网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】WebRTC bug泄漏了VPN用户的真实IP

2018-04-03 09:39 推荐: 浏览: 83 views 字号:

摘要: WebRTC bug泄漏了VPN用户的真实IP安全研究员 Paolo Stagno 测试显示,23% 的 VPN 方案仍然会受到 2015 年 1 月披露的一个 WebRTC bug 的影响,泄漏客户的真实 IP。WebRTC 是一个为浏览器和移动应用提供实时...

WebRTC bug泄漏了VPN用户的真实IP安全研究员 Paolo Stagno 测试显示,23% 的 VPN 方案仍然会受到 2015 年 1 月披露的一个 WebRTC bug 的影响,泄漏客户的真实 IP。WebRTC 是一个为浏览器和移动应用提供实时通信功能的开源方案,被现代浏览器如 Brave、Firefox、Chrome、Opera 和 Vivaldi 等默认启用(Tor 浏览器默认禁用)。他编辑了一个电子表格,记录了约 200 种 VPN 和代理服务的 IP 泄漏情况(许多记录是网友提供的)。他还发布了一个 POC,让用户自己检查 VPN 的 IP 泄漏。他给出的权宜之计是禁用 WebRTC 和 JavaScript(或部分 js 功能)。

参考来源:

https://www.solidot.org/story?sid=55977

数以万计的Django应用程序因配置错误泄露密码等敏感信息Django 是一个非常流行的高级Python Web框架,它可以快速开发基于Python 的Web应用程序。近日,安全研究员FábioCastro发现 28,165个配置错误的 Django应用程序暴露敏感信息,其中包括密码,API密钥以及AWS访问令牌。FábioCastro称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。

参考来源:

http://hackernews.cc/archives/22185

IBM给区块链增加了一项技能:加密锚每年,IBM都会展示IBM Research全球实验室的“5 in 5”技术,该公司希望在未来5年内从根本上重塑商业和社会。今年,在拉斯维加斯举行的“Think 2018”中,IBM同样展示了他们的“5 in 5科学技术”,其中一项就是“加密锚”与区块链的结合技术。IBM表示,这些加密锚就相当于“防篡改的数字指纹”,能够将区块链的价值扩展到现实领域。据悉,这些设备有一个嵌入的安全代码,它可以用来对一个具有密码安全、防篡改签名的产品进行身份验证,以确保这些产品与区块链中的记录相匹配。

参考来源:

http://www.aqniu.com/industry/32553.html

Airbnb 中国将向政府披露房东信息据路透社报道,美国短租平台 Airbnb 爱彼迎宣布为了遵守中国的监管要求,将从 3 月 30 日开始将提供短租服务的房东信息向中国政府披露。路透社指出,中国有着严格的拘留规定,外国游客抵达中国或入住酒店 24 小时内需要向警方登记居住地址。Airbnb 表示,对此有顾虑的用户可以下架他们位于中国的房源信息。

目前在中国采取类似做法的外国科技公司还有苹果、亚马逊 AWS、Evernote 等,苹果已经把 iCloud 的运营交给一家中国公司来负责,亚马逊 AWS 与 光环新网 达成合作, 印象笔记(Evernote 在中国的名称)也在不久前宣布将用户数据迁移到腾讯云。

参考来源:

https://cn.technode.com/post/2018-03-28/airbnb-sharing-chinese-host-information/

AutoHotKey恶意软件现在已成为一个事实根据网络安全公司提供的几份报告和Bleeping Computer收到的来自恶意软件专家的观点,AutoHotKey现在已经成为构建恶意软件最流行的技术之一。AutoHotKey(AHK)是早在2003年为Microsoft Windows操作系统开发的开源脚本语言。

参考来源:

https://www.bleepingcomputer.com/news/security/autohotkey-malware-is-now-a-thing/

美国迄今最严重电话中断事故:Level 3技工犯错致使服务中断2016 年 10 月 4 日,Level 3网络的电话服务中断了约 1 个半小时。Level 3 事后称是配置错误导致服务中断。3月初 FCC 和美国国土安全部公布了事故调查报告。报告称,在例行的每天一次或两次的网络维护期间,一名技术人员使用了网络供应商的网络管理软件执行了例行的反欺诈操作,试图屏蔽被怀疑与恶意活动相关的非本地电话号码呼叫。该网络管理软件将空字段解释为通配符,也就是屏蔽所有电话呼叫。而这位技术人员留下了空字段,没有填电话号码,导致网络交换机屏蔽了所有非本地电话号码呼叫。事故影响了 2940 万 VoIP 用户和大约 230 万无线用户,超过 1.11 亿次电话呼叫失败。这是美国至今最严重的电话服务中断事故。

参考来源:

https://www.secrss.com/articles/1545

97%的风险专家认为物联网攻击对公司业务将是“灾难性”的

根据Ponemon研究所近日发布的《物联网:第三方风险的新时代》调查报告,预计企业工作场所物联网设备的平均数量将从去年的15,874件增加到24,762件。然而,随着连接设备数量的不断增加,风险越来越大:在接受调查的605名参与公司治理或风险监督活动的专业人士中,有97%表示因物联网设备不安全引发的安全事件可能对组织造成“灾难性”影响,另有60%的受访者表示担心其企业的物联网生态系统容易遭受勒索软件攻击。

参考来源:

https://www.techrepublic.com/article/97-of-risk-pros-say-iot-cyberattack-would-be-catastrophic-for-their-business/

联系站长租广告位!

中国首席信息安全官


关闭


关闭