安全英雄成罪犯|DNA网站泄露近亿用户数据|压缩文件漏洞殃及上千项目

-回复 -浏览
楼主 2018-11-07 15:31:34
举报 只看此人 收藏本贴 楼主

>> 一名被认为是英雄的英国安全研究员近日却被起诉,罪名包括向FBI撒谎以及开发恶意软件以窃取银行信息。


这名叫做Marcus Hutchins的安全人员之前曾找到了解决WannaCry的方法,所以此次被捕起诉相当令人震惊。而FBI表示,Hutchins之前曾主动向FBI表示自己和Kronos没有任何关系,而事实上,他参与了Kronos的制作。不仅如此,检方还找到了Hutchins曾在网上发布有关Kronos的视频,包括效用以及促销、广告等。这些主要发生在2014年到2015年间。另外,检方也提到Hutchins曾于2012年制作传播恶意软件UPAS Kit来收集他人的信用卡信息以及其他个人信息。


>> 以色列DNA家谱网站MyHeritage近日发生了大规模数据泄漏事件:在2017年10月26日前注册的大约9,200万用户的邮箱以及hash密码被盗。



该事件被一名研究者在一个非MyHeritage的私人服务器上发现,之后上报给了MyHeritage;网站经过调查后确认泄露。泄露原因以及幕后黑手尚不明确,这次泄露事件在服务器端几乎没有留下任何痕迹。MyHeritage表示,这次泄露只涉及邮箱以及密码,其他家谱信息以及DNA信息由于储存在第三方服务器的不同系统上,因此并未被盗。另外,暂时没有迹象显示这些数据被恶意利用。然而,MyHeirage依然雇佣了一家安全公司进行进一步调查,并且网站决定采用双因子验证来避免之后潜在的威胁,同时督促用户修改密码。


这并不是DNA测试服务网站第一次发生数据泄露。在2017年12月,Ancestry.com就被黑客攻击,造成大约30万注册用户的用户名、邮箱以及密码明文被盗。


>> 近日安全公司Snyk公布了一种名为Zip Slip的漏洞,该漏洞可以造成任意文件被覆写。根据Snyk的信息,受这个漏洞影响的有Apache Hadoop以及惠普、亚马逊、Oracle等上千个项目。


该漏洞存在于对压缩文件进行处理的库中,而一些生态系统——比如Java,由于缺少这类的库,因此开发者不得不自己编写这些功能或者直接从开源网站上寻找。攻击者可以通过利用一个特殊的压缩文件——相比使用标准工具创建的文件,它会多一个文件路径;然后,使用该文件,进行文件遍历攻击,对整个系统进行任意文件的写入。这个漏洞存在的原因是因为在库编写的时候,没有验证压缩文件里的文件路径。很多库已经在Snyk报告后修复了这个问题,而开发者如果使用了相关的开源代码则需要将自己的库升级到最新版本。这又是一个因为软件供应链引发的安全问题。


#牛道消息20180609


我要推荐
转发到

友情链接