FreeBuf早报 | 英国网络安全机构督促开发者淘汰 Python 2;微软为Chromium Edge推出除虫赏金项目;数据泄露后 Web托管服务商Hostinger重置1400万用户密码

2019-08-27 72445人围观 ,发现 5 个不明物体 资讯

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1. 微软为Chromium Edge推出除虫赏金项目

微软已经为基于 Chromium 内核开发的新版 Microsoft Edge 浏览器,推出了一个全新的除虫赏金(bug bounty)项目。如果提交的安全漏洞报告的质量足够高,该公司将给出高达 3 万美金(21.4 万+ RMB)的奖励。[阅读原文]

2. 攻击者正在攻击易受攻击的Fortigate和Pulse Secure SSL VPN

攻击者利用最近发布的漏洞详细信息和PoC漏洞利用代码从易受攻击的Pulse Connect Secure SSL VPN和Fortigate SSL VPN安装中提取私钥和用户密码。[外刊-阅读原文]

3.Facebook招1万人专查数据泄露,科技巨头如何保障你的信息安全?

全球知名风险投资数据公司CBINSIGHTS发布了题为《科技巨头如何解决网络安全问题》的研究简报,分析了FAMGA(Facebook、亚马逊、微软、谷歌和苹果)五大科技巨头如何应对近期的网络安全争端和修补隐私漏洞,具有一定的参考意义。[阅读原文]

4.堪培拉为危机事件建立内容屏蔽制度

澳大利亚电子安全专员将获得权力,迫使该国的电信公司在危机事件中阻止某些内容的公开与传播。总理斯科特·莫里森表示,这将用于“保护澳大利亚人免受基督城恐怖袭击等网上暴力事件的影响”。此外,政府还将建立一个24 x 7危机协调中心,向政府机构通报“在线危机事件”,并协助电子安全专员进行“快速评估”。[外刊-阅读原文]

5. Bad Packets研究表示,超过14,500个VPN端点易受CVE-2019-11510影响

BadPackets专家观察到针对易受CVE-2019-11510攻击的Pulse SecureVPN端点的攻击行为。另一个流行网络安全专家凯文·博蒙特,也观察到攻击者企图利用CVE-2018-13379在的FortiOSSSL VPN门户网站和CVE-2019-11510在Pulse Connect Secure中存在的漏洞发起攻击。[阅读原文]

6. 流行 Javascript 库在安装时展示广告

如何支持开源开发者?捐赠还是广告?多个流行的 NPM JS 库选择了广告,core-js 的作者通过广告推销自己,而 Standard 的作者则决定在安装时展示广告,这些做法都引发了争议。[阅读原文]

7. 数据泄露后 Web托管服务商Hostinger重置1400万用户密码

在发生了包含 1400 万用户信息的数据库被“未经授权的第三方”访问的事件之后,Web 主机托管服务商 Hostinger 决定采取“预防措施”—— 重置所有客户的密码。该公司解释称,当黑客使用公司某服务器上的凭证登录其内部 API 系统时,引发了意料之外的安全事件。[阅读原文]

【安全事件】

1. 新型勒索病毒NEMTY来袭,GandCrab真的消亡了吗?

赚了20亿美元的GandCrab勒索病毒运营团队于2019年6月1号宣布停止更新,之后不断有新型的勒索病毒出现,此前Sodinokibi勒索病毒接管了GandCrab的传播渠道,然而赚了那么多的GandCrab勒索病毒运营团伙真的会退出吗?后面会不会换一个勒索病毒家族,继续运营呢?[阅读原文]

2. 点餐买电影票都要个人信息 数据收集引发担忧

“中国互联网用户对数据收集和相关安全问题的担忧正在加剧。”北京速途研究院前院长、独立互联网行业评论员Dingding Zhang表示,“那些不在乎个人数据泄露的用户可能只是没有意识到这会给他们带来多大的危害。”。[阅读原文]

3. 充电桩产品风险监测:七成样品存隐患,相关标准或年底出台

近日,广东产品质量监督检验研究院首次公布了充电桩产品风险监测结果,结果显示,70%的样品存在安全隐患。据悉,这次风险监测共采集9家生产企业的10批次电动汽车充电桩产品,其中7批次不符合国标要求,有1批次样品3个检测项目不符合国标,安全风险较大。[阅读原文]

4. 英国网络安全机构督促开发者淘汰 Python 2

Python 2.x 即将终止支持,英国国家网络安全中心(NCSC)督促开发者尽快淘汰 Python 2.x 迁移到 Python 3.x。Python 2.x 将于 2020 年 1 月 1 日终止支持,Python 核心开发者之后不再提供 bug 修正和安全更新。[外刊-阅读原文]

5. 大量登录信息泄露,Chrome 将内置数据泄露通知功能

有消息指出,Google 正在向Chrome 浏览器添加内置的数据泄露通知服务,该服务会在用户使用已泄露的凭据登录网站时发出警告。此前 Google 已经发布了一个 Password Checkup 扩展,它也提供了类似的警告,通过对该扩展数据的调查,Google 发现,大约 1.5% 的用户数据已经被泄露,而其中有 26% 的用户在收到警告后更改了密码。考虑到这种功能的重要性与普遍性,Google 这一次直接将其集成到Chrome 中,作为一项内置特性存在。[阅读原文]

6.多家国际航空公司宣布:禁止带部分型号苹果电脑登机

新加坡航空公司宣布,由于存在安全隐患,禁止乘客携带部分型号的苹果(MacBook Pro)笔记本电脑登机。苹果公司今年6月宣布召回2015年9月至2017年2月出售的部分15英寸MacBook Pro笔记本电脑,这些电脑电池可能出现过热现象,易引发起火风险。[阅读原文]

7.美国官员担心针对2020年选举的勒索软件攻击

据路透社报道,美国政府计划在大约一个月内启动一项计划,该计划的重点是在2020年总统大选之前保护选民登记数据库和系统。这些系统在投票前被广泛用于验证选民的资格,2016年俄罗斯黑客试图收集信息,这些系统受到了损害。据现任和前任美国官员称,情报官员担心,2020年的外国黑客不仅会瞄准数据库,而且会企图操纵或破坏这些数据。[阅读原文]

【优质文章】

1. 如何评估业务的密码管理解决方案

密码管理器是防范漏洞的最有力的防御措施之一,能够降低攻击带来的破坏成本。根据Ponemon Institutes的2019年密码和身份验证安全行为报告,51%的受访者在其个人生活中遭遇过网络钓鱼攻击,44%的受访者在工作时遇到了网络钓鱼攻击。但令人震惊的是,57%的受害者没有改变他们的密码设置习惯。这就是为什么每个公司,无论规模大小,都应考虑实施密码管理器以确保公司安全。[外刊-阅读原文]

2.以色列漏洞经纪人:怎样给网络漏洞定价?

来自以色列Q-recon公司的知名漏洞经纪人莫尔·施瓦茨指出,近两年来,越来越多的合法的漏洞交易通过银行完成,加上相关执照的发放,人们开始思考并认为漏洞交易并非隐私经济,而更多的是开放经济。未来将会有越来越多的漏洞交易发生。[阅读原文]

3. 大型互联网组织安全产品研发与落地的一些方法与思考

技术人员成长从大体方法论而言分两类:一种是向上走,贴近业务或者架构、一种是往下走深入行业技术极限,开发一个更好的零部件或者工具。本文更多是论述比较高风险安全产品从产生到落地的过程。[阅读原文]

4. 专家分析Slience APT黑客组织

近日,研究人员发布了针对黑客组织Silence APT的分析报告。报告称,黑客组织Silence APT正采用新的技术,以扩大其攻击强度与范围。研究人员介绍,Silence APT自2016年9月开始活动,初始攻击目标主要为独联体国家金融机构,现已将其攻击范围扩展到了美洲、欧洲、非洲和亚洲等30多个国家。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

相关推荐
发表评论

已有 5 条评论

取消
Loading...

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php