安全

HTTPS 的证书过期时间是否应该缩短?

Google 向非正式 CA 行业组织 CA/B Forum 递交提议,建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小(有各种原因需要撤销证书),如果没有过期时间那么维护清单将会非常长,有了过期时间那么相关撤销证书就可以永久删除。

外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕

据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。

Let's Encrypt 网站推出中文版

旨在让每个网站都能使用 HTTPS 加密的非营利性组织 Let's Encrypt 发布了简体中文版,方便中文用户使用 Let's Encrypt 签发的证书 。

微软CTF协议曝出漏洞 影响Windows XP发布以来的所有系统

Google  Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。

HTTPS 证书有效期被提议缩短至13个月

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。关于这样的提案,已经不是第一次提出。在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。

在英格兰和威尔士司机可能被禁止使用免提移动设备

英国英格兰和威尔士的司机可能会被禁止以免提方式使用他们的手机,前提是英国下议院交通运输特别委员会能够做到这一点。据该委员会称,现行法律禁止开车时使用手机,这给人留下了这样的印象:免提是安全的。但是,交通运输特别委员会认为免提存在同样的碰撞风险。

多地叫停"加油区域内扫码支付" 可能存安全隐患

加油站内不能接打电话,这是安全常识。2008年开始实施的有关加油站作业的安全规范,明确了加油站内严禁使用手机。然而,随着移动支付的不断发展,不少人出门开始不带钱包。越来越多的加油站也推出了手机扫码支付服务。

黑客分享4G无线路由漏洞 中兴被点名批评

5G 时代都要来了,但令人糟心的是,4G 路由上的窟窿我们还没补完呢。据 BleepingComputer 美国时间8月12日报道, Pen Test Partners 研究人员 G Richter 就在今年的 DEF CON 黑客大会上分享了自己在一些 4G 路由设备上找到的安全漏洞。

美媒:黑客能将扬声器变成声学武器

美媒称,扬声器无处不在,普通人用它们来听音乐或通话,而研究人员早就知道,家用音箱也能够发射人类可听声音范围之外的频率。在近日于美国拉斯维加斯举行的DefCon黑客大会上,一名研究人员警告说,这种能力有可能被武器化。

[视频]这款MOD能将特斯拉Model S变成移动的监控设备

为了能够让自动驾驶汽车根据路况做出自主决策,开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上,安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。

智能锁开锁方式越多风险越大 行业发展良莠不齐

据中国之声报道,出门不用想着带钥匙,回家输个密码、录个指纹、或者人脸识别一下就能进门……这样的智能门锁,近年来成为越来越多人们的选择。但是,作为家庭最重要的一道屏障,智能门锁真的安全吗?京津冀三地消费者协会近日公布的网售智能门锁比较试验结果显示,在测试的28个品牌38把智能门锁中,每款门锁都或多或少存在着安全风险。

这些看似合法的iPhone Lightning数据线将劫持您的电脑

被称为MG的安全研究人员在年度Def Con黑客大会上展示并且演示了他开发的iPhone Lightning数据线,这种恶意数据线内含额外的恶意组件,包括恶意硬件和恶意软件载荷,可以在受害者将数据线插入电脑时发动无线攻击。

因《堡垒之夜》用户数据泄露 Epic或将面临集体诉讼

根据最新消息,由于《堡垒之夜》存在泄漏用户个人数据(信息)的情况,Epic公司或将面临集体诉讼,以下为详细内容。近日,美国律师团队Franklin D. Azar & Associates开始向《堡垒之夜》的玩家发起号召:“希望大家能够加入集体诉讼,通过斗争方式来维护自己的合法权益。

英国:科技公司不删除有害视频 可能会被罚款

英国政府正计划向数字监管机构Ofcom提供新的临时权力,允许其向YouTube,Instagram或Facebook这样的高科技公司实施监管,如若这些公司未能及时删除儿童可能看到的有害内容,如色情和暴力,将面临罚款。根据计划,Ofcom将从2020年9月19日起获得这些权力。新的权力只是暂时的,直到“在线危害监管机构可以承担责任”。

“螺丝刀”揭开严重安全漏洞 多厂商驱动程序及固件现提权问题

当前信息安全问题越来越突出了,自幽灵、熔断漏洞之后,计算机硬件漏洞逐渐成为信息安全研究人员的关注点。 近日一家名为Eclypsium的网络安全研究公司公布了一份报告,称超过20家公司都会收到其发现的名为“螺丝刀”漏洞的影响。

因机器配置问题 黑客们难以在Defcon上查找原型投票机的漏洞

在近日于拉斯维加斯举办的 Defcon 安全会议上,DARPA 设立了一台价值 1000 万美元的投票机原型,并欢迎各路人员寻找该机器的安全漏洞。然而由于一个意外的错误,导致大家难以向它发起测试。据悉,原因不在于研发团队花了四个月时间去完善机器的安全功能,而是因为机器在安装过程中遇到了技术难题。

[图]最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。

纽约市消防局丢失载有员工医疗记录和社会保险号的硬盘

纽约市消防局(FDNY)披露了2019年3月发生的“数据泄露”。与其他数据泄露事件(通常涉及未经授权的一方利用易受攻击的网络)不同,FDNY的问题是由于一枚可移动硬盘丢失造成的。根据纽约市官员发布的声明,这一驱动器属于一名被授权访问该信息的员工。

黑客组织APT41被发现以游戏公司为目标

美国安全公司 FireEye 发布了对中国黑客组织 APT41 的研究报告(PDF),称其攻击范围极为广泛,除了使用现有的工具外,还有自己开发的独有工具,还会用窃取的证书给恶意程序签名。FireEye 还识别了与该组织相关的两名成员 “Zhang Xuguang”和“Wolfzhi”。

智能音箱,你在窃听我吗?

女儿过生日时,朋友送给司兰一台智能音箱,是市场上常见的主流品牌的款式,小方盒子、价格不高。司兰对新奇事物的兴趣一般,就随手摆放在了客厅,倒是6岁的女儿爱上了这个小音箱,总是缠着它讲故事。逐渐地,司兰对这个智能音箱产生了好感。“简直是哄娃神器”,欣喜之余,她开始在淘宝上浏览相关产品,计划买一台配置更高、音质更好的款式。

技术人员发现​数百个暴露的亚马逊云备份快照泄露了客户的数据

如果您使用了亚马逊的Elastic Block Storage快照,则可能需要评估一下数据安全。刚刚在Def Con安全会议上发布的新研究揭示了公司、初创公司和政府机构如何无意中从云中泄露自己的文件。那些在亚马逊托管的存储服务器,其中包含重要数据但经常配置错误,并且无意中设置为“公共”以供任何人访问,这不是什么新闻。但是,您可能没有听说过暴露的EBS快照,这会带来额外的风险。

哈萨克斯坦停止强制性安装证书 称这只是测试

哈萨克斯坦从 7 月 17 日开始发出通知要求所有设备所有浏览器安装来自政府的 Root CA(qca.kz),否则将无法访问网络,此举将允许该国 ISP 解密加密流量,对所有加密流量发动中间人攻击。

网传Steam有安全漏洞 玩家电脑可能会被当成矿机

根据reddit网友的爆料,安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。消息一出,立即引发了很多网友的关注。据悉,此次Steam出现的安全漏洞并不复杂:Steam出于某些内部目的(考虑),便在玩家的电脑中安装了“Steam Client Service(Steam客户端服务)”。

Electron 应用容易被修改并植入后门

因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门

你还在用“加了料”的系统还原工具么?

利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。

[图]IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。

分析显示荷兰人喜欢用常规单词、足球队或地名作为密码

据外媒报道,来自密码相关网站Scattered Secrets的一项最新分析显示,荷兰人在选择安全可靠的密码上跟世界其他国家的人一样糟糕。虽然大多数科技迷都知道使用一个值得纪念的短语或存储在储物柜里的长而晦涩的字符作为密码,但很多人更喜欢选择一些容易记住的东西。

[观点]没有比 reCAPTCHA 更邪恶的东西了

根据 Google 的描述,reCAPTCHA 是一项保护网站免于垃圾信息围攻的免费安全服务。但随着 reCAPTCHA 对人类而言越来越恼人越来越感到痛苦,你可能会问:难道没有更好的方法遏制垃圾信息?

[图]破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。

15年前的电脑病毒MyDoom:现在仍极具破坏力

我们说,通常情况下,大部分的恶意软件都只是“红极一时”,然而就有那么一个特例,纵使已经拥有15岁的“高龄”却仍旧极具破坏力?且至今已造成超过380亿美元的损失?那么,究竟是怎样一款病毒呢?

1亿银行用户信息失窃之谜:黑客是怎么找到漏洞的?

上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾1亿用户信息泄露。这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。

错误的 JIRA 配置导致数百家财富500强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。

[图]网站漏洞导致超过2000名参与报道E3的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后,由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响,除了各大新闻机构和媒体的记者、编辑之外,还有YouTube和Twitch等视频网站上的网红主播,以及高盛、IMDb和其他公司的工作人员。

研究显示安全分析师25%的时间浪费在误报上

Exabeam和Ponemon Institute进行的研究显示,美国企业安全分析师花费大约四分之一的时间追逐误报上,因为安全警报或妥协指标(IOC)是错误的。该研究还表明,安全团队必须每周评估和响应近4000个安全警报。虽然误报是最大的资源消耗,但研究还表明,调查可操作的情报和建立事件时间表,清理、修复和/或修补由事件引起的网络、应用程序和设备问题,每个都占安全团队15%以上的时间。

[视频]Wind River修复了VxWorks实时操作系统的11个重大安全漏洞

平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告,iOS 和 Linux 则要少一些。不过本文要为大家介绍的,则是 VxWorks 实时操作系统(RTOS)曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。

外媒:Capital One数据泄露事件比它看起来更复杂

当地时间周一晚上,Capital One及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件,大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对Capital One的泄露事件展开调查,但更广泛的故事是熟悉的:一家大公司让许多敏感数据丢失,客户承担了大部分风险。

IP根来了,假IP再难坑你

“当前,国际上有一个重要性不亚于域名根的机制——IP根正在形成。未来,IP根或将重塑国际互联网治理格局。”在近日举办的第16届中国网络安全年会上,域名国家工程研究中心主任毛伟表示,IP根是个新概念,它有望解决“路由劫持”问题。

研究警告:犯罪分子在Twitter上利用技术支持骗局欺骗用户

据外媒CNET报道,研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技(Trend Micro)周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。

前亚马逊雇员被控窃取一亿第一资本银行用户信息

美国第一资本银行周一透露,1 亿美国居民和 600 万加拿大居民的信息被盗。33 岁前亚马逊 AWS 雇员 Paige A. Thompson 周一遭到逮捕,被控入侵第一资本的网络,窃取了用户的敏感数据。暴露的用户信息包括名字、收入、生日、地址、手机号码、电邮地址,14 万美国用户和 100 万加拿大用户的社会安全号码被盗,8 万银行账号被访问。

美国第一资本银行遭黑客入侵:逾1亿用户信息泄露

北京时间7月30日消息,美国第一资本银行金融公司在周一披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日。美国第一资本称,公司在7月19日确认了这次黑客入侵事件,目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后,第一资本股价在盘后交易中下跌1%。

CJEU裁定使用Facebook Like按钮的网站对用户数据负责

欧盟法院(CJEU)已经裁定,托管Facebook Like按钮的网站可能需要承担将数据传输到Facebook的责任。虽然法院表示第三方网站不能对数据传输后Facebook进行的数据处理负责,但绝对有责任通过Like按钮促进数据的收集和传输。

No More Ransom项目使勒索软件犯罪团队利润至少减少1.08亿美元

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。

BT客户端BitLord被发现捆绑间谍软件

BitTorrent 客户端 BitLord 被发现捆绑了名叫 PremierOpinion 的间谍软件,该间谍软件会利用中间人攻击的方法捕捉机器的 SSL/TLS 流量。它会安装一个代理在端口 8888、8443 和 8254,安装一个本地系统证书,该证书会被所有应用程序自动信任。

黑客组织用假谷歌域名注入多网卡侧取器窃取数据

安全人员发现,攻击者使用伪造的Google域名,借助国际化域名(IDN)来托管和加载支持多个支付网关的Magecart信用卡侧录器脚本。该网站的所有者将其域名列入McAfee SiteAdvisor服务的黑名单后检测到该攻击,Sucuri安全人员在仔细研究后发现该罪魁祸首是基于JavaScript的支付卡侧录器注入该网站。

暗网交易平台丝绸之路负责人之一加里·戴维斯被判刑

在暗网上买卖毒品,武器和其他非法商品和服务的平台丝绸之路在2013年关闭,但那些帮助运营这个臭名昭著黑市的人仍然面临着法律后果。该网站的管理人员之一,爱尔兰国民加里·戴维斯,刚刚因其职务被判处78个月的监禁。

Equifax将向数据泄露事件受害者赔偿125美元 现已开启线上登记

本周早些时候,美国信贷报告机构 Equifax 与联邦贸易委员会(FTC)达成了针对 2017 年发生的大规模数据泄露事件的赔偿方案。本次事件导致数亿美国人的社保号码与其它敏感数据被泄露,作为集体诉讼的一部分,受害者终于可以向其提出索赔。据悉,Equifax 达成了 7 亿美元的和解协议,其中包含了 3.805 亿的客户赔偿金。

报告显示2019年上半年已有超过2300万张信用卡信息在暗网上出售

据外媒Neowin报道,暗网被认为是各种非法活动的发源地,虽然当局已经作出努力旨在打击能够进行这些非法活动的市场,但还有很多工作要做。网络威胁情报组织(CTI)组织Sixgills发布的一份新报告显示,在2019年上半年,在暗网上出售了超过2300万张被盗信用卡信息。

研究称74%的成年人在网上游戏时受到骚扰

根据今天发布的一份新报告,74%在线玩游戏的成年人遭受过某种形式的骚扰。这份报告由具有百年历史的民权非营利组织反诽谤联盟(Anti-Defamation League)星期四发表,提供了一些令人震惊的统计数据,这些统计数据显示,在网络游戏中,刷屏、威胁、歧视盛行,并且还有普通的粗鲁辱骂。除了一项对1000多人玩游戏的调查外,ADL还调查了游戏出版商对这些空间的审核情况。

[图]美股券商Robinhood承认以明文方式存储了部分用户密码

美股券商Robinhood在致受影响用户的电子邮件中,承认以明文方式存储了部分用户的密码。该公司在邮件中表示“本周一晚上,我们发现在我们的内部系统中部分用户的凭证以可读格式存储。通过全面彻底的检查之后目前我们已经解决了这个问题,没有任何证据表明除了我们的响应团队以外的人访问过这些信息。”

研究发现对于Windows 10而言 大多数零日漏洞都已无效

微软已经证明他们最新的操作系统是最安全的:自2015年以来,只有40%的Windows零日漏洞可以成功利用在最新的Windows版本。微软安全响应中心的安全工程师Matt Miller撰文分析了2015年至2019年间的零日漏洞。

美国司法部长称消费者应该接受加密后门所带来的安全风险

美国司法部长 William Barr 表示,为了确保执法部门能访问加密通信,消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信,后门是执法机构希望看到的一种解决方案。

韩国门户Naver因未实行内外网分离被罚3000万韩元

22日,据外媒称,Naver因未履行维护电子金融交易安全的义务,被韩国金融监督局处以3000万韩元的罚款 。根据现行《电子金融交易法》和《电子金融监督规定》,为防止金融机构的信息处理系统和信息通信网络遭受黑客入侵等威胁行为,应当将连接内网的业务用系统与外网进行分离操作。

以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新

微软用户正成为新恶意软件活动的目标,其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现,该页面经过了精心设计,看上去尽可能相似,以至于它甚至包含指向微软官方域名的链接。

微型摄像头探测仪有没有用?我们测出这样的结果

最近针孔照相机、微型摄像头偷拍的新闻层出不穷,藏匿手段更是让人咂舌,不仅被传80%酒店有,甚至商场换衣间都难逃魔爪,一时间人心惶惶。还居住出租屋的求真君,也忍不住在家仔细翻查了半天,看看自己的生活有没有变成别人的色情片(还好没找到有)。

一香港男子被认为是在微软应用程序部署恶意广告的罪魁祸首

据外媒ZDNet报道,一名来自香港的嫌疑人认为是过去几个月内侵入微软应用程序和服务的恶意广告浪潮背后的罪魁祸首。根据专门跟踪恶意广告活动的网络安全公司Confiant 本周与ZDNet分享的一项调查,嫌疑人被认为是一名香港男子,至少经营两家名为Fiber-Ads和Clockfollow的幌子公司。

安全研究人员发现中国网贷App漏洞泄露大量个人信息

中国近年流行“网贷”,只需要使用手机 App 就可以简单地借到钱,因此非常受欢迎。不过最近有研究人员发现有大量网贷 App 泄漏了个人信息,有几百万用户受影响。来自 SafetyDetective 的研究人员 Anurag Sen发现,在网上有一个达 889GB 的巨型数据库,内有超过460 万使用网贷 App 的装置信息。

美国汽车协会发现越来越多汽车配备了几乎不可能打破的夹层玻璃窗

据美国汽车协会周二发布的一项研究,越来越多的汽车配备了几乎不可能打破的车窗玻璃。部分原因是,今天销售的许多汽车不再有钢化玻璃侧窗,因为安全原因而改用夹层玻璃。另一个原因是,销售的一些玻璃破碎工具并不像广告上所说的那样工作。

Chrome和Firefox插件让数以百万计用户隐私数据泄露

流行浏览器诸如广告拦截等扩展功能,已经遭利用而让数以百万计使用Chrome和火狐(Firefox)的消费者个人数据泄露。遭遇泄露的这些个人数据,不仅涉及他们的浏览历史,而且还包括他们存放在相关网络公共服务上的纳税申报单、医疗记录、信用卡信息和其他敏感数据。

PyPI 发现 3 个针对 Linux 服务器的恶意库

据 ZDNet 的报道,安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

黑客攻入俄罗斯联邦安全局承包商服务器 窃取7.5TB的数据

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech,并从那里窃取了该公司为FSB工作的内部项目的信息 - 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末,即7月13日,一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器,从那里他们获得了访问该公司整个IT网络的权限,包括一个JIRA实例。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan