BUF早餐铺 | Facebook被罚款143万美元;国家网信办规定10月8日起微信QQ微博必须实名;谷歌将在2018年年初全面禁用Symantec证书

2017-09-13 131756人围观 ,发现 3 个不明物体 资讯

欢迎光临 BUF 早餐铺,今天又是元气满满的一天哦。

今天是 2017 年 9 月 13 日星期三。今天份的新闻包括:因侵犯用户隐私,Facebook 被西班牙数据保护机构罚款 143 万美元;谷歌明确表示最晚将在 2018 年年初全面禁用 Chrome 中的 Symantec 证书;Apache Strust 的漏洞可能会影响思科的大部分产品;安卓的 Toast 漏洞或使用户陷入恶意软件、DOS 攻击,甚至造成信息泄露;国家网信办新规定:10 月 8 日起微信 QQ 微博必须实名;卧室摄像头IP地址被公开叫卖;CAA 在 9 月 8 日刚刚实施,德国研究人员就发现 Comdo 违规颁发 SSL 证书;Equifax 出现数据泄漏后,FireEye 将 Equifax 从客户案例中下架。

下面请看详细信息:

早餐.jpg

【国际时事】

因侵犯用户隐私,Facebook 被西班牙数据保护机构罚款 143 万美元

最近,Facebook 再次陷入罚款风波。西班牙数据保护机构(AEPD)表示,Facebook 在用户甚至非用户不知情的情况下,私自搜集他们的个人信息(政治理念、性别、宗教信仰、个人爱好、浏览历史等),并将信息提供给广告商和推广商,从中谋利。这严重违反了西班牙保护公民信息安全和公民隐私的条例,因此 AEPD 决定给予 Facebook 共计 120 万英镑(约合 143 万美元)的罚款。

Facebook.png

具体来说,Facebook 有三宗罪:最严重的一宗罪是违反西班牙当地数据保护条例(LOPD),因此被罚 60 万欧元(约 718062 美元,4689960 元);第二宗罪是利用设置在其他非 Facebook 网页的 “Like(喜欢)”功能追踪用户的浏览历史,因此被罚 30 万欧元(约 359,049 美元,约 2344980 元);第三宗罪是在使用完搜集到的数据之后并未删除,而是保留并重复利用同一用户的数据,因此罚款 30 万欧元(约 359,049 美元,约 2344980 元)。然而,Facebook 对此加以否认,并表示将上诉。至于事件具体如何发展,我们将持续关注。[来源:TheHackerNews]

谷歌明确表示最晚将在 2018 年年初全面禁用 Chrome 中的 Symantec 证书

谷歌明确表示最晚将在 2018 年 3 月禁用 Chrome 中的 Symantec 证书。3 月份,谷歌和 Mozilla 工程师就发现赛门铁克滥错误签发高达 3 万多张证书。谷歌对此表达强烈不满并当即决定逐步删除赛门铁克的证书。计划于 2017 年 10 月发布的 Chrome 62 将逐步删除赛门铁克在 2016 年 6 月 1 日之前发布的所有 TSL 证书;而 2018 年 3 月份发布的 Chrome 66 将全面禁用这些证书。

谷歌禁用证书.jpg

此外,之前我们报道过赛门铁克将证书业务卖给了 DigiCert,计划在 2017 年 12 月完成业务交割。因为谷歌的最后通牒,DigiCert 要同时运行 PKI 设施和赛门铁克的相关设施,对证书签发和售卖进行监管。谷歌表示,谷歌以后更新的 Chrome 都将把赛门铁克之前所签发的所有证书列为不信任。而 Chrome 70 则将全面封杀所有与赛门铁克根证书有关的证书,除了谷歌之前使用过的一小部分经由独立运行、通过审核的下属机构所颁发的 证书。[来源:The Register ]

【安全漏洞】

Apache Strust 的漏洞可能会影响思科的大部分产品

近期,思科对所有使用 Apache Struts 框架的产品进行了大规模审计。仅在上周,Struts 就爆出了 4 个漏洞,思科安全研究员将针对这四个漏洞,对所有相关产品进行渗透测试。

Apache Struts 漏洞与思科产品.jpg

思科设置了两个安全目录,将产品按照即将测试、存在漏洞和确认无漏洞这三个类别进行分类。第一个安全目录主要针对的是 9 月 5 日与 Struts 2.5.13 一起发布的 安全声明,新版的 Struts 2.5.13 修复了 CVE-2017-9804, CVE-2017-9805 和 CVE-2017-9793。第二个安全目录则是针对 9 月 7 日发布的 Struts 2.3.34,新版本修复了 CVE-2017-12611,这是一个 Struts 远程代码执行漏洞,可以被黑客利用,控制远程服务器。在这些漏洞中,CVE-2017-9805 最容易被黑客利用。思科的 WebEx Meetings Server、Data Center Network Manager、Identity Services Engine (ISE)等主流产品,以及一些视频和流媒体服务都在此次审查之列。[来源:bleepingcomputer]

安卓的 Toast 漏洞或使用户陷入恶意软件、DOS 攻击,甚至造成信息泄露

谷歌日前修复的81个漏洞中,有一个名为 Toast 的高危漏洞,可被攻击者用于控制设备,将设备锁定并从设备中窃取信息。

安卓.jpg

Palo Alto 研究人员发现攻击者可以轻易利用这个漏洞发起“overlay”攻击,在最坏的情况下,这个漏洞可以用于安装任意恶意软件(包括勒索软件和信息窃取软件)。“Overlay” 攻击是指攻击者的 APP 可以开出一个窗口,覆盖在设备的其他窗口或 APP 之上。一旦成功,用户在点击看似正常的窗口时,实际上就点击了攻击者打开的假窗口。最终,攻击者可以用这个方式欺骗用户安装恶意软件,或授权恶意软件管理员权限。Overlay 攻击还可制造 DoS 攻击,在设备上打开一个窗口之后就无法移除。

这个漏洞并不影响最新版本的 Android 8.0 系统,而是会影响之前的所有版本。目前谷歌已经发布了修复补丁。[来源:infosecurity]

【国内新闻】

国家网信办新规定:1 0 月 8 日起微信 QQ 微博必须实名

近日,国家网信办印发了《互联网群组信息服务管理规定》(以下简称规定),规定从 10 月 8 日起,包括微信群、QQ 群、微博群、贴吧群、陌陌群、支付宝群聊等在内的互联网群组,进行真实身份信息认证。《规定》指出,互联网群组信息服务提供者应落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等管理制度;并强调互联网群组信息服务提供者应当对互联网群组信息服务使用者进行真实身份信息认证,建立信用等级管理体系,合理设定群组规模,实施分级分类管理,并采取必要措施保护使用者个人信息安全。

实名制.png

《规定》还要求,互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。互联网群组成员在参与群组信息交流时,应当遵守相关法律法规,文明互动、理性表达。[来源:国家网信办]

卧室摄像头 IP 地址被公开叫卖

有记者调查了解到,目前,我国的家用摄像头保有量为 4000 万至 5000 万个,其中一些存在被攻击风险。在一些 QQ 群和百度贴吧,有人公然售卖破解摄像头软件,分享他人家庭私密影像。7 月 14 日,北京警方破获一起网上传播家庭摄像头破解软件案,抓获涉案人员 24 名。据犯罪嫌疑人交代,他们非法获取某品牌摄像头破解软件,利用黑客手段破解网络摄像头 IP,然后在 QQ 群中出售。8 月初,浙江丽水警方成功打掉浙江省首个网上传播家庭摄像头破解入侵软件的犯罪团伙。已被破解入侵的家庭摄像头 IP 近万个,涉及云南、江西、浙江等地。

摄像头

据业内人士介绍,只需要掌握用户的摄像头IP地址和账户密码,就可以登录查看摄像头的实时画面,而这些 IP 地址都是通过扫描软件得到的。此外,这些被入侵的家庭摄像头还有可能沦为黑客的攻击工具。反病毒实验室安全专家马劲松告诉记者,被控制的摄像头变成了攻击源,而真正的攻击者的位置被隐藏起来,此种攻击可能造成更大范围的危害。专家表示,在选购家用摄像头时,选择正规厂家生产的大品牌摄像头就已经为普通用户过滤掉了 70% 至 80% 的安全风险,如果用户根据说明书设置密码,家用摄像头的安全性将达到 90% 以上。[来源: cnBeta]

【其他】

Equifax 出现数据泄漏后,FireEye 将 Equifax 从客户案例中下架

日前,美国最大征信商 Equifax 发生大规模数据泄露,一亿多名美国公民身份信息遭曝光。此事造成了恶劣影响。事发后,FireEye将Equifax从客户案例中下架。

FireEye 下架 Equifax.jpg

Equifax 的背书曾表示 FireEye 的技术保护其免受 0-day 攻击和针对性攻击。而此次数据泄露事件则表明,这不过是夸夸其谈。数据泄露事件从 5 月中旬开始,秘密进行了两个月。攻击者获取了 姓名、社保账号、生日、地址甚至驾照等信息,并窃取到 209000 名美国公民的信用卡。Equifax 表示自己核心数据及用户信用汇报数据库幸免于难。黑客利用随机的 web 应用漏洞入侵了系统。据称,Equifax 聘请了 FireEye 的专家对事件进行调查。事实上,9月5日——也就是事件被曝光的前两天,相关专家就注册了 Equihax.com 域名,用于防范了针对 Equifax 的钓鱼攻击,也防止攻击者拿这个域名发起更多恶意活动。[来源:The Register]

CAA 在 9 月 8 日刚刚实施,德国研究人员就发现 Comdo 违规颁发 SSL 证书

在 9 月 8 日 CAA(证书颁发机构授权)标准成为了必须之后,一名德国安全研究人员发现 Comodo 颁发了 SSL 证书。CAA 授权允许网站拥有者可以授权一些 CA 机构以网站之名颁发证书。网站拥有者还可以通过在 DNS 条目中增加 txt 内容的方式为自己的域名设置 CAA 规则。

Comodo.jpg

根据 CAA 规则,Comodo 这类公司在签发新的 SSL 证书之前,必须检查 DNS 记录中的 CAA field。但是,周一,德国安全研究员 Hanno Böck 却发现他可以直接在自己的网站使用 Comodo 新发布的 SSL 证书,尽管这个网站的 CAA field 只允许来自 Let’s Encrypt 发布的 SSL 证书。目前也有其他人确认了相同的问题,看来 Comodo 尚未对 CAA 进行检查。讽刺的是,Comodo 却在自家网站首页声称自己符合 CAA 规范,且尚未对德国研究员的这一发现给出反馈。[来源: bleepingcomputer]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

这些评论亮了

发表评论

已有 3 条评论

取消
Loading...
css.php