宏觀新聞
【惡意URL可能會導致Git將存儲的憑據提供給錯誤的服務器】Git使用外部的“憑證幫助程序”來存儲和檢索操作系統提供的安全存儲中的密碼或其他憑證。包含編碼換行符的特製URL可以將意想不到的值注入到憑據幫助程序協議流中,從而導致憑據幫助程序檢索一個服務器(例如good.example.com)的密碼,並向另一個服務器(例如evil.example.com)發出HTTP請求,結果將前者的憑據發送給後者。
【黑客叫賣數百萬銀行客戶信息 農行平安等否認稱系不法分子偽造】在互聯網上,用戶信息洩露已經不是新聞,但是銀行的客戶信息要是洩露了呢?這後果就嚴重了,日前有報道稱,黑客論壇RAID FORUMS有人出售疑似被盜取的中國多家銀行的用戶信息,其中一位用戶出售農業銀行的客戶信息,信息量超90萬條,初次報價為3999美元,第二次發佈時販賣價格為2500美元。除了農業銀行,還有論壇用戶出售的信息則涉及多家機構,包括80萬餘條上海銀行用戶信息、40萬餘條興業銀行信用卡用戶信息、10萬條浦發銀行用戶數據,以及招商銀行數據等。
安全動態
【舊金山國際機場披露數據洩露事件】近日舊金山國際機場(SFO)透露,黑客在2020年3月設法破壞了兩個與舊金山國際機場有關的網站。遭黑客入侵的是SFOConnect.com和SFOConstruction.com這兩個低流量的網站,向訪客提供與SFO相關的各種信息,例如新冠病毒危機,備用AirTrain航線,機場運營,機場建設合同以及類似信息。
【慘遭“撕票”,波音等公司數據被勒索軟件攻擊者洩露到網上】今年3月9日,安全牛曾報道總部位於科羅拉多州丹佛的精密零件製造商Visser Precision遭受勒索軟件DoppelPaymer攻擊。由於是特斯拉、波音、洛克希德·馬丁公司和SpaceX等行業巨頭的零件供應商,因此該事件引發了不小的震動。根據Theregister的報道,洩露的失竊數據包括洛克希德馬丁公司設計的軍事裝備的細節,例如洛克希德馬丁設計的反迫擊炮防禦系統的天線規格,以及大量供應商信息、數據分析報告以及法律文書,其中一些文件概述了SpaceX的製造合作伙伴計劃。
【兩名小學生狀告谷歌非法收集隱私,官方未予置評,網友:見慣不怪!】近日,據外媒報道,兩名小學生狀告谷歌非法收集他們的聲音、面部信息以及其他個人身份信息。訴訟指出:"谷歌完全控制了 'G Suite for Education' 服務的數據收集、使用和保留做法,包括通過使用該服務收集到的生物識別數據和其他個人身份信息,並利用這種控制權,不僅秘密和非法地監控和非法地監控兒童,而且在這些兒童的父母不知情或不同意的情況下,進行了這樣的操作。"
【Zoom將允許付費用戶選擇特定區域的數據中心】針對多倫多大學 Citizen Lab 提出的呼叫密鑰生成的問題,雲視頻會議服務提供商 Zoom 已在今日的博客文章中給出了回應。該公司宣佈,從 4 月 18 日起,Zoom 將允許付費用戶指定選擇通過哪個數據中心來傳輸數據。儘管無法退出默認區域,但付費客戶能夠選擇加入或退出特定區域的數據中心。
【福特、大眾暢銷車曝安全漏洞,黑客可竊取隱私、操控車輛】近日,一份來自英國消費者協會雜誌《Which?》調查報告發現,福特和大眾的兩款暢銷車存在嚴重安全漏洞,黑客可利用該漏洞發動攻擊,竊取車主的個人隱私信息,甚至是操控車輛,對車主的信息安全和生命安全產生極大的威脅。《Which?》雜誌聯合網絡安全公司Context Information Security開展調查,全方位檢查了大眾Polo SEL TSI手動1.0L和福特福克斯鈦自動1.0L兩款汽油型聯網汽車,這兩款汽車目前是歐洲市場最受歡迎的兩款車型。
