安全

Secure Copy Protocol 曝出有 35 年历史的漏洞

安全研究人员公布了 Secure Copy Protocol(SCP)的五个漏洞,其根源可追溯到 1983 年,至今有 35 年历史。漏洞影响 OpenSSH scp、PuTTY PSCP 和 WinSCP,其中 WinSCP 已经修复。漏洞允许恶意 SCP 服务器悄悄的纂改客户端机器上的任意文件。

[视频]建筑工地上的大型机械设备极容易被黑客入侵

黑客入侵建筑工地,并控制施工车辆进行大肆破坏。这听起来像是好莱坞大片,但不幸的是这是现实生活中发生的场景。趋势科技(Trend Micro)研究人员Federico Maggi和Marco Balduzzi上周进行了演示,如何成功入侵并控制建筑工地上的起重机进行各种任务。如果黑客利用这种方式完全可以肆意破坏建筑工地。

研究:新勒索软件Ryuk瞄准大企业 半年获近400万美元

北京时间1月14日早间消息,据美国科技媒体ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四发布的两项研究结果显示,自去年8月以来,一家最近被发现的勒索软件组织已经获利近400万美元。

英国法律将要求所有色情网站在4月份开始验证用户年龄

去年英国立法机关根据“数字经济法案”引入了年龄验证法,经过几次延迟后,该法现已定稿,将于4月生效。这项法律实现了政府的计划,即让英国成为上网最安全的地方,但它也带来了一些严重的问题。法律将要求任何超过三分之一内容是色情内容的网站,安全验证访问者的年龄是否达到18岁或以上。

GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本

GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本,而这一注入并没有经过网站管理员的同意。GoDaddy 是在改善性能的理由下植入名为 Real User Metrics 的脚本去收集用户数据,它声称绝大部分用户不会感觉到问题,但脚本本身可能会导致网站加载缓慢或破坏网页。

MongoDB 裸奔 2亿求职简历泄漏

根据安全站点HackenProof的报告,由于MongoDB数据库没有采取任何安全保护措施,导致共计202,730,434份国人求职简历泄漏。其中,简历中包含姓名、性别、生日、手机号码、微信、学历等各种隐私数据。

美国政府关门导致许多TLS证书到期让网站无法访问

到目前为止,美国政府关闭已经看到国家公园和政府部门无人值守,今天是数十万联邦工人不会收到薪水的第一个发薪日。关闭的另一个副作用是许多政府网站因其TLS证书已过期而处于脱机状态,并且没有人可以续订它们。网站受影响的机构包括美国航空航天局,美国司法部和上诉法院。据Netcraft称,总共有大约80个或更多的TLS证书已经过期,这使得许多站点无法被公众访问。

研究称 DNS 劫持攻击规模惊人

研究人员对劫持域名的 DNS 攻击发出了警告,称攻击规模史无前例。攻击者首先设法窃取目标 DNS 服务商管理面板的登录凭证,然后修改目标域名的 IP 地址,将其指向攻击者控制的服务器。

TCL部分阿尔卡特手机被发现预装了恶意程序

TCL 制造的部分阿尔卡特手机被发现预装了恶意版天气应用。TCL 拥有阿尔卡特、黑莓和 Palm 等知名品牌。它在阿尔卡特手机上预装了自己开发的天气应用 Weather Forecast-World Weather Accurate Radar,该应用也通过 Google 应用商店提供给其他用户。

Imperva:2018 Web 应用漏洞数量比 2017 增加了 21%

Imperva 昨日发布了“ 2018 Web 应用漏洞现状”报告。数据显示,2018 年发现的 Web 应用新漏洞共 17,142 个,比 2017 年增加了 21% ,相比 2016 年增加了 159% 。其中有超过一半的漏洞可被黑客公开利用,有超过 1/3 的漏洞暂时还没有可用的解决方案。

智能锁安全吗?这个小黑盒3秒就攻破你家的门!

这两天有新闻爆出用个‘小黑盒’就能轻易解锁这些智能门锁,国家相关质检中心对市面上40款智能门锁做了风险监测,15%都能被小黑盒秒开,剩余绝大多数都存在安全风险,还有的用照片都能冒充人脸解锁。15%意味什么呢?按一栋楼20层,每层4户人家算,小偷拿着这小黑盒就能轻易进12户人家的大门。要是运气好,还能进更多。

最高200万美元 Zerodium悬赏0Day漏洞

1月9日,国外漏洞交易平台Zerodium更新了其对0Day漏洞的相关报价,以激励更多人向他们提交发现的漏洞。Zerodium安全研究人员称:“通过支付丰富的奖金和酬劳,我们来获取之前从未见到的0Day漏洞设备进行研究和开发。

报道称德国学生承认泄露了数百名政治家的私人数据

据The Verge报道,一名20岁的德国学生承认泄漏了大约1000名政治家、记者和演艺人士的私人数据,因为他对这些人的“公开声明感到愤怒”。德国网络犯罪办公室检察官 Georg Ungefuk告诉记者,警方于周日逮捕了这名未透露姓名的嫌犯并搜查了他的公寓。据报道,这名男子在审讯期间供认,称他没有出于政治动机而独自行事。

Dark Overlord黑客发布了第一批“秘密”9·11文件

黑客Dark Overlord曾承若的公布911恐怖袭击有关资料的说法现已兑现,大约70兆字节材料的第一批解密密钥被公之于众。黑客Dark Overlord曾声称,他们已经从多个保险公司窃取了与911恐怖袭击有关的数据库,并决定将其中五个数据库中的资料公布出来。

40款智能门锁15%被轻易打开 这些锁究竟安全吗?

近几年,智能门锁逐渐进入了越来越多的家庭。截至2018年6月底,我国智能门锁生产企业已经超过1500家,接近甚至超过了传统机械制锁规模以上企业的数量,2018年,智能门锁的销量预计可能已经达到了2100万套。那么,人气渐涨的智能门锁是否更加安全呢?对此,市场监管总局就在全国范围内,组织了一次智能门锁的风险监测。

照片解锁了40%具有面部识别功能的Android手机

据外媒Techspot报道,随着iPhone X的推出,几乎每个Android制造商都急于在他们的智能手机上实现面部识别。例如三星和华为等制造商已经实施了基于硬件的解决方案,但其他厂商依靠自拍相机来简单地检测面孔 - 事实证明这并不是一个好主意。

专家警告网络安全形势严峻:2018年度共计有10亿网民数据遭外泄

据Nord数字化信息专家Daniel Markuson近期的一篇文章,2018年是网络安全情况相当糟糕的一年,全球大部分企业遭遇网络攻击,数以亿计的用户数据记录遭外泄曝光。据Markuson统计,2018年度网络攻击导致的全球企业用户数据外泄,影响了共计达10亿网民,这些外泄数据都有潜在被黑客或其它不法分子利用的危险。

TCL回应“天气”应用过度收集用户信息:正在进行调查

1月4日消息华尔街日报报道指出,TCL开发的一款基于安卓系统的手机APP“TCL天气”在世界范围内过度收集用户信息,并且在没有征求用户允许的情况下自行订阅一些付费服务。TCL于今日针对该问题也做出了回复:正在进行调查,并正解除部分第三方的SDK访问权限。

10多款iOS应用被发现与Android恶意软件有染 用于传输位置数据

安全研究人员表示,他们已经发现逾10款iPhone应用秘密向与Android恶意件Golduck有关的服务器传输数据。Golduck是在逾一年前被发现的。当时,Appthority发现Golduck会感染谷歌Play中的经典和复刻游戏,在游戏中嵌入后门代码,使恶意代码秘密感染设备。当时,这一恶意代码感染了逾1000万名用户,它使黑客能以最高权限运行恶意命令,例如,在用户的手机上发送付费短信牟利。

万豪称黑客窃取了超过500万客户护照数据

酒店连锁巨头喜达屋母公司万豪国际酒店日前表示,经过取证和分析团队缜密调查后发现,因其大数据泄露事件影响到的客户数量从5亿减少到了3.83亿,其中有超过500万个未加密的护照号码被盗。万豪更新了此前的信息,称黑客最多访问了3.83亿客户信息,有525万客户的未加密护照号码被窃取。

这53个黑客组织不断攻击政府和国防 中国不是唯一受害者

一波黑客干了一票大的,直接将德国政界人士、记者和大批名人一锅端,这些有头有脸人物的个人信息被放在 Twitter 上供众人“欣赏”,其中就包括德国总理默克尔。你以为这些黑客已经足够大胆,敢正面刚上政界人员和知名人士?不,他们可能还是小儿科,有一些更加胆大包天的黑客在过去一年中冲击着79个国家核地区的   政府、外交、军队和国防,对,编辑说的就是高级持续性威胁(APT)。

Weather Channel天气软件应用被指控非法获取用户位置数据

据外媒The Verge报道,洛杉矶市律师在周四提起的诉讼中称,Weather Channel天气软件应用误导了数百万用户,允许其访问他们的个人位置数据,这些数据被用于商业目的。Weather Channel应用是美国最受欢迎的天气软件应用之一。

德国数百名政界人士机密信息被泄露:包含默克尔等人

据彭博社报道,在过去的数周,黑客们陆续泄露了有关德国总理默克尔(Angela Merkel)和其他数百名政界人士的机密数据,这是迄今为止德国发生的最大规模的政治家信息泄露事件。据一项初步评估结果显示,这些被泄露的信息包括电子邮件地址、手机号码、身份证照片和个人聊天记录等。

外国专家警告用户:小心气象APP收集个人信息

有外国专家认为,一款全球热门的天气预报软件未经用户同意正在收集大量的用户信息。据《华尔街日报》报道称,名为“天气预报-世界天气精准雷达( Weather Forecast - World Weather Accurate Radar)”的免费应用被发现窃取用户数据信息,这些信息包括地理位置、电子邮件地址和用户移动设备的唯一标识号。

苹果商店有应用能查酒店开房记录?花50元亲测

在去年,个人隐私信息泄露的新闻层出不穷,像华住酒店集团的5亿条公民信息、顺丰3亿条快递数据等等,最近还有那个铁路网站12306也疑遭泄露470万条用户信息,人们在互联网上仿佛和裸奔似的,一点隐私都没。最近,求真君听说苹果手机有软件可以查开房记录,这都能用手机查到?于是在苹果App Store商店上搜“酒店”看看,还真的有这样的推荐。

Let's Encrypt 2019:保持强劲增长 并带来振奋人心的新功能

作为备受欢迎的安全证书颁发机构,在座的各位对 Let’s Encrypt 应该不会陌生。如今的互联网越来越不安全,各种地下黑产盛行,个人隐私不断被暴露,垃圾短信和骚扰电话接踵而来,互联网安全成为了我们最关心,同时也是最“无能为力”的心头之事。但你是否知道,我们越来越强调保护使用互联网的安全性和用户的个人隐私,背后是什么在支撑呢?

国家税务总局:个人所得税App存在62例木马为误传

12月30日消息,根据国家税务总局官方微博的消息,经过调查,税务总局“个人所得税”App存在 62 例木马为误传。官方称自税务总局官方“个人所得税”App上线以来,未发现存在木马病毒问题。税务总局一直以来高度重视“个人所得税”App安全,将继续采取各种手段加强安全监测和保护。

[预警]超2亿份国内简历数据遭泄露

近日创宇盾网站安全舆情监测平台发现,某Twitter账户发布了一条关于超过2亿份简历数据泄露的推文。这些简历全部来自中国,内容非常详细,包括姓名、电子邮箱、电话、性别、婚姻状况、政治面貌、工作技能、工作经历等。

黑客用蜡制手部模型“欺骗”静脉认证系统

据外媒美国时间 12 月 27 日报道,在德国举行的 Chaos Communication Congress 黑客大会上,安全研究人员通过一个蜡制手部模型,成功欺骗了静脉认证系统。不过,这一“攻破”来得并不容易。静脉认证的原理是,依据人类手指中流动的血液可吸收特定波长的光线,而使用特定波长光线对手指进行照射,可得到手指静脉的清晰图像。

利用“爬虫”抓视频 法院审结首例非法盗抓数据案

据海淀法院官网消息, 近期,海淀法院审结了一起利用“爬虫”技术侵入计算机信息系统抓取数据的刑事案件。该案系全国首例利用“爬虫”技术非法入侵其他公司服务器抓取数据,进而实施复制被害单位视频资源的案件。

揭秘摄像头黑产链:暴露在外的80端口

好莱坞大片中英雄人物为了躲避黑暗势力追踪可以黑掉监控,用虚假画面替代真实踪迹,也有狡猾的攻击者通过传输节点,控制执行机构所能接收到的监视画面,甚至因为不少公共摄像头在连接执法机构远程控制端的过程中,都需要经过多个中转点。期间若有一个中转点被黑客攻破,就可能出现其随意控制全城摄像头红绿灯的场景。如果这些电影情节出现在现实中呢?

黑客攻击 Electrum 钱包窃取到 200 多比特币

黑客或黑客组织通过攻击 Electrum 比特币钱包的基础设施窃取到了 200 多比特币,价值大约 75 万美元。攻击者针对的是 Electrum 钱包应用的弱点,Electrum 钱包网络可以加入服务器,而服务器可以对钱包应用弹出警告信息。

2019款现代胜达SUV将引入指纹识别一键启动技术

通过指纹解锁智能手机非常方便,不过很快您就能以同样的方式解锁汽车门和一键启动引擎。现代汽车公司宣布,全球首款车载智能指纹识别技术将应用于2019年的圣达SUV。该技术将允许车主用指纹解锁和启动汽车。现代指出,该技术将在2019年第二季度进入选定市场,具体区域未宣布。

当心:勒索病毒WannaCry仍然潜藏在世界各地的电脑上

12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。

苹果隐私表现不及特斯拉、微软 Facebook垫底毫无意外

在数据研究公司Toluna进行的一项用户个人信息隐私调查中,与苹果相比,特斯拉、微软更受用户信任,毫不意外的是,用户最不信任的科技公司是Facebook。40%的受访者对Facebook保证用户个人信息安全的能力提出质疑,排在第二位的是Twitter,有8%的受访者表示不信任它。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan