安全资讯 | Crypto AG帮美国偷窥120个国家;工信部发布涉新冠肺炎疫情的网络安全风险提示……

雅诗兰黛泄露4.4亿用户敏感信息

1月30日,安全研究员Jeremiah Fowler在网上发现了一个数据库,其中包含“大量记录”。这个在网上公开的数据库没有密码保护,总共包含440,336,852条记录,连接到总部位于纽约的化妆品巨头雅诗兰黛。

Fowler表示,暴露的数据包括以纯文本形式存在的电子邮件地址,来自@estee.com域的内部电子邮件地址也出现在数据库中。

此外,还有大量生产、审计、错误、CMS和中间件日志。只要有互联网连接,任何人都可以访问这些数据。更重要的是,数据库中还发现了对其他内部文件的引用。

IP地址、端口、路径和存储路径等内部网络细节也被公开,这可能潜在为网络罪犯提供了进入公司内部网络的方法。

安全研究人员指出,该数据库包含数百万条雅诗兰黛正在使用的中间件的相关记录。

Fowler解释称,中间件等应用软件通常可提供操作系统所不能提供的服务和功能,例如数据管理、应用服务、消息传递、身份验证和API管理等。

这种暴露所带来的另一个风险是,中间件可能会为攻击者指明攻击路径(了解到内部网络存在哪些数据和应用)。特别是在泄露的数据中明确指出了软件版本,路径,以及其他一切可被攻击者利用的敏感信息。



美通过加密设备厂商秘密控制多国数十年绝密通信

Crypto AG是瑞士一家加密通信设备公司,靠在第二次世界大战期间为美军生产密码编制设备发家。



据华盛顿邮报报道,过去数十年以来,瑞士公司 Crypto AG 通过向 120 多个国家 / 地区出售加密设备产品赚取数百万美元,其客户包括伊朗、拉丁美洲军政府、核竞争对手印度和巴基斯坦,甚至梵蒂冈。Crypto AG 是由美国中央情报局(CIA)秘密拥有的,并且与德国联邦情报局 BND 保持高度机密的合作伙伴关系。这些间谍机构通过操控这家公司,从而轻松破解各对手国发送的加密邮件代码。

华盛顿邮报详细介绍了 Crypto AG 出售给各个国家 / 地区的系统和解决方案,其中包括与 1979 年伊朗人质事件和福克兰群岛战争等事件相关的、无法估量的隐私数据。

华盛顿邮报称,美国中央情报局(CIA)和 BND 一直保持通过 Crypto AG 维持其侦察行动,直到 20 世纪 90 年代初,BND 将自己的加密股份卖给了美国中央情报局。之后,美国中央情报局继续维持秘密的监控活动,直到 2018 年,科技的进步让这种努力变得没有必要。不过,美国目前仍在继续监听。

加密破解技术一直与现代间谍活动密切相关,2013 年加密货币倡导者爱德华·斯诺登(Edward Snowden)曝光美国政府侵犯全球隐私的行为可以说明全球监控一直在进行,且无法被满足。



工信部发布涉新冠肺炎疫情的网络安全风险提示

工信部网络安全管理局发布《关于涉新冠肺炎疫情的网络安全风险提示》。

工信部表示,近期,工信部网络安全威胁信息共享平台收到网络安全企业及机构报告,发现多起利用新冠肺炎疫情实施网络攻击的行为。经研判分析,攻击者利用疫情对公众的心理影响,将计算机病毒、木马、移动恶意程序等伪装成包含“肺炎病例”“防护通知”等热门字样的信息,通过钓鱼邮件、恶意链接等方式传播,一旦点击下载,可能导致计算机、手机等终端设备被窃取信息或远程控制。


为降低网络安全风险,工信部网络安全管理局组织相关单位加大对伪装成疫情信息传播计算机病毒、木马、移动恶意程序等监测力度,采取了屏蔽病毒木马控制端、下载恶意程序等措施,对发现的网络威胁进行处置。同时,工信部提醒公众提高网络安全风险意识,采取以下措施进行防范:

一、不轻易打开来历不明的电子邮件及其附件。

二、不轻易点击短信或微信中不明来源的链接。

三、从正规应用商店或官方网站下载安装应用程序。

四、安装杀毒软件并及时更新。



2019年BEC诈骗占网络犯罪损失的一半

联邦调查局在今天发布的年度互联网犯罪报告中表示,联邦调查局在2019年收到467361起互联网和网络犯罪投诉,该机构估计这些投诉造成的损失超过35亿美元。联邦调查局表示,几乎一半的损失来自BEC(商业电子邮件妥协),也称为EAC(电子邮件帐户妥协)犯罪。BEC/EAC是一种复杂的骗局,针对执行电汇付款的企业和个人。

FBI表示,从本质上讲,BEC依靠骗子手册中最古老的技巧。在黑客入侵或欺骗合法人/公司的电子邮件帐户之后,就会发生典型的BEC欺诈。他们使用此电子邮件帐户发送虚假发票或业务承包。这些被发送给同一公司的员工,或上游/下游业务合作伙伴。这样做的目的是诱使同行将钱汇入错误的银行帐户。

BEC骗局之所以受欢迎,是因为它们执行非常简单,并且不需要高级编程技能或复杂的恶意软件。其中,最大的安全漏洞在于密码的强度。简单或共享的密码,可以帮助黑客和其他人非法尝试访问组织的敏感,专有和机密信息。FBI表示,2019年BEC受害人只有23775人,受害人损失达17.7亿美元,平均每宗投诉损失额达到75000美元。



以色列选举管理应用程序意外泄露了数百万选民的数据

近年来,数据泄露和安全漏洞有着高发的态势,甚至在一些重要的领域都难以幸免。以色列报纸 Haaretz 报道称,由第三方管理的 Elector 选举应用,近日就曝出了严重的问题,导致超过 600 万的选民数据被意外泄露。据悉,该应用由一家名叫 Feed-b 的公司开发和运营。尽管其迅速采取了措施,但已为时过晚。

为方便向支持者传达信息、并引导其至就近的投票站,以色列各政党纷纷推出了选举类应用程序。

然而由于 Feed-b 管理不善,导致外界可在未公开的一段时间内,无限制地访问 645 万 3254 名公民的等数据。

信息中包括了用户的全名、身份 ID、地址、性别、电话号码、以及以色列选民不经意间提供的其它个人数据。

以色列报纸 Haaretz 指出,这并不是他们首次见到类似的安全违例,但可能是规模最大的一次。




【亚洲诚信搜集整理分享,以上信息均来自互联网】