安全

工信部就网络安全产业发展征意见:2025年规模超2000亿

9月27日,工信部官网刊载《关于促进网络安全产业发展的指导意见(征求意见稿)》(以下简称“《意见》”),面向社会公开征求意见。《意见》提出,到2025年,培育形成一批年营收超过20亿的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿。

黑客入侵了一对夫妇的Nest设备 将温度调至90华氏度并播放低俗音乐

据外媒BGR报道,近日一个奇怪的故事提醒人们将日常家用物品连接到互联网可能带来的风险:黑客最近入侵了密尔沃基一对夫妇的智能家居系统,随后他们开始制造麻烦以获得一点乐趣。

美国外卖服务DoorDash数据泄露:影响490万人

北京时间9月27日早间消息,美国外卖服务DoorDash周四宣布,一项安全漏洞暴露了该公司大约490万客户、商家和送货员的个人数据。

谷歌发布全新数据库 以帮助检测深度假冒视频音频

许多人担心全新深层伪造技术出现,让人很难分辨音频、视频和图像真假。现在,谷歌希望更轻松帮助人们地知道这些东西是真实的还是伪造的,并为检测音频、视频和图像真伪做出贡献。谷歌表示,尽管许多假冒视频和图像本来是幽默的,但它们有可能对个人和社会造成危害。

滴滴:配合警方办理黑产案20宗 抓捕279名犯罪嫌疑人

滴滴今日上线第五期有问必答,重点聚焦司机和乘客关心的作弊问题。滴滴业务安全负责人、反作弊专家北海详细解释了平台的反作弊打击体系,并广泛征集意见与建议,诚邀公众积极向平台举报作弊线索。

一测试成绩查询网的开发者被指将考生数据直接写在源码里

昨晚开始程序员圈子里突然被陕西普通话等级查询网刷屏,这个非常简陋的网站为什么突然引起大量程序员关注?当该网站的源代码被打码截图发出后无疑引起无数程序员震惊,这个网站竟然把所有考生数据直接写在源代码里!

研究发现与俄罗斯情报部门有关的黑客之间很少共享代码

两家安全公司Check Point和Intezer Labs共同撰写了一份报告。这份报告显示,俄罗斯政府资助的黑客组织很少彼此共享代码,他们如果共享代码,这些代码通常是由同一情报机构管理的组织内部代码。

黑客创建虚假退伍军人招聘网站 用恶意软件感染受害者的电脑

据外媒CNET报道,思科Talos团队周二表示,一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站,并通过恶意软件感染受害者的电脑。Talos团队在博客文章中称,该网站名为hiringmilitaryheroes.com,要求用户下载一个伪造的安装应用程序,该应用程序部署了恶意软件和恶意间谍工具。

谷歌从其商店中删除了2个自拍相机应用程序 内含恶意广告软件

谷歌从其Play商店中删除了包含恶意广告软件的2款应用程序。两者都是自拍相机应用程序,下载量总计超过150万。之前,移动安全公司Wandera研究人员在Google商店中发现了这两个应用。第一款应用是Sun Pro Beauty Camera,下载量超过一百万次,第2款应用是Funny Sweet Beauty Selfie Camera,下载量超过50万次。

[图]STOP:过去1年最猖獗的勒索软件 通过破解软件肆意传播

你是否听说到STOP勒索软件?或许答案是否定的,毕竟目前没有太多关于该勒索软件的报道,也没有大多数安全研究人员涉及,而且它主要是通过破解软件、广告软件包和暗网等渠道进行感染传播的。

男子支付宝凌晨被异地登录 醒来后发现三张银行卡被盗走1.6万元

2019年9月16日,在江西抚州,一名男子万先生的支付宝凌晨被异地登录,他第二天醒来后发现支付宝绑定的三张银行卡共被盗走1.6万。据万先生说,事发当时大概是晚上12:00的时候,他睡着了,醒来后发现手机里面有很多短信,在中国建设银行APP上发现有两条转账信息都是5000元,便赶紧把其他的银行APP打开。

用户遭骚扰质疑隐私被航旅纵横泄露 回应称用户有开关自主权

9月22日消息,针对用户关于平台隐私泄露的质疑,航旅纵横今天发布微博回应称,该功能是默认关闭的,在本人没有开通虚拟身份前,他人无法看到用户的信息。用户可以随时修改、删除虚拟身份,关闭该功能。用户对该功能有开启关闭的自主权。

美国FBI逮捕两名骗子 涉嫌以PC技术支持为由进行诈骗

美国联邦调查局已逮捕两名技术支持诈骗犯,罪名是从2015年3月至2018年12月,诈骗7500多名受害者1000多万美元,其中大部分受害者是老年人。这两名诈骗犯于9月18日被捕,被指控犯有电汇欺诈和串谋欺诈行为。每项指控最高可判处20年监禁。

网信办等部门治理App超范围收集信息、过度索权

今年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,成立了App违法违规收集使用个人信息专项治理工作组。

升级漏洞受攻击者“青睐”即时通信软件被劫持用于传播病毒

近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。

工信部:32款应用和网站未经同意收集使用用户信息

工信部在其官网发布工业和信息化部关于电信服务质量的通告(2019年第3号),以下为全文:

工业和信息化部关于电信服务质量的通告(2019年第3号)

谁在卖我的隐私数据?不卖了!整个行业都快被抓没了

大数据,可谓是眼下各个领域都需要的资源,也因此,从事大数据服务的公司越来越多,这是一门“好生意”。不过,这门“好生意”在最近这段时间却波澜起伏,大量数据公司相继被查,而原因则是这些数据公司涉嫌贩卖个人隐私。

[图]16款防病毒软件横评:仅Defender等6款达到100%的防护能力

专门测试各种防毒软体的奥地利非营利机构AV-Comparatives,本周公布了Windows上的防毒软体测试排行榜,该组织在64位的Windows 10 Pro平台上以352个案例,来测试市面上的16款防毒软件,显示其中的6款达到100%的防护能力。

数据库泄露了厄瓜多尔大多数公民的数据 其中包括670万儿童

ZDNet了解到,由于数据库配置错误,厄瓜多尔大部分人口(包括儿童)的个人记录已在网上曝光。两周前,vpnMentor安全研究人员Noam Rotem和Ran Locar发现了这个数据库泄露。这应该是厄瓜多尔历史上最大的数据泄露事件之一,厄瓜多尔是一个拥有1660万公民的南美小国。

LastPass修复了可能让恶意网站提取用户密码的漏洞

LastPass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。 ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现,并在8月29日一份漏洞报告中披露。 LastPass在9月13日修复了该问题,并将更新部署到针对所有浏览器的LastPass扩展当中。

黑客利用“Simjacker”漏洞窃取手机数据 或影响10亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。

新研究暗示2016年乌克兰停电事件背后的潜在原因

据外媒报道,2016年12月,俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中植入了一种被称为Industroyer或Crash Override的恶意软件。而在圣诞节前两天的午夜,网络犯罪分子利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器,从而导致首都大部分地区断电。

儿童个人信息网络保护规定发布 如何保障孩子安全

据中国之声报道:最近,国家互联网信息办公室发布《儿童个人信息网络保护规定》,如果用一句话来讲这个规定能干什么,那就是:保护儿童个人信息安全,促进儿童健康成长。这些年,随着互联网技术的大踏步发展,各种手机应用程序遍地开花,这极大地畅通了人与人之间沟通交流,但同时,也会造成一定程度的个人信息安全隐患。

超过四分之三美国人接受政府机构之间分享他们的个人数据

根据YouGov和Unisys公司赞助的一项新调查,大多数美国公民承认并接受州和地方政府机构之间分享他们的个人数据,即使涉及犯罪记录和收入等个人信息。对八个州近2000人的调查发现,超过四分之三(77%)的受访者认为他们的数据已经在政府机构之间共享。

英特尔芯片弱点允许攻击者窃取敏感信息

2011 年,英特尔服务器处理器引入了一项新功能去提升性能,它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIO(Data-Direct I/O)的功能通过避开系统主内存而增加了输入/输出带宽,减少延迟和功耗。

Facebook收紧有关自我伤害和自杀的政策

Facebook在与一系列专家进行磋商后,在世界预防自杀日,围绕自残,自杀和饮食故意失调等内容,收紧政策。它还聘请了一位新的安全政策经理,就这些领域提出建议。此人将专门负责分析Facebook政策及其应用对人们健康和福祉的影响,并将探索改善Facebook社区内容的新方法。

数以千计的服务器感染Lilocked勒索软件

数以千计的服务器感染了名为 Lilocked (Lilu)的勒索软件。最早的感染是在 7 月中旬报告的,最近两周愈演愈烈,它被认为主要针对的是 Linux 服务器,可能利用旧版本 ?Exim 软件的漏洞,但还不清楚勒索软件是如何获得服务器的 root 访问的。

漏洞赏金平台HackerOne完成3640万美元D轮融资

据外媒VentureBeat报道,2018年,全球网络安全市场固定在1520亿美元,预计几年内将增长到2500亿美元。无论公司投入多少资金以确保其产品无故障,其系统中可能存在某些漏洞,使其容易被入侵。在此背景下,漏洞赏金平台HackerOne周日宣布,其已经在Valor Equity Partners领投的D轮融资中募集了3640万美元,另外包括Benchmark,New Enterprise Associates,Dragoneer Investment Group和EQT Ventures等跟投。

科学家警告:女性使用电子烟会影响怀孕 影响后代健康

据外媒报道,北卡罗莱纳大学的一项新的研究表明,女性在使用电子烟可能会影响怀孕。电子烟经常被描绘成一种比吸烟更健康的替代品,但一项新的研究可能会让你不再使用它,特别是当你试图怀孕的时候。令人担忧的是,研究人员还发现,在整个怀孕期间使用电子烟的女性可能会在不知不觉中影响宝宝的新陈代谢

人气网络漫画XKCD论坛遭网络攻击:大量用户数据被盗

据外媒报道,黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击,此前,负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在,这个论坛已经下线。

朋友圈刷屏的换脸软件 可以拿你的脸去卖钱?

上周末中午差评君刚一睡醒,就发现自己手机里的朋友圈和讨论组被一件事情刷屏了……在这款名为 ZAO 的软件中,你只需要上传一张照片,就能把电影片段里面的周星驰、陈冠希、吴彦祖等人的脸,替换成你自己的脸。效果还真的挺棒的……

德国秘密特工协助美以用Stuxnet攻击伊朗设施的内幕

kokerkov 写道 "多年以来,美以联合开发用以攻击伊朗核设施的Stuxnet病毒/恶意软件是如何进入高度安全的伊朗核浓缩工厂的,一直是个挥之不去的谜团。从Yahoo的一篇报道中,我们可以窥见一斑。

谷歌发现的iPhone攻击者同样也在攻击Android和Windows系统

据外媒报道,谷歌本周披露的针对苹果iPhone的空前攻击比人们最初想象的要广泛。据匿名知情人士透露,谷歌和微软操作系统受到的网络公司也是来源于对iPhone发起网络攻击的同一家网站。

警方劫持僵尸网络并远程移除85万台受感染计算机上的恶意程序

据外媒TechCrunch报道,在一项罕见的壮举中,法国警方劫持了一个庞大的加密货币挖掘僵尸网络,其控制着近百万台受感染的计算机。臭名昭着的Retadup恶意软件感染计算机,主要被用于挖掘加密货币。

今晨AI换脸视频收割百万用户 从好玩到可怕只需一步

今天早晨,笔者的朋友圈中出现了大量的AI换脸小视频。这些小视频大多来自众多影视剧或者电影作品,用户则可以把自己的脸通过人工智能的识别换到影视明星的身上。我们也了解到,这一AI换脸工具是一款名为“ZAO-逢脸造戏”APP,软件的slogan为“仅需一张照片,出演天下好戏”。

隐私安全遭质疑:ZAO修改用户协议 新增“删除”功能

昨晚,一款名为“ZAO”的换脸软件在朋友圈刷屏,不过,在一夜刷屏之后,ZAO的用户协议条款却引发网友争议,部分人呼吁大家不要盲目跟风。ZAO修改了其用户协议内容,在用户协议的开头部分增加了“特别提示”。除此之外,最具争议的用户协议第六条有明显更改。

法律人士:ZAO涉嫌过度攫取用户授权 侵权后可能甩锅

AI换脸软件ZAO一夜爆红,但很快其用户协议被网友指称“霸王条款”,包括:用户上传发布内容后,意味着同意授予ZAO及其关联公司以及ZAO用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,

律师分析ZAO用户协议:试图责任转嫁 但法律上难实现

ZAO,这款有望成为2019年首款现象级产品的App,刚刚火了不过一天,就被浇了盆冷水。昨晚,一款名为“ZAO”的换脸软件在朋友圈刷屏,据了解,ZAO使用AI技术,用户只需要一张正脸照,就可以替换为影视作品或者小视频中的人物,生成以自己为主角的视频片段。

[图]Android端Facebook被爆擅自收集系统库信息并上传服务器

开发人员在对Android端Facebook的代码进行深入发掘之后,发现使用名为“Global Library Collector”(全局库收集器)来收集用户的系统库信息,并将它们上传到Facebook的服务器上。Facebook从来不是行业中的标杆,甚至因为隐私事件而臭名昭着。此前公司曾利用Facebook Research VPN来收集用户的所有信息。而最新事实证明,Facebook应用程序可能会做一些可能被认为是不道德的事情。

推特CEO多尔西的推特账号被黑客入侵

当地时间周五下午,推特首席执行官杰克-多尔西(Jack Dorsey)的推特账号似乎被一个自称“The Chuckling Squad”的组织入侵了。多尔西在推特上有超过421万粉丝。在这次网络攻击中,黑客在多尔西的账户上迅速连续发布了十几条包括种族主义言论和为纳粹德国辩护的推文,并与一个似乎被黑客使用的账户相关联。

新一代AI“中国国家队”名单公布:华为360等入选

8月29日,2019年世界人工智能大会(WAIC)在上海世博中心和上海世博展览馆举办,科技部在大会上颁布了十大“国家新一代人工智能开放创新平台”,其中将依托360集团建设安全大脑国家新一代人工智能开放创新平台。360是网络安全领域唯一一家入选公司,此次入选标志着360成为人工智能安全领域领军企业,推动网络安全行业发展的领导力量。

我们能避免科技巨头的数字窥探吗?

我们能避免科技巨头的数字窥探吗?科技记者 Joel Stein 近日试图“避开硅谷”,展开大作战。Joel Stein 日常会使用各种互联网服务,从 Google、 Facebook、Amazon 到 Lyft、Uber,还有 Netflix、Hulu 和 Spotify,还有语音助理 Echo、家居助理 Google Home、 MacBook、Google Nest 温控器、Fitbit 手环和网络媒体播放器 Roku。

下载量超过一亿的流行应用被发现含有恶意模块

俄罗斯杀毒软件卡巴斯基报告一个 Google Play 商店下载量超过一亿的流行应用 CamScanner(或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs)被发现含有恶意模块。

DNS-over-HTTPS 的下一代是 DNS ON BLOCKCHAIN

本文作者:PETER LAI ,是 Diode 的区块链工程师。在进入软件开发领域之前,他主要是在做工商管理相关工作。Peter Lai 也是一位活跃的开源贡献者。目前,他正在与 Diode 团队一起开发基于区块链的分散式 PKI(DPKI)。

[图]所有Instagram用户都存在新型钓鱼网络威胁

援引福布斯报道,来自Sophos的网络安全专家近期发现了新型网络攻击方式。虽然要比以往攻击方式更加复杂,但可使用双因素(2FA)来获取受害者的账号信息。研究人员警告称,黑客使用伪造的2FA页面让用户相信有未经授权的登录行为,并要求用户登陆来确认他们的身份。

开发者移除 11 个 Ruby 库中 18 个带有后门的版本

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。

点餐买电影票都要个人信息 数据收集引发担忧

据《南华早报》报道,在深圳,很多时候没有手机应用就消费不了,比如在餐馆要扫码点餐。但如果你不同意分享个人信息,你就无法点餐或买电影票。数据隐私问题正日益引起公众的担忧。一天晚上,王晓旭(Wang Xiaoxu,音译)和朋友们在深圳的一家餐馆吃饭,由于她拒绝通过手机分享个人信息,点餐系统不让她点餐。最后,又饿又沮丧的她和朋友离开。

网络钓鱼骗子转战Instagram 窃取用户信息

Instagram用户目前成为新的网络钓鱼活动的目标,该活动使用登录尝试警告以及类似双因素身份验证(2FA)代码的内容,以使骗局更加可信。骗子使用网络钓鱼诱骗潜在的受害者,他们通过各种社会工程技术控制欺诈性网站传递敏感信息并窃取用户信息。

微软今年再次成为网络钓鱼犯罪者最喜欢的品牌

在本季度的Vade Secure的网络钓鱼者收藏报告中,微软再一次成为最容易受到网络钓鱼者模仿的公司。Vade的机器使用学习算法分析来自全球6亿多个受保护邮箱的数据,并对URL和页面内容进行实时分析,以识别被模仿的品牌。

Valve修复Steam的零日漏洞 发言人称拒绝安全研究员是一个错误

前些日子有安全研究员向外界公开,着名的游戏平台Steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向Valve报告这个漏洞并请他们修复的时候被拒绝了。不过Valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。

微软、谷歌和BAT等巨头成立机密计算联盟 联手保护数据安全

微软近日在其开源博客中宣布加入机密计算联盟(Confidential Computing Consortium,简称 CCC)。该组织致力于定义和加速推进机密计算的采用,并将托管在 Linux 基金会。

研究人员披露第二个 Steam 0day

俄罗斯安全研究人员 ?Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节,这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞,试图让Valve 在披露前修复。

莫斯科区块链投票系统在使用前被破解

法国安全研究人员 Pierrick Gaudry 发现(PDF)计划在下个月使用的莫斯科区块链投票系统存在严重漏洞,能根据公钥计算出私钥。该私钥和公钥被用于在选举中加密用户投票。

GitHub现在支持安全密钥和生物识别选项进行身份验证

如果您是GitHub用户,则必须注意帐户安全性至关重要。单纯的密码根本不足以保护在线帐户。为了提高GitHub帐户的安全性,平台昨天通过支持Web身份验证(WebAuthn)标准宣布了易于使用的身份验证选项。

科技企业联手保护云数据 阿里巴巴、腾讯和百度加入

北京时间8月22日上午消息,据美国科技媒体GeekWire报道,微软、谷歌、阿里巴巴、Red Hat、IBM、英特尔等大型科技企业联合起来,希望增强云安全,以保护数据。

Google和Mozilla正设法阻止哈萨克斯坦ISP强制安装证书行为

Google和Mozilla正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。两家公司今天宣布,他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书,该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国ISP合作,强制所有客户安装证书以获得互联网访问权限。

雪球回应“数据疑被泄露”传闻:网传图片为不实信息

8月21日下午消息,针对用户根据未经证实的网传图片,在某平台发帖称雪球数据可能被泄露一事,雪球发布声明称,该网传图片为不实信息,目前已经就此启动了紧急调查程序,并正在向公安机关进行报案。

12万人数据被泄露?雪球回应:已进行核实

今日网上流传称雪球网数据泄露,涉及12万人的数据只卖75美元,包含姓名,身份证,手机,账号/邮箱,密码,持股前3支,持股数,交易风格。对此雪球回应称,不会以任何方式将个人信息泄露给第三方,对此问题已进行核实。

Yubico推闪电接口YubiKey 5Ci安全密匙 用于iOS设备物理安全身份验证

Yubico是一家为双因素认证物理安全密钥制造商,它今天宣布推出基于Lightning闪电接口的YubiKey设备,该设备旨在与Apple的iPhone和iPad配合使用。Yubico长期以来一直为PC,Mac和移动设备提供基于USB-A,USB-C和NFC的YubiKey选项,但这是第一次提供基于Lightning闪电接口的安全配件。

HTTPS 的证书过期时间是否应该缩短?

Google 向非正式 CA 行业组织 CA/B Forum 递交提议,建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小(有各种原因需要撤销证书),如果没有过期时间那么维护清单将会非常长,有了过期时间那么相关撤销证书就可以永久删除。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan