FreeBuf早报丨联想NAS产品固件漏洞可泄露存储的数据;黑客窃取数百万保加利亚人个人数据并发送给媒体;Zoom Mac版漏洞波及范围扩大,影响另外两款软件 – 作者:Freddy

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1、2018年,英国中小型企业因网络攻击产生300亿英镑的损失【外刊-阅读原文

根据Grant Thornton的说法,随着自动化网络攻击成为常态,网络安全事件使英国中小型企业在过去一年中损失了300亿英镑。在网络安全事件发生后,超过一半的受访者表示其收入损失在3-10%之间,对于受打击最严重的人来说,损失高达收入的25%。

2、谷歌承认通过语音助手收集用户谈话内容:仅用于开发【阅读原文

比利时媒体VRT NWS上周率先报道称,谷歌员工会收听来自Google Home智能音箱和语音助手应用程序的音频文件。其中许多音频文件是在无意中收集的,甚至无需用户激活他们的设备。对此,谷歌搜索团队产品经理蒙西斯日前在一篇官方博客中给予了证实,称所收集的部分音频被用于开发语音识别系统,从而更好地适应各种语言、口音和方言。

3、滴滴:上半年协助警方调证6500次,破获12宗黑产案【阅读原文

滴滴数据显示,在出行安全问题上,今年上半年,已与多地警方合作,加强司机背审,配合警方完成调证6500多次,协助破获黑产案12宗,邀请警方录制行程播报。在行程前,滴滴进一步提升平台审核能力,加强司机背景审查,并在全国开展近百场司机安全培训。

4、法官判决新纳粹博客持有者向受害者支付1400万美元赔偿金【阅读原文

据外媒报道,一名法官表示,Daily Stormer持有者Andrew Anglin因敦促其读者恐吓一名蒙大拿州犹太女性而应当支付1400万美元。据《纽约时报》报道,美国地方法官Jeremiah Lynch于当地时间7月15日提出了这一建议,目前正在等待美国地方法院法官Dana Christensen的批准。

【安全事件】

1、联想NAS产品固件漏洞可泄露存储的数据【外刊-阅读原文

研究人员发现,超过5100个包含数TB数据的联想NAS设备面临网络攻击风险,原因在于产品存在固件及漏洞。这一漏洞存在于部分型号的NAS产品中,可允许未经身份验证的用户查看和访问存储在设备上的数据,并且很容易通过应用程序编程接口轻松利用。

2、美国运通客户遭遇针对性的网络钓鱼攻击【外刊-阅读原文

来自Cofense网络钓鱼防御中心研究人员在微软Office 365高级威胁防护下的电子邮件收件箱中发现了一种使用新型技术窃取美国运通客户凭证的网络钓鱼攻击。该网络钓鱼活动针对公司和消费者持卡人,电子邮件内容充满了语法错误,并且包含一处恶意代码:通过常见于反垃圾绕过的技术不使用常规超链接登陆恶意页面 。

3、微软修复PowerShell核心安全漏洞以阻止WDAC绕过行为【外刊-阅读原文

微软发布了新版PowerShell Core以修复核心安全漏洞,该漏洞允许本地攻击者绕过Windows Defender应用程序控制来运行恶意代码。即使启用了WDAC,这也可能允许攻击者执行不受信任的程序。

4、黑客窃取数百万保加利亚人个人数据并发送给媒体【外刊-阅读原文

一名神秘的黑客窃取了数百万保加利亚人的个人信息,并通过电子邮件将窃取的数据发送到当地新闻出版社。数据的来源被认为是该国的国家税务局,该部门是保加利亚财政部的一个部门。泄漏包含姓名、个人识别码、家庭住址和财务收入,大多数信息已有多年历史,可追溯到2007年,但也发现了更新的数据库条目。

5、Zoom Mac版漏洞波及范围扩大,影响另外两款软件【阅读原文

近日,远程会议服务软件Zoom被爆出了一个网络摄像头漏洞,现在看来,其影响范围还在继续扩大。在15日发表的一份报告中,安全研究人员Karan Lyons表示,同样的漏洞也影响到了RingCentral和瞩目。RingCentral目前有35万家企业用户,而瞩目基本上就是中国版的Zoom。

6、iOS 13 和 iPadOS 爆安全漏洞:解锁状态下可访问用户名和密码【阅读原文

援引外媒报道,在 iOS 13 和 iPadOS 的最新测试版本中发现了一个安全漏洞,允许绕过安全机制访问设置应用中的用户名称和密码。不过外媒也坦言该漏洞在实际场景中对于消费者的安全威胁并不大。外媒 iDeviceHelp 本周一指出,用户反复点击“网站&应用密码”选项可以绕过 Face ID、Touch IS 或者密码进行访问。不过这个问题对用户的影响并不是特别大,只有用户在解锁状态下访问设置应用才能起效。

7、Sprint发警告:有黑客通过三星官网新办号码页面获取用户数据【阅读原文

美国移动通讯运营商Sprint近日发布警告称,有黑客通过三星官网上新办号码“Add a line”页面入侵获取用户账号信息,目前尚不清楚有多少用户受到影响。Sprint在致受影响用户的信中表示:“6月22日,Sprint检测到有黑客通过三星官网‘新办号码’页面在未经你知悉和授权的情况下访问了你的Sprint账号。”

8、微信:结婚邀请函、庆祝华为5G上市、知名企业发钱…原来这些链接都是假红包【阅读原文

据《中老年人上网状况及风险网络调查报告》显示,在中老年网民极易遭遇的七类网络诈骗中,红包诈骗以25.1%的比例高居第二位。之所以大家还在被 “假红包”骗,是因为这些“假红包”链接差不多都是自己的好友转发,大家心里信任对方,觉得“既然是朋友发的,那应该没什么问题”;骗子还会把“假红包”链接的封面包装成各种你意想不到的样子。

【优质文章】

1、攻击者如何滥用人工智能技术【外刊-阅读原文

SHERPA联盟最新发布的报告指出,虽然人类攻击者可以使用机器学习技术,但他们目前的大部分工作都集中在操纵现有的AI系统以进行恶意攻击,而不是使用及其学习技术构建新的攻击手段。

2、看我如何通过帮助服务台轻松黑掉数百家公司【阅读原文

几个月前,我发现一个黑客可以轻松访问目标公司的内部通信网络的漏洞。 这个漏洞只需要点击几下,就可以访问企业内部网络、 Twitter 等社交媒体账户,以及最常见的 Yammer 和 Slack 团队账户。

3、DSMM之数据采集过程安全【阅读原文

在DSMM数据安全能力成熟度模型总结与交流一文中介绍了DSMM针对数据安全不同生命周期提出了不同的安全要求,数据安全生命周期分为采集、传输、存储、处理、交换、销毁。今天来聊一聊数据安全生命周期的第一个阶段——数据采集安全。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

来源:freebuf.com 2019-07-17 07:50:22 by: Freddy

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论