安全英雄成罪犯|DNA網站洩露近億用戶數據|壓縮文件漏洞殃及上千項目

這名叫做Marcus Hutchins的安全人員之前曾找到了解決WannaCry的方法,所以此次被捕起訴相當令人震驚。而FBI表示,Hutchins之前曾主動向FBI表示自己和Kronos沒有任何關係,而事實上,他參與了Kronos的製作。不僅如此,檢方還找到了Hutchins曾在網上發佈有關Kronos的視頻,包括效用以及促銷、廣告等。這些主要發生在2014年到2015年間。另外,檢方也提到Hutchins曾於2012年製作傳播惡意軟件UPAS Kit來收集他人的信用卡信息以及其他個人信息。

>> 以色列DNA家譜網站MyHeritage近日發生了大規模數據洩漏事件:在2017年10月26日前註冊的大約9,200萬用戶的郵箱以及hash密碼被盜。

安全英雄成罪犯|DNA网站泄露近亿用户数据|压缩文件漏洞殃及上千项目

該事件被一名研究者在一個非MyHeritage的私人服務器上發現,之後上報給了MyHeritage;網站經過調查後確認洩露。洩露原因以及幕後黑手尚不明確,這次洩露事件在服務器端幾乎沒有留下任何痕跡。MyHeritage表示,這次洩露只涉及郵箱以及密碼,其他家譜信息以及DNA信息由於儲存在第三方服務器的不同系統上,因此並未被盜。另外,暫時沒有跡象顯示這些數據被惡意利用。然而,MyHeirage依然僱傭了一家安全公司進行進一步調查,並且網站決定採用雙因子驗證來避免之後潛在的威脅,同時督促用戶修改密碼。

這並不是DNA測試服務網站第一次發生數據洩露。在2017年12月,Ancestry.com就被黑客攻擊,造成大約30萬註冊用戶的用戶名、郵箱以及密碼明文被盜。

>> 近日安全公司Snyk公佈了一種名為Zip Slip的漏洞,該漏洞可以造成任意文件被覆寫。根據Snyk的信息,受這個漏洞影響的有Apache Hadoop以及惠普、亞馬遜、Oracle等上千個項目。

該漏洞存在於對壓縮文件進行處理的庫中,而一些生態系統——比如Java,由於缺少這類的庫,因此開發者不得不自己編寫這些功能或者直接從開源網站上尋找。攻擊者可以通過利用一個特殊的壓縮文件——相比使用標準工具創建的文件,它會多一個文件路徑;然後,使用該文件,進行文件遍歷攻擊,對整個系統進行任意文件的寫入。

這個漏洞存在的原因是因為在庫編寫的時候,沒有驗證壓縮文件裡的文件路徑。很多庫已經在Snyk報告後修復了這個問題,而開發者如果使用了相關的開源代碼則需要將自己的庫升級到最新版本。這又是一個因為軟件供應鏈引發的安全問題。

#牛道消息20180609


分享到:


相關文章: