FreeBuf早报,安全圈值得关注的每日大事件
近日,美国、英国和澳大利亚政府共同签署了一封公开信,要求 Facebook 停止在其所有平台上推行端到端加密计划,且矛头直指该公司首席执行官马克·扎克伯格。三国政府对强加密措施表示支持,因其认识到在银行和商业等处理服务中使用加密技术的必要性。[阅读原文]
值机、托运、安检、登机,旅客仅凭“一张脸”就能办好。北京大兴国际机场正式投运,机场配备了400余台自助值机和自助托运设备,自助覆盖率达到80%,刷脸就能通关,全过程无纸化自助化。自助托运行李后还能通过绑定电子行李牌实时查询行李状态。[阅读原文]
一家独立研究机构为加州总检察长办公室准备的“经济影响评估”显示,该州的最新隐私法或将使得公司须承担的初始合规成本总计高达550亿美元。加州财政部近日公开了这份评估调查。该调查从广泛角度评估了,一旦《加州消费者隐私法案》(CCPA)签署通过,公司为遵守该法案须付出的潜在成本。[阅读原文]
新加坡《防止网络假信息和网络操纵法案》自10月2日起正式生效。恶意散播假信息,损害新加坡公共利益的个人最高可判10年有期徒刑和10万新加坡元(约合50万元人民币)的罚款,不愿配合的企业则会面临100万新加坡元(约合500万元人民币)的罚款。[阅读原文]
Google Project Zero 安全团队成员披露,攻击者正在利用一个 Android 0day 漏洞完全控制设备,至少有 18 个型号的手机存在该漏洞,其中包括 Google 的 Pixel 1 和 2,华为 P20,小米的红米 5A 和 A1,三星的 S7、S8 和 S9 等。[阅读原文]
今年3月,欧盟委员会公布了5G安全计划。芬兰总统绍利·尼尼斯托(Sauli Niinisto)披露,对5G系统的风险评估将于两周内完成。风险评估旨在为成员国提供一种通用安全方法,大多数成员国已在7月份提交了评估结果,整体的评估和计划原定于10月1日完成。[阅读原文]
俄罗斯最大的储蓄银行(Sberbank)正在调查一起疑似信用卡数据泄露事件,称雇员的“犯罪行为”可能是泄露的主要原因。该银行表示,正在进行内部调查,可能会影响至少200个客户帐户。其结果将在另一份声明中披露,员工的不法行为是主要诱因。[外刊-阅读原文]
安全研究员GrujaRS分享了一种他们认为是STOP勒索软件变体的详细信息。它是HildaCrypt勒索软件的一种变体,这种恶意软件的开发人员承认了这一点。尽管最初写出HildaCrypt是“只是为了好玩”,但由于HildaCrypt已被用于创建其他勒索软件工具,因此开发者做出免费发行主密钥的决定。[阅读原文]
据外媒报道,最近发布的Firefox 69.0.2更新修复了Windows 10上的家长控制(Parental Control)检测问题,然而这个更新却带来了另外一个问题。当用户在Windows 10中安装了更新并启用了家长控制之后却无法在Firefox浏览器中下载文件,他们会在下载文件夹中看到大小为0 kB的空文件。[阅读原文]
根据公益组织Privacy International的一项分析,2017年12月推出的一款价值17美元的Android智能手机MYA2 MyPhone存在大量隐私问题,会使得手机主人更容易地受到黑客以及手机数据商贩的攻击。[阅读原文]
根据EA近期提交的一个专利,该公司正在开发一个新的反作弊系统。游戏公司研发新的反作弊系统当然是一件好事儿,但EA的这个新系统却引起了一些玩家的担忧,因为它会监视你的内存。当系统监视内存来反对作弊时,它可能会把Fraps以及其他多个覆盖软件当做作弊,比如雷蛇Synapse。[阅读原文]
研究人员公开披露了一系列D-Link路由器中存在严重的远程执行代码漏洞。 上周,Fortinet的FortiGuard Labs 表示,该问题的核心漏洞(CVE-2019-16920)于2019年9月被发现。9月22日,安全研究人员向d-link披露了他们的发现。24小时内,硬件供应商确认了该漏洞,三天后,d-link表示,由于产品处于生命周期结束(eol)支持状态,因此不会发布任何补丁。 [外刊-阅读原文]
Algo Capital是一家专注于Algorand区块链的投资公司,该公司首席技术官Pablo Yabo手机遭黑客攻击之后损失了数百万美元的USDT和ALGO代币。据该风投首席执行官戴维·加西亚(David Garcia)发出的一封电子邮件确认,这次被窃取的加密货币价值大约为100-200万美元。[阅读原文]
10月1日,DCH卫生系统(包括DCH区域医疗中心,Northport医疗中心和西阿拉巴马州Tuscaloosa,Northport和Fayette的Fayette医疗中心)受到Ryuk勒索软件攻击的影响,迫使他们关闭了计算机系统并停止接受新的非紧急患者。他们支付了赎金并购买了Ryuk解密密钥,以便恢复对其他加密系统的访问。[外刊-阅读原文]
近年来,安全行业风生水起,各种认证层出不穷,眼花缭乱。这里不对任何一个证书做评价,只是做出介绍。所以笔者不敢妄谈一个证书的含金量,会具体谈到每个证书笔者所了解的作用,并将所有证书在此汇总,若有缺失,还请评论补充。笔者自信,只要不再出相关认证,此篇即是最全最完善的证书介绍。[阅读原文]
笔者受光盘启动WinPE系统修复主机原系统启发,设计并开展了以网络启动传输定制操作系统,实施自动化文件替换,劫持关键系统服务的渗透技术方案研究,实现了在内网环境下预置攻击程序的自主启动。[阅读原文]
关键基础设施安全事关国家安全,开展关键基础设施保护受到各国政府高度重视。本文开展了美国关键基础设施保护政企合作问题研究,围绕政企信息共享等重点活动,分析了政企合作模式建立方面存在的问题和相关措施。[阅读原文]
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。