以色列資安公司遭駭,政府鑑識資料和用戶帳密資料等900GB的資料外洩

圖片來源: 

Cellebrite

重點新聞(01月14日-01月20日)

駭客假冒好友寄Gmail用戶釣魚信件,出現偽造身分驗證頁面竊取用戶資料

資安外掛工具開發團隊Wordfence近日發現一種新型態的Gmail釣魚手法,駭客假冒熟人名義寄發釣魚信件給Gmail用戶,內附一張與釣魚對象生活相關的縮圖圖片,若打開這張圖片縮圖,會跳出一個偽造的Google身分驗證頁面,而非真的Gmail圖片預覽功能。駭客再藉此竊取被害者輸入到假網頁上的Google帳號和密碼,進而能完全控制這些受駭Google帳戶。該團隊成員Mark Maunder指出,這類釣魚網站網址通常是超長字串,多以「data:text/html」開頭或結尾,得檢視完整網址才能分辨。他建議,使用雙因素認證和定期更新密碼,才能夠提高帳號安全性。更多資料

卡巴斯基實驗室:Hello Kitty母公司外洩330萬位用戶登入憑證

根據卡巴斯基實驗室研究人員近日發現,製造Hello Kitty的母公司三麗鷗(Sanrio)外洩3,345,168位用戶的登入憑證,其中有186,261位用戶是18歲以下的用戶。這些資料包含用戶的姓名、生日、性別、國籍、電子信箱、密碼、密碼提示與答案等。最近駭客鎖定MongoDB發動攻擊,移除資料並且向資料庫所有者進行勒索,目前遭綁架的MongoDB已經達到了27,000個。由於,三麗鷗公司也是使用MongoDB資料庫,可能也為駭客勒索的對象。三麗鷗公司還未出面回應。更多資料

企業應用軟體SAP釋出18個修復檔,解決23個系統漏洞

企業應用軟體SAP於1月10日的「SAP Security Patch Day」釋出18個修復檔,其中1個漏洞被漏洞評鑑系統(CVSS)評分為9.8分(最高分為10分)。這次解決的23個漏洞裡面,大部分是解決產品的XXS(跨網站指令碼)漏洞。其中這些漏洞裡面,最嚴重漏洞為緩衝區溢位(Buffer overflaw)問題。攻擊者可以利用該漏洞注入惡意程式碼到內建記憶體。其他的漏洞還有誤失驗證檢查(Missing Authorization Check)漏洞、跨越目錄存取(directory traversal bugs)漏洞、SQL Injection漏洞、執行缺陷(Implementation flaws)、DOS(阻斷攻擊)漏洞、資訊曝光(information disclosure),以及XML(XML external entity)漏洞。更多資料

WhatsApp加解密設計有漏洞,可讓政府單位或駭客攔截用戶通訊內容

密碼專家暨加州大學教授Tobias Boelter揭露,WhatsApp的加解密設計,可能讓用戶通訊內容被駭客或政府單位等第三方人士監聽。為確保訊息傳輸安全,WhatsApp運用Open Whisper System開發出的Signal 協定作為加密金鑰的交換與驗證,以防訊息遭到中間人攔截。不過WhatsApp還多加了一道不為人知的程序,它會在通訊雙方不知情下重新產生另一把加密金鑰給離線使用者,而且會在訊息被標示為未送出時,迫使發送方以新的金鑰加密訊息。然而這個過程收訊人並不知情,而且發送方只有當初設定啟動通知,以及訊息重新送出後才會被通知。這個重新加密、重傳訊息的神祕過程可使駭客或是其他第三人士得以攔截、竊聽用戶通訊內容。更多資料

以色列資安公司遭駭,政府鑑識資料和用戶帳密資料等900GB的資料外洩

以色列行動裝置資安鑑識公司Cellebrite於近日發現,駭客於本月12日侵入該公司的外部Web伺服器「my.Cellebrite」。駭客在未經授權的狀況下竊取了900GB的資料。這些資料包含了使用者登入網站的帳號密碼、曾遭破解的手機內部資料,以及Cellebrite產品的技術資料。Cellebrite是專門提供資料採證工具和軟體的行動裝置資安鑑識公司,他們能幫助某些國家政府的執法人員,存取特定目標的手機內部資料,Cellebrit曾因2015年美國南加州槍擊案件而聲名大噪,因為Cellebrite協助FBI,破解其中一位槍手Farook的iPhone 5C密碼。目前,駭客圈已經在特定的IRC聊天室開始交易這些資料。更多新聞

Google釋出Key Transparency專案打造互動式公開金鑰目錄

Google近日藉由GitHub釋出了 「金鑰透明度」(Key Transparency)專案,試圖打造一個通用且互動的公開金鑰目錄,方便發送端確認接收端的公開金鑰,以簡化加密應用的部署。Google說明,加密為網路上的基本技術,他們一直努力讓加密應用更容易使用,此外,利用一個通用且安全的方式去發現接收端的加密金鑰以解決正確的訊息傳遞是重要的,一來可以造福眾多的應用,二來市場上尚無此類的通用技術存在,因此,Google結合了Certificate Transparency與CONIKS的概念,打造了Key Transparency。Key Transparency允計開發人員建立各種具備獨立稽核帳號資料的系統,它可以被使用在需要加密與驗證資料的應用中,或是打造諸如帳號回復等安全功能。更多新聞

研究人員釋出CryptoSearch,可將勒索軟體加密檔案先備份後解密

資安研究人員Michael Gillespie近期釋出了CryptoSearch程式,可將Windows電腦上遭到勒索軟體加密的檔案備份到其他位置並建檔,若日後出現了解密工具即可挽救這些檔案。CryptoSearch奠基在同為Gillespie所開發的ID Ransomware服務上,ID Ransomware可根據勒索訊息或加密檔案來辨識勒索軟體。執行CryptoSearch使用者可輸入勒索軟體名稱、所使用的副檔名或是字節模式來搜尋系統上遭到加密的檔案;在搜尋時可以選擇列出被加密的檔案、列出乾淨的文件夾,或是搜尋特定目錄與電腦;有了結果之後,則能匯出加密檔案的文字列表,或是將加密檔案備份到其他地方建檔,此一存檔將保護完整的文件夾架構。目前CryptoSearch並不能協助使用者解密資料,而是找出電腦上遭加密的檔案並將其備份,以期待未來可能會出現的解密工具。更多新聞

駭客複製MongoDB勒索手法,改為鎖定ElasticSearch伺服器勒贖

近日,開始有使用者於ElasticSearch論壇上求助,指稱其ElasticSearch叢集已被移除並出現警告訊息,駭客要求他支付0.2個比特幣(約5,213元臺幣)以回復資料庫。根據白帽駭客 Victor Gevers的統計,短短的3天就有2515個ElasticSearch伺服器上的資料遭移除與勒索,而網路上曝露在此一風險中的ElasticSearch伺服器數量則超過3.4萬個。更多新聞

影子掮客開始出售Windows攻擊工具,可攻陷或避開防毒軟體

影子掮客(The Shadow Brokers)所販售的Windows攻擊套件名為Windows Warez,總價是750個比特幣(約臺幣2千萬元)。資安研究人員Jacob Williams分析了攻擊程式列表,猜測當某些工具是用來攻陷或繞過防毒軟體。其中「DanderSpritz」還是史諾登在NSA稜鏡計畫案的洩密文件裡面,查到NSA使用的遠端管理工具 (RAT)。駭客只要買下這些工具,就能夠針對各個國家,擴大進行駭客行動,侵入各國的重要資料庫。更多新聞
整理⊙黃泓瑜

 


Advertisement

更多 iThome相關內容