小心支付宝的“转账成功”,谷歌对安全漏洞的发现者奖励 5 万元
想了解每周最有料的“黑客与极客”资讯,看 | 宅客精选 | 就够了。
1.Myspace史上最大用户数据遭泄露
继领英1.67亿用户用数据被爆泄漏后,著名付费黑客数据搜索引擎LeakedSource发表博文称Myspace也被黑,近4.3亿用户数据被泄漏,并已获得数据副本,可在他们的网站上进行查询。目前,Myspace官方还未证实这一消息的可靠性,但如果情况属实,这将是史上最大规模的密码泄露事件。
与领英相同,这次事件的“幕后黑手”仍是“Peace_of_mind”。除此之外,LeakedSource还在博文中提到,这些泄露的数据和领英一样,也是以“SHA-1”的哈希加密的方式存储的,也同样没有“加盐”,可以轻而易举地被破解。
据雷锋网了解,社交网站较容易存在的安全隐患主要有两类:一类是蠕虫攻击,另一类是由于社交网站并未恰当使用Cookies,而导致发动跨站请求伪造攻击。Myspace就属于第一类,主要是因为在网站开发时采用Ajax技术而导致的。
因此,使用这种技术的网站想要避免黑客利用这种漏洞窃取数据,就需要对用户输入内容的可靠性进行验证,并对用户可以输入页面的代码进行详尽的测试,来避免漏洞的产生。同时,还要经常使用各种漏洞检测工具来扫描和过滤漏洞,以便于及早发现问题并及时进行补救措施。
相关安全专家建议,用户以及企业也要提高网络安全防范意识,增强个人隐私信息的防护。
2. 小心支付宝的“转账成功”
六一儿童节,支付宝把所有用户的昵称都改为了XX宝宝。一些对节日不敏感的用户对此产生了质疑,为什么支付宝可以不通过用户允许就擅自修改用户昵称,自己的个人隐私是否受到了侵犯?然而支付宝这种略不严谨的作风也已经不是第一次了。
在西安最近破获的一起案件中,就有犯罪分子利用支付宝漏洞成功骗取了上百人钱财的惊人事件。这个案件中的嫌疑人主要针对二手网站上出售的高档手机卖家作案,在利用你“微截图”等支付宝转账截图生成器,用假“转账截图”来实施诈骗。犯罪嫌疑人还发现,用支付宝对银行卡转账时,输错一位卡号时,仍然可以生成转账成功的界面,于是,他们将此界面截图发给受害人,以博取受害人信任,然后谎称钱款正在平台处理中,要在2个小时以后到账,这时,多数受害人就会轻信转账成功并提前完成交易,事后数小时才发现被骗。
雷锋网 (搜索“雷锋网”公众号关注) 对此亲自做了测试,用支付宝给“宋仲基”转了520元,在输入错误卡号的情况下,仍然出现了付款成功的页面。但是事后由于银行卡号校验失败,转账款会退回原来的账户。
一名资深网络安全专家告诉雷锋网,因为银行验证服务需要收费,故而支付宝没有开通这项服务,并且由于支付宝不可能拥有所有银行卡的数据库,如果银行卡用户名和账号对不上时,也会出现已经“假装付款”成功的界面。
3.新一代 Tor发布
知名匿名搜索引擎Tor ,最近发布了基于火狐浏览器45-ESR的6.0版本,增强了对HTML5的支持,并更新了用来保护加密流量及其更新机制的安全功能。 作为基于火狐45-ESR版本的浏览器,Tor6.0版本配有顶级的HTML5支持,可以在大多数用户访问的网站中,更容易地关掉用户带有的Flash 插件。
此次更新的火狐45-ESR 版本不仅有支持推送API动态通知的功能,还对最新的 JavaScript版本,如 ES6 的类语法,提供最好的支持。 Tor团队还特别针对Mac OS X系统进行了漏洞补丁,更新后,Tor网络在Mac OS X系统内运行时,将使用代码签名来避免被Mac OS X系统自带的安全软件封锁。
Tor新版本最大的变化,就是对浏览器加密层所做的修改,移除了对SHA-1的支持。研发人员同样也修复了存在DLL劫持的问题,还全面覆盖了一些快速修复紧急bug的补丁。 由于他们的老合作伙伴,Disconnect搜索引擎与Google之间的合作情况有变,Tor 现在是通过DuckDuckGo的API显示搜索结果,而不再是Google。
4.windows 0日漏洞售价62万人民币
一位名叫“BuggiCorp”的黑客近日在 暗网 黑市上兜售一种新的零日漏洞,号称攻击者可以利用这个漏洞在Windows所有版本中获取到最高的系统运营权限。
在“BuggiCorp”发布的售卖信息中,他还贴出了两个关于这个零日漏洞的演示视频。一个视频中,黑客用这个漏洞在一个安装更新了5月发布的最新补丁的Window 10操作上,成功获得了最高操作权限;另一个视频中他用漏洞分析成功地绕过了微软所有的安全功能,包括最新版本的EMET 工具包。售价9.5万美元(折合成人民币约62万)
这个黑客希望用比特币进行支付,如果有必要的话,可以通过论坛管理员来完成交易。他还说,他只会将这个漏洞卖给一位卖家,这位卖家会得到这个漏洞的源代码、功能完整的小样、微软完整开发工具集(Microsoft Visual Studio)2005,以及这个漏洞未来在任何Windows版本上无法运行时的更新。 根据微软的统计数据,这个漏洞对任何Windows版本都有效,有可能会影响到全球范围内的15亿用户。
5.朝鲜克隆 Facebook 网站被黑
近日,一家专注于追踪网络性能的公司Dyn Research,发现了一个朝鲜山寨Facebook站点,这个站点的名称为“最棒的朝鲜社交网路”,域名是“StarCon.net.kp”,其网页设计风格全部复制了Facebook。但在上线后不久,就被一名年轻的苏格兰黑客黑下线了。这位年轻黑客名为安德鲁·麦克凯恩,年仅18岁,还是一位在校大学生。
他发现这个站点在使用Dolphin php技术,且自从上线以来就没修改过安全证书证书,他很容易的猜出了这个站点的管理员与密码,并取得了网站的控制权。还搞了个小恶作剧,在网站上留下了一句“这网站不是我建的,我只是偶然发现了密码”,并附上了他的个人Twitter账户。目前,这个网站已经无法登陆。
Dyn公司与麦克凯恩都表示,他们并没有看到有明显的证据证明这个网站与朝鲜政府有什么关系。这个网站的IP地址是在朝鲜,但朝鲜是一个对网络管理十分严格的国家,几乎没有超出政策以外的网站存在,且政府官网的IP都设在中国。但有外媒猜测,该网站或为朝鲜官方的电信运营商即将提供的服务的测试项目。
6.谷歌对安全漏洞的发现者奖励 5 万元
谷歌近日发布了浏览器v 51.0.2704.79版本,是继稳定版v51后的第二次维护升级版,修复了15个安全漏洞及一些版本缺陷。在被修复的15个漏洞中,主要修复了两个高危缺陷,这两个缺陷可以允许攻击者绕过浏览器跨源代码执行的限制,通过Blink引擎以及它的扩展组件运行恶意代码。
据了解,发现这两个漏洞的研究员获得了高达7500元美金(折合成人民币约5万元)的奖励。其他一些发现中级安全漏洞的研究员,分别获得了1000美元(折合成人民币约0.66万元)至4000美元(折合成人民币约2.6万元)不等的奖励。 这些漏洞包括一些可能会泄露用户个人信息以及在系统模块与扩展组件中存在的UAF漏洞。
因为此次更新的是一个介于51与52之间的过渡版本,所以并没有新的功能出现。 除了安全补丁,主要解决了一些会导致浏览器崩溃或混乱文件下载路径的问题。
7.黑客窃取了6500万Tumblr账号
Tumblr在早些时候就被披露,黑客在2013年窃取了部分Tumblr用户账号,包括电子邮件地址和哈希加盐的密码,它的内部调查认为被盗的账号并没有被未经授权访问,但已经要求受影响的用户重设密码。 Tumblr拒绝透漏受到泄露数据影响的用户数量。但近日有外媒报道称,黑客窃取的用户帐户数量高达65,469,298,并已经被挂在暗网黑市上售卖,价格为150美元(折合成人民币约990元)。
幸运的是, 泄漏数据中包含的密码并不是明文,而是散列格式的,在这种形式下,密码会被放置在随机数字中。Tumblr在公开泄露的细节时还说,他们在弄散这些密码之前,还在每个密码的最后添加了不同的字节数。然而,当该公司披露此次泄露时,并没有透露他们用于加密的算法。
据了解,数据泄露事件发生在Tumblr被雅虎收购之前。这次泄露的数据也是SHA-1算法的,虽然有加盐,但是鉴于攻击和事件公布之间的时间跨度太长,并且在2013年的时候,他们的密码也不像现在这么强大,因为密码很可能已被破解。发起这次网络攻击的黑客仍然是Peace,目前他已经掌握了多个社交网站的用户数据。
8. 国内首家威胁情报公司微步在线完成A轮融资
近日,国内首家威胁情报公司微步在线(ThreatBook)宣布完成A轮融资,本轮投资由如山创投领投,北极光与华软投资共同参与,投资规模达3500万元。其中北极光为天使轮领投方,本轮继续跟投。
微步表示,在短短一年内,能够再次得到专业投资人的青睐,表明了行业与资本市场对威胁情报的密切关注和高度认可。微步在线CEO薛锋说:“微步在线作为以情报为驱动力的下一代安全解决方案先行者,我们的产品与服务已经得到了行业客户与合作伙伴的广泛认可,我们将继续加大在安全研发和大数据安全分析技术方面的投入,扩大在行业中的影响力。”
据了解,北京微步在线科技有限公司于2015年6月成立于北京, 是国内首个专以安全威胁情报(Threat Intelligence)服务为中心的安全公司。自成立以来,公司坚持“聚焦威胁,情报驱动”的宗旨,专注于提升威胁分析和情报能力,已取得了阶段性的成果。