8wDlpd.png
8wDFp9.png
8wDEOx.png
8wDMfH.png
8wDKte.png
安全企业 Bkav 研究出 iPhone X 人脸识别的破解方法;漏洞奖励计划和漏洞披露平台帮助五角大楼修复2,837漏洞
aiyun 2017-11-15


今天的安全早报包括:安全企业 Bkav 研究出 iPhone X 人脸识别的破解方法;漏洞奖励计划和漏洞披露平台帮助五角大楼修复2,837漏洞;维基解密公开Vault 7工具源代码;CryptoMix 勒索软件变种 XZZX出现;希尔顿酒店因信用卡数据泄漏额外支出 700,000 美元;政府网站公开信息中意外涉及个人身份信息。

yakun-safra.jpg

【国际时事】

漏洞奖励计划和漏洞披露平台帮助五角大楼修复2,837漏洞

还记得2016年的#入侵五角大楼计划吗?

这个漏洞奖励计划现在看来已经获得了一定的成效,目前来自全球 50 多个国家的 650 名白帽子向美国政府部门提交了 2837 个有效漏洞。黑客提交漏洞后也从他们的付出中得到了相应的回报,共计获得了超过 300,000美元的奖金。

有接近 500 个漏洞涉及的是国防部 40 个组件部分,其中 100 个漏洞都是 critical 以及 high 界别的。主要的漏洞问题在于远程代码执行、SQL 注入、验证机制绕过。

Hack-the-Pentagon-Graphic-111017-fin_B.2.jpg

[参考来源:securityaffairs]

【系统安全】

CryptoMix 勒索软件变种 XZZX出现

一款新的 CryptoMix 勒索软件变种被研究人员发现,它使用的是.XZZX为后缀的拓展名。

ransom-note.jpg

加密方式基本和此前的CryptoMix 勒索软件保持一致,只有一些细微的差别。勒索信息依旧保存在 _HELP_INSTRUCTION.TXT之中,但会使用 [email protected], [email protected], [email protected], and [email protected]的邮箱地址来进行勒索钱财的支付地址。

[来源:bleepingcomputer]

【终端安全】

一张3D打印的面具就可以破解你的iPhone X

11月3日苹果正式发布 iPhoneX 之后的一周之后,一群安全研究员就表示他们相处了办法破解FaceID机制。安全企业Bkav表示他们的破解工具只是一张价值 150 美元以下的 3D 打印面具。

他们通过 3D 打印的面具、2D图片、化妆在其他皮肤露出的地方做些特殊处理之后(比如鼻子的制作)可以制造出一款能够通过 FaceID 检测的面具。

屏幕快照 2017-11-14 上午10.58.44.png

他们在其中一位研究员所有的 iphoneX 上进行了测试,他自己的面部和面具都可以解锁手机。这些研究员同时也在youtube上公开了一份概念验证视频。

当然很多人都自己尝试制作了面具来检验 FaceID 的安全性,但并没有成功。

而我们可以做出成功的面具是因为我们清楚地了解 FaceID 的 AI 机制是怎么样的,然后我们知道如何绕过这个机制。

[来源:thehackernews]

【数据泄漏】

希尔顿酒店因信用卡数据泄漏额外支出 700,000 美元

希尔顿酒店集团在数据泄漏事件发生之后,分别在纽约州和佛蒙特州遭到用户的起诉。信用卡信息泄露的事件实际上发生在2014年和2015年,当时有超过363000张支付卡遭受影响。

Hilton.jpg

这起调查显示造成数据泄漏的罪魁祸首——是希尔顿支付系统中的PoS中存在恶意软件,在2014年的11月18日至12月5日之间支付信息不断外流。而第二起遭到起诉的事件则发生在2015年7月,酒店方面在当年的11月才告知相关的用户这起事件的具体情况。用户起诉酒店的主要理由也是安全防护措施的缺失和信息通告上的延迟。

酒店方面有义务今早告知用户信息泄漏事件的情况,来让我们及时保护自己的信息。

如果现在EU GDPR已经开始实施的话,希尔顿这样的情况可能会被处以 42000 万美元的罚款(4%的营业额)。

[来源:securityaffairs]

【国内新闻】

政府网站公开信息中意外涉及个人身份信息

景德镇市人社局官网上,出现一则名为“大学生一次性创业补贴人员花名册”的文件,普通用户无需登录,即可下载。而在表格中,14名创业大学生的学号、身份证号、手机号码等信息均有载录。

event_4548_o.jpg

新京报随机拨打其中4名大学生电话,均表示此前曾被告知领取创业补贴需进行公示程序,但对个人信息被一并发布一事不知情。此后景德镇市劳动就业服务管理局社区和企业服务科一名工作人员确认,文件由该单位发布并公开,其表示,姓名、学号等信息属于需要公开内容,之所以公开身份证号,是为防止因重名引起的不便。上述工作人员表示,将对文件涉泄露个人隐私一事进行处理。11月14日涉个人信息泄露的文件目前已被撤下。

[来源:新京报]

转载至freebuf网站:freebuf

最新回复 (0)
    • Ai云
      2
        立即登录 立即注册
返回