各位Buffer早上好,今天是2019年1月14日星期一。今天的早餐铺内容有:GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本;英国法律将要求所有色情网站在4月份开始验证用户年龄;幽灵病毒hAnt肆虐矿场,矿工每小时损失2000元;美国加州保险局网站存漏洞,或已暴露数万人的个人信息;研究称DNS劫持攻击规模惊人;国家邮政局:“春节期间快递停运”均为假消息。
GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本
知名域名注册、主机服务网站GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本,而这一注入并没有经过网站管理员的同意。
最初,GoDaddy是为了改善性能的而植入名为Real User Metrics的脚本去收集用户数据,声称绝大部分用户不会感觉到问题,但脚本本身却存在导致网站加载缓慢或破坏网页的可能。[igorkromin]
英国法律将要求所有色情网站在4月份开始验证用户年龄
去年英国立法机关根据“数字经济法案”引入了年龄验证法,经过几次延迟后,该法现已定稿,将于4月生效。这项法律实现了政府的计划,即让英国成为上网最安全的地方,但它也带来了一些严重的问题。
政府官员坚持认为这项法律将阻止未成年人接触色情,并保护毫无防备的公民不会意外地访问色情内容,但专家们只同意后者。随着部分VPN免费提供并能够规避年龄限制,即使是政府自己的委员会也认为这项法律无法保证阻止未成年人接触色情内容会一定成功。
除此之外,外界认为,英国政府年龄验证方法令人尴尬或觉得不安全,但是英国政府似乎并不关心。虽然验证系统必须得到英国电影分级委员会的批准,该委员会将对该计划拥有权威,但系统具体和部署将由各家网站自行实施。[cnbeta]
幽灵病毒hAnt肆虐矿场,矿工每小时损失2000元
1月5日晚,cC矿场的比特大陆矿机遭到了名叫hAnt病毒的攻击,所有矿机的管理界面变成了一个绿色蚂蚁的图片。点击这张绿色图片,可以看到黑客的留言。黑客用中英两种语言告诉矿工,要免于被攻击,只有两个办法:一,将病毒以固件补丁的方式,传染给其他矿场的至少1000台机器;二,给黑客支付10个比特币。
据矿场负责人表示,在2018年8月到10月,病毒问题开始集中爆发。目前,蚂蚁比特币矿机中的S9、T9,甚至莱特币矿机L3+,都有这种病毒的感染记录。目前认为,病毒的源头,大概率来自一个匿名人士发布的矿机超频固件。这种病毒具有极强的传染性。只要有一台或多台矿机,刷了带病毒的超频固件。在不同的矿场中托管时,就可以迅速渗透到各个矿场。只要一台带病毒的矿机进了矿场,整个矿场内的机器,在几分钟内就会被感染。[secrss]
美国加州保险局网站存漏洞,或已暴露数万人的个人信息
印度网络安全公司Banbreach近期发现美国加州保险局(California Department of Insurance,CDI)网站存在漏洞。
据称,一个连接到interactive.web.insurance[.]gov的Oracle报表服务器在24小时内生成了24450多份报表,而该服务器能够被公开访问。大多数报表都是保险代理人的续签报告,其中包括代理人的姓名、续签ID和税务识别号(TIN)。由于有很多人也使用他们的社会安全号码(SSN,相当于我国的居民身份证号)作为他们的税务识别号,因此这些人的名字和SSN号码可能已经遭到泄露。
通过这个网站漏洞暴露的其他报告被描述为:保险索赔调查报告,包括姓名、车辆登记号码和住址等详细信息;关于月度欺诈的统计报告;被起诉人的详细个人信息,以及指控的细节(如罪名、罚款等)。
据称,Banbreach是在2018年11月9日向CDI通报了他们的发现,并在随后与州检察长办公室取得了联系。在一周之后,Banbreach收到对于漏洞的确认,并被要求保证不会滥用这些数据并立即销毁这些数据。然而,加州保险局目前仍没有公布这起事件,并且在任何政府网站上都找不到相关的通知或公告。[secrss]
研究称DNS劫持攻击规模惊人
近日,一些安全研究人员对劫持域名的DNS攻击发出了警告,称攻击规模史无前例。
攻击者首先设法窃取目标DNS服务商管理面板的登录凭证,然后修改目标域名的IP地址,将其指向攻击者控制的服务器。之后再利用Let’s Encrypt自动生成合法证书。当用户访问目标,他们会先访问攻击者的服务器然后再重定向到合法服务器,整个过程用户唯一的感觉就是延迟略微增加。
攻击者能够通过这种方式收集到用户名和密码,而终端用户对此几乎一无所知。目前,研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名,认为攻击者可能与伊朗有关联。[arstechnica]
国家邮政局:“春节期间快递停运”均为假消息
针对春节期间快递停运的传闻,国家邮政局发布公告称,这些均为假消息。目前,邮政、顺丰、“三通一达”、百世等主要寄递企业尚未公布春节期间具体服务安排,但均表示不会停运。
已发布春节期间服务公告的德邦表示,春节期间会根据全网各地业务量预测情况,合理安排员工轮岗值班,确保春节期间快递服务安全、畅通。
国家邮政局指出,针对春节期间快递服务,国家邮政局在2018年12月28日就发布了关于做好元旦春节期间有关工作的通知,要求各省(区、市)邮政管理局统筹做好节日期间工作,确保节日期间各项工作正常运转,行业安全平稳运行。[techweb]