黑客再度制造多起信息泄漏事件,Python官方平臺現惡意庫【馬哥教育早報-110期】

2017年9月19日 星期二
馬哥教育新聞快報

導讀:黑客再度制造多起信息泄漏事件,Python官方平臺現惡意庫


每日一句


美麗屬于自信者,從容屬于有備者,奇跡屬于執著者,成功屬于頑強者。


早報內容


0.Equifax事件發酵:高管提前退休,檢察院介入調查
Equifax 上周通知用戶,黑客在5月中旬和7月下旬入侵了他們的系統。這次的信息泄露影響到了大約1.43億的美國消費者,泄露的信息包括姓名,社保號碼,出生日期,地址,還有一些駕駛證的信息。該公司聘請了FireEye所屬的事故調查公司Mandiant進行調查,并表示,Equifax對這一事件的內部調查仍在進行中,公司繼續與聯邦調查局密切合作進行調查。
在今年九月 Equifax 爆出大規模數據泄露之后,上周五 Equifax 宣布,首席安全官員Susan Mauldin和首席信息官David Webb將立刻退出公司。

1.OurMine 泄露 Vevo 公司內網文件
近期,黑客組織 OurMine 又將目標對準了 Vevo,Vevo是一個提供視頻服務的網站,這次黑客將其公司內部網絡的文件都泄露出來了。
此前,該黑客組織以破壞網站和社交媒體賬戶而聞名。對于這次OurMine的攻擊原因,OurMine表示,在領英上,Vevo 的一名員工對OurMine的一名成員表示出了不尊重。

2.用戶如果兩周沒有使用他們的手機,Google將會刪除他們的安卓備份
近期,reddit用戶發現了Google的自動刪除功能,當時他正在為出現故障的Nexus 6P進行備份,用戶在等手機維修的過程中,他發現他的Nexus 6P備份文件已被標記為刪除。這表示如果用戶兩周沒使用他們的手機,Google將會自動刪除那些存儲在 Google Drive 賬戶中的備份文件。Google在檢測到這段不活躍時間后,它將為舊的安卓備份文件劃定一個為期60天的倒計時,當倒計時結束時,Google將會自動從用戶的云端硬盤中刪除備份文件。而對于此事,google的幫助頁面并沒有說明太多的相關信息。

3.Python 官方平臺 PyPI 中發現了10個惡意庫
近日,斯洛伐克國家安全局(NBU)在PyPi中發現了10個惡意的python庫,PyPi(Python Package Index)是管理第三方庫的官方平臺。專家表示攻擊者是使用了“拼寫錯誤”的方法來上傳這些惡意的第三方庫,比如將”urlib” 寫成 “urllib”。當開發者上傳自己的庫到 PyPi 時,平臺不會做任何的安全性檢查或審計,所以攻擊者可以輕松的上傳那些惡意的第三方庫。故意填寫錯誤名字的開發人員將其惡意庫加載到軟件的安裝腳本中。
專家表示這些惡意軟件會收集被感染主機的信息,比如這些虛假庫的名字,安裝這些庫的用戶的用戶名,還有用戶的計算機主機名。NBU 官員上周聯系了 PyPI 管理員,PyPI已經將這些有問題的第三方庫在平臺上下架了。

4.谷歌將FTP協議標記為“不安全”
谷歌上周宣布,未來版本的 chrome 將對FTP傳輸協議標注為不安全。谷歌將會在今年12月發布的 chrome 63 中正式實施此計劃,此舉是Google 長期計劃的一部分,旨在標記所有不安全的鏈接,用來提醒用戶,并鼓勵網站所有者和管理員盡快使用 HTTPS。Google軟件工程師Mike West解釋說:“我們原來的計劃中并沒有包含FTP,但不幸的是,其安全屬性實際上比HTTP稍微差一些。“
Google 鼓勵網站開發人員將他們提供的可下載文件(特別是可執行文件)盡快從 FTP 遷移到 HTTPS 上。

5.阿拉斯加選民數據泄漏
研究人員近日發現,有將近50萬的美國選民信息被泄露到網上,而導致事情發生的原因卻是數據庫配置出現了問題。遭到泄露的是一個CouchDB數據庫,其中包含593,328個阿拉斯加選民記錄,包括姓名,地址,出生日期,投票偏好,家庭收入等等。
TargetSmart首席執行官Tom Bonier解釋說,事件是由Equals3配置錯誤的結果,Equals3是一家AI軟件公司,它向TargetSmart授權了一些數據。他補充道,這個大約有59.3萬阿拉斯加選民的數據庫的信息是無意間暴露出來的,除了管理團隊和安全研究人員之后,沒有人可以訪問到這個數據庫。

6.系統清理工具CCleaner被植入后門,上百萬用戶或受感染
2017年9月18日,有情報披露,著名的系統優化工具CCleaner的某個版本被發現植入后門,大量使用該工具的用戶恐將面臨泄密風險。這是繼Xshell后門事件后,又一起嚴重的軟件供應鏈來源攻擊事件。
CCleaner是一款免費的系統優化和隱私保護工具。主要用來清除Windows系統不再使用的垃圾文件,以騰出更多硬盤空間,并且還具有清除上網記錄等功能。被植入后門的版本為8月15日上線的5.33版本。
目前我們發現部分國內下載站點仍在分發存在后門的版本。金睛安全研究團隊在此提醒廣大使用該工具的用戶,及時卸載有問題的版本,避免隱私泄露的風險。

7.民航局:飛機上能否用手機由航司自行決定
9月18日,在中國民航局的例行新聞發布會上,中國民航局飛標司副司長朱濤透露,日前,《大型飛機公共航空運輸承運人運行合格審定規則》(CCAR—121部,以下簡稱《規則》)第五次修訂發布,將于2017年10月起實施。
這次修訂放寬了對于機上便攜式電子設備(PED)的管理規定,允許航空公司為主體對便攜式電子設備的影響進行評估,并制定相應的管理和使用政策。
對此,朱濤表示,航空公司可以根據評估的結果,來決定在飛機上使用何種便攜式電子設備,原來政府是禁止的,現在政府把這個權力交給航空公司來評估。

8.亞馬遜云服務將按秒計費:降低價格打擊谷歌微軟
9月19日消息,亞馬遜公有云服務Amazon Web Services宣布,從10月2日開始,該公司將向使用其EC2虛擬服務器的客戶按秒收取費用。
此舉將產生重要影響,因為自從AWS 2006年推出以來,始終按小時計費。2013年,Alphabet旗下子公司谷歌宣布AWS的直接競爭對手按分鐘計費。微軟的Azure也緊隨其后。現在,亞馬遜發動反擊,更加細致地調整了人們使用計算資源的方式。

9.賈躍亭履責:樂視再償一億元債務,供應商稱其有擔當
據證券時報報道,賈躍亭香港籌款之行取得了不錯的效果,日前樂視控股和供應商達成的債務解決額度已經超過了一億元。
在樂視系發生資金危機后,便遭遇了大批供應商上門討債,更有部分討債者長期在樂視大廈駐守,等待樂視還債。7月份的時候,賈躍亭曾經表示,會“盡責到底”,一定會還債,希望供應商能給些時間。


今日花絮


“共享女友”項目發表致歉聲明:暫停運營,雙倍賠償違約金
一家名叫“他趣”的情趣電商推出了“共享女友”服務,即提供充氣娃娃的共享服務,該項目一經推出,便吸引了不少關注。然而,該項目推出不久即被叫停,派出所還對該項目的地推人員進行了罰款。
今天,該項目背后的公司“廈門海豹他趣信息技術股份有限公司”發表了致歉聲明,宣布暫停“共享女友”項目的運營。

 

相關新聞

聯系我們

400-080-6560

在線咨詢:點擊這里給我發消息

郵件:[email protected]

工作時間:周一至周日,09:00-18:30

QR code
云南快乐10分开奖直播