安全

App收集个人信息将有“国标”:用户不同意就不得对外共享

福彩七乐彩规则及奖金 www.jcfwa.tw App提供服务需要调取用户哪些信息?现在有规范可依了。8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。

Electron 应用容易被修改并植入后门

因其跨平台能力,Electron 开发平台是许多应用的关键组成部分?;?JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门。

你还在用“加了料”的系统还原工具么?

利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。

[图]IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。

分析显示荷兰人喜欢用常规单词、足球队或地名作为密码

据外媒报道,来自密码相关网站Scattered Secrets的一项最新分析显示,荷兰人在选择安全可靠的密码上跟世界其他国家的人一样糟糕。虽然大多数科技迷都知道使用一个值得纪念的短语或存储在储物柜里的长而晦涩的字符作为密码,但很多人更喜欢选择一些容易记住的东西。

[观点]没有比 reCAPTCHA 更邪恶的东西了

根据 Google 的描述,reCAPTCHA 是一项?;ね久庥诶畔⑽Чサ拿夥寻踩?。但随着 reCAPTCHA 对人类而言越来越恼人越来越感到痛苦,你可能会问:难道没有更好的方法遏制垃圾信息?

[图]破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业?;诮锥蔚耐绻セ?,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。

15年前的电脑病毒MyDoom:现在仍极具破坏力

我们说,通常情况下,大部分的恶意软件都只是“红极一时”,然而就有那么一个特例,纵使已经拥有15岁的“高龄”却仍旧极具破坏力?且至今已造成超过380亿美元的损失?那么,究竟是怎样一款病毒呢?

1亿银行用户信息失窃之谜:黑客是怎么找到漏洞的?

上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾1亿用户信息泄露。这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。

错误的 JIRA 配置导致数百家财富500强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。

[图]网站漏洞导致超过2000名参与报道E3的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后,由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响,除了各大新闻机构和媒体的记者、编辑之外,还有YouTube和Twitch等视频网站上的网红主播,以及高盛、IMDb和其他公司的工作人员。

研究显示安全分析师25%的时间浪费在误报上

Exabeam和Ponemon Institute进行的研究显示,美国企业安全分析师花费大约四分之一的时间追逐误报上,因为安全警报或妥协指标(IOC)是错误的。该研究还表明,安全团队必须每周评估和响应近4000个安全警报。虽然误报是最大的资源消耗,但研究还表明,调查可操作的情报和建立事件时间表,清理、修复和/或修补由事件引起的网络、应用程序和设备问题,每个都占安全团队15%以上的时间。

[视频]Wind River修复了VxWorks实时操作系统的11个重大安全漏洞

平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告,iOS 和 Linux 则要少一些。不过本文要为大家介绍的,则是 VxWorks 实时操作系统(RTOS)曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。

外媒:Capital One数据泄露事件比它看起来更复杂

当地时间周一晚上,Capital One及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件,大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对Capital One的泄露事件展开调查,但更广泛的故事是熟悉的:一家大公司让许多敏感数据丢失,客户承担了大部分风险。

IP根来了,假IP再难坑你

“当前,国际上有一个重要性不亚于域名根的机制——IP根正在形成。未来,IP根或将重塑国际互联网治理格局?!?/strong>在近日举办的第16届中国网络安全年会上,域名国家工程研究中心主任毛伟表示,IP根是个新概念,它有望解决“路由劫持”问题。

研究警告:犯罪分子在Twitter上利用技术支持骗局欺骗用户

据外媒CNET报道,研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技(Trend Micro)周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。

前亚马逊雇员被控窃取一亿第一资本银行用户信息

美国第一资本银行周一透露,1 亿美国居民和 600 万加拿大居民的信息被盗。33 岁前亚马逊 AWS 雇员 Paige A. Thompson 周一遭到逮捕,被控入侵第一资本的网络,窃取了用户的敏感数据。暴露的用户信息包括名字、收入、生日、地址、手机号码、电邮地址,14 万美国用户和 100 万加拿大用户的社会安全号码被盗,8 万银行账号被访问。

美国第一资本银行遭黑客入侵:逾1亿用户信息泄露

北京时间7月30日消息,美国第一资本银行金融公司在周一披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日。美国第一资本称,公司在7月19日确认了这次黑客入侵事件,目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后,第一资本股价在盘后交易中下跌1%。

CJEU裁定使用Facebook Like按钮的网站对用户数据负责

欧盟法院(CJEU)已经裁定,托管Facebook Like按钮的网站可能需要承担将数据传输到Facebook的责任。虽然法院表示第三方网站不能对数据传输后Facebook进行的数据处理负责,但绝对有责任通过Like按钮促进数据的收集和传输。

No More Ransom项目使勒索软件犯罪团队利润至少减少1.08亿美元

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。

BT客户端BitLord被发现捆绑间谍软件

BitTorrent 客户端 BitLord 被发现捆绑了名叫 PremierOpinion 的间谍软件,该间谍软件会利用中间人攻击的方法捕捉机器的 SSL/TLS 流量。它会安装一个代理在端口 8888、8443 和 8254,安装一个本地系统证书,该证书会被所有应用程序自动信任。

黑客组织用假谷歌域名注入多网卡侧取器窃取数据

安全人员发现,攻击者使用伪造的Google域名,借助国际化域名(IDN)来托管和加载支持多个支付网关的Magecart信用卡侧录器脚本。该网站的所有者将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击,Sucuri安全人员在仔细研究后发现该罪魁祸首是基于JavaScript的支付卡侧录器注入该网站。

暗网交易平台丝绸之路负责人之一加里·戴维斯被判刑

在暗网上买卖毒品,武器和其他非法商品和服务的平台丝绸之路在2013年关闭,但那些帮助运营这个臭名昭著黑市的人仍然面临着法律后果。该网站的管理人员之一,爱尔兰国民加里·戴维斯,刚刚因其职务被判处78个月的监禁。

Equifax将向数据泄露事件受害者赔偿125美元 现已开启线上登记

本周早些时候,美国信贷报告机构 Equifax 与联邦贸易委员会(FTC)达成了针对 2017 年发生的大规模数据泄露事件的赔偿方案。本次事件导致数亿美国人的社保号码与其它敏感数据被泄露,作为集体诉讼的一部分,受害者终于可以向其提出索赔。据悉,Equifax 达成了 7 亿美元的和解协议,其中包含了 3.805 亿的客户赔偿金。

报告显示2019年上半年已有超过2300万张信用卡信息在暗网上出售

据外媒Neowin报道,暗网被认为是各种非法活动的发源地,虽然当局已经作出努力旨在打击能够进行这些非法活动的市场,但还有很多工作要做。网络威胁情报组织(CTI)组织Sixgills发布的一份新报告显示,在2019年上半年,在暗网上出售了超过2300万张被盗信用卡信息。

研究称74%的成年人在网上游戏时受到骚扰

根据今天发布的一份新报告,74%在线玩游戏的成年人遭受过某种形式的骚扰。这份报告由具有百年历史的民权非营利组织反诽谤联盟(Anti-Defamation League)星期四发表,提供了一些令人震惊的统计数据,这些统计数据显示,在网络游戏中,刷屏、威胁、歧视盛行,并且还有普通的粗鲁辱骂。除了一项对1000多人玩游戏的调查外,ADL还调查了游戏出版商对这些空间的审核情况。

[图]美股券商Robinhood承认以明文方式存储了部分用户密码

美股券商Robinhood在致受影响用户的电子邮件中,承认以明文方式存储了部分用户的密码。该公司在邮件中表示“本周一晚上,我们发现在我们的内部系统中部分用户的凭证以可读格式存储。通过全面彻底的检查之后目前我们已经解决了这个问题,没有任何证据表明除了我们的响应团队以外的人访问过这些信息?!?/p>

研究发现对于Windows 10而言 大多数零日漏洞都已无效

微软已经证明他们最新的操作系统是最安全的:自2015年以来,只有40%的Windows零日漏洞可以成功利用在最新的Windows版本。微软安全响应中心的安全工程师Matt Miller撰文分析了2015年至2019年间的零日漏洞。

美国司法部长称消费者应该接受加密后门所带来的安全风险

美国司法部长 William Barr 表示,为了确保执法部门能访问加密通信,消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信,后门是执法机构希望看到的一种解决方案。

韩国门户Naver因未实行内外网分离被罚3000万韩元

22日,据外媒称,Naver因未履行维护电子金融交易安全的义务,被韩国金融监督局处以3000万韩元的??? 。根据现行《电子金融交易法》和《电子金融监督规定》,为防止金融机构的信息处理系统和信息通信网络遭受黑客入侵等威胁行为,应当将连接内网的业务用系统与外网进行分离操作。

以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新

微软用户正成为新恶意软件活动的目标,其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现,该页面经过了精心设计,看上去尽可能相似,以至于它甚至包含指向微软官方域名的链接。

微型摄像头探测仪有没有用?我们测出这样的结果

最近针孔照相机、微型摄像头偷拍的新闻层出不穷,藏匿手段更是让人咂舌,不仅被传80%酒店有,甚至商场换衣间都难逃魔爪,一时间人心惶惶?;咕幼〕鲎馕莸那笳婢?,也忍不住在家仔细翻查了半天,看看自己的生活有没有变成别人的色情片(还好没找到有)。

一香港男子被认为是在微软应用程序部署恶意广告的罪魁祸首

据外媒ZDNet报道,一名来自香港的嫌疑人认为是过去几个月内侵入微软应用程序和服务的恶意广告浪潮背后的罪魁祸首。根据专门跟踪恶意广告活动的网络安全公司Confiant 本周与ZDNet分享的一项调查,嫌疑人被认为是一名香港男子,至少经营两家名为Fiber-Ads和Clockfollow的幌子公司。

安全研究人员发现中国网贷App漏洞泄露大量个人信息

中国近年流行“网贷”,只需要使用手机 App 就可以简单地借到钱,因此非常受欢迎。不过最近有研究人员发现有大量网贷 App 泄漏了个人信息,有几百万用户受影响。来自 SafetyDetective 的研究人员 Anurag Sen发现,在网上有一个达 889GB 的巨型数据库,内有超过460 万使用网贷 App 的装置信息。

美国汽车协会发现越来越多汽车配备了几乎不可能打破的夹层玻璃窗

据美国汽车协会周二发布的一项研究,越来越多的汽车配备了几乎不可能打破的车窗玻璃。部分原因是,今天销售的许多汽车不再有钢化玻璃侧窗,因为安全原因而改用夹层玻璃。另一个原因是,销售的一些玻璃破碎工具并不像广告上所说的那样工作。

Chrome和Firefox插件让数以百万计用户隐私数据泄露

流行浏览器诸如广告拦截等扩展功能,已经遭利用而让数以百万计使用Chrome和火狐(Firefox)的消费者个人数据泄露。遭遇泄露的这些个人数据,不仅涉及他们的浏览历史,而且还包括他们存放在相关网络公共服务上的纳税申报单、医疗记录、信用卡信息和其他敏感数据。

PyPI 发现 3 个针对 Linux 服务器的恶意库

据 ZDNet 的报道,安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

黑客攻入俄罗斯联邦安全局承包商服务器 窃取7.5TB的数据

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech,并从那里窃取了该公司为FSB工作的内部项目的信息 - 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末,即7月13日,一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器,从那里他们获得了访问该公司整个IT网络的权限,包括一个JIRA实例。

匈牙利航空公司Wizz Air因“技术违规”问题向客户发送密码重置邮件

匈牙利航空公司Wizz Air通过电子邮件向数百万客户发送电子邮件,通知他们他们的密码已被重置。虽然该公司强调此次事件并非黑客攻击所致,也没有任何个人信息存在风险,但该电子邮件依然让许多客户感到意外,并对可能的数据泄露事件表示担忧。

“变老滤镜”偷走了你的年轻 还偷走了你的隐私?

一觉醒来,全世界都“变老了”?!氨淅下司怠痹诒局芟砹税═witter、Facebook在内的美国社交媒体,并成功把这股热潮传到了中国,导致你打开任何一个社交媒体都可以看见顶着“老年妆”的明星、亲友。

报告:93%的成人网站向第三方泄露用户浏览数据

zdnet报道,在本周发表的一篇研究论文中,学者们分析了 22484 个成人网站,发现有93%的网站向线广告商或网络分析提供商等第三方泄露数据。据悉,获取这些用户浏览习惯和偏好的公司包括:谷歌、甲骨文、Facebook、Cloudflare以及成人行业的广告商。

哈萨克斯坦周三开始实施互联网加密流量过滤政策

本周三(7 月 17 日)开始,哈萨克斯坦开始过滤境内基于超文本传输安全协议的互联网流量。接到政府指示的互联网服务提供商(ISP),亦开始强制用户在所有设备和每款浏览器中安装政府颁发的证书。一旦安装,有关部门将能够解密用户的加密流量,过滤其中的内容,然后通过证书再次加密,并将其发送到目的地。

[图]商务电子邮件泄密事件频发 平均每月损失3亿美元

商务电子邮件泄密(BEC)频率正逐年增加,并且企图窃取的价值也在不断攀升,每月平均造成的损失就超过3亿美元。该数据是从自2016年以来每月的可疑活动报告(SAR)中分析获得的,从最初的500起在2018年增加到了1100起。

FaceApp可能面临FBI和FTC对其安全问题的调查

病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。

联想和技嘉服务器固件发现可利用的漏洞

Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞,攻击者需要已经拥有管理员权限。

火绒安全:灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂

劫持浏览器、刷取流量等行为是流氓软件常见行为,而随着安全厂商持续打击、普通用户的安全意识提升,让病毒团伙、流氓软件厂商的获利空间被逐渐压缩。近期,“火绒威胁情报系统”监测到,病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。

[图]Sprint发警告:有黑客通过三星官网新办号码页面获取用户数据

美国移动通讯运营商Sprint近日发布警告称,有黑客通过三星官网(Samsung.com)上新办号码“Add a line”页面入侵获取用户账号信息,目前尚不清楚有多少用户受到影响。Sprint在致受影响用户的信中表示:“6月22日,Sprint检测到有黑客通过三星官网‘新办号码’页面在未经你知悉和授权的情况下访问了你的Sprint账号?!?/p>

保加利亚超70%个人隐私信息被盗 黑客还是阿桑奇的粉丝

据zdnet报道,一黑客组织窃取了数百万保加利亚人的个人信息,并通过电子邮件将盗取的数据的下载链接发送给当地媒体。据称,泄露的数据的来自保加利亚国家税务局。该国有关部门已经承认这一事件,并正与保加利亚国家安全局合作调查这起黑客事件。 根据当地媒体报道,保加利亚全国人口总共约为 700 万,而黑客表示窃取了其中 500 多人的个人信息,约占比71.4%。

2020年起韩国政府部门开始采用“安全邮箱”系统

15日,据韩国国情院透露,为防御邮件攻击,强化邮件系统的整体安全,将计划从2020年开始以中央行政机关、电力基础设施等主要政府部门为对象引进 ‘安全邮件’系统,之后将逐渐扩大至地方政府等其他部门。

K12.com暴露了多达700万条涉及学生个人信息的数据库记录

据Comparitech的安全研究人员称,在线教育平台K12.com本周无意中暴露了近700万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户的身份验证密钥和其他内部数据。

Denuvo 6.0金身不再:《全面战争:三国》宣告破解

正版、盗版游戏的这场“猫鼠游戏”,局势悄然间又发生偏转,Denuvo 6.0加密发布数月后终于宣告破解。7月11日,Codex完成了对首款Denuvo 6.0加密游戏《全面战争:三国(Total War: Three Kingdoms)》的破解,“0元饭”们引颈高呼“Finally”。

David Fifield推出新款“解压炸弹包”:46MB文件可膨胀到4.5PB

ZIP 一直是主流的压缩文件格式,并且可追溯到几十年前的 5.25 和 3.5 英寸软盘时代。然而该技术作为一把双刃剑,也难免被别有用心的人所利用。比如通过一个看似超小型的压缩包,制作一个内含巨量垃圾数据的“解压炸弹包”(zip bomb)。其实早在去年,研究员 David Fifield 就曾展示过早期的解压炸弹包,能够将一个 42kB 的 zbsm.zip 文件迅速膨胀到 5.5GB 。

注意:全世界97%的银行都无法保障你存款的安全

安全测试机构ImmuniWeb日前发布了一项全球大型金融机构安全评测报告。报告指出,就应用程序安全性、隐私?;ず秃瞎嫘远?,这些大型金融机构的安全状况令人担忧。全球97%的大型金融机构容易受到网络和移动攻击,在SSL加密和网站安全方面仅有三家机构获得A+的评价。

美国医院麻醉机、呼吸机现安全漏洞:极易遭到远程篡改

据外媒报道,安全研究人员发现,美国医院的麻醉机和呼吸机所使用的网络协议存在一个漏洞,如果利用该协议,这些医疗设备可能会遭到恶意篡改。来自医疗安全公司CyberMDX的研究人员表示,通用电气(GE)Aestiva和GE Aespire设备中使用的协议可以在连接到医院网络终端服务器时发送命令。

美国海岸警卫队针对破坏船舶计算机系统的恶意软件发出警告

据外媒ZDNet报道,美国海岸警卫队在过去三个月中发出了两次安全警报,突出了商业海船上的网络安全实践问题。第一个警报是在5月下旬发出的,海岸警卫队官员警告说,持续不断的电子邮件鱼叉式网络钓鱼浪潮将恶意软件传播到商业船只。

万豪因泄漏3.83亿名客户信息被英国???.24亿美元

国际知名连锁酒店万豪集团因去年发生数据泄露或将被英国监管机构处以高达1.24亿美元的???。据悉,去年万豪集团发生客户数据泄漏事件。英国信息专员办公室(ICO)打算对万豪集团处以总额9920万零396英镑(约合1.24亿美元)的???。

Akamai:65.1%的Web应用程序攻击来自SQL注入

近日,Akamai发布了《 2019 年互联网安全状况报告:Web攻击和游戏撞库》。报告显示,作为最有利可图的行业之一,游戏行业成了黑客攻击的主要目标。从 2017 年 11 月至 2019 年 3 月的这 17 个月中,黑客已经针对游戏网站进行了 120 亿次撞库攻击,占总撞库次数( 550 亿次)的21.8%。报告指出:玩家账号一旦成功遭到黑客入侵,即被交易或出售。

Zoom安全漏洞被指可以让网站劫持Mac摄像头

据外媒报道,当地时间7月9日,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。

研究人员发现医疗软件漏洞 将导致诊断结果有误

据外媒报道,近期研究人员最新发现了一个用于基因组分析的通用开源软件的漏洞,这将导致基于DNA的医学诊断很容易受到网络攻击。桑迪亚国家实验室的研究人员发现了这个弱点,并及时通知了软件开发人员,随后他们发布了一个补丁来解决这个问题,同时最新版本的软件也解决了这个问题。

加载中...

精彩评论

全部展开


created by ceallan