黑客公布微星产品私钥,使其更容易被攻击
在勒索软件团伙泄露了微星公司产品的私人代码签名密钥后,网络犯罪分子可能更容易攻击 MSI 笔记本电脑。
泄密事件可追溯到一个名为 Money Message 的组织,该组织上个月宣布已渗透 MSI 并窃取敏感的公司文件,据称包含源代码。Money Message 声称 MSI 拒绝支付费用以对信息保密,因此在周四,它在暗网上的网站上发布了被盗数据。
网络安全公司 Binarly 分析了泄漏的文件,并确认它们包含 MSI 57 种产品固件的私有代码签名密钥。
这些密钥很重要,因为 MSI 使用它们来证明固件更新来自公司。否则,计算机可以将该软件标记为不受信任和潜在的恶意软件。
现在,这些泄露的密钥可能会落入犯罪分子之手,并被滥用来签署伪装成 MSI 相关软件的恶意软件。
另一个问题是泄漏还包含Intel Boot Guard的私有签名密钥,它可以在 PC 首次启动时验证正确的计算机代码正在运行。Binarly 在 116 种 MSI 产品中找到了 Intel Boot Guard 的私钥。
—— 个人电脑杂志
支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码
目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。(Soha 的日常频道)
淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。
PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。
在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:
· 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
· 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
· 关闭小额免密支付
—— V2EX
有黑客正在兜售超过 6.3 亿条中国公民的敏感数据。这些信息包括姓名、身份证号码、DoB、地址、电话、性别和银行卡号码。黑客报价80,000 美元。
本频道获得了一份据称是样本的1万条数据,但是无法立即验证这些信息的真伪。
欧盟不会像美国那样对待 TikTok
欧洲对这家中国公司采取了务实的态度,这与美国形成鲜明对比,一位欧盟议员凯伦·梅尔基奥 (Karen Melchior) 将其描述为“闹剧”。
欧洲立法者担心TikTok收集数据的问题,但他们同样担心美国科技公司。Facebook 和谷歌也有令人担忧的数据收集行为。“我不明白为什么只针对 TikTok,”他说。
欧盟可能会像对待该公司的美国竞争对手一样,对 TikTok 进行同样程度的审查。下周,欧盟委员会预计会将 TikTok 指定为“超大型在线平台”。这将迫使母公司 ByteDance Ltd. 遵守《数字服务法》中最严格的欧盟内容审核规则——与谷歌母公司 Alphabet Inc. 和 Meta Platforms Inc. 一样。
监管机构也不太可能将 TikTok 列为竞争规则的目标,因为数字市场法案是为美国科技巨头制定的。
撇开国际冲突不谈,一些欧洲政客——至少目前是这样——将 TikTok 视为接触年轻选民的有用工具。加利表示,他计划在 TikTok 上为明年的欧洲选举竞选。他只会用他的私人手机上使用。
—— 彭博社
美国政府酝酿对卡巴斯基采取执法行动,为打击TikTok进行一场预演
华盛顿——据知情人士透露,拜登总统的商务部正在权衡根据其在线安全规则对卡巴斯基实验室采取执法行动,卡巴斯基实验室是一家俄罗斯网络安全公司,长期以来一直面临对美国构成威胁的指控。
据一些知情人士称,该行动——如果成为现实——可能成为商务部在监管网络威胁方面日益重要的作用的一个测试案例,他们表示针对卡巴斯基实验室的潜在行动可能成为针对 TikTok 或其他中国控制技术的类似行动的典范。
据报道,在卡巴斯基采取执法行动之前,美国出台了一项新立法,该立法将允许白宫在中国的 TikTok 或其他外国技术构成国家安全风险时禁止这些技术。
—— 华尔街日报 , 路透社
调查显示三分之一的组织承认掩盖过数据泄露
在一个网络犯罪变得越来越难以预防的世界里,许多安全领导者正在向 IT 专业人员施加压力,要求他们掩盖真相。
网络安全供应商 Bitdefender 今天发布的新研究调查了 400 多名在拥有 1,000 名或更多员工的公司工作的 IT 和安全专业人员。Bitdefender 发现,接受调查的 IT 和安全专业人士中有 42% 被告知在应该报告违规行为时对违规行为保密——即掩盖违规行为。
也许更令人震惊的是,29.9% 的受访者承认掩盖过违规行为而不是报告。
这项研究强调,数量惊人的组织愿意无视其向监管机构和客户报告数据泄露的义务,以试图避免法律和经济处罚。
—— VentureBeat
Tor 项目推出新的以隐私为中心的浏览器 Mullvad,它结合 VPN 一起使用,而不是洋葱网络
匿名网络和浏览器背后的组织 Tor Project正在帮助推出一款注重隐私的浏览器,该浏览器旨在连接到 VPN 而不是去中心化的洋葱网络。它被称为 Mullvad 浏览器,以与该项目合作的 Mullvad VPN 公司命名,可用于 Windows、Mac 或 Linux。
Mullvad 浏览器的主要目标是让广告商和其他公司更难通过互联网跟踪您。它通过减少浏览器的“指纹”来实现这一点,“指纹”是一个描述网站可以收集的所有元数据以唯一标识您的设备的术语。你的指纹可以由简单的东西组成,比如你使用的浏览器和操作系统,也可以是更具侵入性的信息,比如你安装的字体和扩展,以及你的浏览器可以访问的输入/输出设备。
需要明确的是,如果您试图躲避政府和执法机构(如美国国家安全局、联邦调查局)或为世界各地其他政府的追踪,这些措施就没那么有用了。对于任何拥有足够资源的人来说,除了跟踪像素和第三方 cookie 之外,还有其他方法可以跟踪互联网活动。
—— The Verge
Tor 项目推出新的以隐私为中心的浏览器 Mullvad,它结合 VPN 一起使用,而不是洋葱网络
匿名网络和浏览器背后的组织 Tor Project正在帮助推出一款注重隐私的浏览器,该浏览器旨在连接到 VPN 而不是去中心化的洋葱网络。它被称为 Mullvad 浏览器,以与该项目合作的 Mullvad VPN 公司命名,可用于 Windows、Mac 或 Linux。
Mullvad 浏览器的主要目标是让广告商和其他公司更难通过互联网跟踪您。它通过减少浏览器的“指纹”来实现这一点,“指纹”是一个描述网站可以收集的所有元数据以唯一标识您的设备的术语。你的指纹可以由简单的东西组成,比如你使用的浏览器和操作系统,也可以是更具侵入性的信息,比如你安装的字体和扩展,以及你的浏览器可以访问的输入/输出设备。
需要明确的是,如果您试图躲避政府和执法机构(如美国国家安全局、联邦调查局)或为世界各地其他政府的追踪,这些措施就没那么有用了。对于任何拥有足够资源的人来说,除了跟踪像素和第三方 cookie 之外,还有其他方法可以跟踪互联网活动。
—— The Verge
西部数据披露一起安全事件,内部数据被黑客窃取
数据存储设备制造商西部数据公司周一表示,它正在调查一起网络安全事件,此前一些系统的漏洞扰乱了其部分业务运营。
该公司在一份声明中说,未经授权的一方从其系统中获得了某些数据,西部数据正在努力了解这些数据的性质和范围。
该公司表示,该事件可能会对其业务运营造成进一步干扰,并正在实施措施以确保运营安全,包括将系统和服务下线。
该公司还表示,在与外部安全和取证专家进行了自己的调查之后,它正在与执法当局合作。
—— 路透社
网络安全审查办公室对美光公司在华销售产品启动网络安全审查
为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。
来源: 中国网信网