国内外简报industry briefing

国内外信息安全简报2018年第三十二周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. Reddit遭到入侵:攻击者在员工帐户中绕过了双因素身份验证

互联网上访问量最大的网站之一,Reddit正式报道了黑客入侵。未知的攻击者设法绕过该公司几名员工的帐户中的双因素身份验证,并窃取了各种各样的数据:从源代码到用户的电子邮件地址。Reddit开发人员目前正在努力加强安全和监控措施,并已被执法机构通知此事件。在官方消息中通过SMS进行双因素身份验证的不安全性直接被称为发生事件的主要原因。因此,现在Reddit员工将从SMS切换到使用2FA-tokens。(详情链接

2.美社交新闻网站Reddit数据再泄露,包含早期用户数据

美国社交新闻网站Reddit周三宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。Reddit称,黑客获取了旧数据库备份的一个副本,其中包含了早期Reddit用户数据,时间跨度从2005年该网站成立到2007年5月。(详情链接

3.英国服饰配饰购物网站140万消费者个人信息泄露

近日,许多在英国服饰和配饰在线购物网站上消费的购物者遭遇了一件并不愉快的事情,因为他们的个人信息已经被确认遭到了泄露。更糟糕的是,此次数据泄露事件涉及多个英国时尚品牌,而导致事件发生的根源来自它们共同的IT服务提供商。在线暴露的信息包含了大约140万消费者的个人信息,包括md5哈希密码、密码、Salt值、姓名、电子邮件地址、电话号码和其他一些数据。值得庆幸的是,并不涉及明支付卡信息。 White Room Solutions在回复中还表示,数据泄露是由于一个安全漏洞引起的,目前已经被修复。不过,目前同样无法在受影响品牌的网站看到与此次数据泄露相关的信息,Taylor Ralston希望通过媒体让消费者了解到这一事件。(详情链接

4.报道称实体安全密钥是谷歌员工避免网络钓鱼的秘密

据外媒CNET报道,事实证明,谷歌员工避免网络钓鱼的关键是一个真正的密钥。 Krebs on Security上周报道称,该公司于2017年初开始使用基于物理USB的安全密钥,从那时起,其85000多名员工中没有一人在使用他们的工作账户时遭遇网络钓鱼。(详情链接

5.GitHub发布Python安全警告,识别依赖包的安全漏洞

GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。安全警告首次发布是在2017年10月,为了跟踪Ruby和JavaScript程序包中的安全漏洞。据GitHub介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。GitHub会根据MITRE的公共漏洞列表(CVE)来跟踪Ruby gems、NPM和Python程序包中的公共安全漏洞。据GitHub介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python历史漏洞。此外,GitHub永远不会公开披露任何库中发现的漏洞。依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。要在Python项目中使用依赖图,需要在requirements.txt或pipfile.lock文件中定义项目依赖。GitHub强烈建议用户在requirements.txt文件中定义依赖。(详情链接

6.乌干达政府开始要求电信公司及ISP屏蔽色情网站

据外媒报道,乌干达当局似乎正在加大对这个国家如何访问和使用互联网的控制。据悉,乌干达通信委员会(UCC)已经向该国的各个电信公司和互联网服务供应商(ISP)提出了屏蔽当地以及国际色情网站的指示。UCC执行主任Godfrey Mutabazi表示目前他们已经确定了17个热门当地和10个国际色情网站,他们已经要求ISP和通信公司屏蔽掉这些网站。(详情链接

7.伊朗Telegram加密聊天数据被劫持

2018年7月30日,加密聊天程序 Telegram 的数据被伊朗国有电信商劫持,这次行动看似一次 BGP 劫持,即某中介非法控制了 IP 地址群组,致原本的数据线路被更改。BGP 劫持事件当晚,伊朗信息和通信技术部部长在推特上证实了这一报道,他表示:“一旦发生错误,无论是有意还是无意,伊朗的电信公司都将面临严重处罚。”(详情链接

8.工信部等13部门联合发起整治骚扰电话专项行动

为着力整治骚扰电话扰民问题,切实净化通信服务环境,工信部等十三部门日前印发《综合整治骚扰电话专项行动方案》,决定自2018年7月起至2019年12月底,在全国开展综合整治骚扰电话专项行动。对于专项行动的总体目标,方案强调,将综合采用法律、行政、经济和技术等多种手段,重点对商业营销类、恶意骚扰类和违法犯罪类骚扰电话进行整治,规范通信资源管理,加强源头治理,打击非法获取个人信息的行为,合力斩断骚扰电话利益链,实现商业营销类电话规范拨打、恶意骚扰和违法犯罪类电话明显减少的目标。(详情链接

9.20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿

研究人员发现20 多万台MikroTik路由器被黑客接管,让用户不知不觉中为他们挖矿。近日,安全研究人员发现了一场针对MikroTik路由器的大规模恶意劫持活动,利用Mikrotik企业路由器中的一个已知漏洞来接管路由器,向用户访问的页面注入Coinhive挖矿脚本。用户打开该网页后即开始挖掘门罗币,而挖矿所得将转发至黑客的账户地址。Trustwave SpiderLabs的安全研究员Simon Kenin表示,攻击的首先从巴西开始,第一阶段即感染了约72000台MikroTik路由器。随后,这场恶意攻击迅速波及到全球20多万台MikroTik路由器,截至8.3日,这一数字仍在增长。(详情链接

10.浙江省1000万学籍数据正在暗网售卖

昨天下午,威胁猎人通过暗网监测到,浙江省1000万学籍数据正在暗网上售卖。从暗网截图显示来看,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。售卖的学籍数据里还提供有照片链接,数据在100G左右。(详情链接