BUF早餐铺 | 价值8.54亿美元的加密货币被盗；腾讯安全工程师利用酒店WiFi漏洞访问内部服务器被罚5000美元；浙江超70%网民个人信息被泄漏 – 作者:AngelaY

各位 Buffer 早上好，今天是  2018 年 9 月 26 日星期三，农历八月十七。今天的早餐铺内容有：联合国意外泄露密码和敏感信息；2018 年已有价值 8.54 亿美元的加密货币被盗；研究人员发现 0-day 漏洞影响所有版本的 Windows；苹果 MacOS Mojave 0-day 漏洞可以绕过隐私认证访问用户的联系人；腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 美元；浙江超 70% 网民个人信息被泄漏 警方通报三大犯罪特点。

安全资讯早知道，两分钟听完最新安全快讯~

联合国意外泄露密码和敏感信息

由于联合国在使用知名项目管理软件 Trello、问题追踪应用 Jira 以及 Google Docs 办公软件时配置出错，导致网站的密码、内部文档、技术细节等暴露在网上。网友只要获取相关链接，就能看到这些信息。暴露的文件包括联合国某个文件服务器的凭证、联合国语言学校的视频会议系统以及联合国人道事务协调办公室的 web 开发环境等。一个月前，研究人员就发现了这起泄露事件并报告给了联合国。目前，大部分材料已经下线。[来源：theintercept]

2018 年已有价值 8.54 亿美元的加密货币被盗

近日，Hackmageddon 的一份报告指出，加密货币盗窃事件在 2018 年持续高发。在 18 次大型攻击中，黑客们至少窃取了 854,182,000 美元的加密货币。其中仅日本 Coincheck 被入侵一事，就导致了 5.24 亿美元的损失。分析还指出，恶意行为者在一年内疯狂作案近 10 亿美元。目前，损失最大的十大加密货币交易所分别为：Coincheck（5.24 亿美元）、BitGrail（1.7 亿美元）、Zaif 攻击（6000 万美元）、Coinrail（3720万美元）、Bithumb（3150万美元）、Michael Terpin（ 2400 万美元）、Bitcoin Gold（1800万美元）、Bancor（1350万美元）、一个价值 1000 万美元的未披露的日本钱包，以及 KICKICO（ICO 后丢了 770万美元）。

针对大量加密货币攻击事件的分析显示，恶意分子擅长利用恶意软件 + 网络钓鱼结合的方式实施攻击。这应当引起从业者警惕。[来源：softpedia]

研究人员发现 0-day 漏洞影响所有版本的 Windows

趋势科技的研究人员公开发布了一个尚未修复的 0-day 漏洞，会影响所有支持 Windows 操作系统（包括服务器版本）。攻击者可以利用这个漏洞，在任意存在漏洞的 Windows 计算机上远程执行恶意代码。漏洞存在于微软的 Jet 数据库引擎中，是因为其中的检索管理出现问题导致的。一旦利用成功，就会引发带外数据内存写入，进而导致远程代码执行。据了解，这个漏洞自上报给微软至今已经超过漏洞披露规则所限定的 120 天，但微软依旧没有回复，因此研究人员选择将其公开。[来源：TheHackerNews]

苹果 MacOS Mojave 0-day 漏洞可以绕过隐私认证访问用户的联系人

前段时间，macOS 刚发布新版本 Mojave，就有研究人员表示其中存在安全漏洞，攻击者可以绕过 macOS 的黑名单机制，获取地址等敏感用户信息。测试显示，研究人员发现可以通过一个未授权的 APP 就能获取到机密用户联系人。漏洞主要是苹果在不同的隐私数据保护实施过程中出现的，并非所有的 Mojave 新隐私保护功能都会出现这个漏洞，而且 webcam 等基于硬件的组件也不受影响。该研究人员表示，会在即将召开的 Mac 安全大会上公布这个漏洞的技术细节。[来源：bleepingcomputer]

腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 美元

腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣，他还写了一篇博客介绍了入侵经过。通过搜索 Google 他发现酒店管理系统使用的默认账号密码 console / admin 和 ftponly / antlab 没有被禁用，使用默认账号他找到了系统的更多信息，并搜索到了数据库密码，登录数据库后找到了管理员密码，他把这些信息都公布在了个人博客上。他的博客引起了新加坡网络安全局的注意，新加坡检方称公开这些信息意味着酒店的 WiFi 系统可能会被其他人用于恶意目的。这名工程师承认了罪名，由于他是出于好奇而且没有造成有形的伤害，他免于刑期只被罚了 5000 美元。[来源：solidot]

浙江超70%网民个人信息被泄漏 警方通报三大犯罪特点

据《浙江省互联网发展报告》显示，仅2017年，浙江有72.8%的网民经历过个人信息泄露。截止目前，浙江省公安机关共清理网上买卖公民个人信息等相关违法信息2405条，处罚网站、网络服务提供商209家。破获侵犯公民个人信息类刑事案件447起，抓获犯罪嫌疑人1863名,查获泄漏公民个人信息22.8亿余条。通过侦办案件，打处泄露信息的单位“内鬼”33名，网络黑客107名，发现并督促整改安全隐患6788起。

浙江省侵犯公民个人信息犯罪活动存在以下特点：一是泄露信息涉及面广，社会危害大；二是犯罪手段不断翻新，发现预警难；三是利益链错综复杂，源头追溯难。

警方呼吁广大人民群众切实增加安全意识，养成良好的上网习惯，切莫贪图小利而因小失大，谨防钓鱼网站或软件APP，不轻易透露提交个人信息。与此同时对发现的网上违法犯罪线索，请及时向公安机关举报。[来源：cnbeta]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM

来源：freebuf.com 2018-09-26 07:00:18 by: AngelaY