安全

厕所纸巾分配器居然带有最终用户许可协议

在厕所卫生领域争夺霸权的斗争是一场肮脏的斗争,没有什么比带有最终用户许可协议的纸巾分配器更令人沮丧了。哈佛图书馆馆长和Twitter用户John Overholt在最近的一次会议上发现,会议附近的厕所的纸巾分配器上居然有最终用户许可协议,协议禁止使用非Tork产的厕所纸巾。

佛罗里达州一家广告公司泄露了美国退伍军人战争伤害的数据

据外媒ZDNet报道,一家总部位于佛罗里达州的广告代理商的一个数据库在网上被泄露。该数据库包括了过去广告活动的详细信息,包括有关医疗事故案件的信息,以及美国退伍军人战争伤害的敏感细节。

在酒店、试衣间接连被偷窥 网友:出门要带帐篷?!

旅游,本来是让人放松、愉快的。可当你发现屋里有双眼睛在悄悄偷窥,你会是什么样的感受?在河南郑州,游客黄先生和女朋友刚入住酒店两小时,就发现了房间里有一个针孔摄像头。黄先生告诉记者,他和女朋友是6月15日下午来到郑州市红专路与经三路口的玉泰酒店,办理的入住手续。没想到在所住房间的电视机下方,意外发现五孔插座里有一个针孔摄像头。

AV-TEST公布macOS Mojave下安全软件表现最新排名

反病毒研究公司AV-TEST进行了一项新的研究,以确定最佳的macOS Mojave下运行的安全软件,本次测试重点关注恶意软件检测,性能和误报。AV-TEST在2019年4月和5月进行了两轮测试,并评估每种产品的保护能力,性能和可用性。每次测试的最大分数为6,因此在所有三项测试中对完美表现的总体评分为18分。

俄罗斯警告美国数字入侵可能会触发两国网络战争

在纽约时报披露美国网络战部队入侵俄罗斯电网部署恶意程序之后,克里姆林宫警告美国的数字入侵可能会触发两国之间的网络战争。纽约时报上周末报道称,美国网络战司令部去年从国会获得了授权,其战略从防御转为进攻。

[图]CBP分包商出现重大数据泄露事件 至少5万名美国车牌信息在暗网出售

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是,CBP向CNN透露从未向该公司授权保留这些车主信息。

[图]CISA再发安全警告:推荐Windows用户尽快修复BlueKeep漏洞

微软一直说服Windows老用户尽快安装补丁,以修复名为“BlueKeep”的严重RDP漏洞。在本月早些时候得到美国国家安全局(NSA)的支持之后,微软再次得到了美国网络安全和基础设施安全局(CISA)的帮助,后者发布了一个“Activity Alert”,提醒和警告用户尽快安装BlueKeep漏洞补丁。

[信息图]盘点过去15年影响最恶劣的15起用户隐私泄露事件

近年来用户隐私泄露事件频发,可以用触目惊心来形容。网站托管比较网站HostingTribunal整理了一个信息图,盘点过去15年中影响最恶劣的15安全事件。自2013年以来,由于数据泄露超过14,717,618,286条记录丢失或被盗,仅2018年上半年就有3,353,178,708条记录遭到窃取。在2017年全球86%的泄露事件发生在北美,2018年美国45.9%的数据泄露事件发生在商业领域。

Akamai表示黑客在17个月内对全球游戏网站进行了120亿次攻击

根据互联网交付和云服务公司Akamai的最新报告,黑客在截至2019年3月的17个月内对全球游戏网站进行了120亿次凭证填充攻击,从而瞄准了游戏行业。这使得游戏社区成为凭证填充攻击中增长最快的目标。在这些攻击当中,黑客利用窃取的凭据来接管帐户,并且寻求快速获利。在同一时间段内,Akamai在所有行业中,共遭遇550亿次凭据填充攻击。

大学社团“拉赞助”成为个人隐私泄露的重灾区

今天刊发的这篇投稿,揭示的是大学校园里的一个常见现象:大学生以低廉的价格“出卖”自己的隐私信息,而促成这种交换的,往往是急于获得一些赞助经费的大学社团。商家利用大学生的弱点,获取了大量个人信息,且存在被转卖和泄漏的隐患,其中的问题和风险应当引起重视。

FBI向8chan发去传票要求枪手的IP和评论

4 月 27 日发生在加州 Chabad of Poway 犹太教堂的枪击案共导致 1 人死亡 3 人受伤,枪手 John T. Earnest 的枪卡壳了,因而没造成更多的伤害。在枪击发生前,他在 8chan 上发表了反犹的公开信,并对枪击进行了直播。

研究人员发现一种广泛使用的医疗输液泵可以被远程劫持

据安全研究人员称,医院和医疗设施中广泛使用的输液泵具有严重的安全缺陷,可以远程劫持和控制。医疗保健公司CyberMDX的研究人员在医疗设备制造商Becton Dickinson开发的Alaris网关工作站中发现了两个漏洞。

感染型病毒通过淘宝店传播 窃取用户上网信息

火绒安全团队发出警告,感染型病毒Ramnit正在通过淘宝游戏店铺传播,请广大用户、游戏玩家务必警惕,提前做好防范。该病毒能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。

2018应用安全白皮书:超98% Android应用存有安全风险

在第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),白皮书显示,超98%Android应用存有安全风险,其中影音播放类应用风险最高。

Vim 和 NeoVim 曝出高危漏洞

Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的  modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令。

CrowdStrike上市首日大涨70% 谷歌投资四年回报十倍

美国安全软件供应商CrowdStrike周三在纳斯达克挂牌交易,股票代码为“CRWD”。上市首日收报58.00美元,较IPO发行价34美元/股涨逾70%,市值达到114.08亿美元,较2018年6月的上一轮私募融资几乎翻了两番。尽管其收入只有老牌安全软件提供商赛门铁克(Symantec.com)的5%左右,但市值却与之相当。

RAMBleed扩展位翻转攻击领域 成功获取OpenSSH 2048位密钥

几名安全研究人员发表了一篇论文,介绍了一种基于位翻转漏洞 Rowhammer,并且将其威胁从内存完整性缺失扩展到内存信息泄露领域的技术 RAMBleed,表明位翻转的利用能力远超出当前人们的想象。

国泰航空信息系统曾遭遇两次入侵

去年 10 月,香港国泰航空披露包含 940 万乘客资料的信息系统被未经授权获取。未获授权获取的资料包括了个人身份信息和飞行记录,此外还有部分信用卡。香港个人数据隐私专员上周公布了调查报告,称国泰航空的网络先后遭遇了两次入侵。

上海交大泄漏8.4TB电子邮件数据 漏洞已经修复

根据外媒 ZDNet 援引 rainbowtabl.es 安全博客上的文章报道, 上海交通大学 一个数据库因未正确配置公开访问权限,而导致泄漏了 8.4TB 的电子邮件元数据。这款暴露的服务器是由 CloudFlare 安全总监贾斯汀 · 潘恩&

打造难以破解手机的以色列公司Communitake Technologies

大约十年前,一位以色列企业家分别在矛和盾上下了注,他投资了两家公司,一家公司宣称能破解任何智能手机,另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group,它向执法机关和政府出售间谍软件Pegasus,其估值达到了 10 亿美元。

GEDmatch 改变 DNA 数据库的访问授权

过去几年,由于互联网上免费公开的 DNA 家谱数据库的流行,执法机构利用公开的数据破解了数十起陈年悬案,逮捕了多名隐蔽的连环杀手。大多数公众可能支持执法机构利用公开的家谱数据库抓捕强奸犯和杀人犯,但如果警方使用这些数据去搜寻小偷或袭击者之类的一般案件呢?

研究:只有5.5%的被发现漏洞曾遭到利用

据外媒报道,本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。

人民日报:App别乱动我们的个人信息

这些天,来自北京的谭先生在一款理财App上还完自己所欠借款后,立即将App删除了。原来,去年下半年,他在该App上办理了一笔1万多元的现金贷,分6期归还。在还完前5期后,他因回乡未能在规定时间内还款,结果对方每天打电话骚扰其通讯录好友,还通过辱骂、威胁、恐吓等方式催促还款。回想起这段经历,谭先生仍然心有余悸:“现金贷很可怕,这个App能轻松获得我通讯录好友信息更可怕。”

SandboxEscaper又发布了一个微软0day危急漏洞

SandboxEscaper重新推出了新的0day权限提升代码,这名对微软充满了仇恨的女黑客再次击败了微软4月份发布的针对CVE-2019-0841的补丁,并像往常一样,发布了附带概念验证漏洞利用代码的漏洞,这意味着其它黑客可以快速参考其攻击方法制作恶意软件入侵Windows系统。

[图]Ring在FB公开窃贼视频引发争议 官方做出回应

亚马逊旗下的Ring近期被指控利用用户的恐惧心理来销售门铃监控摄像头,并大肆鼓吹你的邻居极有可能是窃贼的妖魔化思维。不过这种讨论都集中在Ring的Neighbors应用,在该应用中允许Ring用户发布视频的社区里面。

通用汽车驾驶辅助功能今年新增7万英里高速公路支持

通用汽车正在扩大可以使用其驾驶辅助功能Super Cruise的高速公路数量。该汽车制造商周三宣布,到2019年底,Super Cruise功能将在美国和加拿大另外7万英里的高速公路上工作,并在13万英里的兼容高速公路上工作。此次扩张是因为通用汽车希望从明年开始将Super Cruise推广到所有新凯迪拉克车型以及此后其他车型当中。

调查显示即使波音公司修复波音737 Max问题 乘客也会尽量避免乘坐

今年早些时候,波音737 Max 8在埃塞俄比亚坠毁,夺走了所有157人生命。这是几个月内波音737 Max 8第二次坠机事故,导致全球各地航空公司停飞波音737 MAX系列客机,直到波音公司和安全官员能够确定问题所在。

美国青少年正在使用eBay来躲避香烟售卖年龄限制

随着美国政府监管机构采取行动打击青少年使用电子烟的行为,eBay和其他在线市场仍然充斥着盗版Juul电子烟。这些第三方销售违反了大多数平台规则,是Juul本身进行重大反假冒工作的目标。但是它没有能够完全阻止这些假冒电子烟销售,这表明监管机构可能会面临一场艰难的战斗,因为他们试图遏制青少年购买电子烟的行为。

NSO:一家专业入侵iPhone的神秘公司

近日,就在苹果发起“隐私很重要,请使用 iPhone”宣传攻势之际,一家行事隐秘的以色列公司仅仅利用 WhatsApp 上一个简单的未接来电,就可以植入一款名为 Pegasus 的软件。该软件能够窥探任何 iPhone 最深处的秘密,比如聊天信息和位置,甚至可以打开摄像头和麦克风进行直播。

外媒:在俄罗斯通过暗网黑市购买个人数据已变得非常容易

据BBC Russian 报道,与俄罗斯黑客相关的数据泄露事件现在已引起全球关注,但BBC Russian发现在俄罗斯国内购买护照和银行账户信息等个人数据是一件非常容易的事情。根据网络安全专家的说法,大量所谓的私人数据每天都在暗网黑市被出售。

被云服务商误封账户的初创公司:不要把鸡蛋都放在一个篮子里

近日,一则主题为 “DigitalOcean 是如何杀死了我们公司”的帖子在社交媒体引发轩然大波。发帖人 Nicolas Beauvais‏ 所在的 Raisup 是一家仅有两人的初创 AI 公司。而他所控诉的 DigitalOcean 是一家大型云服务提供商。

日本横滨无人驾驶列车中途反向行驶 造成14名乘客伤

据“今日日本”网站2日报道,当地时间1日晚间,由横滨海岸线公司(Yokohama Seaside Line Co)运营的一列无人驾驶列车行驶途中出现反向行驶,发生冲撞。据当地警方介绍,事故已造成约14名乘客受伤。

活捉黑客大会两大开锁门派:世界上没有打不开的锁

世界上最爽的事情莫过于带薪玩耍,这不,在 5 月 31 日开幕的全球最酷黑客大会 DEF CON CHINA 1.0 上,说起来真是激动人心,比如,有一个黑窗极客村,这些高中生黑客现场教你假装FBI,哦不,是“FIB”,通俗来说,就是社工黑客之必备技能——仿造门禁卡:

Salesforce表示销售半自动武器的公司无法使用其软件

Salesforce是一家价值1200亿美元的科技巨头,其大部分收入来自客户关系管理云服务,它现在禁止客户使用其平台销售各种类型的枪支。正如《华盛顿邮报》所强调的,Salesforce于今年4月11日更新了其“可接受使用”政策,禁止客户使用其软件销售自动和半自动枪支、3D打印枪以及包括能够储存10发以上弹药的弹匣和可转换为半自动的多发触发装置在内的配件。

[图]美国汉堡连锁品牌Checkers遭黑客攻击 102家门店POS机被感染

美国快餐连锁品牌Checkers & Rally's遭遇恶意程序攻击,15%的美国门店POS机被感染,导致严重的数据泄露。Checkers是美国境内最大的免下车汉堡连锁餐馆之一,总部位于佛罗里达州坦帕市,目前已经在美国28个州开拓业务。

苹果和其他科技巨头谴责GCHQ窃听加密邮件和即时通讯的提案

苹果和其他科技巨头已加入民间社会团体和安全专家,谴责英国网络安全机构的提案,该提案将使执法部门能够访问端到端的加密信息。在致英国GCHQ(政府通信总部)的公开信中,包括苹果,谷歌和WhatsApp在内的47个签署者敦促英国窃听机构放弃其所谓的“幽灵协议”计划,这将要求加密的消息服务直接向第三个收件人发送消息,同时将消息发送给其预期用户。

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nansh0u”,且这一攻击源头是中国黑客。报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。

[图]Flipboard发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用Flipboard今天发布安全通告,公司内部多个系统遭到黑客攻击,已经持续超过9个月时间。援引外媒ZDNet掌握的多封电子邮件,Flipboard表示黑客获得了存储客户信息的服务器访问权限。在该服务器上存储了用户名、哈希值、加密密码,以及和第三方服务捆绑的Flipboard个人资料。

青少年遭网络性侵风险日增 如何防止悲剧发生?

外媒称,网络新技术给我们带来了欢乐,但也隐藏着很多危险。西班牙青少年协会最近公布的一项调查指出,9岁至18岁的青少年中有74%的人曾经与陌生人进行过网聊,对方要求他们提供私密信息甚至线下约会。

网信办通报百款常用App申请收集个人信息权限情况

针对App过度索要各种权限、搜集用户隐私信息的乱象,国家曾重拳出击,发布通告,就《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,明确了七种相关违规行为。具体包括:

易到用车服务器遭连续攻击:攻击者索要巨额比特币

5月26日,据易到用车官微消息,2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。据悉,攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。我们的相关技术人员正在努力抢修。

[图]Chrome等移动浏览器曾有1年多空窗期 没有警告钓鱼网站

根据本周发布的研究报告,在过去一年多时间里包括Google Chrome、Mozilla Firefox和Safari在内的浏览器均没有及时更新钓鱼网站黑名单,无法在用户上网过程中提供妥善的保护。研究小组表示:“我们发现主流移动浏览器在保护措施方面存在巨大漏洞。令人震惊的是,移动端Chrome、Firefox和Safari尽管在安全设置中启用黑名单保护,但是无法对2017年年中至2018年末的钓鱼网站发出提醒。”

美国建设民用紧急通讯系统 使用黑色SIM卡

美国官方9/11报告的一个关键结论是,当时紧急通讯系统一团糟。外界可能认为美国很久以前就解决了紧急通讯系统问题,但直到现在美国才有一个新的移动网络FirstNet专门用于紧急通讯,它将蜂窝网络用作关键任务的基础设施。

传Facebook明年推出GlobalCoin加密货币

据BBC新闻报道,Facebook计划在明年第一季度推出加密货币。该公司预计将在2019年晚些时候开始测试之前披露更多有关该货币的详细信息。据报道,该货币在内部被称为“GlobalCoin”,将在十几个国家/地区推出。它无需银行账户即可为人们提供价格合理且安全的付款方式。

调查发现一位工程师伪造SpaceX火箭所用部件的检查报告

来自纽约州北部的一名男子被指控为SpaceX的Falcon 9和Falcon Heavy火箭以及国防部雇用的其他航空航天承包商提供的部件提供虚假检查报告和测试认证。由于美国NASA总检察长、联邦调查局和空军特别调查办公室进行调查,这一不当行为被曝光。

首款数字断路器获得商用认证

世界第一款数字断路器本周获得了商用认证。这种新型断路器能让电力更容易管理,比机械断路器快 3000 倍,但也引发了安全方面的担忧,因为它可以通过互联网远程管理,而互联网从来不是安全之地,如果黑客劫持了数字断路器的网络连接控制了你家的电源勒索你支付赎金否则就没有电力?

伦敦地铁将于7月开始使用Wi-Fi接入点跟踪所有乘客的手机

从7月8日开始,伦敦交通局(TfL)将默认开始跟踪伦敦地铁的乘客电话。首都260个站点的Wi-Fi接入点将使用乘客手机的MAC地址跟踪乘客,这将使TfL能够看到他们从一个站点移动到另一个站点时查看他们通过的网络以及通过各个车站的路线。

全世界谁最有钱?他们的信息全被泄露了

全世界谁最有钱?他们住在哪里?手机号是什么?富豪们买了什么?想必你跟我一样好奇。这些信息很值钱,这些信息也很危险。最近,富豪们要瑟瑟发抖了。5月21日据Forbes报道,位列福布斯全球2000强榜单的Hindustan Computers Limited(HCL)在多个子域上托管的可公开访问的页面和Web界面暴露了大量的员工和商业信息。

禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。

谷歌:大多数黑客雇佣服务都是假的

谷歌和加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,大多数网上提供的黑客雇佣服务都是诈骗或者无效的。研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。

人民日报:手机App过度索取权限何时休

记者在调查浏览器主页劫持现象的过程中发现,手机App(应用程序)也是互联网技术霸凌的重灾区。“灾情”如何?记者进行了调查。“我的手机App一打开网页,就弹出各种抽奖小广告”“看个视频,却要求获取我的通讯录权限,不打开权限就无法观看”“下载后安装App,需要获取我的地理位置信息,不同意就装不了”……手机App要求权限过多、过度收集信息非常普遍,也是被吐槽和投诉的技术霸凌“重灾区”。

黑客论坛被黑 竞争对手公开其数据库

劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故,称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息,他已经恢复到了备份,但这个备份日期仅截至 2019 年 1 月。

Salesforce 闹剧:共享用户数据后陷入数小时的瘫痪

Salesforce 的工程师在竭力保护客户信息,因此关掉了实例。自周五以来,Salesforce 客户无法访问服务,这归咎于糟糕的数据库部署。此后不久,这家云 CRM 公司表示,它正在调查与其 Pardot B2B 营销自动化系统的当前或过去用户有关的一个问题。

25000台Linksys路由器可能泄露与之相连的任何设备的大量信息

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正在泄露,尽管制造商正在否认这一点。

Stack Overflow 安全事件新进展:部分用户私人信息遭窃

Stack Overflow 遭黑客入侵一事仍在调查中,官方博客披露了调查最新进展。入侵实际发生在5月5日,当时部署到 stackoverflow.com 的开发层的构建包含一个错误,该错误允许攻击者登录到开发层,并在网站的生产版本上升级他们的访问权限。

俄罗斯黑客又开始行动 这次目标是儿童电视选秀节目

听到俄罗斯黑客时,我们通常会想到他们对美国选举干预行为,但他们确实有其他用途,包括为儿童操纵俄罗斯电视选秀节目。在俄罗斯一次电视选秀节目当中,11岁的米凯拉·阿布拉莫娃在获得56.5%的选票,赢得了3万张选票,荣膺“俄罗斯声音之子”的桂冠。

[图]俄罗斯政府网站被爆泄露225万用户社保和护照等信息

多家俄罗斯政府网站泄露了超过225万公民、公务员和高层政治家的私人和护照信息。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin最先发现并公开了本次严重的数据泄露事件。由三篇博文组成的系列报道中,Begtin表示他对政府在线认证中心、50家政府门户网站以及政府机构使用的电子投标平台进行了调查。

[图]Stack Overflow遭遇黑客攻击 目前没有证据表明数据被窃

Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。”

报告称黑客利用华硕云存储在PC上安装Plead后门

安全研究人员近日报告称,黑客组织BlackTech在中国台湾通过中间人攻击(“MITM攻击”)部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。

新文件显示纽约警察局在其面部识别系统中使用了修改后的图像

乔治敦大学隐私和技术中心(CPT)的一份新报告揭露了纽约警察局面部识别系统的广泛滥用,包括图像改变和使用非可疑图像。在一个案例中,官员根据一名看起来像哈里森的嫌疑人的证人描述,上传了演员伍迪·哈里森的照片,嫌疑人后来因小偷窃而被捕。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan