信息安全研究员：华硕内网密码在 GitHub 上泄露

据美国科技媒体TechCrunch报道，一名信息安全研究员两个月前向华硕发出警告称，有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。

其中一个密码出现在一名员工分享的代码库中。通过该密码，研究员可以访问内部开发者和工程师使用的电子邮件帐号，从而与计算机的使用者分享夜间构建的应用、驱动和工具。有问题的代码库来自华硕的一名工程师，他将电子邮件帐号密码公开已有至少一年时间。目前，尽管GitHub帐号仍然存在，但这个代码库已被清理。

这位网名为SchizoDuckie的研究员表示：“这是个每天发布自动构建版本的邮箱。”邮箱中的邮件包含存储驱动和文件的具体内网路径。研究员也分享了多张截图以证实他的发现。

该研究员没有测试，通过这个账号具体能获得哪些信息，但警告称进入企业内网会非常容易。他表示：“你所需要的就是发送一封带附件的电子邮件给任何一名收件人，进行鱼叉式钓鱼攻击。”

通过华硕专用的信息安全邮箱地址，该研究员向华硕发出了密码泄露的警告。6天后，他无法再登录该邮箱，并认为问题已经解决。

不过他随后又发现，在GitHub上，至少还有两起华硕工程师泄露公司密码的事件。

华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。这位研究员表示：“许多公司并不知道，他们的程序员在GitHub上用代码做了什么。”

在媒体向华硕告知此事的一天后，包含密码的代码库被下线并清理。不过华硕发言人表示，该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统，消除我们服务器和支持软件的所有已知风险，并确保没有数据泄露。”

参考链接：http://hackernews.cc/archives/25173

卡巴斯基报告：超过一半的互联网用户认为完全的数字隐私是不可能的

根据卡巴斯基实验室的一份报告，56％的互联网用户认为现代数字世界中的完全隐私是不可能的。对于许多人来说，他们对数字隐私的担忧可能来自个人经验。卡巴斯基的研究发现，26％的人表示他人在未经他们同意的情况下访问了他们的私人数据，在16至24岁的人群中，这一数字上升到31％。

隐私受到侵害的后果包括经历压力（36％），面临垃圾邮件和广告（25％）以及造成经济损失（21％）。

一个有趣的发现是，一旦人们认为完全隐私是无法实现的，一些消费者愿意出售他们自己的信息，而不是等待别人去利用它。该调查发现，39％的受访者同意收钱让陌生人完全访问其私人数据。此外，如果他们收到免费的回报，18％的人会牺牲自己的隐私并分享他们的数据。

“人们越来越关注他们的隐私，因为他们看到了如果数据落入坏人手中，他们的数据如何被滥用的例子，”北美卡巴斯基实验室消费者销售副总裁Brian Anderson表示。“无论是导致身份盗用的漏洞，针对零售商的网络攻击引起的信用卡欺诈，还是窥探手机的人。当您发现未经您的同意而暴露您的数据时，这会令你感觉非常不好。数据隐私是每个人都可以实现的，并且泄露行为似乎不是不可避免的。强大的数字卫生和更高的隐私最佳实践意识，以及可靠的安全解决方案，可以帮助防止您的数据被任何人查看或滥用。”

参考链接：http://hackernews.cc/archives/25167

微软申诉并成功控制涉及伊朗黑客攻击活动的域名

为了控制伊朗黑客组织使用的域名，微软向美国法院申诉并赢得了限制令，以控制黑客组织（被称为Phosphorus或APT 35）使用的99个网站，这些网站据信被用于各种黑客攻击。微软消费者安全主管Tom Burt在一篇博客文章中表示，法院本月早些时候批准了这项提议。

法院下达的限制令允许微软从注册商处控制域名并在自己的服务器上托管，包括“outlook-verify.net”和“yahoo-verify.net”，并将恶意流量安全地重定向到微软的服务器。

“在跟踪Phosphorus的整个过程中，我们与包括雅虎在内的许多其他科技公司密切合作，共享威胁信息并共同阻止攻击，”Burt说。

该黑客组织被认为与前美国空军反情报官Monica Witt有关，后者于2013年叛逃到德黑兰，现在因涉嫌从事间谍活动被联邦调查局通缉，这些黑客的目标通常是学术界和记者，他们的钓鱼页面看起来像雅虎和谷歌登录页面，且可以打败双因素身份验证。

这是微软针对黑客组织采取的最新法律诉讼。去年，该公司提起了针对Strontium的诉讼，称为APT 28或“Fancy Bear” – 与俄罗斯国家情报机构GRU有关。

参考链接：http://hackernews.cc/archives/25165

最大暗网市场 Dream Market 下月底将关闭 疑因遭 DDoS 攻击

目前最大的暗网市场 Dream Market 3月26日发布声明，宣布网站将于2019年4月30日关闭。

该站自2013年4月起已存在了6年，这也是曾经在2010年中期臭名昭著的四大暗网交易市场中的最后一个，在2017年，美国和欧洲当局就分别关闭了 AlphaBay 和 Hansa 市场，同年9月俄罗斯警方关闭了 RAMP 市场。

在 Dream Market 发布声明的同一天，欧洲刑警组织、美国联邦调查局和缉毒署官员宣布大规模打击暗网贩毒活动，已有数十人被捕。这个“巧合”的时间点让 Dream Market 的用户和暗网威胁分析师们认为执法部门可能已经控制了该站点，并将其作为蜜罐在运营，他们的怀疑实际上基于2017年6月一次类似的事件，当时荷兰警方接管了 Hansa 市场并运行了一个月以收集该网站用户的数据，随后利用收集的密码访问用户在暗网其它市场的账号。Dream Market 的公告显示该网站被转移到了新的 URL ，然而鉴于欧洲刑警组织和联邦调查局的公告，许多用户现在担心新网站可能是另一个蜜罐。

自从近期有黑客在该网站上售卖数亿用户信息（Hackernews.cc 3月18日曾报道）以来，Dream Market 频繁在新闻中出现，而该网站的突然关闭也令许多用户感到震惊。据知道创宇暗网空间搜索引擎“暗网雷达”监测到的数据推测，Dream Market 关站的原因可能与服务器 IP 地址泄露导致的安全风险有关。

参考链接：http://hackernews.cc/archives/25150

WordPress 插件漏洞被利用 近 20 万站点还没打补丁

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞，以入侵托管站点，影响站点数量众多。

前几天我们才报导过流量排名前一千万网站，三分之一使用 WordPress，这么广泛的采用，一旦其中有安全漏洞被利用，影响会相当广。

被利用的两个插件，其中之一是 Easy WP SMTP，最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击，数据显示有 300 000 次下载安装；另一个插件是 Social Warfare，已经被安装了 70 000 次，它的利用是由另一家安全公司 Defiant 披露的。

两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导，有两个竞争组织正在实施攻击，其中一个在创建管理员帐户后暂时停止操作，而另一个组织则会进行后续步骤，其会使用虚假帐户更改站点，将访问者重定向到恶意站点。

有趣的是，这两个攻击组织使用了相同的代码用于创建管理员账户，而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。

据 arstechnica 的报导，虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁，但是下载数据表明许多易受攻击的网站尚未安装更新，Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次，而 Social Warfare 补丁自周五发布以来，也仅被下载了少于 20 000 次。

安全事大，如果你的网站托管在 WorPress 上，并且使用了这两个插件中的任一一个，那么需要确保已将其更新为：Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。

参考链接：http://hackernews.cc/archives/25146

HMD 回应 Nokia 7 Plus 事件：从未向第三方共享用户数据

日前有诺基亚手机的非中国用户发现，手机会向域名 http://zzhc.vnet.cn 发送未加密的数据包。数据包含了地理位置、IMEI、SIM 卡号和 MACID。vnet.cn 域名的注册人是 CNNIC，但 CNNIC 表示它实际上属于中国电信。对此HMD在官方博客中做出回应，表示这是由于固件错误导致，目前已在更新固件移除了相关软件包。

HMD Global表示表示只有单个批次的 Nokia 7 Plus 设备受到影响，包含了向中国电信服务器发送数据的软件包。该软件包会在手机启用、解锁、从休眠恢复时候收集用户数据将其发送到中国服务器。

参考链接：http://hackernews.cc/archives/25130