2018 年已有价值 8.54 亿美元的加密货币被盗
近日,Hackmageddon 的一份报告指出,加密货币盗窃事件在 2018 年持续高发。在 18 次大型攻击中,黑客们至少窃取了 854,182,000 美元的加密货币。其中仅日本 Coincheck 被入侵一事,就导致了 5.24 亿美元的损失。分析还指出,恶意行为者在一年内疯狂作案近 10 亿美元。目前,损失最大的十大加密货币交易所分别为:Coincheck(5.24 亿美元)、BitGrail(1.7 亿美元)、Zaif 攻击(6000 万美元)、Coinrail(3720万美元)、Bithumb(3150万美元)、Michael Terpin( 2400 万美元)、Bitcoin Gold(1800万美元)、Bancor(1350万美元)、一个价值 1000 万美元的未披露的日本钱包,以及 KICKICO(ICO 后丢了 770万美元)。
针对大量加密货币攻击事件的分析显示,恶意分子擅长利用恶意软件 + 网络钓鱼结合的方式实施攻击。这应当引起从业者警惕。
参考链接:https://news.softpedia.com/news/854-million-worth-of-cryptocurrencies-stolen-in-2018-522870.shtml
研究人员发现 0-day 漏洞影响所有版本的 Windows
趋势科技的研究人员公开发布了一个尚未修复的 0-day 漏洞,会影响所有支持 Windows 操作系统(包括服务器版本)。攻击者可以利用这个漏洞,在任意存在漏洞的 Windows 计算机上远程执行恶意代码。漏洞存在于微软的 Jet 数据库引擎中,是因为其中的检索管理出现问题导致的。一旦利用成功,就会引发带外数据内存写入,进而导致远程代码执行。据了解,这个漏洞自上报给微软至今已经超过漏洞披露规则所限定的 120 天,但微软依旧没有回复,因此研究人员选择将其公开。
参考链接:https://thehackernews.com/2018/09/windows-zero-day-vulnerability.html?tdsourcetag=s_pctim_aiomsg
苹果 MacOS Mojave 0-day 漏洞可以绕过隐私认证访问用户的联系人
前段时间,macOS 刚发布新版本 Mojave,就有研究人员表示其中存在安全漏洞,攻击者可以绕过 macOS 的黑名单机制,获取地址等敏感用户信息。测试显示,研究人员发现可以通过一个未授权的 APP 就能获取到机密用户联系人。漏洞主要是苹果在不同的隐私数据保护实施过程中出现的,并非所有的 Mojave 新隐私保护功能都会出现这个漏洞,而且 webcam 等基于硬件的组件也不受影响。该研究人员表示,会在即将召开的 Mac 安全大会上公布这个漏洞的技术细节。
浙江超70%网民个人信息被泄漏 警方通报三大犯罪特点
据《浙江省互联网发展报告》显示,仅2017年,浙江有72.8%的网民经历过个人信息泄露。截止目前,浙江省公安机关共清理网上买卖公民个人信息等相关违法信息2405条,处罚网站、网络服务提供商209家。破获侵犯公民个人信息类刑事案件447起,抓获犯罪嫌疑人1863名,查获泄漏公民个人信息22.8亿余条。通过侦办案件,打处泄露信息的单位“内鬼”33名,网络黑客107名,发现并督促整改安全隐患6788起。
浙江省侵犯公民个人信息犯罪活动存在以下特点:一是泄露信息涉及面广,社会危害大;二是犯罪手段不断翻新,发现预警难;三是利益链错综复杂,源头追溯难。
警方呼吁广大人民群众切实增加安全意识,养成良好的上网习惯,切莫贪图小利而因小失大,谨防钓鱼网站或软件APP,不轻易透露提交个人信息。与此同时对发现的网上违法犯罪线索,请及时向公安机关举报。
参考链接:https://www.cnbeta.com/articles/tech/770731.htm
联合国意外泄露密码和敏感信息
由于联合国在使用知名项目管理软件 Trello、问题追踪应用 Jira 以及 Google Docs 办公软件时配置出错,导致网站的密码、内部文档、技术细节等暴露在网上。网友只要获取相关链接,就能看到这些信息。暴露的文件包括联合国某个文件服务器的凭证、联合国语言学校的视频会议系统以及联合国人道事务协调办公室的 web 开发环境等。一个月前,研究人员就发现了这起泄露事件并报告给了联合国。目前,大部分材料已经下线。
参考链接:https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/
谷歌仍允许开发者扫描、分享Gmail用户邮件数据
《华尔街日报》曾发文警告称,一些基于Gmail的第三方邮件App允许自己员工阅读用户的邮件;近日再度发文表示,谷歌仍然允许应用程序开发人员扫描Gmail帐户。谷歌方面表示,只要开发者确定其隐私政策充分披露了潜在用途,通常都可以自由地与他人共享数据。在去年,谷歌为了广告定位的目的曾经停止采取这种做法。
负责公共政策和政府事务的高管Susan Molinari表示,开发者只要对如何使用数据向用户保持透明,就可以向第三方分享数据。她还表示,谷歌将保证用户能在“决定是否授予访问权限之前轻松查看相关隐私政策”。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号