security

 

  • 安全人员发现社交网络热拉的一个未加密数据库

    安全人员发现社交网络热拉的一个未加密数据库

    中国的女性同志社交网络热拉是最新一个忘记给数据库增加访问密码的服务。这个因疏忽而敞开访问的数据库包含 530 万用户的公开资料。 发现这个安全漏洞的依然是最近两个月热切关注中国未加密 MongoDB 数据库的 GDI 基金会安全人员维克多·葛弗斯(Victor Gevers)。他在本周发现了热拉的漏洞,并向 TechCrunch 指出,数据库曝露的时间点应该是去年 6 月份。 数据库信息包含用户选择公开显示的暱称、生日、身高体重、民族、性取向和兴趣爱好。一些用户如果允许应用获取她们… → 阅读更多

  • Facebook 承认以明文方式存储数亿用户账号密码

    Facebook 承认以明文方式存储数亿用户账号密码

    Facebook 周四在博客中证实,过去多年,该公司一直以明文形式存储 “数亿个” 帐号的密码。此前,信息安全记者布莱恩·克莱布斯(Brian Krebs)发表了相关报道。 Facebook 的佩德罗·卡纳瓦蒂(Pedro Canahuati)表示,1 月份,Facebook 在例行安全检查中发现了这个问题。不过他表示,Facebook 以外的任何人都看不到这些密码。克莱布此前报道称,大约 2000 名工程师和开发者可以获得这些记录,而 Facebook 在几… → 阅读更多

  • 谷歌:没有故意隐瞒 Nest 安防设备中的麦克风

    谷歌:没有故意隐瞒 Nest 安防设备中的麦克风

    谷歌表示,对于智能家居安防设备 Nest Secure 此前没有公布过的神秘麦克风,用户完全没有必要担心。这只是个疏忽,用户无需惊慌。 谷歌本月早些时候宣布,Nest Secure 将提供谷歌助手的功能,这引发了愤怒。因为谷歌没有告诉任何人,设备一开始就内置了麦克风。最初公布的技术参数列表中并没有提到麦克风,甚至在谷歌宣布将集成谷歌助手后也没有提及这点。 然而谷歌很快就注意到,用户不喜欢被欺骗,也不喜欢隐私遭到侵犯。随后该公司放下了傲慢,承认了错误。 谷歌发言人尼科尔·艾… → 阅读更多

  • 信息安全 101:这五项设置能确保你的 iOS 设备安全

    信息安全 101:这五项设置能确保你的 iOS 设备安全

    苹果为 iPhone 和 iPad 开发的最新移动操作系统 iOS 12 已经推出。新版系统包含了一系列新的安全和隐私特性,而你可能已经听说过这些。关于如何利用新设置,保护你的设备,以下是你需要去做的操作。 1、打开 “USB 限制模式”,让黑客攻击变得更难 如果你的 iPhone 或 iPad 已经锁屏超过 1 小时,那么这个不太容易找到的新特性可以防止任何配件连接你的设备,例如 USB 线缆和耳机。这可以防止警察和黑客使用工具绕开你的锁屏密码,获取你的数据。 前往设置… → 阅读更多

  • 澳大利亚政府和各政党网络遭到 “国家黑客” 攻击

    澳大利亚政府和各政党网络遭到 “国家黑客” 攻击

    澳大利亚总理表示,澳大利亚政府近期遭遇了网络攻击,他怀疑这是 “精心组织的国家行为”。 《悉尼先驱晨报》报道称,澳大利亚总理斯科特·莫里森(Scott Morrison)今天表示,澳大利亚议会的计算机网络,以及自由党、工党和国家党的网络,几周前遭到一起攻击。目前距离澳大利亚 5 月举行的联邦选举还有几个月时间。 莫里森表示,“没有证据表明存在任何干涉选举的活动”。 他同时表示:“我们已经采取一系列措施,确保我们… → 阅读更多

  • Reddit 发布 2018 年透明度报告:政府信息请求数量翻倍

    Reddit 发布 2018 年透明度报告:政府信息请求数量翻倍

    Reddit 表示,政府对用户数据的请求数量在 2018 年比上一年增加了一倍多。 新闻和内容分享平台在本周三发布的 2018 年透明度报告中指出,去年他们收到了来自政府的 752 份请求,去年同期是 310 份请求。 这些请求中,有 171 个是要求保留帐户数据,相同的请求 2017 年有 79 个。剩下的 581 个是提供用户数据的请求,前年同期是 231 个。 Reddit 表示,他们允许了 77%的提供用户数据请求,以及 91%的保留帐户数据请求。公司还表示,他们只会处理来自美国的保留帐户数据请求… → 阅读更多

  • 被色情和赌博应用滥用的苹果企业证书

    被色情和赌博应用滥用的苹果企业证书

    Facebook 和谷歌远远不是仅有的两家滥用苹果 “企业证书” 计划的应用开发者。苹果这项计划目的是为了帮助企业提供员工专用的应用。TechCrunch 在一项调查中发现,数十个色情应用和赌博应用通过这种方式逃脱了苹果的审查。这些应用的开发者通过了苹果孱弱的企业证书审核流程,或是借用了合法证书,从而避开 App Store 和苹果传统的家庭用户保护措施。在没有适当监督的情况下,这些开发者可以运营公然违反苹果内容政策的色情应用。 这种情况进一步表明… → 阅读更多

  • 今天起,英国境内偷拍裙底将面临两年徒刑

    今天起,英国境内偷拍裙底将面临两年徒刑

    在英国,今天起生效的一项法律认定,严重侵入性的裙底偷拍行为(upskirting)属于违法。政府表示,新法律向民众发出明确的信息,这种行为是犯罪行为,政府不会容忍。 新法律规定,英格兰和威尔士境内,为查看内衣、生殖器或臀部而拍摄或录制受害者服装内部照片/视频,在受害者不知情、不允许、未获得性满足,或产生羞辱、痛苦或警觉的情况下,拍摄者将面临最高两年监禁(因为传统的苏格兰长裙,苏格兰在 2010 年就立法制定了一项针对偷拍裙底的法律)。 此前在英格兰和威尔士,偷拍裙… → 阅读更多

  • 俄罗斯计划测试与互联网隔绝的大局域网

    俄罗斯计划测试与互联网隔绝的大局域网

    据报道,俄罗斯将试行一项网络防御措施,将本国网络跟世界其他地区的网络隔离开来。 去年,俄罗斯发布了 “数字经济国家计划”(Digital Economy National Program),该计划要求俄罗斯互联网服务提供商在本国被切断全球互联网连接时仍然保持运行。根据这一计划,俄罗斯互联网服务提供商要把网络流量重定向到位于国内的路由节点,并使用自己的 DNS(域名系统,这是支撑全球互联网运行的域名和网址目录)副本。 对俄罗斯来说,这样的测试运行可… → 阅读更多

  • 废弃的智能灯泡也有可能危及你的网络安全

    废弃的智能灯泡也有可能危及你的网络安全

    你可能买过便宜的智能灯泡或安全摄像头,你可能认为购买这些设备的最大风险只不过是要多花点心思进行设置,或者找不到设置选项。然而,这些设备的安全风险不仅存在于正常使用时,即使在被扔进垃圾箱之后,它们仍有可能危及你的网络安全。 虽然这些所谓的物联网设备大多非常小巧,而且也称不上智能,但它们仍然是功能完备的网络设备。要防止它们把你的私密信息以明文形式广播出去或是把系统最高访问权限泄漏给外人,你可能不需要做太多事情,但仍然需要采取一些基本的预防措施。 据 Hack a Day… → 阅读更多

  • 这个简单的漏洞可以让你篡改谷歌搜索结果

    这个简单的漏洞可以让你篡改谷歌搜索结果

    谷歌存在一个漏洞,任何人都可以利用它轻松篡改搜索结果并使之看上去像是真的。 这个篡改搜索结果的漏洞是由驻伦敦的安全专家维策·贝凯玛(Wietze Beukema)上报的,他警告说,心怀叵测的人可以利用该漏洞来生成错误信息。 这个漏洞就是,我们可以在谷歌搜索结果页面的网址后面嫁接谷歌知识图谱的网址——知识图谱是在搜索结果中自动弹出的卡片,用图像和事实对搜索结果提供补充说明。当我们搜索国家、行星和科技新闻网站等条目时,谷歌都会在搜索结果的右侧… → 阅读更多

  • 德国总理默克尔及数百名议员数据被黑客泄露

    德国总理默克尔及数百名议员数据被黑客泄露

    一名黑客锁定并公布了德国总理默克尔,以及其他高级议员和官员的私人数据。 这些数据泄露自一个已被关停的 Twitter 帐号,其中包括数百名高级政治人物的电子邮件地址、电话号码、照片 ID 和其他个人数据。 根据政府发言人的说法,其中不涉及来自总理办公室的 “敏感” 数据,但其他议员则有更多数据被盗。泄露数据的其他部分包括 Facebook 和 Twitter 密码。一些人的信用卡信息、聊天记录和私人邮件也被盗。 德国联邦信息安全办公室在声明中表示,正在 … → 阅读更多

  • 新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令

    新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令

    安全研究人员表示,他们发现了一种新型恶意软件,它可以从 Twitter 表情包隐藏的代码中获取指令。 恶意软件本身相对平庸:跟大多数原始的远程访问特洛伊木马(RAT)一样,该恶意软件会悄然感染存在漏洞的计算机,对屏幕进行截图并从受感染的系统中盗取其他数据,并发回到恶意软件的命令和控制服务器。 有趣的地方在于,该恶意软件把 Twitter 用作与其控制中枢进行通信的渠道。 网络安全厂商趋势科技(Trend Micro)在一篇博客文章中表示,该恶意软件会听从一个 Twitter… → 阅读更多

  • Twitter 曝出安全漏洞,用户电话的国家代码疑遭泄露

    Twitter 曝出安全漏洞,用户电话的国家代码疑遭泄露

    Twitter 无意中暴露了其获取用户电话的国家代码以及用户账号是否被其锁定的能力。安全专家由此担心,不法分子可以利用这一安全漏洞来确定帐号所在的国家,这可能会对检举者或不同政见者带来不利影响。 这一问题来自于旨在联系 Twitter 的支持表格,该公司发现通过该表格产生的大量查询都来自中国和沙特境内的 IP 地址。Twitter 写道,“虽然我们无法确切知道准确的意图或原因,但这些 IP 地址中的一些可能与国家支持的人员有联系。” 对于 Twitter… → 阅读更多

  • 新型欺诈邮件席卷美国:不给比特币就炸楼

    新型欺诈邮件席卷美国:不给比特币就炸楼

    新的垃圾邮件诈骗活动正席卷美国许多地方,声称要摧毁无数的企业和学校。这桩欺诈事件其实很简单:垃圾邮件散布者发出电子邮件,威胁称如果在指定时间内未收到一定数额的比特币,将引爆炸弹。由于在当前形势下忽视炸弹威胁几乎没有任何益处,所以随着垃圾邮件的扩散,美国许多企业和学校如今都在进行人员疏散。 垃圾邮件散布者通常发出具有类似内容的电子邮件: 我的人已经携带爆炸物(黑素金炸药)进入贵公司所在的大楼。爆炸物是在我的指导下制造的。由于体积小,它可以隐藏在任何地方,虽然不能… → 阅读更多

  • 法国外交部称紧急联络人信息数据库遭黑客入侵

    法国外交部称紧急联络人信息数据库遭黑客入侵

    法国外交和欧洲事务部今天发表了一份声明,宣称其计算机系统遭黑客入侵,众多个人信息被泄露。据悉,大概 54 万份个人档案信息在事件中被窃,其中包含姓名、电话号码和电子邮件地址等信息。 早在 2010 年,法国外交和欧洲事务部就创建了一项名为 “阿丽亚娜”(Ariane)的紧急服务。如果你打算前往一个不安全的国家,可以在 “阿丽亚娜” 平台上进行登记,当你前往该地时,可将这一信息告诉外交和欧洲事务部。 这样一来,你就会收到安全简报… → 阅读更多

  • 美国科技巨头谴责澳大利亚反加密法

    美国科技巨头谴责澳大利亚反加密法

    包括苹果、谷歌和微软在内的一众美国科技巨头,对澳大利亚上周通过的所谓新 “反加密” 法发出集体谴责。 尽管遭到科技公司和电信运营商的强烈反对,但澳大利亚执政联盟在获得反对派工党立法委员的投票支持后不到一天便通过这项法案。 “澳大利亚新出台的法案存在严重缺陷,范围过广,并且缺乏对新权力的独立监督。” 改革政府监控联合会(Reform Government Surveillance Coalition)在一份声明中写道。这些科技… → 阅读更多

  • 微软呼吁业界实施面部识别行为准则

    微软呼吁业界实施面部识别行为准则

    今年夏天,微软总裁布拉德·史密斯(Brad Smith)呼吁各国政府对面部识别技术在全球各地的应用情况进行更仔细的审查。本周,他再次传递了类似的讯息——只是这一次,这位微软高管是向业界同侪发出呼吁,希望他们在面部识别技术引发的诸多问题变得泛滥之前为解决它们贡献力量。 可以说,问题已经开始显现。毕竟,面部识别技术已经被广泛应用,从 Facebook 到苹果的 Animoji,不一而足。但如果说过去一年给了我们什么启示的话,那就是各国政府都迫不及… → 阅读更多

  • 万豪应急响应能力遭诟病,受害者面临钓鱼式攻击风险

    万豪应急响应能力遭诟病,受害者面临钓鱼式攻击风险

    上周五,万豪发送了数百万封电子邮件,告知用户该公司发生了大规模数据泄露事件——万豪旗下喜达屋酒店的预订数据库中约 5 亿客人的个人资料被盗。 问题在于,这封电子邮件发件人的域名看起来根本不像是万豪酒店的。 万豪以 “email-marriott.com” 的域名形式发出了这封电子邮件,这个域名登记在一家代表万豪酒店的第三方公司 CSC 名下。但是,没有其他证据证明这封电子邮件是完全合法的——域名没有加… → 阅读更多

  • 黑客利用 NSA 黑客工具劫持数万台计算机

    黑客利用 NSA 黑客工具劫持数万台计算机

    一年多之前,针对来自美国国家安全局(NSA)的系统漏洞,许多企业发布了补丁去修复。然而目前,仍然有数十万台计算机没有打补丁,因此很容易受到攻击。 首先,这些计算机会被用来传播勒索软件。其次,计算机可能会被用于加密货币挖矿。目前,研究人员表示,黑客正在利用泄露的工具,建设更加庞大的恶意代理网络。 信息安全巨头 Akamai 的新发现显示,此前报告的 UPnProxy 漏洞目前可以瞄准路由器防火墙背后没有打补丁的计算机。这个漏洞利用了通用即插即用网络协议。 攻击者传统上使用… → 阅读更多