本周安全资讯
9May
GitHub遭黑客攻击泄露数百源代码,微软未能幸免;
Mozilla禁止包含混淆代码的Firefox组件上架;
Binance遭黑客攻击,损失价值万美元比特币……
一、信息泄露
1.美国在线辅导平台Wyzant发生数据泄露事件,万用户受影响
据报道,总部位于美国芝加哥的在线辅导平台Wyzant发生数据泄露事件,约万注册用户和超7.6万名活跃辅导员受影响。泄露信息包括名字、姓氏、电子邮件地址、邮政编码及某些客户Facebook个人资料图片、登录信息等。截至目前,该公司表示已修补该问题,将对整个网络和应用程序安全基础架构进行广泛审计,并通知受影响用户。
2.加拿大电信巨头FreedomMobile发生数据泄露事件,万客户受影响
据外媒报道,研究人员发现加拿大电信巨头FreedomMobile数据库在互联网被曝光,至少万条客户记录与万条用户相关记录被泄露,泄露信息包括电子邮件地址、电话号码、家庭住址、出生日期、与付款方式相关的IP地址、信用评分、CVV代码、客户服务记录等。事件发生后,FreedomMobile已通知相关机构并展开调查。
二、网络攻击
1.黑客发起暴力攻击,接管29个物联网僵尸网络
据外媒报道,黑客Subby对使用弱凭证或默认凭据的29个物联网僵尸网络的后端发起暴力攻击,一周内控制4万多台设备,去重后数量接近2.5万。据悉,由于运营商未更改默认凭据或设置了弱密码,导致网络易被暴力破解用于恶意活动,其中被感染的僵尸网络大多使用常见凭据,如“root:root”、“admin:admin”和“oof:oof”等。
2.GitHub遭黑客攻击泄露数百源代码,微软未能幸免
据媒体报道,GitHub遭黑客攻击泄露数百源代码,微软开源平台亦受影响。据悉,黑客删除了众多公司存储在GitHub库中的所有源代码和最近提交的Repo,并勒索0.1比特币(约)。事件发生后,微软已确认其个代码存储库被黑客擦除,此外Bitbucket、GitLab等多个代码托管平台也受到影响。截至目前,尚无用户支付赎金,GitHub已与受影响用户联系,建议用户开启双因素身份验证为账户添加额外安全层。
3.Binance遭黑客攻击,损失价值万美元比特币
据报道,全球最大的加密货币交易所之一Binance遭黑客攻击,多枚比特币被盗,价值万美元。Binance表示,黑客利用网络钓鱼和计算机病毒入侵破坏单个BTC热钱包,并设法获取用户关键信息,具体包括API密钥、双因素身份验证代码以及登录Binance账户所需的其他信息。截至目前,Binance已展开调查,并将暂停其平台上的所有存、取款业务一周,同时动用安全资金(SAFU)弥补用户损失。
4.家校园电子商店遭Magecart攻击,支付卡数据被泄露
据外媒报道,Magecart黑客组织近期发动网络攻击,美国和加拿大个校园电子商店受影响。黑客将恶意JavaScript代码注入电子商店结账、付款页面中以窃取用户支付卡数据。事件发生后,供应商从平台上删除了卡片分离器代码,专家建议网站所有者定期检查并加强其安全补丁,同时采用身份验证机制存储和管理敏感数据以免遭受网络攻击。
三、恶意软件
1.Turla利用新后门工具LightNeuron时间长达五年
网络安全公司ESET最新研究报告显示,俄罗斯Turla集团自4年以来一直使用LightNeuron恶意软件定位MicrosoftExchange邮件服务器。LightNeuron允许黑客完全控制服务器,拦截、重定向、编辑传入或传出电子邮件内容。研究人员警告称该恶意软件正被用于实时攻击,目前已有三个组织感染该后门。
四、漏洞曝光
1.Jenkins多个插件存在漏洞,允许黑客窃取凭据
据外媒报道,研究人员发现Jenkins开源软件开发自动化服务器多个插件均存在安全漏洞,允许黑客窃取凭据并发动服务器端请求伪造攻击。该漏洞源于以纯文本形式存储密码,以及跨站点请求伪造缺乏对应权限检查。截至目前,该软件已被安装超过数十万次,用户数量超过万,目前仍有较多插件未被修复。Jenkins开发人员已发布安全建议,允许管理员自行决定是否继续使用该插件。
五、安全资讯
1.Mozilla禁止包含混淆代码的Firefox组件上架
据外媒报道,Mozilla近日发布了针对Firefox的更新,修复了过期签名证书漏洞,禁止包含混淆代码的Firefox组件上架,并将于6月10日起正式拦截违反策略的组件。Mozilla表示该政策旨在消除第三方恶意代码给用户带来的威胁,将针对不同情形采取不同级别制裁措施,包括禁用插件、禁止用户重新启用扩展等,建议开发人员在代码修改后重新提交组件。
2.谷歌发布安卓安全补丁修复30处漏洞
谷歌于近日发布安卓安全补丁,修复了30处漏洞及安卓组件中的其他问题。据悉,补丁包含-05-01和-05-05两个安全级别,涉及AndroidFramework、Mediaframework、AndroidSystem、Kernel、Nvidia、Broad