数据。

数据泄露 Poshmark 暗网交易

近日,全球最大社交型时尚电商平台Poshmark曾在2018年5月期间遭遇了数据泄露,超过3600万个用户的信息被公开。泄露的数据包括用户的电子邮件地址、姓名、用户名、性别、所在城市和以bcrypt散列形式存储的密码。现在Poshmark的用户信息在网上以明文形式流传。这些信息在暗网上的售价为750美元。一套100万个已破解的Poshmark账户正在网上流传,可以立即用于凭证填充攻击。用户应更及时改受影响帐户的密码,以及相同登录凭证的任何其他服务的密码。

数据泄露 Yves Rocher

近日,安全研究公司vpnMentor发现了一个可供访问的包含250万个加拿大Yves Rocher客户的私人Aliznet数据库。被泄露的数据包括客户姓名、电话号码、电子邮件、出生日期和邮政编码。据悉,研究人员还在数据库中发现了600多万个客户订单,包括交易金额、使用的货币、交货日期和商店位置。每个订单与唯一的客户ID相关联。除了这些敏感的客户个人身份信息(PII)外,研究人员还发现了Yves Rocher内部数据,包括商店流量、营业额、订单量的统计数据,以及超过4万种产品的产品描述、成分、价格和报价代码。数据库泄露的信息还为Yves Rocher的竞争对手提供了加拿大客户名单,包括他们的姓名、年龄、联系方式和订单历史。研究人员还发现了一个API漏洞,允许他们访问由Aliznet为Yves Rocher员工构建的应用程序。通过泄露的员工ID,黑客可以登录Yves Rocher获取更多有关业务和客户的数据,甚至可以添加、删除和修改该公司数据库中的数据。

数据泄露 Facebook

近日,Facebook被曝一个包含4.19亿条用户记录的公开服务器在网上被发现,该服务器没有采取任何加密措施,任何人都可以轻松访问。被曝服务器中所包含的Facebook账户相关信息有电话号码,用户姓名、地理位置等信息。据悉,在此次泄露的Facebook账号关联信息中,包含1.33亿美国用户、1800万英国用户以及超过5000万越南用户的信息。随后,发言人表示,在公开的4.19亿条Facebook账户中,仅有大约2.1亿为实际被泄露的用户数据,其余大部分为重复出现的数据。目前,Facebook相关团队正在进一步调查此事,且已紧急删除该数据库。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章