国内外简报industry briefing

2019年第21周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 易到用车服务器遭到连续攻击:攻击者索要巨额比特币

易到用车官方称,2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。“我们的相关技术人员正在努力抢修。我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。”易到用车称,运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。(详情链接

2. 漏洞猎人对外公布Windows的第5个零日漏洞

一个昵称为SandboxEscaper的安全研究人员,公布了从去年8月以来的第5个零日漏洞。新的漏洞存在于Windows 10的任务调度器(Task Scheduler)中,将允许本地端骇客将一般权限扩张至管理权限。由于连续公布Windows的零日漏洞,SandboxEscaper的Twitter帐号在去年12月底就被停更,迄今尚未恢复。但SandboxEscaper依然通过博客与GitHub继续公布其研究成果,并放出攻击展示视频进行佐证。(详情链接

3. 跟随Facebook?4900万用户信息被黑客盗走

此前Facebook的用户信息泄露案闹得沸沸扬扬,创始人马克扎克伯格为此还上了法庭。现在国际知名社交App Instagram也被曝出泄露了4900万用户信息。一个由亚马逊托管的服务器上,可以看到4900万的Instagram用户数据信息,这些信息包括用户的性别、个人资料图片、粉丝数、验证的城市和国家位置,还包括了一些私人信息,比如邮件、电话等。(详情链接

4. 超 12,000 个 MongoDB 数据库被 Unrisllar 黑客组织删除

在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。(详情链接

5. 超过一百个漏洞将三万门禁数据暴露给黑客

研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了100多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品,并操纵与其关联的系统。大约一年前,工业网络安全公司Applied Risk的研究员Gjoko Krstic开始分析来自Nortek,Prima Systems,Optergy和Computrols的楼宇管理(BMS),楼宇自动化(BAS)和门禁控制产品。产品包括Computrols CBAS-Web,Optergy Proton/Enterprise,Prima FlexAir和两款Nortek Linear eMerge产品。(详情链接

6. 美国警告,中国制造的无人机可能带来安全风险

据外媒报道,美国国土安全部(Department of Homeland Security)警告企业,中国制造的用于日常工业的无人机对敏感信息和知识产权构成潜在威胁。美国网络安全和基础设施安全机构(CISA)发布的行业预警指出,中国制造的无人机引发了“强烈担忧”,美国的数据可能会被带回中国。中国制造的无人机和联网设备还能显示设备的操作过程和操作人员的信息。(详情链接

7. 谷歌利用Gmail读取网购收据,跟踪用户购买历史

据报道,用户可通过谷歌Gmail的“购买”(Purchases)页面访问购买记录,该页面显示了近几年来用户在Amazon、Flipkart、Swiggy等在线服务中购买的产品列表。虽然谷歌早已宣布将停止通过Gmail收集投放广告的数据,但据CNBC的报道,谷歌仍在幕后收集大量个人信息。谷歌发言人对此事表示,为了帮助用户在某个地方更方便地查看和跟踪自己购买、预订和订阅的服务,谷歌创建了只有用户个人才能看到的私人目的地。但是,实际上删除这些信息并不容易。由于没有批量删除数据的选项,删除数据并不方便,只能一个一个地删除。(详情链接

8. 工信部:一季度处置网络安全威胁967万余个

今年一季度信息通信行业网络安全总体态势依旧严峻,网络安全监管成效持续巩固。一季度,全行业共处置网络安全威胁967万余个,包括恶意IP地址、恶意域名等恶意网络资源近170万个,木马、僵尸程序、病毒等恶意程序698万余个,网络安全漏洞等安全隐患约4.8万个,主机受控、数据泄露、网页篡改等安全事件约93.5万个。(详情链接

9. 国家市场监管总局谈“浏览器主页劫持”:将会同相关部门治理

市场监管总局已于今年4月起在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。下一步,将配合中央网信办等部门,从规范格式条款、APP安全认证、消费者个人信息保护等角度做好相关治理工作。同时,积极配合全国人大常委会推动个人信息保护法尽快出台。APP安全认证在今年3月13日由市场监管总局联合中央网信办共同向全社会推出,按照APP运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对APP收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证APP等方式,引导消费者选用安全的APP产品。(详情链接

10. 谷歌:大多数黑客雇用服务都是假的

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示, 大多数网上提供的黑客雇用服务都是诈骗或者无效的 。研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。 研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。(详情链接