国际资讯

2700万程序员受影响？Github明文记录用户密码

程序员依靠 Github 来安全地托管他们的开源软件项目。但近日 Github密码重置功能出现问题，日志中以明文形式记录了用户密码 ，这可能会让开发人员泄露他们的开发代码及相关敏感信息，并暴露在流行的存储库网站上。Github坚持认为只有Github的2700万用户中的一小部分受到影响。

Github密码重置功能出现漏洞 日志中以明文形式记录了用户密码

来自dailydot的消息称，Github周二发送了一封电子邮件，警告其密码重置功能出现故障，该密码重置功能在日志中，以明文方式记录了用户密码。 该网站确认这些密码只有少数该公司的员工可以访问日志。 他们没有向公众发布或提供给其他用户。

Bleeping Computer报道，许多用户将他们收到的电子邮件发布到Twitter，尽管有人认为这是一个网络钓鱼活动。

参考链接：https://www.anquanke.com/post/id/107429

微软正致力于解决Win 10中Meltdown补丁绕过的问题

网络安全公司Crowdstrike的安全研究员Alex Ionescu表示，微软针对Meltdown漏洞的补丁存在漏洞。

研究人员在推特上表示，只有Windows 10版本的补丁受到影响。微软在周一发布的Windows 10 Redstone 4（v1803），也就是2018年4月更新中悄然修复了这个问题。

“Windows 10的Meltdown补丁存在一个严重的漏洞：调用NtCallEnclave会返回用户空间其中包含全部内核页表目录，也就避开了补丁，”Ionescu写道。

Lonescu指出，旧版本Windows10上安装的Meltdown补丁仍然可以被绕过。

参考链接：http://www.freebuf.com/news/170534.html

Twitter不慎以纯文本形式泄漏用户密码

经过内部审计之后，Twitter今天承认，他们的密码存储机制存在错误，导致内部日志中记录了一些用户的密码。

在Twitter之前，GitHub本周早些时候也发布了类似的声明。

就像在GitHub事件中一样，密码以明文格式记录在Twitter的内部服务器日志中。

明文密码是饱受诟病的安全措施，如今的网站往往会使用哈希加盐等方式存储用户的密码，避免密码泄露后被黑客知晓用户真正的密码。

Twitter表示，它通常通过将密码传递给bcrypt散列函数来加密密码，这也是顶尖的行业标准。

参考链接：http://3g.163.com/dy/article/DH0903HK05119F6V.html

黑客事件

朝鲜自研杀毒软件外泄，被发现采用十年前趋势科技的盗版引擎

在一项独家研究中，Check Point研究人员对朝鲜本土的杀毒软件 SiliVaccine 进行了一项揭露性调查。发现一个非常有趣的问题是，SiliVaccine代码的一个关键组成部分是趋势科技（一家日本公司）的软件组件10年历史版本。

2014年7月8日，一位专注于朝鲜技术的自由记者Martyn Williams收到了一封自称”Kang Yong Hak“的日本工程师的可疑邮件，通过其中的链接，研究人员发现Dropbox里的一个 zip 文件，包含朝鲜自主研发的杀毒软件SiliVaccine 软件的副本，以及一个韩文的自述文件，指导如何使用该软件。

参考链接：http://www.freebuf.com/news/170561.html

美国田纳西州地方选举官网遭受网络攻击

上周二晚，美国田纳西州诺克斯维尔市网站的关闭一度中断了初选选举结果的显示，目前该网站正在接受调查，官方人士担心今年秋季的中期选举中还会出现网络攻击。

根据诺克斯维尔市长Tim Burchett的一份声明描述，在周二晚间投票站关闭的时候，一个服务器突然崩溃进而关闭了诺克斯维尔的网站。在官方恢复之前，该网站瘫痪了大约一个小时。

据悉，因投票机没有在线连接，此次网络攻击并未对选举结果产生实质性的影响。

“虽然这次攻击事件并不影响投票结果，也不影响选举的完整性，但这不是本应该发生的事情。我想知道发生了什么，我认为一个独立的审查将有助于确定这一点，这样我们就可以向前推进，在未来避免类似的问题。”Tim Burchett说。

经信息技术部门的初步调查，网站服务器崩溃的直接原因是突然有大量异常流量涌入，而这些流量的IP地址归属地既有美国国内地址也有境外地址。信息技术部门总监认为这是一次DDOS（分布式拒绝服务）攻击。

参考链接：http://xinwen.eastday.com/a/180505183015454.html

滑雪缆车控制系统存XSS漏洞，景区紧急关停

E安全5月6日讯 两名来自 IT 安全机构InternetWache.org 的研究人员 Tim Philipp Schäfers 与 Sebastian Neef 2018年3月中旬扫描网络上含有漏洞的系统时发现，奥地利因斯布鲁克市（Innsbruck）的滑雪缆车控制面板暴露在网上，任何人均可控制缆车的操作设置，该滑雪场因此紧急关闭缆车设施。

存在安全漏洞的系统是由全球知名缆车制造商 Doppelmayr 开发，这两名研究人员指出，他们不但可直接在网络上搜索缆车的控制系统，且无需认证就可直接登录，所执行的指令也没有加密，该网页还含有跨站脚本（XSS）执行漏洞。

由于存在这些漏洞，研究人员可轻易地从远程控制缆车的启动、停止、改变缆车方向，甚至是变更缆车之间的安全距离；不过，他们担心违法与危险性，并没有真的按下控制接口上的按键。

该滑雪缆车系统是在2017年才启用，每小时可运送2000名滑雪客到山顶，但只在夏天开放。在研究人员向缆车制造商与奥地利计算机应急响应小组（Austria CERT）通报之后，Doppelmayr 已修复相关漏洞，而因斯布鲁克的官员也要求运营者在夏季的游客涌进以前必须做好安全准备。

参考链接：https://www.easyaq.com/news/718102534.shtml

（来源：云天安全搜集整理互联网安全资讯）