国内外简报industry briefing

2019年第19周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 汉堡王的儿童网上商店泄露数万条顾客信息

通过Shodan搜索发现的一个未受保护的Elasticsearch集群暴露了37,900条汉堡王商店客户的记录,这是一家专门为购买汉堡王的孩子们量身定制的法国网上商店。正如安全研究员Bob Diachenko在进一步调查后发现的那样,数据被泄露是因为存储它的数据库配置错误,允许任何人访问存储在其中的记录。由于数据库没有以任何方式进行保护且可公开访问,因此任何人都可以编辑,下载甚至销毁数据,而无需管理员凭据。(详情链接

2. 美司法部起诉两名中国黑客盗窃保险公司数据

美国司法部周四(9日)起诉两名中国黑客盗窃医疗保险巨头安森公司(Anthem Inc.)的数据。这起2015年的盗窃事件导致近8000万用户数据泄漏,被盗信息包括姓名、社会安全号码、电话号码、电子邮件地址、收入和生日等。(详情链接

3. 涉及2.75亿条印度公民信息的MongoDB数据库被曝光和公开索引

近日,援引外媒Security Discovery报道,他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库,其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。在这个曝光的数据库中并没有泄露源或者从属关系的标签。根据Shodan的历史数据,MongoDB于2019年4月23日首次被索引。(详情链接

4. “盗梦空间栏”,Chrome 移动版上的新型网络钓鱼

一种名为“盗梦空间栏”(Inception Bar)的新型网络钓鱼技术出现了,并被证实适用于 Chrome 移动版。该方法允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址,并附带挂锁图标,以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是,假 URL 也可以显示为带有交互式内容的动态栏。(详情链接

5. 著名加密货币交易所遭黑客入侵,超7000枚比特币被盗

全球五大加密货币交易所之一Binance(币安)5月7日宣布网站出现安全漏洞,黑客使用网络钓鱼、病毒等攻击来获取API密钥、2FA码以访问用户帐户,窃取了逾7000枚比特币,价值近4100万美元。黑客在Binance的热钱包中进行了7074比特币的巨额交易。Binance宣布将承担损失,因此用户不会因黑客攻击而损失比特币。(详情链接

6. 美国能源公司系统遭遇DDoS攻击

一家为美国加州洛杉矶、犹他州盐湖城和怀俄明州康弗斯县提供电力的能源公司遭到分布式拒绝服务(DDoS)攻击,攻击发生在3月5日的上午9点到晚上7点左右,但没有导致停电,但是导致该公司的系统离线。(详情链接

7. 黑客利用蛮力攻击至少接管了29个物联网僵尸网络

黑客Subby蛮力攻击了使用弱凭证或默认凭证的至少29个物联网僵尸网络的后端。他入侵的大多数物联网僵尸网络都是由脚本小子根据网上教程建立的。很大一部分僵尸网络运营者会学习社区中或YouTube上流传的教程来设置僵尸网络。按照教程进行操作时,一般默认凭证不会被更改。即使更改了凭证,密码通常也很弱,因此很容易受到蛮力攻击。(详情链接

8. 重庆网警:某医院未履行等级保护制度被罚款1万元

近日,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”,重庆永川公安接警后立即按照“净网2019”工作要求,启动网络安全应急响应预案,详细了解相关情况,在市公安局网安总队指导下,组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实,该私立医院未按照网络安全等级保护制度的要求履行安全保护义务。(详情链接

9. “QQ音乐”等锁屏勒索类恶意程序变种被曝光

国家互联网应急中心天津分中心称,通过自主监测和样本交换形式,盗号神器等40个锁屏勒索类恶意程序变种近日被发现。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产安全造成严重威胁。上述程序变种包括QQ音乐、拉圈圈神器、盗号神器等。国家互联网应急中心天津分中心安全专家介绍说,这些锁屏勒索类病毒恶意行为包括:强制将自身界面置顶,致使用户手机处于锁屏状态,无法正常使用;私自重置用户手机锁屏PIN密码,监测开机自启动广播,触发开机自启动广播后,便会启动锁屏代码。恶意程序预留联系方式,提示用户付费解锁。(详情链接

10. 网易邮箱回应大量账号被叫卖:仅涉及邮箱地址 已报案

5月7日下午消息,针对媒体报道的“大量网易邮箱账号遭公开叫卖”,网易邮箱在其官方微博上发表声明称,经查,报道中提及的违法行为,仅涉及邮箱地址,不涉及用户敏感信息,并已第一时间向公安机关报案。早些时候,在某交流平台,有人公开叫卖网易邮箱账号,百万邮箱售价仅50元。卖家自称可向这些邮箱发送营销信息,并展示了据说包含有百万个邮箱账号的文件。经测试,仅有6个邮箱发送失败。网易邮箱表示,已第一时间向公安机关报案,并正在积极与警方联动,共同打击此违法犯罪行为。并即将开通24小时服务热线,及时处理用户关切的问题。(详情链接