资安周报第79期(0718~0724)Gmail更新保密牌没你想的安全。第三方服务商资料库不设防汽车制造商10年资料曝光
2018-07-25 09:21:15 | 来源:ithome | 投稿:乐乐 | 编辑:dations

原标题:资安周报第79期(0718~0724)Gmail更新保密牌没你想的安全。第三方服务商资料库不设防汽车制造商10年资料曝光

图片来源:

Google

7/18~7/24一定要看的资安新闻

?

Gmail更新大打保密牌,EFF:没有你想的那么安全!

电子前线基金会(EFF)近期抨击新版Gmail的保密模式(Confidential△Mode)并没有那么保密,除了可能误导使用者之外,还会让使用者丧失追求其它真正具备安全、隐私与保密能力的邮件服务的机会。

Google在今年7月于全球部署新版的Gmail,全新的保密模式将可禁止收件者转寄、复制、下载或列印邮件,还可设定邮件的“到期日”,届时邮件将会自动自收件匣中消失。更多内容

第三方服务商资料库不设防,恐使福特、丰田、特斯拉等汽车制造商10年资料曝光

安全厂商UpGuard发现,客户遍及福特、丰田、特斯拉、福斯汽车的外部自动化供应商线上资料库没有设密码,如果有人找到路径,就可以将这些汽车大厂商的机敏资讯全部下载下来。

安全厂商UpGuard网络安全团队在7月1日发现一台rsync伺服器可公开任人存取。rsync是用于大量备份档案传输的协议。追查后发现该伺服器属于生产自动化流程及组装平台服务供应商Level△One,其客户含括多家知名汽车品牌及主要零件厂商。这次公开连网资料库的资料属于福斯、克莱斯勒、福特、丰田、通用、特斯拉和德国蒂森克虏伯(ThyssenKrupp△AG)等上百家制造商。更多内容

新加坡SingHealth医疗系统遭骇客入侵,150万人个资外泄

根据国内外多家媒体报道,新加坡发生最大规模骇客攻击事件,150万人在医疗系统中的个人资料遭到窃取,由于就医纪录也包含总理李显龙,格外受到关注。

根据新加坡卫生部(Ministry△Of△Health△Singapore)官方网站,在20日对外公告指出,新加坡医疗保健集团(SingHealth)遭到骇客入侵IT系统。这起事件起于2018年7月4日,整合健康资讯系统(Integrated△Health△Information△Systems, IHiS)的系统管理员,在SingHealth的系统资料库检测到异常活动,他们立即采取必要行动并展开评估。之后经过新加坡网络安全局CSA(Cyber△Security△Agency),以及IHiS的调查证实,这次是医疗记录遭窃取的攻击事件,是一场针对性和精心策划的网络攻击。更多内容

骇客将恶意脚本写入图片元资料中,并交由Google伺服器托管

资安公司Sucuri揭露,他们发现了一张Pac-Man.jpg图像中的EXIF资料存在恶意软件,而这张图片被托管在Google的伺服器上,Sucuri提到,过去他们也看过类似的手法,但是恶意软件通常被存在Pastebin和GitHub这类文字型的托管服务上,而要发现文字档案中的恶意程式码是比较容易的,图片中的恶意意图受到良好的掩护,除非特别检查元资料,否则难以发现。

Sucuri找到了一个偷取PayPal安全权杖的恶意脚本,这个脚本读取了一张托管在Google伺服器图片的EXIF资料,这张Pac-Man的图片来源不明,可能是骇客以Google帐户上传。恶意程式码隐藏在图片的UserComment部分,这串资料以Base64编码,经过解码后,Sucuri认为这些是一个脚本,可以用来上传预先定义的Web△shell、任意档案、置换网站页面,并且通过电子邮件寄送被攻击成功的网站位置给骇客。更多内容

骇客抢银行! 俄罗斯银行因老旧路由器被盗走92万美元

专门防范高科技犯罪的Group-IB近日指出,金融骇客集团MoneyTaker今年再度借由老旧的路由器入侵了俄罗斯的PIR银行,保守估计至少自该银行盗走了92万美元。

骇客是在今年5月入侵了PIR某家分行的老旧路由器,该路由器拥有允许骇客进入银行网络的通道,再于PIR网络中伺机存取俄罗斯中央银行类似SWIFT结算系统的自动化工作站客户端(AWS△CBR),接着产生支付命令,并在7月3日将款项汇至骇客所掌控的17个帐号中。更多内容

资安业者警告:近5亿IoT装置曝露在DNS重新绑定风险中

致力于消除IoT安全盲点的Armis最近指出,估计有4.96亿的IoT装置曝露在DNS重新绑定(DNS△rebinding)的攻击风险中,包含印表机、监控摄影机(IP△Camera)、IP电话、智慧电视、网络设备,以及媒体串流装置等,由于某些设备于企业中广泛使用,因此几乎所有的企业都潜藏DNS重新绑定风险。

DNS重新绑定主要利用了浏览器的安全漏洞,允许远端骇客绕过受害者的防火墙,并以浏览器作为与内部网络通讯的媒介。更多内容

报告:国家级网军打压、抹黑政敌手法氾滥,美国总统特朗普也被点名

经过18个月的研究,未来研究院(Institute△for△the△Future)发表了国家级网军攻击正流行的报告,仇恨抹黑与匿名威胁已经成为独裁统治以及反民主国家思想的关键工具。报告书中列举多个案例,而现任美国总统特朗普也名列其中,他不只在推特公开攻击媒体人,私底下甚至还对他的家人发送威胁信件,并且要求其雇主将他解雇。报告也提出阻止国家级网军攻击的方法,建议要从国际人权法、美国法律以及科技公司内容政策下手。

这份报告针对网络新现象国家级网军攻击进行解析,研究人员称这类的攻击为国家支助的Trolling(Statesponsored△Trolling)攻击,Trolling行动指的是有针对性的在网络上,通过憎恨与骚扰行为威吓批评的人,逼迫这些人保持沉默,或是发表有争议的言论,四方引战获取关注。研究人员表示,有证据显示,各国政府使用监控以及骇客技术,大规模的迫害政治理念不同的人,由于网际网络的规模以及快速的特性,轻易的就能取得大量的个人资料,订制出个人化的攻击行动。更多内容

微软:俄罗斯今年发动3起网钓攻击试图干预美国会期中选举

虽然美国总统特朗普近期表示相信俄罗斯没有干预2016年美国总统大选,不过不代表未来不会。微软安全部门发现俄罗斯骇客设立网约网域,准备向年底国会大选至少3名候选人下手。

微软客户安全与信赖部门企业副总裁Tim△Burt周末在科罗拉多州亚斯本安全高峰会(Aspen△Security△Summit)上指出,该公司在侦测针对客户攻击的网钓网域时,发现一个在网钓攻击中当成登陆页(landing△page)的微软假网域。从网域的元资料(metadata)来判断,该网钓攻击目标指向今年11月美国会期中选举的三位参选人。他并未说明三人的身份,但表示三人的层级从间谍活动及破坏选举的角度来看是非常有趣的目标。更多内容

P2P行动支付程式Venmo预设公开用户行为,致2亿笔交易资讯曝光

一位27岁的德国程式设计师与隐私研究人员Do△Thi△Duc最近踢爆,PayPal旗下的行动支付程式Venmo将用户行为的预设值设为“公开”(Public),导致任何人都能查询用户的交易纪录,Duc则利用Public△Venmo△API下载了2017年的所有交易纪录,总数超过2亿笔。

2009年发表的Venmo是个Peer△to△Peer的行动支付工具,利用手机上的程式就能转帐给朋友,虽然只在美国市场推出,但每月也有700万用户数。更多内容

假新闻引发暴力事件不断,脸书研拟移除不实资讯

因应近来多起与暴力冲突相关的假新闻流传,脸书(Facebook)近日宣布未来几个月内将着手移除导致暴力行为的不实资讯。

纽约时报引述脸书人员指出,该公司得知某些国家流传的一些假新闻可能引发紧张关系及现实世界的实质伤害。脸书认为,脸书有责任不只是减少,还要完全移除这类内容。脸书对媒体指出,该公司正在变更内容管理政策,以便能撤下这些内容,计划几个月后开始实施新政策。更多内容

?

更多资安动态

英雄联盟强化游戏防弊机制,不只侦测异常行为,还用防骇技术拉高作弊门槛

游戏App成为骇客盗刷信用卡洗钱新管道

tags:

上一篇  下一篇

相关:

Gmail更新大打保密牌,EFF:没有你想的那么安全!

图片来源: EFF 电子前线基金会(EFF)上周抨击新版Gmail的保密模式(Confidential△Mode)并没有那么保密,除了可能误导使用者之外,还会让使用者丧失追求其它真正具备安全、隐私与保密能力的邮件服务的机会。Google

AR?VR双周报第14期:法时装秀将AR变成时尚穿搭!观众从手机就能观看模特儿身上潮衣AR特效

设计师在这件Vêtements△SS19的连帽衫内建AR技术,当模特儿穿着它走秀时,台下观众只要用手机扫描衣服上的红色图案,就会将衣服上缝制的乔治亚语文字,自动翻译成易懂的英文文字,而原先衣服上静止不动的卡通图案也

第三方服务商资料库不设防,恐使福特、丰田、特斯拉等汽车制造商10年资料曝光

图片来源: UpGuard 安全厂商UpGuard发现,客户遍及福特、丰田、特斯拉、福斯汽车的外部自动化供应商线上资料库没有设密码,如果有人找到路径,就可以将这些汽车大厂商的机敏资讯全部下载下来。安全厂商UpGuard网络安

Fintech周报第60期 : 那斯达克采用AI撰写财务报告并协助检测潜在的诈骗行为

证券交易所纳斯达克内部采用AI系统生成财务报告,并以机器学习系统协助监测潜在的欺诈行为。 图片来源: Nasdaq 07/14-07/20?Nasdaq???AI??那斯达克采用AI撰写财务报告并协助检测潜在的诈骗行为?根据WSJ报道,证券交

Container周报第73期:Google释出Java大型应用容器化工具,微软则推出开发者新Azure测试空间

07/04~07/11精选Container新闻#Java△#容器化大型Java应用容器化更容易了,Google开源释出Java容器化工具Jib今年多家云端厂商相继推出代管容器服务,可支援Java、Python、Node.js等环境,但老旧大型Java应用如何支援

站长推荐: