各位 Buffer 早上好,今天是 2018 年 3 月 9 日星期五。进入三月份之后就一直不断的有重磅事件出现,每天早餐快讯也比较丰盛,今天也不会让你们失望:币安网疑遭黑客入侵致使比特币大跌10%;苹果正式回应技术顾问入侵用户账户一事:不是临时工;谷歌72位量子计算机来了!比特币有可能被破解;两个Memcached DDoS攻击PoC发布;被盗的Apple ID在“暗网”黑市上售价为15美元。
【国际焦点】
币安被疑遭黑客袭击中止提现,比特币大跌10%
昨天早上一起来,一篇10w+的微信爆文《3月7日这一夜,黑客耍了所有人》刷遍朋友圈,也让更多人关注到了币安网这次事件。多名用户在网上论坛透露,加密数字货币交易平台币安疑似遭到黑客攻击,突然开始抛售他们账户内的加密货币。此后币安方面中止了一切交易币种提现,表示在调查“未经授权的市场抛售。”
经过了一整夜的事件发酵,币安网也及时发布了公告来说明这次事件,并未承认网站遭受黑客直接攻击,可以确认的是黑客通过某种方式盗取了API Key。黑客利用用户账户大量买入一种流通量较低的VIA币,将比特币间接转入预先设置好的31个账户中。如此大手笔的交易,也触发了币安网的自动风控导致无法提现。
值得一提的是,这次事故导致比特币价值大跌约10%,而却瞬间拉高了VIA币的价值。不禁让无数人猜测这是一场蓄谋已久的攻击……
详情可查看比特币遭遇跳崖式暴跌,来看黑客导演的这场烧脑大片(全解读)
谷歌72位量子计算机来了!比特币有可能被破解
在今年于洛杉矶举办的美国物理学会年会上,谷歌放了一个大招,发布全球首个 72 位量子比特通用的量子计算机 Bristlecon,实现 1% 的低错误率,与谷歌之前涉及的 9 量子比特通用的量子计算机持平。这款处理器不仅能够帮助科学家们进行量子模拟的探索,还能够在量子优化和量子机器学习上有所应用。
量子计算机可能破解比特币
目前量子计算机只在科研领域有所应用,但如果真如 Google 实验室所言,Bristlecone 能达到量子霸权,那么比特币等基于区块链技术的虚拟货币可能将被破解。根据区块链中少数服从多数的原则,一旦矿工拥有 51% 的算力,其他后续矿工将无法继续获得比特币。而未来随着量子计算机量子比特的增长,区块链采用的非对称密码算法,即公钥密码系统也会受到更大的威胁。
通过使用量子计算机,可以实现反向运行用公钥推定私钥的过程,每个人的私钥都会被量子计算机轻易推断出来。外媒Motherboard认为一个4000量子比特的量子计算机就可以瓦解区块链,也就是说哪个人或团队先做出并应用这样的量子计算机就可以解出并验证每一笔交易,未来会产生的还未流通的所有加密货币都会被其垄断,加密货币的信任系统将被瓦解。详情可参见 FreeBuf 的专题文章:量子计算从概念走入现实,公钥加密是否岌岌可危。[来源:FreeBuf]
【数据安全】
被盗的Apple ID在“暗网”黑市上售价为15美元
国外网站对秘密的“暗网”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID 苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。
#p#分页标题#e#
拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。社交媒体方面,脸书 FB 的价格最高,5.2 美元。领英、推特、Instagram 账户分别是 2.07、1.66 和 1.28 美元。Gmail 和雅虎账户的价格都是 1.04 美元,AOL 账户的价格却很高,达到了 4.16 美元。
其他方面,在线购物网站的账户价格也很高,梅西百货的账户为 15.34 美元,eBay 和 Amazon 的价格分别是 12.48 和 9 美元。最后就是金融服务了,Paypal 账户登陆价格高达 247 美元,西联登陆账户为 101 美元。其他在线银行、信用卡、借记卡信息都在 50-160.15 美元之间不等。[来源:cnBeta]
【Web安全】
两个Memcached DDoS攻击PoC发布
Memcached DDoS攻击 – 全球最大的DDoS攻击达到1.7Tbps后几天,有人公布了两个针对Memcached放大攻击的PoC代码。Memcached DDoS攻击背后的漏洞是最热的话题之一。世界上最大的DDoS攻击记录只持续了几天,本月早些时候,一家美国服务提供商遭到1.7 Tbps的memcached DDoS攻击。
而现在有人已经发布了两段PoC代码,两端代码都可以利用Memcached进行DDoS放大攻击,任何人都可以使用它们来发起memcached DDoS攻击其中一个PoC代码漏洞用Python脚本语言编写,依靠Shodan搜索引擎API获取存在漏洞的Memcached服务器列表,然后进行memcached DDoS攻击。
第二个漏洞利用代码是用C编程编写的,并使用了存在漏洞的Memcached服务器列表。作者还发布了memecache-amp-03-05-2018-rd.list文件,该文件是截至03-05-2018的存在漏洞的memcached服务器列表。[来源:SecurityAffairs]
【国内新闻】
苹果正式回应技术顾问入侵用户iCloud账户一事:非临时工
3 月 5 日,微博用户 @美国往事 1999 爆料称,苹果官方技术顾问不但非法窃取了用户信息,还恶意进行敲诈勒索。而事件一出,瞬间引发了微博网友以及各方媒体的关注,存在很多疑问,一直等待苹果官方回应。
以下是苹果公司声明原文:
我们非常尊重顾客赋予我们的信任,将保护个人隐私和信息安全托付给Apple。捍卫用户的隐私是我们系统设计的出发点,任何一个AppleCare技术顾问均无法访问顾客的密码、电子邮件内容和照片等。我们将与这名顾客一起对该事件进行调查,并确保Apple员工和承包商团队遵守我们在顾客联络方面设定的严格标准。
在此声明中,苹果中国确认用户投诉问题存在,并表达了捍卫用户隐私的意愿。同时也强调了以下几个要点:
1 任何一个苹果技术顾问均无法访问顾客的密码、电子邮件内容和照片等隐私信息;
2 苹果将与这位用户一同调查此事;
3 苹果确保自己员工和第三方团队遵守与客户联系交流时候的标准;
第一点其实是争议最大的,据新浪科技了解,目前苹果没有任何技术顾问能访问用户数据,但确实能看到用户的Apple ID(即邮箱地址);鉴于此用户表示已经报警,而且“高级技术顾问”入侵了用户iCloud账户并进行电话恐吓,已经触犯法律,后续会有警方介入调查。
一些网友认为此事与苹果iCloud运营迁移到云上贵州有关,实际上,目前也没有证据表明两者有直接联系,这个细节应该是部分网友对此事的过度解读。另外,这名技术顾问实际并不是因为此事被解雇,而是在近一个月前就提交了离职申请。[来源:新浪科技]
