今天是4月2日星期一,今天的早餐内容有:印度电力公司遭遇黑客攻击;Under Armour称1.5亿用户数据泄漏;微软发布Windows 7补丁;Apple发布安全更新:针对iOS、watchOS、tvOS和Xcode;外媒研究发现:81%的ICO项目是诈骗 ;防漏洞、保安全:网络安全领域“白色产业链”正在兴起。
【国际时事】
印度电力公司遭遇黑客攻击
上周,黑客攻占了印度Uttar Haryana Bijli Vitran Nigam(UHBVN)电力公司的计算机系统,窃取了客户的账单数据。
攻击者对电力公司进行了勒索,索要一个1 RS Core或者1000万卢比才肯归还数据,1000万卢比相当于15万美元。
据新印度快报报道,黑客在3月21日凌晨获得了计费系统的访问权,员工在22日到公司时,发现他们的电脑上闪烁着赎金信息,要求1个RS Core来恢复数据。
电力公司正在通过日志以及其他来源回复数据。
账单数据的丢失意味着电力公司无法对之前的客户用量进行计算。
[BleepingComputer]
Under Armour称1.5亿用户数据泄漏
Under Armour向MyFitnessPal用户通知2018年2月下旬发生的安全漏洞,当时黑客获取了近1.5亿用户帐户的个人详细信息。
Under Armour表示,它仅在四天前的3月25日发现违规行为。Under Armour公司仍在与数据安全公司一起调查事件。
黑客获取了用户名,电子邮件地址和哈希密码。密码使用安全散列函数bcrypt进行保护。
Under Armour在发给加利福尼亚州总检察长办公室的数据泄露通知中称,银行卡数据未被公开,因为它是“分别收集和处理的”。
虽然bcrypt被认为是安全的密码哈希函数,Under Armour仍然要求所有MyFitnessPal用户更改他们的账户密码,以保证安全。
可能唯一的威胁就是MyFitnessPal用户在未来几天可能会收到更多垃圾邮件,因为除了用户的电子邮件外,被盗数据并无用处。
[BleepingComputer]
【安全事件】
微软发布Windows 7补丁
微软今天发布了64位版本Windows 7和Windows Server 2008 R2的安全更新。
安全更新KB4100480修复了本周早些时候由瑞典安全专家发现的安全漏洞。
该漏洞由Meltdown补丁引起,它意外地开放了内核内存。
根据Ulf Frisk的说法,微软2018年1月的Meltdown补丁(CVE-2017-5754)能让任何应用程序从内核内存中提取或写入内容。主要是因为Meltdown补丁控制了内存。
弗里斯克说,星期二的补丁似乎“解决了”这个问题,因为他无法与内核内存交互。
该漏洞无法远程利用,攻击者需要物理访问PC,或者需要预先使用恶意软件感染PC。
[BleepingComputer]
Apple发布安全更新:针对iOS、watchOS、tvOS和Xcode
今天 Apple发布了针对 iOS,watchOS,tvOS 和 Xcode的安全更新。 此次解决的安全漏洞包括权限升级,远程代码执行,以及敏感信息泄漏问题。强烈建议所有用户尽快对设备进行安全更新。
在这些更新中,iOS系统中进行的安全修复最多,达到43个。其次是watchOS、tvOS以及Xcode。 但此前发现的锁屏状态允许 Siri 读取隐藏通知的错误似乎未在 iOS安全更新公告中列出。
[Freebuf]
【行业动态】
外媒研究发现:81%的ICO项目是诈骗
根据ICO咨询公司Satis集团最近的一项研究,去年发生的五起ICO项目中有四项被列为诈骗。
ICO在加密货币世界中一直十分流行,因为它们允许公司通过发行用户可以购买并在交易所进行交易的加密货币,来为各种风险投资筹集资金。
#p#分页标题#e#
这个概念与IPO类似,只不过不是股票,而是公司发行代币。并且一些公司承诺在产品成功并且代币的价值增加后从用户那里回购代币。
Satis研究根据他们的现状组织了六个类别的ICO。只有拥有5000万美元或更高市值的ICO才被纳入研究结果,如果研究人员考虑较小的ICO,则可能会导致诈骗性质的ICO比例上升。
据研究结果,81%的ICO是诈骗,6%被列为失败,5%死亡,只有8%在交易所继续进行交易。
在交易平台上包含ICO代币中,2.8%处于低风险状态,1.6%被认为有希望,只有3.8%被归类为成功。
[Freebuf]
【国内新闻】
防漏洞、保安全:网络安全领域“白色产业链”正在兴起
在数字经济时代,与大数据相关的任何一个环节出现问题都会影响到大数据安全。我国已成为世界上产生和积累数据体量最大、类型最丰富的国家之一,在数据应用和开发的同时,网络安全问题愈发凸显,网络安全领域“白色产业链”正在兴起。
日前因脸书用户的个人信息数据泄漏,使得数据安全再次成为广泛热议的话题。360网络安全响应中心今年发布的《2017年度安全报告—漏洞态势》显示,2017年共披露15120枚漏洞,其中高危漏洞4406枚,覆盖1400多家厂商或组织,累计影响近4000种产品,漏洞披露数量环比上升120%。
网络环境日趋复杂,利用漏洞发起的网络攻击,尤其是对关键信息基础设施的攻击,将带来不可估量的损失。360企业安全集团董事长齐向东说,网络安全已经上升到国家高度,掌握漏洞的能力也成为保障网络安全的核心所在。
网络安全领域的“白色产业链”正在扮演越来越重要的角色。齐向东介绍,第三方平台、企业机构和“白帽子群体”正共同构成漏洞发现和修复的良性机制。企业通过平台对漏洞的发现者进行悬赏奖励,形成了良性循环的“白色产业链”。这些漏洞会被直接提交给企业或机构,避免了漏洞被公开和被更大规模利用。一些机构还通过邀请专业人员进行“众测”,集中发现漏洞。