国内外简报industry briefing

国内外信息安全简报2018年第四十三周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.雅虎数据泄露时隔两年和解,向2亿用户赔偿3.5亿元

雅虎同意向美国支付5000万美元(约合3.47亿元人民币)赔偿金,并向2亿人提供两年免费信用监控服务,这些人的电子邮件地址和其他个人信息被盗,这是历史上最严重的安全漏洞事件的一部分。上述赔偿是雅虎在一份和解协议中提出的,这份和解协议需要美国联邦法院的批准才能生效。雅虎这项诉讼已持续两年,该诉讼旨在让雅虎对2013年和2014年发生但直到2016年才公布的数字盗窃事件负责。(详情链接

2.国泰航空发现940万乘客资料曾被未获授权取览

10月25日,澎湃新闻记者从国泰航空有限公司(国泰航空,00293.HK)方面了解到,该公司发现包含约940万乘客资料的若干资讯系统曾被未获授权取览。” 这一情况是在国泰航空持续进行的资讯保安检测过程期间发现的。总部位于香港的国泰航空方面表示,发现事件后,公司已即时采取行动进行调查及阻止事件发展,并没有证据显示任何个人资料曾被不当动用。受影响的资讯系统与国泰航空的航班运作系统为两个完全独立的系统,此次事件不会对国泰航空的航班安全构成任何影响。(详情链接

3.央行发布声纹识别安全应用技术标准 适用手机银行、第三方支付

据了解,该标准由中国建设银行、清华大学、北京得意音通技术有限责任公司发起,历时3年研证,由央行批准颁布。标准修订期间,在央行科技司主导下,发起单位联合工、农、中、交等国内各大银行,国家级测评机构及第三方支付平台等共同对标准报批稿进行了进一步完善。这是央行颁布的我国金融行业第一个生物识别技术标准。(详情链接

4.多种NSA黑客工具已被用于攻击航空航天和核能行业

根据卡巴斯基实验室安全专家的说法,有攻击者正在利用NSA黑客工具DarkPulsar、DanderSpritz和Fuzzbunch来感染俄罗斯、伊朗和埃及50多家机构所使用的Windows Server 2003和2008系统。受感染的易受攻击服务器被广泛应用于航空航天和核能等行业,尤其是那些拥有大型IT和研发部门的机构。(详情链接

5.谷歌让您更轻松地删除最近搜索记录

谷歌将于明年为Maps及其他产品添加隐私控件。本周三,谷歌在谷歌搜索中推出新的隐私控制(措施),用户可利用该工具直接查看、清除最近搜索历史记录。用户只需转到“搜索”页面左上角的菜单,然后点击“您在搜索中的数据”,即可查看其历史记录。谷歌还允许更轻松的方式从搜索中访问相关的隐私控制,包括广告设置,以控制搜索过程中弹出的广告。还可以快速访问活动控件,用户还可以调整Google保存到其帐户的信息以及在Google服务中使用的信息。目前,该新控件现在PC电脑与手机的网页版“谷歌搜索”,并将于几周后应用于iOS与Android的谷歌应用程序。谷歌计划于明年将该隐私控件添加到Maps及其他谷歌产品。(详情链接

6.明文存储的Signal Desktop 应用程序消息解密密钥

逆向工程研究员纳撒尼尔·苏西(Nathaniel Suchy)发现,SignalDesktop应用程序明文储存消息解密密钥,将密钥暴露于黑客攻击之下。信号桌面应用程序将消息解密密钥以明文方式存储,有可能暴露给攻击者。该问题由逆向工程研究员纳撒尼尔·苏西(Nathaniel Suchy)发现。 该漏洞可影响Signal Desktop应用程序加密本地存储消息进程。 Signal Desktop应用程序利用被称为“db.sqlite”的加密SQLite数据库储存用户信息。该加密数据库的加密密钥由该应用在安装过程产生。(详情链接

7.黑客入侵与HealthCare.gov交互的系统

美国医保与医助服务中心(CMS)宣布黑客入侵了与HealthCare.gov交互的计算机系统。据美国医保与医助服务中心称,黑客入侵了与HealthCare.gov交互的计算机系统,盗取约75000人的敏感个人数据。专家发现该入侵后,立即关闭了系统,IT人员正紧急恢复系统正常运行。据美联社报道,“官方消息称其已关闭受感染系统,技术人员正对其进行紧急修复,以期在11月1日,即《可负担医疗费用法案(Affordable Care Act)》规定的医疗保险注册时间前恢复其运行”。“受感染系统为保险代理人及保险经纪人用以直接帮助客户进行登记的系统。其他注册系统皆正常工作”。(详情链接

8.关键漏洞CVE-2018-4013感染媒体播放器MPlayer与VLC

思科Talos团队的专家在Live NetworksLIVE555流媒体RTSPServer中发现了代码执行漏洞(CVE-2018-4013)。思科Talos安全研究员莉莉丝·怀亚特(Lilith Wyatt)在LIVE555流媒体库中发现了关键代码执行漏洞(CVE-2018-4013),该流媒体库用于VLC、MPlayer及其他流行媒体播放器。(详情链接

9.Twitter再现Windows 0 day漏洞

2018年8月,安全研究人员SandboxEscaper在Twitter上公布了Windows 0 day漏洞。时隔2个月,他再次在Twitter上公布了另一个Windows 0 day漏洞,同时在GitHub上公布了PoC。第二个Windows 0 day漏洞影响的是Microsoft Data Sharing (dssvc.dll),这是一个提供应用间数据代码的本地服务。(详情链接

10. 部分安卓应用发现广告骗局,窃取金额达数亿美元

美国的新闻网站 Buzzfeed News 发布的深入调查报告显示,超过125个安卓(Android)应用程序和网站被卷入一个大规模的欺诈行为,该行为导致数亿美元的广告收入被盗。报告显示,欺诈者通过一家名为“我们购买应用程序”的前端公司从开发者处购买合法的,已上传的应用程序。这些应用程序会将其所有权转移给将继续管理该应用程序的空壳公司,同时还会分析用户的行为和与该应用的互动行为。然后,该数据将被编程成为一个网络机器人,从而链接到有购买行为的应用程序上,接着用真实的数据欺骗用户,而用户此时并未意识到。这就从应用内(包括谷歌自身运营的那些)支付广告费用的公司那里获得了数亿美元的广告收入。(详情链接