标签： 每日安全资讯

自《网络安全法》生效以来，与其相关的执法行为逐渐走向常态。本文收集了2017年6月1日至8月18日间各地落实《网络安全法》相关规定的执法案例，包括： 腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查；BOSS直聘被网信办责令整改；汕头某公司未及时履行网络安全义务，网警依据网安法责令改正；重庆一网络公司未留存用户登录日志被网安查处；四川一网站因高危漏洞遭入侵被罚；宿迁网警成功查处全省首例...

在第三方移动支付服务中，苹果支付的安全性比较高，因为苹果在手机中使用了专用的芯片，来存储指纹的安全数据，避免被外部软件或者黑客获取到。过去，安全性也成为苹果推广支付服务最大的卖点之一。 然而日前传来一个不利消息，黑客已经攻破了苹果手机的安全区，获得了加密指纹数据的密钥，未来将会对苹果用户带来怎样的影响，是否会造成海量用户信息被盗，目前尚不得而知。 综合AppleInsider等多家外媒报道，在指纹...

Google 采取自动化的方式检测递交到其应用商店或扩展商店的应用或扩展，但过去几个月，安全研究人员发现了有大量恶意应用和扩展未被 Google 的自动化检测程序检测出来。最新一个被安全研究人员发现的 Chrome 恶意扩展是 Interface Online，它设计窃取用户的银行登录凭证。过去 17 天它至少更新了两次。当安装该扩展到用户访问特定网页，它会激活一个 JavaScript 运行时记...

​从 7 月 17 日到 8 月 4 日，NetSarang 公司销售的五款服务器或网络管理产品被秘密植入了被称为 ShadowPad 的后门。这些产品被数百家银行、能源公司和制药公司使用。这不是第一次上游产品被植入后门，今年早些时候乌克兰会计软件开发商的一款产品就被植入后门传播了 NotPetya 恶意程序。五款受影响的 NetSarang 产品包括了 Xmanager Enterprise 5...

英国安全研究员 Marcus Hutchins，aka MalwareTech，今年早些时候因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但在 8 月 3 日候他在准备离境美国时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。在本周一的法庭听证会，他对其创建和传播恶意程序的六项指控都不认罪。他在缴纳了 3 万美元保释金后获释，将前往洛...

​近日，非常流行的远程终端Xshell被发现被植入了后门代码，用户如果使用了特洛伊化的Xshell工具版本可能导致所敏感信息被泄露到攻击者所控制的机器。 Xshell特别是Build 1322在国内的使用面很大，敏感信息的泄露可能导致巨大的安全风险，我们强烈建议用户检查自己所使用的Xshell版本，如发现，建议采取必要的补救措施。 受影响系统 Xshell 5.0 Build 1322 Xshel...

英媒称，关于黑海卫星导航出现问题的报告暗示俄罗斯可能在测试一种用于诱骗GPS的新系统。这是一种从“无赖国家”到罪犯等所有势力均可利用的新式电子战手段面世的首个迹象。据英国《新科学家》周刊网站8月10日报道，今年6月22日，美国海运局向有关部门提交了一份表面上平淡无奇的事件报告。 俄罗斯新罗西斯克港附近一艘船的船长发现，船上全球卫星定位系统（GPS）显示的船只位置有误——显示船只位于陆地上距海岸超过...

人民网讯 当前，数据对于企业来说是利润之源，阿里与顺丰之争、华为与腾讯之争，其背后实质上都是一场“数据战”。然而，这些数据往往涉及消费者的私人信息。私人信息泄漏与保护日益成为人们关注的焦点。 值得一提的是，英国在数据监管方面为我们提供了一个很好的借鉴。近日，Google和Facebook因泄露用户隐私可能受到英国当局的高额处罚。据英国天空新闻报道称，英国新数据法案规定，Google和Faceboo...

​研究显示，大多数主要网站都通过密码保持基本安全性，但同时，他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或者网站管理或存储密码不当。Dashlane今天发布了密码性能排名调查。这项调查检查了主要消费者和企业SaaS和媒体服务密码安全性，结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略，企业网站当中有36％的企业网站未能提升其密码的安全性，包括亚马逊网络服务。 网站排...

美国国家标准和技术协会（NIST）今年6月提供的最新数字身份指南的新版草案中，已经不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类的要求并不能带来强密码，NIST认为最重要的是储存的密码必须盐化+哈希+MAC处理。 不过对于2003年一篇广为流传的密码混合大写字母、字符和数字的NIST安全专家建议文章，其作者72岁的前NIST主管Bill Burr开始承认当时...

HTTPS 能为互联网提供最基本的隐私和完整性。安全研究人员和浏览器开发商正致力于推动 HTTPS 的普及，如 Let’s Encrypt CA 项目已经签发了超过 1 亿个证书。但普及 HPPTS 的进展究竟如何了呢？Google、Mozilla 和思科的研究人员发表了一份研究报告（PDF），根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web 服务器...

这张网络上流传的照片有可能就是哈钦斯本人 据《财富》杂志北京时间8月4日报道，黑客社区周四被一则消息震惊：马库斯·哈钦斯（Marcus Hutchins），这位被赞阻止了勒索软件WannaCry全球扩散的22岁黑客，在拉斯维加斯机场遭到FBI的逮捕。 FBI起初并未宣布关于此次逮捕的原因，这导致一些人担心，哈钦斯可能是因为他对WannaCry的研究而被FBI盯上。但到了下午两三点左右，法院发布文件...

​2007年6月，国家标准与技术研究所（NIST）发布指导说，网站应比对用户的密码，看看这些密码是否已经在互联网上泄露，以确保它们完全独一无二。虽然大多数网站还没有提供这种功能，现在haveibeenpwned.com网站创始人Troy Hunt推出了一个工具，您可以在其中检查自己常用的密码，看看它们是否已被盗用。 它的工作方式很简单。只需输入一个密码，并将它与一个超过3.06亿个密码的数据库进行...

近日，瑞典遭遇史上最大规模数据泄露事件，许多机密信息以及几乎所有公民的个人资料都可能被曝光。这一事件极大冲击了瑞典执政党的执政地位，反对党将近期因此发起“不信任投票”，并要求首相引咎辞职。 此次数据泄密事件无论从规模、深度和影响力上都创下了历史记录，令各界开始重新认识数据泄露的潜在政治风险。 瑞典全国核心数据被一锅端 此次数据泄露源于2015年瑞典政府的一项决定。瑞典交通管理局将资料库及资讯通讯服...

​通过追踪经由安全系统的支付，新近出炉的调查报告，揭示了近期全球勒索软件攻击的金融代价。 勒索软件已成为当今网络世界中越来越常见的一大危害；WannaCry和NotPetya就是影响了至少数百万台主机的例子。尽管有专家建议不要支付勒索者，仍然有很多公司继续予取予求，给恶性循环火上浇油。该威胁如此常见，以致公司企业竟开始囤积数字货币以求免受其害。 来自谷歌、Chainalysis、加州大学圣地亚哥分...