安全

开源编辑器 Atom 未经同意收集用户数据

Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给 Atom 提 issue 称其未经同意收集用户数据。“首次启动 Atom 时,它会在未经同意的情况下联系在 Amazon 平安彩票娱乐平台上运行的 Microsoft/GitHub 进程,并将我的 IP 地址和时间戳泄露给制造商,把我使用 Atom 的事实(通过出站请求)传输给成千上万的其他人和组织。”

某国产儿童手表泄露5000多儿童信息 还能假扮父母打电话

技术的发展,已经让上述情景走出电影荧幕,真实搬上了人们生活的舞台。11月26日,测试机构AV-TEST的物联网测试部门发布报告称,他们发现一款由中国公司制造生产的智能儿童手表存在严重安全隐患,其中有5000多名儿童及其父母的个人详细信息和位置信息被曝光。

全球8万台计算机被劫持挖比特币:伪装技术极高 还会重复安装

微软安全工程团队披露新型恶意软件Dexphot,全球已有至少8万台计算机被劫持挖比特币。报道中指出,自2018年10月起不断有Windows设备受到恶意软件Dexphot感染,并在今年6月中旬达到峰值,全球范围已超8万台

部分HPE固态硬盘因固件问题会在3年9个月后数据全部丢失

HPE 的企业级固态硬盘埋藏了定时炸弹。HPE ,称它的部分型号固态硬盘因为有缺陷的固件会导致其在通电时间 32,768 小时或 3 年 270 天 8 小时之后停止工作,硬盘里的数据会丢失并无法恢复,同时投入工作的固态硬盘会在几乎同一时间停止工作。

[图]微软披露恶意挖矿软件Dexphot完整信息:全球已有8万台设备受感染

,它主要劫持感染设备的资源来挖掘加密货币,并为攻击者牟利。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值达到80000多台,微软通过部署相关策略以提高检测率和阻止攻击,随后每天感染的设备数量缓慢下降。

勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统。但是,该部门官员声称该感染“从未执行”,这意味着勒索软件没有造成任何损害,但是NYPD出于谨慎考虑而决定使该系统关闭。

美国加州车管部门通过出售私人数据每年赚取5000万美元

我们曾经听说过大型科技公司通过出售私人数据赚钱,但美国全国各地的汽车管理部门也在通过这种做法赚钱,其中包括加利福尼亚的汽车管理部门,该部门每年通过出售驾驶员个人信息获得5000万美元的收入。

Elasticsearch平安彩票娱乐平台泄露12亿个人数据 公开挂在暗网上

身为驴(旅)友,花大把时间探索大千世界着实不错,如果运气好,找找宝藏,没准真能遇到堆满了金银财宝的“小金屋”。不过,这都算不上离奇。最刺激的,宝藏被神秘人士仍在大街上,任你去取。连找的力气都省了,那还不得乐昏过去?或许你会问,世上哪有这等好事?别说,还真有!

人脸识别门禁系统来了 谁来保护我们的隐私?

如今人们常说“刷脸卡”,意思是“卖个面子”,但你是否想过,当你的“面子”连同身份证、电话号码、住址等个人信息一同交付于他人之后,谁又能保障你的隐私呢?这样的困惑,随着一项看起来很美的“高科技”产生了——近年来,成都多个小区开始使用人脸识别门禁系统,业主录入人像和身份信息“实名制”注册后,就能靠“刷脸卡”进门了。

FB与Twitter再现漏洞 数百用户数据或被不正当访问

Facebook和Twitter周一宣布,数百名用户在用自己的账户登录从Google Play应用商店下载的某些安卓应用后,其个人数据可能已被不正当访问。这两家公司收到了安全研究人员的报告,他们发现一个名为One Audience的软件开发工具包允许第三方开发人员访问个人数据。

[观点]防范人脸识别滥用 该建个人信息梯度保护制度

最近,从AI视频监控进课堂、“ZAO”APP换脸到“人脸识别第一案”,人脸识别技术带来的安全隐患为舆论所关切。而新京报近日刊发的调查报道,则进一步坐实了公众的“人脸焦虑”。记者调查发现,网上有一些私下售卖人脸数据的卖家,有发帖者称8元可买3万张人脸照片,有卖家表示可以提供“更多渠道”的人脸图片。还有卖家表示,其出售的照片大部分来自朋友圈,且没有取得对方同意。

一加公布个人信息安全漏洞并向受影响客户致歉

今天,一加安全团队通过 OnePlus 社区论坛公布了自家智能机上的一个“个人信息安全漏洞”。当用户在 OnePlus 商店订购时,其中一个环节会导致“未经授权的第三方接触到用户的某些订购信息”。尽管其中并不包括付款、密码或 OnePlus 账号等信息,但该公司还是就此事向用户表达了歉意。

[图]门罗币官网遭黑客攻击:CLI安装包被替换为恶意版本

在官方下载页面下载的64位Linux命令行(CLI)门罗币(Monero)安装包中发现盗币程序之后,Monero Project宣布已经对其进行调查。门罗币团队在推特上表示:“在过去24小时中,从http://getmonero.org网站下载的CLI安装包可能已经遭到了破坏。目前已经在调查中。”

收到这样的邮件请立即删除:勒索软件伪装成Windows更新诱骗用户点击

如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,伪装成为Windows更新让设备感染Cyborg勒索软件。

天府杯2019网络安全大赛落幕 浏览器接受新一轮零日漏洞挑战

近日,顶尖白帽黑客集聚成都,对当前业内主流软件展开一系列的凌日测试。在周末(11 月 16-17 日)的天府杯 2019 国际网络安全大赛中,安全研究人员们争相对目标软件展开攻击,以斩获丰厚的积分、奖励和声誉。据悉,天府杯的规则,与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起,天府杯也应运而生。

《Magic:The Gathering》开发商证实 安全漏洞使超45万玩家数据遭泄露

据外媒TechCrunch报道,游戏《Magic:The Gathering》的开发商 Wizards of the Coast已经确认,安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码,任何人都可以访问其中的文件。

报告称全球约72%的零售商是网络攻击的受害者

据外媒Betanews报道,Keeper Security 和 Ponemon Institute 的一项新调查结果指出,全球约有72%的零售商遭受了网络攻击,去年有61%遭受过一次网络攻击,但是50%的企业没有针对数据泄露的应对计划。

洛杉矶DA无故发布公共USB充电座可能感染恶意软件的警告

据外媒报道,南加州的官员发布了一份公告,宣布公共智能手机充电座并不安全。该机构认为便捷的USB充电接口可以使用户感染恶意软件。但是,目前没有实例可以指出发生这种情况的地方。周五洛杉矶地区检察官办公室警告旅行者不要使用公共USB充电座,因为这些设备可能会感染恶意软件,从而窃取数据或锁定手机。

为防止Zombieload v2攻击 Windows和Linux引入选项关闭英特尔TSX

为防止刚刚曝光的 Zombieload v2 攻击,微软 Windows 和 Linux 内核团队都引入了方法关闭英特尔 TSX(Transactional Synchronization Extensions)。Zombieload 漏洞与 TSX 有关,它与之前披露的 Meltdown、Spectre 和 Foreshadow 漏洞类似,都是利用预测执行去实现跨线程、权限边界和超线程的数据泄露。

5G安全漏洞不容忽视 R16标准有望包含相关改进

来自Light Reading的报道称,无线行业人士认为,5G将是迄今为止最安全的无线传输技术。但是不断有研究报告称,研究人员持续在5G标准中发现漏洞。最新的消息来自TechCrunch,该网站本周报道称,美国普渡大学和荷华大学的安全研究人员发现了不少5G漏洞,其中包括那些可以用来实时追踪受害者位置的漏洞。

美国联邦法官否决特朗普政府允许共享3D打印枪支蓝图的决定

美国联邦法官否决特朗普政府允许共享3D打印枪支蓝图的决定。法官Robert Lasnik在周二公布的一项裁决中表示,去年7月达成的相关协议是武断和反复无常的,因此违反了《联邦行政程序法》和宪法。

托管提供商SmarterASP.NET承认遭到勒索软件攻击 客户数据被加密

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户平安彩票娱乐平台上的数据进行了加密。

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

11月11日消息,据外媒报道,今年在日本东京举行的Pwn2Own黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备Amazon Echo和三星Galaxy S10中的漏洞,获得“顶级黑客”的殊荣。

JavaScript 框架安全报告:jQuery 下载次数超过 1.2 亿次

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。<

jQuery 跨站脚本漏洞影响大量网站

Snyk 发布了 (PDF),除了最流行的 JS 框架  Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的。

[技术分析]双十一成流氓推广狂欢节 单日侵扰千万量级电脑

临近双十一,软件的流氓推广行为也变得疯狂。就在近期,火绒接到用户反馈,称疑似有国外“安全软件”在进行广告弹窗推广。火绒工程师远程排查,发现是国内软件厂商为了欺骗用户、规避安全软件监测,选择冒用其他安全软件名义进行广告推广,包括金山系软件(金山毒霸、驱动精灵、猎豹浏览器等)和驱动人生系软件(USB宝盒、券GoGo、Realtek音频管理器等)。

Uber无人车事故调查落幕:一场“人为”的惨剧

去年,Uber 无人驾驶测试车酿成的致死事故对整个行业的发展造成了不小的负面影响,在资本市场不景气的情况下,明显能感觉到自动驾驶领域的投融资规模缩紧不少。美国国家运输安全委员会(National Transportation Safety Board,简称 NTSB)经过初步调查后指出,由于 Uber 禁用了自动驾驶车辆的紧急制动系统,从而导致悲剧发生。

美国基因检测公司Veritas Genetics客户数据遭泄露

11月8日消息,据国外媒体报道,美国DNA检测初创公司Veritas Genetics表示,该公司发生一起数据泄露事件,导致一些客户的信息被盗。

谁有权刷我的脸?对“脸”的较真儿刚刚开始

近期,一个有关“人脸识别”的案件引起人们关注。杭州野生动物世界引入人脸识别技术,用于年卡用户入园检票,以解决节假日高峰期指纹打卡太慢、排队拥堵的问题。浙江理工大学特聘副教授郭兵为此将动物世界告上法庭,认为人脸信息属于个人隐私,个人生物识别信息一旦泄露或被滥用,极易危害消费者人身和财产安全。

利用BlueKeep漏洞的攻击被观察到 但它似乎没那么可怕?

利用 BlueKeep 漏洞进行攻击的实例真的出现了。BlueKeep 是今年 5 月份被发现的高危漏洞,它可以利用 Windows 远程桌面服务(RDS)传播恶意程序,方式类似于 2017 年凭借永恒之蓝而肆虐的 WannaCry 勒索软件。攻击者可以利用该漏洞执行任意代码,并通过远程桌面协议(RDP)发送特制请求,在不需要用户交互的情况下即可控制计算机。

美国一家券商惊现"无限杠杆"Bug 4000美元可借100万

美国金融服务机构Robinhood是一家零佣金的证券经纪公司,用户可以通过其手机软件买卖美国各交易所的股票与基金。现在,一些Robinhood用户称可以通过该软件的“Bug”,达成“无限杠杆”交易。这个作弊代码最先在社交媒体网站Reddit上被分享,一名股票交易员声称,他只花了4000美元的押金就买了100万美元的股票,大约250倍杠杆。

洗手都嫌脏 调查显示多家美航空公司机上用水不合格

飞机起飞后,空乘人员提供给乘客的水,除了瓶装水外,饮用水、厨房和厕所用水全部来自于飞机上的水箱。纽约城市大学亨特学院日前做了一项针对航空用水安全的调查,结果显示不少美国航空公司提供的水不仅不适合饮用,甚至连洗手都嫌太脏。

Mozilla表示美国ISP向国会撒谎 散布有关DNS加密的不实信息

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。

Epic商城再次曝出DRM漏洞 玩家不花钱就能玩所有游戏

众所周知,Epic商城依靠低分成和巨额独占费,获得了不少游戏大作的先发权,比如《天外世界》《无主之地3》《荒野大镖客2》等等。但其实Epic商城还是有许多不足之处,最近CCN的安全研究员Willian Worrall就曝光了Epic商城的又一个安全漏洞:玩家即使没购买过游戏,也可以无障碍游玩。

用激光对你的智能音箱发送指令 黑客新招你怕了吗?

去年春天,网络安全研究员Takeshi Suguwara走进了密歇根大学教授Kevin Fu的实验室。他想炫耀一个自己发现的奇怪把戏。Suguwara用一束高功率的激光指向iPad的麦克风——都放在黑色金属盒内,以避免灼伤任何人——并让Fu戴上耳塞来聆听iPad麦克风拾取的声音。

今年五月发现的Windows BlueKeep高危漏洞正被利用

今年五月,微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新,修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。该漏洞被称为 BlueKeep,位于远程桌面服务中。

研究估计五成 WebAssembly 网站将其用于恶意目的

德国 Braunschweig 科技大学应用及系统安全研究院委托的(PDF)分析了 Alexa 排名前一百万的网站,发现使用 WebAssembly 代码(Wasm)的网站比例约为六百分之一,但其中一半,如挖掘数字货币或混淆恶意代码。

工信部专项整治APP违规收集个人信息、过度索权等八类问题

中国工业和信息化部信息通信管理局4日召开整治工作启动会,开展信息通信领域APP(移动应用)侵害用户权益专项整治行动。此次专项整治行动面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的八类突出问题。

当心手机暗藏“卧底软件” 已有6万人被监听、跟踪…

最近,江苏南京警方在“净网2019”行动中,侦破一起用手机软件窃取个人隐私信息的案件。据警方介绍,全国有6万多名受害人被这种非法软件监听和跟踪,但他们丝毫没有察觉。

信通院评测了13万个金融类App 70%存高危漏洞

现在,无论是借钱、投资还是交易支付,大家用金融类 App 的频率大大增加,这些和“钱”有关的 App 到底安全性几何?最近,中国信通院发布了一份《2019金融行业移动App安全观测报告》。截止 2019 年 9 月 11 日,中国信通院的报告团队从 232 个安卓应用市场中收录了 133327 款金融行业 App。

互联网的加密流量比例已经超过九成

根据 Netmarketshare 的,2019 年 10 月加密 Web 流量的比例已经超过了九成。这一数据也可以通过其它来源进行验证:根据 Google 透明度报告“

Gafgyt新变体威胁超3万台路由器 某国内大厂遭殃

IOT设备的集体“叛变”,或许会置人于尴尬处境。比如,电影《终结者:黑暗命运》里就描述了这样的场景:一个名为军团的人工智能防御系统被制造出来,它拥有极强的学习能力,并且控制着全球70%以上的核武和人形兵器。很快,它通过自我进化得出一个结论——消灭人类才是终止战争的唯一办法。于是,这些究极IOT产品彻底发狂,末日之战拉开序幕。

iOS上的ProtonMail应用现已完全开源

Proton Technologies AG,源代码现已在上提供。公司给出了应用程序开源的理由,相信“透明与社区的力量,并为所有人建立一个更加私密和安全的未来。”该应用程序的开源是在由安全公司SEC Consult对软件进行安全审核之后进行的。

格鲁吉亚遭遇大规模网络攻击

格鲁吉亚,包括国家电视台在内的 2000 多个网站受到攻击,大部分网站的主页遭到纂改,替换了前总统 Mikheil Saakashvili 的肖像,以及“我将会回来”的文字。攻击源头暂时还不清楚,网民在社交媒体上议论可能是俄罗斯所为。

传印度官方确认在核电站网络中发现恶意软件

外媒Ars Technica周三发布的一份报告称,印度核能有限公司(NPCIL)证实,库丹库拉姆核电站的管理网络存在恶意软件。Ars Technica称,这款恶意软件被认为是Lazarus网络犯罪集团所为。

大手笔鼓励挖掘ICS和相关协议漏洞 Pwn2Own的“新业务”想传达什么?

自2007年以来,Pwn2Own便鼓励参赛者,以广泛使用的软件和具有未知漏洞的设备作为挑战项目,挖掘尚未被发现的威胁以及0Day,而动辄上万美金的奖励,更使得这一活动成为网络安全行业的风向标式的存在。

无法删除的恶意软件 xHelper 持续感染大量安卓设备

过去几个月来,一些安卓用户被一款名为 xHelper 的恶意软件持续困扰,它的自动重新安装机制令人们束手无策。xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至本月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。

供应链污染几时休:记一次排查后门病毒发现的行业乱象

近期,“火绒威胁情报系统”截获到一款名为HellohaoOCR_V3.1的图像识别程序携带后门病毒Gh0st,推测正通过供应链污染的方式进行传播。用户运行该程序后,就会激活后门病毒。病毒可以接受远程平安彩票娱乐平台指令,执行下载其它病毒、提升权限、删除日志等恶意行为。更为关键的是,由于大量的下载站和技术类论坛(如下图)提供该程序的下载,导致病毒正在被进一步扩散。

研究发现从Stack Overflow复制代码的习惯导致GitHub项目安全性下降

现在从网上找代码直接复制到项目中的做法成为程序员的一种常规操作,Stack Overflow 更是其中主要的代码来源。但是最近有研究显示,从 Stack Overflow 上复制代码凑到项目中会使出现漏洞的概率大大增加。

南非约翰内斯堡再次遭到勒索软件攻击

南非最大城市约翰内斯堡今年 7 月因勒索软件攻击而导致部分居民失去电力供应,现在它又一次成为勒索软件攻击的目标。自称 Shadow Kill Hackers 的黑客组织在用勒索软件感染市政府的内部网络之后索要 4 比特币的赎金,要求在 10 月 28 日当地时间下午 5 点前转出。

DigiCert在北京举办首届中国安全技术峰会

中国,北京—20191025全球领先的TLS/SSL、物联网及PKI身份验证及加密解决方案提供商DigiCert于近日在北京举办了首届中国安全技术峰会。本届DigiCert中国安全技术峰会也是DigiCert将进一步拓展全球最大且增长速度最快的中国信息技术市场的重要活动。

人脸识别入侵生活 但“刷脸”背后你的信息安全吗?

随着人工智能时代的到来以及各种新技术的出现,人们的日常生活得以享受到大量新兴技术带来的便利,这点原本是无可厚非的。但需要指出的是,在新技术的发展、落地过程中,总会出现些许“阵痛”,这也是无法避免的。

新的恶意软件将后门植入微软 SQL Server 中

ESET的研究人员近日发现黑客组织Winnti Group编写的新恶意软件,该恶意软件用于在微软SQL Server(MSSQL)系统上潜伏下来。攻击者可以利用名为skip-2.0的新恶意工具,将后门植入到MSSQL Server 11和12平安彩票娱乐平台中,从而使他们能够使用所谓的“魔法密码”(magic password)连接到平安彩票娱乐平台上的任何帐户,并隐藏活动、不被安全日志发现。

日本连锁酒店HIS Group称黑客可能通过室内机器人偷窥客人

日本连锁酒店 HIS Group ,它的室内机器人能被入侵和远程查看视频片段。酒店配备的迎宾机器人允许客人通过面部识别技术办理入住。但一位安全研究人员在 Twitter 上透露,他曾在 7 月份警告 HIS Group 机器人存在容易利用的漏洞,在没有听到任何回应之后他于 10 月 13 日披露了漏洞。

印度政府要求Facebook帮助解密其网络上的用户数据

印度政府今日在一场法院听证会上表示,出于国家安全需求,Facebook有责任帮助他们解密其网络上的私人消息(private messages)。印度总检察长韦努戈帕尔(K.K. Venugopal)今日向最高法院表示,如果国家安全受到威胁,社交媒体公司有责任方共享数据。他说:“恐怖分子不能要求隐私,而Facebook和WhatsApp说他们无法解密是不可接受的。”

GPS周数翻转问题下月将影响部分旧设备

GPS是“全球定位系统”的简称,GPS被广泛使用来确定地球上的位置,但是,很少有人知道该系统实际上还可以显示时间。 GPS接收器实际上依赖于这些来自卫星的数据,它们不仅可以告知时间,而且可以使基于位置的服务正常工作。不幸的是,今年11月初第二次GPS周数翻转问题将影响部分旧设备。

微信借钱通过语音确认仍被骗 电信诈骗又出新套路

据中国之声报道,近日,多家媒体关注到,利用微信语音包诈骗的案件——一些骗子盗取微信号后,发送借钱语音,受害人听到“声音差不多”的信息,便会信以为真,转账汇款,最终还是落入圈套。这究竟是怎么回事儿?

最新报告称黑客正利用WAV音频文件隐藏挖矿恶意代码

根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。

71%的组织认为量子计算很危险 安全威胁或在3年内出现

量子计算近年来受到了更加广泛的关注,无论是机构还是企业都加大的对量子计算的投入,科技巨头们在量子计算方面的投入和取得成果更是频频被报道。不过,量子计算超强的计算性能可能破解RSA密码也引发了担忧,这种担忧让更多机构现在就开始关注如何免受量子计算的安全威胁。

入侵 20 名开发者帐号就可能危及半数 NPM 生态系统

根据一项研究,NPM JS 库生态系统。德国的研究人员(PDF)NPM 生态系统的依赖图,他们下载了 2018 年 4 月前发布的所有 NPM JS 包的元数据,创建了一幅巨大的依赖图。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan