BUF早餐铺 | Amazon S3 泄露1.23亿美国家庭详细信息;Windows 10 人脸识别可被照片骗过;大规模暴力破解攻击导致 WordPress 网站感染门罗币挖矿程序;手机信息被盗一年损失近千亿

2017-12-22 378143人围观 ,发现 5 个不明物体 资讯

寒谷春生,熏叶气、玉筒吹谷。今日冬至,好好吃早餐哦!

各位 Buffer 早上好,今天是 12  月 22 日星期五,冬至来了哦,记得注意保暖。今天份的 BUF 早餐主要有:Amazon S3 泄露1.23亿美国家庭详细信息;Chrome 将从 2018 年 2 月 15 日开始屏蔽侵入性广告;罗马尼亚警方逮捕 5 名散播 CTB-Locker 和 Cerber 勒索软件的嫌犯;Windows 10 人脸识别可被照片骗过;大规模暴力破解攻击导致 WordPress 网站感染门罗币挖矿程序;Ecom Instruments  生产的平板、手机、PAD等带有Wifi功能的设备遭 KRACK攻击;谁卖了我的手机号?手机信息被盗一年损失近千亿;男子私自搭建VPN服务器非法获利50余万元被判刑。

早餐 2.jpg

以下请看详细内容:

【国际时事】

Amazon S3 泄露 1.23 亿美国家庭详细信息

美国网络安全公司 UpGuard 发现,数据分析公司 Alteryx 将包含 1.23 亿美国家庭详细信息的服务器公开放在 Amazon S3 上。此前,UpGuard 也发现过一个包含敏感 NSA 文件的 Amazon S3 服务器,还有一个泄露美国陆军中央司令部和太平洋司司长数据的 S3 服务器。

Amazon S3 泄露美国家庭信息.png

与之前一样,访问 URL并登录到 Amazon 帐户的用户,就可以获取这个服务器中的信息。这个公开的数据库包含各种数据,但最重要的文件是Alteryx业务伙伴——美国消费信贷报告机构 Experian 和美国人口普查局的两个数据库档案。美国人口普查局的数据(2010 年的人口普查结果)已经在人口普查网站上公开发布,但 Experian 的数据从未公开。这些数据存储在名为“ConsumerView_10_2013.yxdb”的文件中,包含“几乎每个美国家庭的个人特征细节和数据”,共涉及 1.23 亿美国家庭超过 35 亿个信息细节。详情包括个人身份信息:地址、家庭详情、联系信息、房主种族;还包括抵押贷款状况、财务状况和购买行为等财务细节。

虽然这些信息时间不是最新的,但依然可能对涉及的用户造成影响。目前尚不清楚是否有其他人发现这些数据。但 Amazon S3 上事故频出,外包数据服务商的业务可信度令人深思。[来源:bleepingcomputer]

Chrome 将从 2018 年 2 月 15 日开始屏蔽侵入性广告

谷歌近日表示,Chrome 将从 2018 年 2 月 15 日开始屏蔽桌面和移动网站中不符合“更佳广告标准”的入侵性广告。在新版 Chrome 中,可能还会屏蔽谷歌自己发布的广告。此举的主要目的就是为用户创建更好的网页浏览体验。

按照“更佳广告标准”,在桌面中,Chrome 将过滤弹出式桌面广告、带有声音的自动播放视频广告、倒计时广告和大型悬停广告;在移动设备上,Chrome 将清除弹出式广告、prestitial 广告、覆盖页面超过 30% 的广告、动画广告、带有声音的自动播放视频广告、倒计时 poststitial 广告、全屏滚动广告以及大型悬停广告。

谷歌屏蔽广告

值得注意的是,此次广告评定会影响整个网站的域名,而非单一网页。所以即使只有个别网页犯规,只要域名被加入黑名单,该域名下所有网页的广告都会遭到拦截。[来源:bleepingcomputer ]

罗马尼亚警方逮捕 5 名散播 CTB-Locker 和 Cerber 勒索软件的嫌犯

欧洲刑警组织周三表示,在联合 Operation Bakovia 行动中,来自罗马尼亚、荷兰和英国的 FBI 与执法机构展开突袭,逮捕了五名参与传播 

CTB Locker 和 Cerber 勒索软件的嫌犯,并缴获大量硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备、大批文件和数百张SIM卡。

罗马尼亚.png

CTB Locker又名 Critroni,以 CryptoLocker 为基础,成为 2016 年传播最广泛的勒索软件家族,也是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 勒索软件于 2016 年 3 月出现,它通过勒索软件即服务(RaaS)模式广泛传播。黑客可以通过传播 Cerber 勒索软件,可以获得每笔赎金的 40% 作为收入。

其中,黑客已经通过 CTB Locker 获取 2700 万美元的赎金;而 Cerber 则被谷歌列为最恶劣的勒索软件,到 2017 年 6 月已经勒索到 690 万赎金。二者所使用的攻击向量也很常见,基本都是钓鱼邮件和 exploit 套件等。[来源:TheHackerNews]

【漏洞攻击】

Windows 10 人脸识别可被照片骗过

微软在本月早些时候发布了更新,修复了 Windows 10 Hello 面部识别系统中的一个漏洞。利用这个漏洞,攻击者可以使用打印的照片绕过面部扫描。

Windows Hello 是为 Windows 10 专门配置的功能,使用近红外(IR)成像来验证和解锁 Windows 设备(如台式机、笔记本电脑和平板电脑等配置近红外传感器兼容相机的设备)。

但是近期,德国测试公司 SySS GmbH 的研究人员发现利用照片就能绕过这个人脸识别功能,破解设备。将设备所有者脸部的低分辨率(340×340像素)照片的激光彩色打印输出,修改为近红外光谱,就能解锁此前激活过 Windows Hello 的多个 Windows 设备。

Windows Hello.png

即使在 Windows Hello 设置面板中启用了“增强反欺诈”功能,攻击仍然有效。当然,这种情况下需要分辨率更高的(480×480像素)照片。

目前微软已经发布更新,研究人员建议将 Windows 10 版本升级到 1709 版本,避免遭受攻击。[来源:bleepingcomputer]

大规模的暴力破解攻击导致 WordPress 网站感染门罗币挖矿程序

本周,Wordpress 站点遭遇大规模暴利破解攻击,攻击者试图获取管理员登录账号,安装门罗币挖矿程序。最早的攻击开始于标准时间周一早上 3:00,目前攻击依然强劲。

WordPress.jpg

WordPress 安服公司 Wordfence 表示,每小时平均有 190000 个 WordPress 站点遭受暴力攻击,最高峰时每小时攻击达到 1400 万次。研究人员称,此前暗网上泄露的 14 亿明文账号密码可能加速了此次攻击。攻击者的主要目的是在这些网站中植入门罗币挖矿程序,目前为止,攻击者已经赚取价值至少 10 万美元的门罗币。[来源:bleepingcomputer]

Ecom Instruments  生产的平板、手机、PAD等带有Wifi功能的设备遭 KRACK攻击

根据 ICS-CERT 及其德国 CERT @ VDE 的消息,Ecom Instruments 生产的基于 Windows 和 Android 的坚固平板电脑、手机和 PDA 所使用的 Wi-Fi 组件易遭受 KRACK 攻击。

易受攻击的产品包括基于 Android 的 Tab-Ex 01 平板电脑、Ex-Handy 09 和 209 手机、Smart-Ex 01 和 201 智能手机;基于 Windows 的 Pad-Ex 01平板电脑和 i.roc Ci70-Ex、CK70A-ATE、CK71A-ATE、CN70A-ATEX 和 CN70E-ATEX PDA。

Ecom Instruments 智能手机

报告显示:“ecom仪器设备在理论上可以通过重放,解密和伪造数据包来攻击。但是,要执行攻击,攻击者必须比接入点更接近 ecom 设备。使用 KRACK 攻击并不能破坏 WPA2 密码。但需要注意的是,如果使用 WPA-TKIP,攻击者可以轻松地伪造数据包直接将其并注入 WLAN。

Pepperl + Fuchs 和 Ecom 目前正在解决受影响的 Android 产品中的漏洞。至于基于 Windows 的设备,建议用户应用 Microsoft 提供的补丁,并切换到使用 AES-CCMP 加密,放弃 WPA-TKIP 加密。[来源:SecurityWeek]

【国内新闻】

谁卖了我的手机号?手机信息被盗一年损失近千亿

12月5日,北京市公安局海淀分局宣布破获一起新型特大非法获取公民个人信息案,查获包括手机号在内的公民信息100余万条。

海淀分局网安大队副大队长董立波介绍:“某些网站植入一段恶意代码,只要用户使用手机流量打开网页,黑客就会利用运营商漏洞,抓取到用户的手机号、IP地址、访问时间、搜索时输入的关键词等信息。这是一种新型黑客手段,能在用户不知情的情况下获取个人信息,进而开展精准营销甚至电信诈骗,多出现在医疗、教育、贷款等网站。”

simcard.png

看似简单的代码背后,暗藏一条黑色产业链。董立波介绍,本案所涉黑色产业链分三个层级。上游是恶意代码的生产者,下游则是植入恶意代码的网站,中间商在两者之间牵线搭桥。下游网站虽已购买恶意代码,但不能直接看到被抓取的个人信息,得按条数或者包月从中间商手中购买。中间商从上游网站获取代码的价格是600元,收购的个人信息8分至1角钱一条;转手卖给下游网站时,代码价格涨到1000元,个人信息则能卖到5角至1元钱一条。

上游网站“薄利多销”,中间商网站赚取差价,下游网站精准出击。黑色产业链各个环节“皆大欢喜”,用户则成为买单者和受害者。

据统计,截至今年8月,三家基础电信企业的移动电话用户总数达13.8亿。而仅在2015年下半年至2016年上半年,因垃圾信息、诈骗信息、个人信息泄露等造成的总体经济损失就高达915亿元。一些黑客利用运营商或网站平台的漏洞,采用技术手段非法获取公民信息。也有内鬼作怪,把正常途径获取的公民信息转手卖给他人。有关方面表示,既要打击下游买家,也要从源头制止泄露,既要治标,也要治本。[来源:人民日报 ]

男子私自搭建VPN服务器非法获利50余万元被判刑

2013年至2017年6月期间,犯罪嫌疑人吴向洋在未取得相关经营许可的情况下,为非法牟利,自己在网上搭建VPN服务器并提供会员账号和登录软件,该软件登录后可以浏览境外网站;另外犯罪嫌疑人吴向洋还把一些VPN会员账号密码写到硬件路由器上,使得修改过的路由器能够直接登录VPN,实现能够收听境外网站音视频节目的功能。

VPN.png

之后犯罪嫌疑人吴向洋利用“淘宝网”开设网店以及在互联网开设“凡狗VPN”网站等方式向一般用户出租或销售VPN软件、VPN路由器硬件,交易数千次,非法经营额达792638元,非法获利约50余万元。

吴向洋在未取得《增值电信业务经营许可证》的情况下,在网络上销售VPN代理服务,根据《中华人民共和国电信条例》和《中国人民共和国刑法》等相关法律规定,吴向洋涉嫌非法经营罪。近日,经广西平南县检察院提起公诉,被告人吴向洋因非法经营罪被法院判决有期徒刑五年六个月,并处罚金人民币五十万元。 [来源:正义网 http://news.jcrb.com/jszx/201712/t20171220_1827177.html ]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

发表评论

已有 5 条评论

取消
Loading...

特别推荐

关注我们 分享每日精选文章

css.php