网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】公信宝被查封

2019-09-13 09:52 推荐: 浏览: 17 views 字号:

摘要: Telegram修复了破坏收件人信息和图像删除的隐私破坏漏洞 Bug赏金猎人Dhiraj Mishra 在邮件删除功能中发现安全性失效,该功能旨在允许用户在发送后的情况下从收件人设备中删除邮件。Telegram解决了隐私问题,即从接收设备远程删除内容的功能。参...

Telegram修复了破坏收件人信息和图像删除的隐私破坏漏洞

Bug赏金猎人Dhiraj Mishra 在邮件删除功能中发现安全性失效,该功能旨在允许用户在发送后的情况下从收件人设备中删除邮件。Telegram解决了隐私问题,即从接收设备远程删除内容的功能。参考来源:

https://t.cj.sina.com.cn/articles/view/5095232218/12fb312da01900l0pl?from=tech

 

Google Chrome 将测试 DNS-over-HTTPS (DoH)

Mozilla 之后,Google Chrome 也计划引入 DNS-over-HTTPS (DoH)功能,加密 DNS 请求发送到非本地 DNS 解析器。用户发送的 DNS 请求通常是明文发送给 ISP DNS 解析服务器,在不同的网络环境下,明文发送 DNS 请求被认为不安全的,DoH 是这个问题的一个解决方案,它通过加密 DNS 请求到第三方或用户设置的 DNS 解析服务器来保护用户的隐私,然而这个方案的缺陷是你选择的 DNS 服务商将掌握你的 DNS 数据,你需要信任你的服务商。Mozilla 的合作伙伴是 Cloudflare,它是一家云服务商,而 Google 本身是网络广告巨头,它选择的 DNS 服务商可能就是自己,这意味着它将掌握用户更多的信息。这可能会引发新的隐私争议。

参考来源:

https://www.solidot.org/story?sid=62063

 

员工远程控制电脑盗窃100个比特币 法院:罚款5

日前,中国裁判文书网公布这样一起案例,一名比特大陆员工远程入侵公司租用的阿里云服务器,盗窃100个比特币。根据裁判文书,被告人仲某某自20151116日起担任北京比特大陆科技有限公司运维开发工程师。2017915日,其通过使用TEAMVIEWER软件远程控制其在比特大陆公司工位上的电脑,使用ROOT权限进入公司租用的阿里云服务器,在比特币钱包程序中插入代码转移了比特币100个至其在互联网站的个人“钱包”里。916日,比特大陆公司发现网络上公司的比特币余额不足,遂向北京知道创宇信息技术有限公司寻求帮助并支付“信息技术服务费”、“安全服务费”人民币3.6万元。案发后,被告人仲某某自动投案,于201812日被羁押。其已退还比特大陆公司比特币90个。法院认为,被告人仲某某采用技术手段非法获取计算机信息系统数据,造成经济损失1万元以上,情节严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处。

参考来源:

https://nosec.org/home/detail/2948.html

 

公信宝被查封

金色财经独家现场确认,公信宝被查封一事属实,另外需要特别强调的是,其被查封的原因与区块链业务并无关系。911日,据传,公信宝主体运营公司杭州存信数据科技有限公司被杭州市公安局西湖分局古荡派出所查封。对于公信宝被查,有分析认为,大概率是因为“数据”的事情,而不是因为“区块链和发币”的事情。稍早前因为为网贷提供数据,爬虫抓数据、数据、购买黑数据,知名的风控数据提供商摩羯科技、新颜科技相关人员被警方带走调查,同时包括魔蝎、有盾、新颜、天机、聚信立等均已经主动或是被动地停止了爬虫服务。

参考来源:

https://finance.sina.com.cn/blockchain/roll/2019-09-12/doc-iicezueu5218448.shtml

 

英特尔芯片弱点允许攻击者窃取敏感信息

2011 年,英特尔服务器处理器引入了一项新功能去提升性能,它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIOData-Direct I/O)的功能通过避开系统主内存而增加了输入/输出带宽,减少延迟和功耗。但研究人员警告称,攻击者能够滥用 DDIO 去获取按键或其它类型的敏感数据。最有可能的攻击场景发生在启用了 DDIO 和远程直接内存访问的数据中心和云端环境,攻击者可利用漏洞从一台服务器窃取另一台服务器和应用服务器之间交换的 SSH 保护的按键数据。

参考来源:

https://www.cnbeta.com/articles/tech/888365.htm

 

网店出售人脸数据引发争议

国内媒体报道,在一网络商城上,有商家公开兜售 “人脸数据”,数量达 17 万条。报道称这些 “人脸数据” 覆盖 2000 人的肖像,除了人脸位置的信息外,还有人脸的 106 处关键点,如眼睛、耳朵、鼻子等的轮廓信息。这其中有明星也有普通市民,还有部分未成年人。店家称,自己平时从事人工智能的相关工作,因此收集了很多人脸数据,发售出来 “挣个饭钱”,并不提供当事人的人名和身份证号等信息。记者举报后,商品被下架。有律师表示,此举已涉嫌侵犯他人隐私权。

参考来源:

https://www.solidot.org/story?sid=62055

 

某些型号的CombaD-Link路由器存在管理员密码泄露漏洞

近期,Trustwave旗下SpiderLabs的安全研究人员在某些型号的D-LinkComba WiFi路由器中发现管理员明文密码泄露漏洞。来自SpiderLabs的研究人员Simon Kenin发现了5个登录凭证泄露漏洞,其中3个漏洞影响到一些Comba Telecom WiFi路由器,另外两个影响到D-Link DSL调制解调器。攻击者可以直接使用这些登录凭证接管路由器,后续再通过更改路由器设置(例如更改DNS设置来劫持流量,进行中间人攻击)来进行恶意网络活动。根据安全报告的说法,两个D-Link DSL调制解调器漏洞所涉及的设备通常安装在家庭网络和ISP之间。其他三个漏洞存在于多个Comba Telecom WiFi设备中。所有这些漏洞和登录凭证存储不安全有关,其中包括三个明文凭证泄露,任意未授权用户都可借此登录设备。

参考来源:

https://nosec.org/home/detail/2949.html

联系站长租广告位!

中国首席信息安全官


关闭


关闭