近日,网络安全专家兼微软区域主管Troy Hunt在博客上披露了他收到的一份多达52GB的数据库资料。内容包含近3400万美国人的个人身份信息(PII),且覆盖种类多样——从姓名、职位,邮箱、电话到公司盈利情况,雇员数量等林林总总,甚至还有国防部下辖军人档案信息! 千疮百孔 在安全状况频出的今天,发生数据泄漏的问题并不是什么稀罕事,不过本次爆料里还是有诸多看点值得一提。 首先,这批数据的来源是世界商业信息服务公司巨头——邓白氏(Dun&Bradstreet),不熟悉的同学可以去Google一下该公司的体量。…
E安全3月16日讯 据外媒报道,没有设置密码验证的备份服务器暴露了数千份美国空军的文件,包括高级军官的高度敏感个人文件资料。 安全研究人员发现,任何人都可以访问数GB的文件,因为联网备份服务未设置密码保护。 国外新闻网站查看文件后发现,这些文件包含一系列个人文件,例如4000多名军官的姓名、地址、职级和社保号。另一份文件罗列了数百名其它官员的背景调查(Security Clearance)等级,其中一些军官拥有能访问敏感信息和代号级别的“最高机密”许可。文件还包含数个电子表格,其中罗列了工作人员及其配偶的电话和联系…
3月16日消息,据今日美国报道,几乎所有国家都在从事某种形式的网络间谍活动,但俄罗斯却能从中脱颖而出。这并非是因为该国出动了情报人员或军方人员,而是将网络袭击外包给繁荣的地下网络黑客。虽然这种情况在情报界早已众所周知,但在雅虎网络袭击案件中俄罗斯情报人员受到指控,这个秘密最终被公之于众。 美国前国土安全部长迈克尔·切尔托夫(Michael Chertoff)在接受电话采访时称:“从利用犯罪组织充当合伙人的角度来看,俄罗斯做得最好。”指控4名俄罗斯人对雅虎发动大规模网络袭击,是美国政府首次正式承认切尔托夫所谓的“邪恶…
Windows和Android平台为何频频成为黑客攻击的目标?最重要的原因是平台用户数量。近年来由于使用Gmail邮件服务的用户越来越多,也日益成为钓鱼邮件的重点攻击目标。援引外媒Lifehacker报道,在今年早些时候Wordfence公司的网络安全专家发现了一种新型骗局,重点针对那些通过浏览器访问邮件帐号的Gmail用户。 这个钓鱼邮件会伪装成为Google用于标记PDF或者WORD文档的图片,不过这些图片会嵌入在邮件正文中。当用户点击之后,就会引导受害者至“Google登陆页面”。 尽管这个页面和Google…
E安全3月16日讯 安全公司Check Point表示, Hancitor下载器首次挤进最活跃恶意软件家族排行前5名。 Hancitor下载器可以在被感染设备上安装银行木马和勒索软件。该软件的全球影响力在过去三个月里增加了2倍以上,排名荣升第至22位。Hancitor也被称为Chanitor,通过网络钓鱼电子邮件伪装成语音邮箱、传真或发票,通常作为启用宏的Office文档散播。 最活跃的恶意软件家族 总体而言,排名前三的恶意软件家族表明,黑客在利用各种攻击媒介和策略攻击技术。这些威胁影响感染链的所有环节,包括通过僵…
E安全3月16日讯 据报道,攻击者入侵了一款网络社交APP“许愿骨”(Wishbone)。Wishbone在青少年中相当热门。攻击者从中窃取了220万个电子邮箱和28.7万个手机号码。 该社APP允许用户创建简单的投票。随着时间的推移,这款应用受到越来越多的青少年青睐,被App Annie (应用数据和应用市场数据分析的行业领导者)列为美国iPhone 10大最受欢迎的社交网络应用之一,显然Wishbone拥有大量用户群体。然而此次数据泄露事件或给用户带来烦恼。 在这一次泄密的信息其中有一个样本包含200个账户,其…
E安全3月16日讯 近日美国商业服务巨头Dun&Bradstreet的52GB数据库遭到泄露,这套数据库中包含超过3300万条记录,具体包括政府部门与大型企业客户,有证据证实,其曾面向营销厂商出售过。 这套数据库整体约为52 GB,包含3380万条惟一电子邮箱地址与成千上万条企业员工联系信息,其影响范围已经占据美国企业从业者的可观比例。 商业服务巨头Dun & Bradstreet证实是该数据库拥有者,并透露这是2015年一笔1.25亿美元的交易收购NetProspex公司所获得。 这套数据库包含九十条字段…
据外媒(CNET)报道,美国司法部于周三指控四名黑客涉嫌发动对雅虎的网络攻击并窃取信息。其中两名黑客被指认为俄罗斯联邦安全局——相当于美国的FBI——下属间谍,另外两位被认为是雇佣罪犯。 间谍雇佣黑客发动技术攻击,以求获得有关政治人物的丑闻信息。四人被控以电信诈骗、盗取商业机密和经济间谍罪名。 加拿大黑客Karim Baratov(哈萨克斯坦裔)于本周二被捕。其他三名俄罗斯黑客或将受保护免受引渡。 “(俄罗斯)联邦安全局的参与加剧了事情的严重性。”代理助理检察长麦克考德(Mary McCord )在星期三的新闻发布…
渗透测试人员其实都知道,只要能够直接接触到目标设备,并且选对了工具,那么任何设备都会成为“待宰的羔羊”。早在2005年,Hak5就已经研发出了一款简单又暴力的渗透测试工具。随着BashBunny的问世,渗透测试可能又更进了一步。先上购买地址:【点我购买】 组合各种USB设备的攻击方式 按照Hak5自己的说法,这款设备是“世界上最先进的USB攻击工具”。我们就来看看这款工具究竟有哪些本领。 这款设备“打开”的攻击面的确比先前的设备大了很多。渗透测试攻击和IT自动化工作,对Bash Bunny而言几秒内就能完成。通过各…
今天微软宣布启动又一波Bug Bounty活动,不过这次是面向使用桌面Windows应用的Office Insider用户。这个项目将会持续3个月时间,将会在6月15日结束。 本次活动微软主要是为了寻找三种类型的漏洞,首先是在受保护视图下打开未信任的文档,哪怕在该模式生效下也能出现提权的漏洞。另一个是能够绕过阻止宏执行的安全策略,最后一个是绕过Outlook的自动附件阻止策略。 本次有奖活动会根据发现的漏洞予以现金奖励,最高能够达到15000美元,奖金间隔为500美元。保护模式下的提权漏洞奖金在9000美元到150…
手机红包自2014年出现便深受网民追捧,如今更是成为各大节日的“标配”。随着人们抢红包热情的高涨,各种抢红包软件应运而生,这类软件巧妙地帮助用户解决了漏抢红包的问题,具有手速无法比拟的抢包速度,抢包技能简直开挂,堪称抢红包神器,深受用户喜爱。 然而病毒开发者也瞄准了人们对抢红包软件的迫切需求,借此机会开发了大量仿冒应用鱼目混珠。通过调查发现,大量受害者都是从不知名渠道下载应用而中招。部分仿冒应用自身没有实际功能,实则持续不断向用户推送广告,影响用户的手机使用体验并消耗流量;另外一部分则更为过分,甚至借此实施恶意行为…
3月16日消息在今日举行的“电信和互联网行业网络安全试点示范工作经验交流会暨成果展”上,工信部宣布2016年电信和互联网行业49个网络安全试点示范项目并授予“网络安全试点示范项目”牌照。 据悉,2016年6月,工信部发布《关于开展2016年电信和互联网行业网络安全试点示范工作的通知》以下简称《通知》,工信部称,为贯彻实施网络强国战略,完善电信和互联网行业网络安全保障体系,进一步推进电信和互联网行业网络安全技术手段建设,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号…
E安全3月16日讯 网络安全公司Trend Micro 的一份研究表明,全球20%的组织将网络间谍列为最严重的威胁,26%的组织机构正努力跟上快速变化的威胁格局。过去一年,美国有五分之一的组织机构曾遭受不同程度的网络攻击。 Trend Micro调查欧美国家2402名企业IT决策者后发现,2017年,调查对象最担忧的安全问题是网络间谍活动,其次是针对性攻击(占比17%)和网络钓鱼攻击(占比16%)。 最恐惧网络间谍活动的企业按地区分布排名为:意大利(36%)、法国(24%)、德国(20%)和荷兰(17%)。今年,欧…
E安全3月16日讯 随着性知识的普及,人们的观念发逐渐发生着变化。收入的提高,对生活质量的高要求也促进了智能情趣用品的快速发展。去年加拿大成人情趣用品制造商Standard Innovations的“We-Vibe”一经面世便受到世界各地的消费者热烈追捧,主要原因就是它配套的APP能够反馈用户在使用时的各种数据,确实很新颖,值得围观。然而问题就出现在这里了,让消费者万万没想到的是不仅自己能够看见这些数据,厂商的工作人员们也可以看到…… 上周四,“We-Vibe”就因收集用户隐私信息被法院判决向消费者赔偿共计375万…
第十七届年度 CanSecWest 安全会议正在加拿大不列颠哥伦比亚省温哥华市中心举行,研究人员正在竞争夺取 10 周年 Pwn2Own 计算机黑客大赛的冠军,并获得获得超过100万美元的奖金。第一天的结果已经在“零日计划网站”上公布。 独立黑客 SamuelGroß 和 Niklas Baumstark 取得了成功,并获得了 2.8万 美元将近。 黑客们成功的通过 Safari 浏览器的漏洞在 macOS 上获得了 Root 权限,并在 Touch Bar 版 MacBook Pro 上滚动显示信息。 同时,Ch…
人工智能和量子计算机都是当前科技界的热门领域,科学家也在尝试将两者结合应用。一个国际研究团队 13 日在英国《自然·物理学》期刊上报告说,他们利用人工智能技术对量子计算机和量子体系进行了有效学习和验证,这有助于解决中大规模量子计算机发展中的一些难题。 量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置。当前,谷歌、IBM、微软等科技公司都在这一领域投入大量资源进行研发。 然而,如何有效校准大规模量子计算机,以及如何验证量子计算机的计算结果,是一个困扰科研人员的难题。为此,英国布里斯…
伴随着棱镜监控丑闻的曝光以及日益猖獗的数据窃取事件,消费者对于隐私和安全的关注度不断提高,然而根据 Mozilla 的最新调查结果显示,大部分用户并不知道如何去捍卫自己的隐私。在对 3 万网民的调查中,发现超过三分之一的用户并没有掌控他们的在线信息,只有三分之一的用户对“加密”一知半解。 Mozilla 在文章中写道:“我们在多个平台上使用重复的密码,我们使用已经过期停止支付的软件,我们愿意为了免费的团购券去交换我们的私人信息。如果这种粗心搬到物理世界,那么我们的钱包可能会被随意窃取。甚至于邻居都更了解你自己。调查…
根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76%…
(原标题:美一中校被曝使用未加密硬盘致机密数据暴露在外) 据外媒报道,近日,MacKeeper Security Researchers 披露,美国空军一备份硬盘由于未得到任何的加密安全措施导致储存里面的上 GB 的文件完全暴露在外面。也就是说,任何网络用户都能访问这些文件。 在这些文件中储存着 4000 多名高阶军官的敏感个人资料,包括名字、家庭住址、军阶甚至社保号码。该硬盘下的另一个文件还列出了上百名军官的安全通关证级别,当中不乏一些拥有“顶级机密”级别的安全通关证。这将极可能是这些官员成为黑客的攻击对象。其他…
如果你还没有意识到自己有可能处于个人信息的“裸奔”时代,那你一定不知道这些惊人的数字:近日,央视曝光了一起重大数据泄露事件,其中涉及公民数据如姓名、账号、密码、手机号、身份证号、银行卡号、地址等总共50亿条信息;仅从2015年下半年到2016年上半年,我国网民因个人信息泄露遭受的经济损失就高达915亿元;我国网络非法从业人员已经超过150万,黑产市场规模已经达到了千亿级别。 如果这些数字还没有让你惊醒的话,那么2016年,年仅18岁的徐玉玉因被诈骗电话骗走上大学的9900元费用,伤心欲绝不幸离世足,足以让你意识到,…
黑客,如同攻击方法,形态各异。黑客行为动机可以从为财到为权,再到为了正义。了解黑客的不同类型,以及他们各自的动机,有助于识别自己最易受侵害的攻击者,恰当地防护自身与公司不受网络攻击所伤。 下面是业内熟知的10类黑客: 1. 白帽黑客 网络世界里,这些人被认为是道德黑客。这类黑客大体上由安全研究人员和安全运营者构成,主动追踪和监视威胁。他们可以弄垮域,抓住或拿下僵尸网络。他们的行动可能不会完全遵守法律,但他们的本意是阻止恶意黑客。那些游离法律之外行动的黑客,有时候也被称为“灰帽子”。 2. 网络雇佣军 这些人就是网络…
现在不少有小孩、老人或养宠物的家庭都选择在房间安装监控摄像机,方便在外出的时候实时了解家里的情况。不过这些摄像头真的安全吗?监控摄像机真的出现了安全漏洞。也许正在您查看家中的情况时,黑客此时也把您家人的一举一动看的一清二楚。据NOSEC报道,中国一家安全摄像头制造商大华科技(Dahua Technology),3月6日推送的一个升级固件被爆存在高危漏洞,攻击者可登录并完全控制摄像头。据白帽汇估计,受漏洞威胁设备在全球多达21万台。 据分析,利用该漏洞,攻击者可远程下载存储有用户名和密码哈希的凭证文件,其中包含管理员…
各位女士们先生们,各位游戏玩家以及密码学狂热粉们,你们有没有想过目前哪一款主流游戏主机所采用的信息加密算法是最好的?如果没有的话,我会在这篇文章中告诉大家近期我在个人测试中得到的结果。 如果你还记得的话,2015年巴黎曾经历过一次恐怖袭击,而就在袭击发生的几个小时之后就有传言称恐怖分子所使用的通讯工具是PlayStations。但是经过调查之后,我们也证实了这条谣言纯属扯谈(恐怖分子使用的是一次性手机),但是这条谣言成功地激起了我的好奇心。因此,我监听并拦截了我自己PS4的通信数据,然后对这些信息进行了分析,最终得…
摘要 2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。 攻击平台主要包括 Windows 与 Android,攻击范围主要为中东地区,截至目前我们一共捕获了 Android 样本 24 个,Windows 样本 19 个,涉及的 C&C 域名 29 个。 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。 相关恶意可执行…