Buf早餐铺 | 大疆也推漏洞奖励计划了;一份超7亿用户的邮箱密码数据正在流通;朝鲜持续对比特币交易平台发动攻击,为增加财政收入?

2017-08-31 279760人围观 ,发现 3 个不明物体 资讯

炎热的8月马上就要过去了,希望大家的心情也变得清凉起来。

今天 Buf 早餐铺的主要内容有:安全研究人员拿到一份包含7.11亿用户邮箱和密码的数据;大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入;LabVIEW被曝存在严重漏洞:攻击者可在目标设备上执行恶意代码,彻底控制系统;印度与巴基斯坦疑似遭遇国家级网络间谍攻击。

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

【国际时事】

据外媒报道:朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

东亚一家非盈利新闻机构Radio Free Asia最近报道称,朝鲜已经针对韩国的3家和欧洲的1家比特币交易平台发动过网络攻击。不过提供的细节信息比较少,外媒推测7月份韩国Bithumb平台遭遇攻击可能就与朝鲜有关。美国合众国际新闻社也对此进行了报道,报道中提到韩国CWIC网络战研究中心声明,其国内的比特币交易已经成为攻击目标。

CWIC发言人表示已经有钓鱼邮件针对比特币交易平台发起攻击,而且使用区块链、金融技术企业等都已经成为钓鱼目标——CWIC认为邮件附件中的恶意代码就是来自朝鲜。外媒认为,朝鲜期望以比特币用户和交易平台为攻击目标,来推动其经济,也是应对当前国际制裁的一种方案。不过实际上两份报告都没有提供攻击细节等内容,CWIC还说朝鲜已经掌握那些经常进行BTC交易个人的细节信息——这或许也表明Bithumb交易平台数据被窃取一事和朝鲜有关,当时大约31000名用户的邮箱和电话号码信息被窃取。 [来源:SecurityWeek]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警

美国德州刚刚遭遇了台风“Harvey”,US-CERT正对潜在钓鱼风险发起预警,专家担心犯罪分子可能利用相关本次台风的恶意邮件发起钓鱼。US-CERT在公告中提到,对于所有相关台风“Harvey”的邮件,包括标题、附件、超链,都要保持警惕。欺诈邮件经常利用这样的方式引导用户前往钓鱼站点,也会伪装成慈善机构请求捐款。先前台风“Matthew”肆虐南卡罗莱那州之际,当局也曾向公民发起过类似的预警,因为犯罪分子很擅长利用热点事件来发起钓鱼活动,如先前的马航事件。[来源:SecurityAffairs]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

赛门铁克:印度与巴基斯坦疑似遭遇国家级网络间谍攻击

赛门铁克最近发现一起针对印度和巴基斯坦的间谍活动,赛门铁克认为此次网络入侵行动有国家背景支持。路透社报道称,这次行动似乎是由多个组织同时发起的,不过所用的策略和技术都表明这些组织具有“相似的目标和相同的背景”,有可能就是某个国家支持的,但并未提到是哪个国家。

赛门铁克在报告中提到,此次网络间谍行动可以追溯到2016年10月。目前印度和巴斯斯坦的国际局势都比较紧张,所以攻击一直没有被发现。这次的攻击主要专注于政府和军队,相关其在南亚的动作和地区安全问题方面的利益。攻击者利用Ehdoor后门获取目标设备的控制权——Ehdoor最早是出现在去年9月份的一个木马,起初用来针对中东等地的政府、军队以及军队相关的组织。Ehdoor会在目标计算机上获取信息,下载恶意文件。

赛门铁克在报告中说,攻击者利用相关南亚地域安全问题的恶意文档来投递恶意程序,另外攻击者也以Android设备为攻击目标;恶意程序监控上传和下载的文件,执行进程、记录键击,识别目标所在位置、窃取个人数据、截屏。此外,该后门还随时间推移持续执行“更多能力”。路透社消息称,巴基斯坦联邦调查局一名未具名的高级官员表示并未收到来自政府信息技术部门有关恶意程序的报告。 [来源:SecurityAffairs]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

【安全漏洞】

大疆推出无人机漏洞奖励计划

鉴于无人机产品在全球的受欢迎度,大疆显然希望能进一步增强自身产品的安全性。大疆在周一宣布启动漏洞奖励计划,该计划奖励任何发现软件漏洞的人员,金额在 100 到 30000 美元之间,无论发现的是安全漏洞,隐私威胁,还是简单的应用程序崩溃。大疆公司计划专门建立网站介绍漏洞奖励计划条款并说明提交漏洞问题的标准格式。之后感兴趣的研究人员就可以直接将漏洞报告提交给公司。大疆表示将会重视所有提交的漏洞。 [来源:threatpost

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

Mobile Pwn2Own 2017黑客大赛11月上演,奖金总额超50万美元

趋势科技本周表示针对Zero Day Intiative的Mobile Pwn2Own大赛将提供超过50万美元的奖金。本次大赛预计将在东京PacSec 2017大会,11月1日-2日期间开展。这已经是第六届Mobile Pwn2Own大赛了,本次比赛针对4个破解设备,分别是Google Pixel、三星Galaxy S7、苹果iPhone 7和华为Mate 9 Pro;破解项目四个类别,包括浏览器、短距离与WiFi、消息(Messaging)、基带。

所有设备都已经打上最新的补丁,比赛鼓励安全研究人员和白帽们发动0day攻击。如针对浏览器这个类别,白帽需要以Chrome、Safari、三星浏览器为攻击目标,奖金分别5万、4万、3万美元。短距离与WiFi类别中,攻击可针对蓝牙、NFS、WiFi发动,奖金分别4万、5万和6万美元。消息类别则包含SMS和MMS,攻击可获6万美元;基带类别则可以拿到10万美元奖金。

最终还有“Master of Pwn”积分可以拿,有资格进入到Add-on Bonuses奖励的选手可以获得更多奖励。比如Kernel Bonus,是指实现内核权限的payload执行,可获得额外的2万美元奖金和3个Master of Pwn积分;Persistence Bonus——设备重启后payload持续发挥作用,则可获得额外奖金,iOS平台5万美元,Android平台4万美元,以及3个Master of Pwn积分。[来源:SecurityWeek]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

LabVIEW被曝存在严重漏洞:攻击者可在目标设备上执行恶意代码,彻底控制系统

如果你是一名工程师,而且使用LabVIEW软件设计机器或工业设备,那么现在在打开VI文件的时候要小心了。LabVIEW是由美国国家仪器公司开发的,是个可视化编程语言以及系统设计工具,在全球范围内的诸多领域都有广泛应用。最近思科Talos团队发现LabVIEW软件中的一个严重漏洞,攻击者利用漏洞可在目标设备上执行恶意代码,实现对系统的完全控制。漏洞编号CVE-2017-2779,打开恶意构造的VI文件就能触发漏洞(VI文件是LabVIEW专有文件格式)。

这个漏洞源于LabVIEW中RSRC部分的解析功能存在内存破坏问题,调整VI文件RSRC部分的值,就能导致发生循环状况,并导致任意无效写入。研究人员已经在LabVIEW 2016 16.0成功测试该漏洞,但美国国家仪器公司认为这并非产品中的漏洞,也不打算对此发布补丁。研究人员依旧表示,针对与现实世界交互的系统进行成功入侵,比如数据采集系统和控制系统,对安全而言都是非常严重的威胁。[来源:TheHackerNews]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

【安全事件】

安全研究人员拿到一份包含7.11亿用户邮箱和密码的数据

法国一名安全研究人员Benkow表示,他获得了一份spambot数据,名为“Onliner Spambot”,其中包含来自全球各地7.11亿用户的邮箱地址和明文密码,这应该算是一份海量数据了。这份数据存储在荷兰的一台服务器上,当前任何人都可以访问。从2016年开始,这份数据库就用于向用户发送垃圾信息和Ursnif银行木马。

Ursnif能够从目标设备窃取银行信息,包括信用卡数据。Benkow表示,要发出垃圾邮件,攻击者需要一个海量SMTP身份凭证列表,为此攻击者要么自己建这份表,要么去购买。有越多的SMTP服务器,就越能开展分发行动。这份数据已经得到HaveIbeenPwned(HIBP)确认,HIBP在博客中提到其中27%的账户已经存在于HaveIBeenPwned数据库中,主要来自先前LinkedIn、MySpace、Dropbox数据泄露事件;但这个量的数据依然让HIBP感到震惊。如果你想知道自己的邮箱是否也已经泄露,可以前往HaveIBeenPwed输入邮箱地址确认。 [来源:HackRead]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码

美国二手电子产品经销商CeX最近通知用户,可能已经有200万客户的个人信息被黑客获取。国外不少网民表示收到来自CeX的邮件,邮件通知其个人信息,包括姓氏、姓名、住址、邮箱地址、电话号码可能已经被非法访问,某些密码也已经被窃取。虽然这些密码经过了哈希,不过仍然警告称存在被破解风险。

CeX表示已经找了网络安全专家来评估其业务流程,也进一步增加了安全特性,防止此类事件再度发生。值得一提的是,某些信用卡和借记卡数据也可能被窃取了,但CeX认为问题不大,因为从2009年开始就停止存储这样的数据了,所有的卡片数据应该都已经过期了。当前针对此事的调查还在进行中。本次数据泄露没有影响到实体店。 [来源:TheRegister]

BUF 早餐铺 | 大疆推出无人机漏洞奖励计划;二手电子产品经销商CeX宣布200万用户数据被窃,包括哈希密码;台风Harvey袭击德州之后,US-CERT针对潜在钓鱼风险发出预警;朝鲜针对国外比特币交易平台持续发动攻击,以增加财政收入

Liki整理编译,转载请注明来自FreeBuf.COM

发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php