今天是6月7日星期四，今天早餐铺的内容有：MyHeritage族谱网站9200万账号信息泄露；Sigrun勒索软件免费解密俄罗斯受害者文件；Zip Slip漏洞影响大量项目，范围横跨多个生态系统；两个月后超过115,000个Drupal网站仍然可以被Drupalgeddon 2攻击；中国人民银行：筑牢网络安全和金融安全防线。

安全资讯早知道，两分钟听完最新安全快讯~

【漏洞攻击】

MyHeritage族谱网站9200万账号信息泄露

族谱DNA测试网站MyHeritage周一表示，自家的数据库遭到泄露，影响92,283,889名用户。公司在第三方网站服务器上发现了这些用户资料，从而得知了泄露情况。根据部分账号的创建时间，公司猜测泄露发生于2017年10月26日。目前尚不清楚是员工泄露了数据还是黑客攻击所致。

不过MyHeritage表示，数据库中的密码经过哈希加密，并非明文，用户无需过多担心。在遭遇数据泄露后，MyHeritage计划推出双因素认证机制。

[BleepingComputer]

Sigrun勒索软件免费解密俄罗斯受害者文件

Sigrun勒索软件作者现在向俄罗斯的受害者免费提供解密密钥，而对于其他国家的用户则仍需要支付2500美元价值的比特币或者Dash来解密文件。

Sigrun会检测用户的键盘布局，从而检查用户来源的国家。具体来说，勒索软件运行时会查看HKEY_CURRENT_USER\Keyboard Layout\Preload，如果检测到的是俄语布局的键盘，Sigrun就不会加密文件，而是把自己删除。这种手段的目的可能是为了防止黑客被俄罗斯的执法部门追查。而由于政治原因，乌克兰的用户不使用俄语布局的键盘，但Sigrun作者还是打算为他们提供免费的解密服务。

[SecurityAffairs]

Zip Slip漏洞影响大量项目，范围横跨多个生态系统

研究人员发现了一个关键漏洞，能够影响众多涉及压缩文件的开源库。在软件解压压缩包时会受此漏洞影响，压缩文件的种类包括：tar、jar、war、cpio、apk、rar和7z。

Zip Slip漏洞是“任意文件覆盖”以及“目录遍历”的结合，攻击者可以把文件解压到敏感位置，从而覆盖掉系统文件或者服务器配置。各种编程语言的压缩库都收到影响，其中Java生态系统影响最为严重。不过这个漏洞更偏重理论而非一个真正的漏洞。

[BleepingComputer]

两个月后超过115,000个Drupal网站仍然可以被Drupalgeddon 2攻击

研究人员扫描了全网中运行Drupal 7.x CMS后发现，在超过50万个网站中，有11万仍然运行着旧版本，能被Drupalgeddon 2漏洞攻击。Drupalgeddon 2是今年3月的新漏洞被称为是自Drupalgeddon漏洞以来最严重的漏洞之一。

黑客只需要访问一个构造的URL地址无需认证就可以攻占系统。Drupal随后针对6.x, 7.x和8.x版本推出了补丁。

[BleepingComputer]

【国内新闻】

AsiaSecWest 2018开幕

号称极客版“最强大脑”的“AsiaSecWest国际安全技术峰会—亚洲站”，在中国香港拉开帷幕。本届AsiaSecWest历时2天，秉承着技术至上、开放分享的极客精神和办会宗旨，吸引了来自世界各地最杰出的信息安全人才共同参与，以技术的力量共同开启全球网络安全守护的新动能。

“AsiaSecWest国际安全技术峰会—亚洲站”是CanSecWest首度移师香港，携手腾讯安全落地的全新中、西安全技术交流平台。作为一年一度的全球顶级信息安全峰会，在加拿大举办的CanSecWest一直以前瞻性、热点性、深度性的探讨视角著称。本届AsiaSecWest秉承了CanSecWest的传统，通过全球范围的开放议题申请，汇集了来自互联网、计算机、通信以及信息处理领域的前沿安全研究成果，多项重磅议题首次曝光。

[新浪]