今天是1月23日星期二，今天BUF早餐铺的主要内容有：15岁男孩假扮成CIA官员黑掉高度敏感的信息；HackerOne 2018 白帽黑客报告：高级白帽收入远超软件工程师平均薪资；研究人员发现政府支持的手机黑客组织；一加承认，黑客窃取了多达4万名客户的信用卡信息；Evrial木马正在犯罪论坛上出售，可以窃取浏览器cookie和存储的凭据，轻松劫持加密货币付款和Steam交易。

【国际时事】

15岁男孩假扮成CIA官员黑掉高度敏感的信息

还记得黑客组织“Crackas With Attitude”吗？

一个臭名昭著的亲巴勒斯坦黑客组织对美国情报官员进行了一系列尴尬的黑客攻击，并在2015年泄露了联邦调查局特工20,000人的信息，还有9000名国土安全部门官员以及一些美国司法部工作人员的个人详情。

信不信由你，这个黑客组织的头目当时只有15岁。周二在法庭听证会上透露，他利用“社会工程学”模仿中央情报局局长，在没有授权的情况下在莱斯特郡家中直接访问了高度敏感信息。

Kane Gamble，现年18岁，英国少年黑客瞄准当时的中央情报局局长John Brennan，国家情报局局长James Clapper，国土安全部长Jeh Johnson，联邦调查局副局长 Mark Giuliano以及其他FBI高级官员。

在2015年6月至2016年2月期间，Gamble扮演Brennan的角色，欺骗呼叫中心和热线工作人员泄露宽带和有线电话密码，并利用该密码获得阿富汗和伊朗情报业务计划。

这名青少年还嘲弄受害者及其家属，公布他们的个人资料，用电话和信息轰炸他们，在电脑上下载并安装色情内容，控制他们的iPad和电视屏幕。

[FreeBuf]

HackerOne 2018 白帽黑客报告：高级白帽收入远超软件工程师平均薪资；企业对于漏洞报告持更开放的态度

全球知名漏洞众测平台 HackerOne 近期发布了 2018 白帽黑客调查报告，针对 1698 白帽受访者展开调查，并得出了一些结论，报告结果显示：白帽黑客也许将迎来暖春。

截至 2017 年 12 月，HackerOne 共有超过 16.6 万在册白帽子，一共提交了 7.2 万多个漏洞，平台累计发放奖励 2350 万美元奖金。

研究发现，漏洞赏金可能会改变一些白帽子的生活。在印度，顶级白帽子的收入可达到软件工程师平均工资的 16 倍。平均而言，各国顶级安全研究人员的收入是该国软件工程师平均工资的 2.7 倍；近四分之一的黑客没有报告他们发现的漏洞，因为漏洞影响的公司没有设置漏洞披露渠道。

完整报告可以参考本文

研究人员发现政府支持的手机黑客组织

这场全球性的手机间谍活动至少从2012年起至少收集了一大批敏感个人信息，不过意外地暴露了自己，原因是使用了开放互联网上暴露的服务器。

这是已知的第一起大规模针对手机的黑客行动。

根据最新的一份报告，被称为Dark Caracal的高级持续威胁（APT）小组已经从21个不同国家的数千名受害者窃取了数百GB的数据，其中包括个人可识别信息和知识产权。

黑客组织意外将一些文件泄露到互联网后，被追溯到贝鲁特的黎巴嫩安全总局（GDGS），该国的情报机构之一。

报告写道：“根据现有证据，GDGS可能与Dark Caracal背后的行动者有关联或直接支持。

据长达51页的报告[PDF]，APT小组针对的包括政府，军事人员，公用事业，金融机构，制造公司，国防承包商，医生，教育专业人员，学者和来自许多其他领域的平民。

研究人员通过op13@mail[.]com线索，至少确定了四个与Dark Caracal基础设施相关的不同人物角色 - 即Nancy Razzouk，Hassan Ward，Hadi Mazeh和Rami Jabbour。

[THN]

一加承认，黑客窃取了多达4万名客户的信用卡信息

一加证实，安全漏洞影响了其在线支付系统，黑客盗取了多达4万客户的信用卡信息。

几天前，一加的许多客户声称在公司网上商店购物后，遭遇信用卡欺诈。

一加最终证实，其在线支付系统遭到入侵，在公司官方网站购买的客户遭到多次欺诈信用卡交易的投诉。

客户通过支持论坛和Reddit报告了数十起案件。

1月19日，该公司发布声明，承认盗窃信用卡信息属于多达4万客户。黑客在2017年11月中旬至2018年1月11日之间偷取了信用卡信息，在付款页面代码中注入恶意脚本。

这个脚本被攻击者用来在网上商店购买的用户输入信息卡时窃取信息卡信息。

“非常抱歉，我们确实受到了攻击，Oneplus.net上的多达4万用户可能会受到此事件的影响。我们已经发送了一封电子邮件给所有可能受到影响的用户。“声明写道。

[SecurityAffairs]

Evrial木马正在犯罪论坛上出售，可以窃取浏览器cookie和存储的凭据，轻松劫持加密货币付款和Steam交易

一个新的Evrial木马正在地下论坛出售，并大量传播。跟其他窃取信息的木马一样，Evrial可以窃取浏览器cookie和存储的凭据，除此之外，这个Evrial木马还可以监视Windows剪贴板，如果检测到特定信息就会进行替换。

安全研究人员MalwareHunterTeam和Guido Not CISSP首先发现了这个木马，通过监视某些字符串的Windows剪贴板，Evrial让攻击者可以轻松劫持加密货币付款和Steam交易。原理是木马会把比特币交易地址替换成黑客的地址。

根据MalwareHunterTeam的调查，Evrial目前正在俄罗斯的犯罪论坛上以1500卢布或27美元的价格出售。卖方声明，购买产品后，攻击者可以访问一个网页面板，船舰一个可执行文件。此Web面板还会跟踪剪贴板的修改情况，让攻击者配置替换字符串。

[BleepingComputer]

【国内新闻】

海康威视发布2018网络安全白皮书

1月21日—23日，INTERSEC 2018迪拜国际安防展在迪拜举行。展会期间，杭州海康威视数字技术股份有限公司（以下简称海康威视）正式发布了2018《海康威视网络安全白皮书》，旨在与业界共同分享海康威视在网络安全方面的探索与实践，助力行业提升网络安全防范能力。

《白皮书》提出，网络安全并不是某个国家或公司的问题，需要国际合作应对这一挑战，以及各相关利益方建立信任协助机制协同处理。《白皮书》分别从物联网安全威胁、安防产业的网络安全、产品安全声明周期、供应链安全等方面，阐述了当前安防行业的网络安全现状、挑战、业界实践以及海康威视在网络安全方面所做的努力，强调了网络安全的重要性和迫切性。

《白皮书》指出，安防产业的发展历程是先模拟后数字，在模拟时代安防系统都是在专网内工作，所以产业注重的是产品的成本、性能和易用性，但随着安防产业网络化的快速推进，导致了原来在模拟时代是优势、强项的易用性设计，到了数字时代可能就会与信息安全的最佳实践存在偏差。“我们看到了数字和网络革命对安防产业带来的里程碑式的意义，同时，我们也看到了针对互联网所发起的各类恶意攻击开始蔓延到了安防领域。”海康威视网络安全部负责人王滨说。

[科学网]

人民日报观点：筑牢网络安全的基石

数据存储安全是网络安全的基石，特别是在信息安全事件频发的复杂环境中，把关键技术掌握在自己手里，已成为衡量一国科技实力和综合国力的重要标志。在日前举行的宏杉科技国产芯片存储研讨会上，多位业内的专家学者和企业界人士共同探讨了实现存储技术自主可控的问题。

实现网络信息和数据的自主可控存储，才能在底层具备维护数据安全的基础条件。国家信息化专家咨询委员会杨国勋副主任表示，虽然国产的存储产品市场占有率超过了50%，但是真正掌握核心技术、具备中高端存储产品研制生产能力的厂商还很少，提升产品的可靠性、可控性、安全性和性能，不断降低能耗和生产成本，是该领域创新的迫切要求。

实现数据存储中的关键部位和核心软硬件的国产化，是从源头上保证存储技术自主可控的手段。特别是具有逻辑处理能力的核心芯片国产化，对实现自主可控提出了更高的要求。中国工程院院士、国防科技大学计算机学院院长廖湘科表示，计算、通讯和存储是信息技术的核心，而存储对数据和计算的要求都很高。目前国产的第四代CPU虽然与国际领先的产品存在差距，但是通过产学研的深度合作和技术优化，宏杉科技联合国产芯片飞腾共同研制的基于飞腾FT1500A/16核处理器的企业级存储产品，加快了自主可控存储技术的国产化进展。

[人民网]