您当前的位置: 主页 > 新闻动态 >

BUF 早餐铺 Uber 收买黑客以掩盖信息泄露事件;谷歌在安卓位置服务关闭的情况下收集位置信息;OWASP Top 10 更新

发表于:2020-02-02 16:58:35 来源:赛车彩票-赛车彩票官网-赛车彩票app-赛车彩票下载

  原标题:BUF 早餐铺 Uber 收买黑客以掩盖信息泄露事件;谷歌在安卓位置服务关闭的情况下收集位置信息;OWASP Top 10 更新

  各位 Buffer 早上好,今天是 2017 年 11 月 23 日星期三。今天份的 BUF 早餐主要有:Uber 问题频出,遭遇盗号竟不走法律程序而是花钱收买黑客;美国指控伊朗黑客入侵 HBO;即便关了Android 位置服务,Google 还是会收集位置信息;虚拟货币钱包Tether遭攻击,近 3100 万美元加密货币失窃;惠普企业打印机中出现严重远程代码执行漏洞;OWASP Top 10 更新,最终版发布;IoT 设备不安全导致 2017 上半年 DDoS 攻击倍增。

  【国际时事】 Uber 问题频出,遭遇盗号竟不走法律程序而是花钱收买黑客?

  近日,Uber 承认其在 2016 年10 月份遭遇黑客入侵,共 5 千万用户信息及 7 百万司机信息被盗。被盗信息包括姓名、邮箱地址、手机号码等。此外,还有 60 多万美国司机的汽车牌照号码等信息也被盗取。

  令人震惊的是,Uber 没有向政府监管机构及时报告此次入侵事件,也没有通知受影响的受害者,而是向黑客支付 10 万美元作为封口费,让黑客删除被盗取的信息。

  Uber 在此次声明中表示,目前证据显示黑客盗取的信息不涉及用户的历史定位、信用卡号码、银行账户号码、社会保障号码及生日等。目前,Uber 首席安全官 Joe Sullivan 以及一位重要助手已经被解聘。

  此前,Uber 就因为管理层混乱、涉嫌性别歧视等事件多次陷入舆论风波。此次隐瞒信息泄露事件再一次拉低了其公信力。新任 CEO 要想力挽狂澜,估计要花大功夫了。

  前段时间,HBO 连环泄露事件闹得沸沸扬扬。黑客入侵 HBO,盗取了包括《权利的游戏》等在内的知名电视剧未上映剧集,对 HBO 进行勒索,勒索失败后,该黑客便将盗取到的剧集泄露。此事持续将近一个月,甚至还催生了钓鱼攻击。

  近日,事件终于有了新进展:经过一段时间的调查,FBI 锁定了犯罪嫌疑人——伊朗国家黑客 Behzad Mesri。FBI 与美国司法部表示将对 Behzad Mesri 提起诉讼。据报道,Mesri 也被称为“Skote Vahshat”,是一名技术娴熟的黑客;他还是土耳其黑帽安全团队的成员。诉讼文件显示,在入侵 HBO 之前,Mesri 已经入侵过全世界数百个网站,并收集了大量的 SQL 注入脚本。至于法庭最终审判结果如何,我们也会继续关注。

  全球大约有十几亿安卓用户,在享受便利服务的同时,却也面临着隐私被入侵的问题,而且这个问题还是谷歌官方带来的。近日,有报道称安卓设备会暗中搜集用户位置信息,并返回给谷歌,即使用户关闭了定位,也无济于事。

  数字商业新闻网站 Quartz 的一项调查结果显示,今年年初开始,谷歌就在秘密搜集用户位置信息。设备只要联网,无需打开任何 APP,无需打开定位,甚至无需插入 SIM 卡,就能获取位置信息。这个定位并非是使用 GPS 定位,而是首先获取设备附近的蜂窝站点的位置信息,并利用蜂窝基站三角网定位(Cell Tower Triangulation)技术,获取设备的位置。由于相关组件存在于安卓操作系统中用于推送通知和信息的核心 Firebase 云信息服务中,因此无法关闭。此外,这个定位方法也不受手机模式或制造厂商的限制。

  尽管在隐私协议中,谷歌表示会搜集设备位置信息,但并未提到在定位服务关闭的情况下也会搜集。就算谷歌承诺过不会将用户信息用于恶意用途,但这件事还是让人反感。谷歌表示,到本月底,所有安卓手机都不会再搜集并发送蜂窝塔位置信息。

  【漏洞攻击】 虚拟货币钱包Tether遭攻击,近 3100 万美元加密货币失窃

  本周一,数字代币初创公司 Tether 宣布自己的系统遭入侵,大约有价值 3095 万美元的加密货币被盗。Tether 的市值为 6.73 亿美元,是全球第一个允许传统货币像数字代币一样使用的区块链平台。目前,Tether 可以支持美元与欧元(很快还将支持日元),在 Bitfinex、Poloniex、Omni 和 GoCoin 等市场交易。

  Tether 表示丢失的货币已经无法追回,但已经采取措施防止这些货币进入更大的加密货币市场。此外,黑客所使用的比特币钱包地址是 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r,Tether 也提醒用户ujingte这个地址发出的消息,不要上当。为了防止黑客将货币转移,Tether 已经暂时体质了后端钱包服务,并更新了软件版本。

  上周,比特币价格短时间内下跌了 5.4%,波动极大。因此有些人认为 Tether 遭攻击可能与此有关。

  近日,FoxGlove Security 的研究人员发现部分惠普企业打印机中存在严重远程代码执行漏洞,可能被黑客利用,入侵企业网络。

  早在 2015 年,惠普就发布了企业级的 LaserJet 打印机。这款打印机适配了安全功能,可以阻止黑客通过打印机入侵企业网络。到 2016 年,惠普又陆续为其 Managed 打印服务发布安全更新。 惠普曾宣称自己提供的是“世界上最安全的打印服务”,还发布过市场调查结果,声称其他厂商的打印机会被黑客利用,对企业造成严重损失。

  为了验证惠普的说法,研究人员买来了惠普的 PageWide Enterprise 586dn 多功能打印机和 LaserJet Enterprise M553n 打印机,并使用曾经挖掘过 20 多款打印机漏洞的渗透测试工具 PRET (PRinter Exploitation Toolkit,打印机利用套件)进行测试。结果发现,惠普虽然为打印机加入了安全性能,但还是可以被绕过,进而执行远程代码。惠普目前已经接到漏洞上报,并表示本周会发布修复补丁。

  近日,开放式Web应用程序安全项目发布了最终版 2017 Top 10 榜单。早在今年 4 月份,OWASP 就发布了十大候选漏洞,并在 10 月份发布了 RC2 报批稿。时至今日,在更新了两个漏洞类别之后,最终版 OWASP 终于发布。从2004年至今,OWASP Top 10 一共发布了 5 个版本,分别是2004,2007,2010,2013和2017版。

  根据安全公司 Corero 日前公布的报告,由于物联网安全问题太多,2017 年上半年 DDoS 攻击数量翻了一番。

  在过去的几年中,DoS攻击在“猫鼠游戏”中缓慢增长,如果攻击者的攻击手段强了一些,企业也会提升防御手段。DDoS 主要依赖僵尸网络发展,原本获取并维护僵尸网络的成本很高,所以 DDoS 增长并不迅猛。但随着 2016 年 Mirai 僵尸网络的出现,局面开始有所转变。

  Corero 的分析显示:“企业现在平均每天遭受 8 次 DDoS 攻击,与 2017 年初的每天 4 次相比,翻了一番。增长的主要因素是不安全的物联网设备和 DDoS 出租服务。”此外,分析还表示:“2017 年第二季度发生的第五次 DDoS 攻击使用了多个攻击向量。这些攻击利用了一些技术,试图通过一种或几种技术来渗透目标网络。”换句话说,犯罪分子的目标通常不是拒绝服务,而是使用 DDoS 攻击来隐藏恶意软件注入和数据窃取活动。

  DDoS 已经成为一项有利可图且行之有效的网络犯罪行为。DDoS 服务每小时只要20美元,任何人都可以利用“DDoS 即服务”的优势,对目标客户发起攻击。此外,DDoS 可以用于勒索,还能掩盖其他犯罪行为,因此,DDoS 攻击在未来还可能继续增长.[来源:SecurityAffairs ]