美国最大血液检测实验室LabCorp出现安全漏洞【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图LabCorp是美国最大的血液检测实验室,而LabCorp在近日发表声明称,他们遭到了黑客的非法入侵,而这一事件将会让数百万的美国公民陷入安全风险之中。

根据该公司在本周周一发表的官方声明,此次黑客入侵事件发生于上周的周末,但是攻击者只入侵了LabCorp的诊断系统,目前还没有任何证据可以表明攻击者还成功入侵了LabCorp的药物研发系统。除此之外,调查人员还没有发现泄漏的数据被非法利用。LabCorp已经将此次事件上报给了有关部门,并会积极配合取证人员的调查活动。

LabCorp没有透露更多关于此次事件的细节信息,为了应对此次事件,LabCorp已经关闭了其部分基础设施。公司表示:“此次事件只会暂时影响公司的血液检测服务,相关用户对检测结果的获取可能也会受到影响,但是我们目前正在全力对事件进行调查,并会尽快完成整体系统的修复。目前血液检测服务已经恢复正常来了,我们预计在接下来的几天内所有其他的系统功能都能够恢复正常。”

参考来源:

http://www.freebuf.com/news/178038.html

微软取代Facebook成为网络钓鱼者伪装的首选公司【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图1网络钓鱼攻击者往往会通过各种手段伪装成各种知名企业来欺诈受害者,以便于让受害者透露个人密码和隐私数据。根据安全公司Vade Secure在今年第2季度完成的调查报告,微软取代Facebook成为攻击者伪装的首选,Facebook下降两个名次,低于PayPal。

由于网络钓鱼URL增加57%,微软取代Facebook成为榜首。而且随着Office 365的普及,针对企业的钓鱼攻击也越发的明显。伪装成PayPal的钓鱼URL数量同比增加了16%,位居第二位,也是攻击者最常伪装的大型企业,毕竟它是全球广泛使用的在线支付服务,2018年第1季度的活跃用户超过2.37亿。

参考来源:

https://www.cnbeta.com/articles/tech/747885.htm

Cisco Policy Suite Cluster Manager默认密码漏洞CVE-2018-0375【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图2当地时间7月18日,Cisco官方发布一则安全通告称其策略套件(CPS)的群集管理器存在一个严重漏洞(CVE-2018-0375)。此漏洞可能允许未经身份验证的远程攻击者使用root帐户登录具有默认静态用户凭据的系统。该漏洞是由于root帐户存在未记录的静态用户凭据。攻击者可以使用该帐户登录受影响的系统来利用此漏洞。利用漏洞可能允许攻击者以root用户身份登录受影响的系统并执行任意命令。

参考来源:

http://blog.nsfocus.net/cve-2018-0375/

北上深6家P2P连环爆雷 有员工投了2000万只吃得起泡面【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图3这个夏天,p2p正在以不可思议的速度和方式“自曝”,鼓励起诉自家跑路老板的网贷,主动让大家报警的平台,曝光实控人身份资料求相信的网贷小编在被收割的投资人纷纷扼腕叹息、奔走维权的时候,网贷公司开始用一种奇异的方式曝光家丑,不再藏着捂着,共同造出了一个p2p“爆雷潮”的乱相,姿态各异,地域不同,却又殊途同归。

7月18日上午,银豆网、金银猫先后发布公告宣布停止运营和清盘,下午,待收百亿平台爱投资宣布将“债转股”,投P2P投成股东,17日晚间,深圳警方也通报了投之家等三起P2P暴雷最新进展,一日之间,北上深一个不落,震惊都已经无法形容投资者的心情。根据估算,这6家平台加起来累计交易金额已经突破1000亿元,影响面之广可想而知。

参考来源:

http://finance.caijing.com.cn/20180718/4488163.shtml

iOS 12 beta 4改动:解锁才能使用USB配件【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图4苹果公司正在不断完善 iOS 12 系统,让 iPhone 的 Lightning 接口变得更加安全。之所以这么说,是因为苹果在最近发布的 iOS 12 beta 4 中给这个接口增加了额外的安全防护。iOS 12 最新测试版的改动是基于 USB 限制模式的,该模式将在 iOS 设备最后一次解锁超过一个小时之后禁用设备的 Lightning 接口。这个 Lightning 接口仍然可以用来充电,但是在设备解锁之前,所有配件都无法使用。

在iOS 12 的第四个开发者测试版中,不管什么时候,只要 iOS 设备连接电脑或者 USB 配件,都需要输入密码。在做出改动之前,执法机构或者罪犯有一个小时的时间来破解 iOS 设备,而现在,强行破解 iOS 设备将变得更加困难。

参考来源:

https://www.feng.com/iPhone/news/2018-07-18/_698145.shtml

短信不安全,Instagram 正在开发独立的双重认证功能【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图5黑客可以把你的电话号码复制到一张新的 SIM 卡上,从而将你的号码据为己有,用来重置你的密码,窃取你的 Instagram 和其他服务的账号,并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样,Instagram 账号特别容易受到攻击,因为该应用仅支持通过短信验证码登录,一旦电话号码被劫持,相关账户的安全性立刻将为零。

不过,现在 Instagram 向 TechCrunch 证实,他们正在开发一套配合 Google Authenticator 或 Duo(注:不是谷歌的聊天工具)这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示,这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。

参考来源:

http://hackernews.cc/archives/23581

PayPal旗下移动支付服务Venmo默认公开用户交易信息【安全帮】北上深6家P2P连环爆雷,有员工投了2000万只吃得起泡面插图6一名隐私提倡者发布最新调查结果表示,多数 Venmo 交易被记录在任何人均可访问的一个公共 API 中,原因是 Venmo app 的默认设置为所有用户设置为“公开”。除非用户特别更改了这个值,否则他们通过 Venmo 转账 app 做出的所有交易都被记录且任何人均可通过 Venmo 公共 API 遭访问。通过这个 API 暴露的数据包括发送人和收款方的姓和名、Venmo 头像、交易日期、交易留言、交易类型等。发现这个问题的隐私提倡者 Hang Do Thi Duc 表示,他通过这一隐私策略查询 Venmo API 并下载了该公司所有2017年的公开交易记录,总计 207,984,218 条。

参考来源:

https://www.secrss.com/articles/4014

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

作者 中国电信安全帮

在线安全服务电商,中国电信北京研究院出品。