安全

Meta公司更新隐私政策 让用户更容易了解用户数据如何被使用

Facebook、WhatsApp和Instagram的母公司Meta宣布,其隐私政策将有一系列新变化。据Meta公司称,这些变化旨在更清楚地向用户传达该公司如何使用其收集的信息。

奇特的GoodWill勒索软件:要做三件善事才能解锁你的数据

在很多人的印象中,一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式,那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件,受害者如果想要获得密钥,就必须做一些善事:给不幸的人提供食物、毛毯,或者向病人捐钱。总的来说,受害者必须参与三项活动才能恢复数据。

周鸿祎谈邮件诈骗:你拦不住邮件 就会有恶意攻击

5月25日消息,360集团创始人周鸿祎发微博称,之所以大量攻击防火墙难以防范,是因为拦不住邮件,尤其是假借单位名义等看似很正常的邮件,点开就可能遭受恶意的网络攻击。

事实证明,“难以伪造”的数字驾照并不难伪造

2019年底,澳大利亚新南威尔士州(NSW)政府推出了数字驾照。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明。这个被政府称为ServiceNSW的服务承诺--跟公民使用了几十年的塑料驾驶执照相比,数字版将提供额外的安全和保护进而防止身份欺诈的发生。

搜狐共有24名员工被骗取四万余元 正在等待警方的调查进展和处理结果

近日,网传搜狐公司全体员工收到一封“工资补贴邮件”后被诈骗,引发广泛关注。对此,搜狐发布声明:“5月18日凌晨,搜狐部分员工邮箱收到诈骗邮件。经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。

搜狐员工遭遇工资补助诈骗登上热搜第一 张朝阳亲自回应

今日,媒体曝出搜狐全员遭遇工资补助邮箱诈骗,部分人上当,导致工资卡余额被划走。对此,搜狐董事局主席、CEO张朝阳亲自下场回复,他在微博平台表示:

Version安全报告:2021年勒索软件依然是网络攻击的主角

在刚刚过去的 2021 年,勒索软件依然是网络攻击的主角。相比较窃取数据,攻击者更愿意通过锁定数据收取赎金来牟利。根据 Verizon 的 2022 年数据泄露调查报告,勒索软件攻击(涉及恶意代码扰乱受害者计算机上的数据)今年增加了 13%,相当于过去五年的总和。

Pwn2Own 2022黑客大赛继续拿下特斯拉、微软和Ubuntu

本周在温哥华举行的为期三天的Pwn2Own黑客大会上,微软、Ubuntu和Tesla产品的几个漏洞被持续发现并被利用。该会议由趋势科技的零日计划组织,为黑客提供了一个赚钱的机会,为主流科技厂商们换取发现和利用流行产品的漏洞。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

一年一度的 Pwn2Own 黑客大会正在温哥华举办,通过让参赛者与网络安全专家们汇聚一堂,他们可以充分展示相关零日漏洞利用和其它软件破解大法,并获得相应的奖励和技术认可。而在 Pwn2Own 2022 的首日战报中,可知微软 Windows 11 操作系统和 Teams 团队协作服务已被白帽参赛者们在首日双双攻破。

Conti勒索软件关闭运营 成员迁移到更小型的勒索操作

臭名昭著的Conti勒索软件团伙已经正式关闭了他们的运营,基础设施已经下线,团队领导人被告知该品牌已经不复存在。这个消息来自Advanced Intel的Yelisey Boguslavskiy,他今天下午在推特上说该团伙的内部基础设施已经关闭。

Conti勒索团伙宣布停运 转为小团伙作案

臭名昭著的 Conti 勒索团伙宣布正式停止运营,其基础设施已经下线,团伙领导人公告该品牌已经不复存在。这一消息来自 Advanced Intel 的 Yelisey Boguslavskiy,他今天发布推文说该团伙的内部基础设施已经关闭。

Pwn2Own 2022大赛第一天 Windows 11和Teams被黑了好几次

在Pwn2Own一年一度的计算机黑客大赛活动中,参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能,并获得奖励和认可。今年,在2022年温哥华Pwn2Own活动期间,参赛者在第一天就成功破解了微软Teams和Windows 11。

报告显示公司CEO和其他企业高管也在使用过于简单的密码

众所周知,大多数人仍在使用简单的密码,但公司首席执行官、高级管理人员和企业主是否认为“123456 ”这样的密码可以保证他们的账户安全?根据一份新的报告,他们中的许多人确实这样认为。

黑客创建机器人电话来浪费俄罗斯官员的时间 任何人可以监听这些电话

据Techspot报道,一个自称为“Obfuscated Dreams of Scheherazade”的黑客组织创建了一个机器人,在多个政府实体之间建立了一个电话会议,使每个实体认为是另一个实体打的电话。其目的是为了浪费政府的时间并占用电话线。自动垃圾电话在俄罗斯的工作时间内不停地进行着。

哥斯达黎加新总统宣布向Conti网络犯罪团伙“开战”

本周一,刚刚上任 10 天的哥斯达黎加新总统罗德里戈·查韦斯(Rodrigo Chaves)宣布向 Conti 网络犯罪团伙“开战”。今年 4 月,该团伙的勒索软件攻击使整个政府机构瘫痪。

最低6元即可更改IP地址?360:已成黑产伪装工具 存隐私泄露风险

针对媒体报道“最低6元即可更改IP地址”现象,360安全专家葛健表示,代理IP已成为黑产伪装身份的必备工具,对于普通用户来说,若通过代理IP修改IP归属地,可能会造成隐私泄露。近日,各大主流App宣布上线IP归属地功能。这一功能上线让很多大V现出原形,很多说在国外的博主,IP属地却显示是在国内。

Arkose实验室安全报告:入门级网络诈骗者每月能获利2万美元

今日,Arkose实验室发布了一份报告,其对网络犯罪世界中正在发生的事情提供了很多见解。其中最引人注目的一块是,许多网络犯罪分子正在采取他们的策略并在暗网上作为“欺诈即服务”的产品卖给所谓的“菜鸟”,然后他们转身就能赚到超2万美元的月薪。

俄黑客组织发视频向美乌等10国政府“宣战”,国际黑客组织“匿名者”转发回应

在俄黑客组织KillNet当地时间16日发布视频,向美英乌等10国政府正式“宣战”后,国际黑客组织“匿名者”(Anonymous)的推特账号上转发了KillNet的“宣战”声明,并写道“祝你们好运”。

美国、英国和欧盟指责俄罗斯对Viasat卫星通信网络的攻击"不可接受"

美国、英国和欧盟正式指责俄罗斯政府在2月份对卫星通信供应商Viasat进行的网络攻击,该攻击在俄罗斯发动对乌克兰的入侵前几个小时曾引发了整个中欧和东欧地区的故障。欧盟在联合声明中说:"欧盟及其成员国与国际伙伴一起,强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动,该活动以Viasat公司运营的KA-SAT卫星网络为目标。"

“扫码点餐”中的个人信息风险

四川德阳一名消费者在火锅店就餐时被要求扫码点餐,消费者认为该店获取的诸如手机号、生日、姓名、通讯录等信息与餐饮消费无关,侵犯其个人信息,遂起诉至法院。法院对此案审理后,判决餐厅停止侵权。此案经由媒体披露后,引发公众关注。

难戒的个性化推荐:每一次“猜你喜欢” 都在“偷窥”你的生活

“我们对你生活的影响比你想象的要大,我们会告诉你家在哪,你在学校的位置,决定你是否能得到贷款去买你梦寐以求的车,告诉你公交车什么时候会来,你该认识哪些朋友,甚至是男朋友或女朋友……我们叫算法,而且我们无处不在。”

苹果、谷歌、微软联手,你再也不用记密码了?

从文具盒到存折、银行卡,密码与现代生活如影随形。到了数字时代,线上线下的生活服务无一不与账号密码绑定。一旦帐号密码出了岔子,忘掉了或是被盗用了,我们的日常生活恐怕就会寸步难行。

宜家加拿大分公司通报数据泄露事件 影响约95000名客户

当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。

迎接2022世界密码日:保持良好使用习惯、善用多因素认证与密码管理器

为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。

FBI警告外界小心BEC诈骗 五年来已盗取430亿美元资金

美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。

研究显示大多数萨尔瓦多人已经抛弃了国家官方比特币钱包

根据国家经济研究局的经济学家上个月发表的一篇论文,萨尔瓦多的国家比特币钱包(被称为Chivo)的推出是一个失败,大多数用户已经抛弃了它。

白宫希望美国为破解密码学的量子计算机做准备

美国拜登总统周三发布的一份备忘录命令联邦机构加紧准备,以应对有一天量子计算机能够打破目前用于保护世界各地数字系统的公钥密码学。

苹果、Google、微软联合FIDO宣布对"无密码"未来的承诺

安全机构FIDO获得了苹果、Google和微软的新支持,这些科技公司都宣布它们将扩大对该联盟的无密码登录标准的支持。继2020年加入FIDO(Fast Identity Online)联盟后,苹果等大型科技公司宣布扩大对该组织的技术和目标的支持。

DLL反制:安全研究人员提出阻止勒索软件加密文件的新策略

尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分享了阻止勒索软件加密受害者文件的方法。

报道称SafeGraph正在出售访问堕胎诊所的人的位置数据

根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。

西班牙政府证实首相及防长手机被通过“飞马”间谍软件窃听

法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。”

顾客吃火锅被要求扫码点餐 法院判决餐厅删除个人信息

5月2日消息,据央视网报道,罗某到四川德阳市区某火锅店就餐,火锅店服务员告知:必须“关注”火锅店的微信公众号才能点餐,否则无法提供服务。罗某提出用纸质菜单点餐,被服务员拒绝。为使服务继续,服务员未经同意使用罗某手机关注了该餐厅的微信公众号操作点餐。

小心:勒索软件Magniber伪装成Windows更新传播

在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。

技术专家与黑客展开竞赛 以确保电动汽车网络电网的安全

电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规划和建设全国各地的电动汽车充电站的广泛网络,这是确保全面采用该技术的关键任务。

可口可乐161GB数据被盗 包括金融数据、密码和商业账户等

俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。

微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件

近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。

Cloudflare成功阻止针对其客户最大规模的HTTPS DDoS攻击

Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。

美政府悬赏1000万美元来寻找能够识别或定位俄黑客组织Sandworm成员的信息

据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作--以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻名。

微软发表网络安全报告全景描述俄罗斯对乌克兰发起的“混合战争”

微软官方博客今天发表了一篇文章谈论俄罗斯对乌克兰发起的混合战争。微软同时发布了一份报告,详细介绍了公司在针对乌克兰的混合战争中观察到的俄罗斯网络攻击的无情和破坏性,以及微软为帮助保护乌克兰人民和组织所做的事情。

文章全文如下:

犯罪分子通过伪造的警方电子邮件从谷歌苹果处获得用户信息

苹果、谷歌和Snapchat等公司遵从了犯罪分子伪造的警方电子邮件数据请求,这些犯罪分子利用获得的数据骚扰和勒索未成年人。

2021年勒索软件攻击次数激增至新高 受害者更广泛且损失更大

勒索软件攻击越来越频繁,越来越容易得逞,受害者支付的代价也越来越昂贵。在Sophos为其年度勒索软件状况报告进行的调查中,66%的组织承认他们去年受到勒索软件攻击,高于2020年的37%。其中65%的攻击成功加密了受害者的数据,高于前一年的54%。

Lapsus$黑客入侵T-Mobile的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

荷兰白帽黑客轻松攻破电网控制系统 捧走其第四座Pwn2Own奖杯

在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下过佳绩。

哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。

研究人员通过人工智能利用推特预测粮食短缺问题

宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。

FBI警告勒索软件攻击食品和农业公司威胁粮食生产

美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。

一款家用新冠检测电子试剂盒存在漏洞 可让用户伪造结果

一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进行分析,然后通过蓝牙将结果传送到接受测试者手机上的Cue Health应用程序。

欧盟将公布新法律 迫使大型科技公司对非法内容进行监管

欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。

俄乌冲突引发顾虑 五眼网络安全部门建议盟友增强关键基础设施防护

以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。

Okta结束Lapsus$黑客事件调查:攻击持续25分钟 仅两个客户受到影响

在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。

俄罗斯对加密货币采取围堵方式 意在提升数字卢布地位

鉴于俄罗斯在乌克兰的无端侵略以及随之而来的西方对其金融系统的制裁,比特币和其他加密货币在俄罗斯相当受欢迎,这一点并不奇怪。事实上,俄罗斯总理Mikhail Mishustin最近声称,大约1000万俄罗斯年轻人已经打开了加密货币钱包。这相当于该国人口的7%左右。

公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击

加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某些特定的案件中,在适当的情况下,在保持独立性的同时,公民实验室决定通过官方渠道通知这些政府,特别是如果他们认为他们的行动可以减少伤害时。

安全专家发现新型恶意Windows 11网站:镜像内含恶意文件

自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。

7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效

文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。

Pegasus被发现用来感染加泰罗尼亚地区官员的iPhone手机

NSO集团用于入侵iPhone的间谍软件Pegasus陷入了另一桩间谍丑闻,该监视工具被用来对付西班牙加泰罗尼亚地区的民间社会和政治人物的设备。继2020年2020年的一份报告称加泰罗尼亚高级政治家Roger Torrent和支持独立的人通过WhatsApp成为“政府级间谍软件”的目标后,Citizen Lab对针对该地区官员和相关人员的更广泛的间谍软件使用情况展开了调查。

加密货币使勒索软件的使用变得更加普遍

眼下,勒索软件已经成为互联网上的一种趋势,它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题,但在过去几年中变得非常普遍。最初,黑客以个人为目标,要求提供几百美元的比特币,但现在他们追求更大的目标,他们可以勒索更大的金额,并且被勒索放在没有电脑和服务器的情况下无法继续正常使用。

日经:索尼、尼康、Adobe和英特尔等瞄准“深度造假”

4月18日,据日经亚洲报道,一个横跨软件、芯片、相机和社交媒体的联盟旨在制定相关标准,以确保网上分享的图像和视频是真实的,因为越来越复杂的“假货”威胁着公众的言论。报道称,Photoshop开发商Adobe、微软、英特尔和Twitter,以及日本相机制造商索尼和尼康、英国广播公司(BBC)和软银集团旗下的芯片设计公司ARM都参与其中。

GitHub透露:攻击者利用偷来的OAuth令牌入侵了几十个组织

GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。

超过半数的美国人希望设法从互联网上隐藏自己 18%认为网络不应该存在

互联网现在已经深入社会,对于我们这些当时在身边的人来说,很难记得在它覆盖世界之前的生活是什么样的。但是,虽然网络提供了许多好处,但很多人希望他们能够消除他们的数字足迹。根据一项新的调查,如果可以的话,55%的美国人愿意从网络上删除自己。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan