谷歌對(duì)安全漏洞的發(fā)現(xiàn)者獎(jiǎng)勵(lì)

　　1.Myspace史上最大用戶數(shù)據(jù)遭泄露

　　繼領(lǐng)英1.67億用戶用數(shù)據(jù)被爆泄漏后，著名付費(fèi)黑客數(shù)據(jù)搜索引擎LeakedSource發(fā)表博文稱Myspace也被黑，近4.3億用戶數(shù)據(jù)被泄漏，并已獲得數(shù)據(jù)副本，可在他們的網(wǎng)站上進(jìn)行查詢。目前，Myspace官方還未證實(shí)這一消息的可靠性，但如果情況屬實(shí)，這將是史上最大規(guī)模的密碼泄露事件。

　　與領(lǐng)英相同，這次事件的“幕后黑手”仍是“Peace_of_mind”。除此之外，LeakedSource還在博文中提到，這些泄露的數(shù)據(jù)和領(lǐng)英一樣，也是以“SHA-1”的哈希加密的方式存儲(chǔ)的，也同樣沒(méi)有“加鹽”，可以輕而易舉地被破解。

　　據(jù)雷鋒網(wǎng)了解，社交網(wǎng)站較容易存在的安全隱患主要有兩類：一類是蠕蟲攻擊，另一類是由于社交網(wǎng)站并未恰當(dāng)使用Cookies，而導(dǎo)致發(fā)動(dòng)跨站請(qǐng)求偽造攻擊。Myspace就屬于第一類，主要是因?yàn)樵诰W(wǎng)站開發(fā)時(shí)采用Ajax技術(shù)而導(dǎo)致的。

　　因此，使用這種技術(shù)的網(wǎng)站想要避免黑客利用這種漏洞竊取數(shù)據(jù)，就需要對(duì)用戶輸入內(nèi)容的可靠性進(jìn)行驗(yàn)證，并對(duì)用戶可以輸入頁(yè)面的代碼進(jìn)行詳盡的測(cè)試，來(lái)避免漏洞的產(chǎn)生。同時(shí)，還要經(jīng)常使用各種漏洞檢測(cè)工具來(lái)掃描和過(guò)濾漏洞，以便于及早發(fā)現(xiàn)問(wèn)題并及時(shí)進(jìn)行補(bǔ)救措施。

　　相關(guān)安全專家建議，用戶以及企業(yè)也要提高網(wǎng)絡(luò)安全防范意識(shí)，增強(qiáng)個(gè)人隱私信息的防護(hù)。

　　2. 小心支付寶的“轉(zhuǎn)賬成功”

　　六一兒童節(jié)，支付寶把所有用戶的昵稱都改為了XX寶寶。一些對(duì)節(jié)日不敏感的用戶對(duì)此產(chǎn)生了質(zhì)疑，為什么支付寶可以不通過(guò)用戶允許就擅自修改用戶昵稱，自己的個(gè)人隱私是否受到了侵犯？然而支付寶這種略不嚴(yán)謹(jǐn)?shù)淖黠L(fēng)也已經(jīng)不是第一次了。

　　在西安最近破獲的一起案件中，就有犯罪分子利用支付寶漏洞成功騙取了上百人錢財(cái)?shù)捏@人事件。這個(gè)案件中的嫌疑人主要針對(duì)二手網(wǎng)站上出售的高檔手機(jī)賣家作案，在利用你“微截圖”等支付寶轉(zhuǎn)賬截圖生成器，用假“轉(zhuǎn)賬截圖”來(lái)實(shí)施詐騙。犯罪嫌疑人還發(fā)現(xiàn)，用支付寶對(duì)銀行卡轉(zhuǎn)賬時(shí)，輸錯(cuò)一位卡號(hào)時(shí)，仍然可以生成轉(zhuǎn)賬成功的界面，于是，他們將此界面截圖發(fā)給受害人，以博取受害人信任，然后謊稱錢款正在平臺(tái)處理中，要在2個(gè)小時(shí)以后到賬，這時(shí)，多數(shù)受害人就會(huì)輕信轉(zhuǎn)賬成功并提前完成交易，事后數(shù)小時(shí)才發(fā)現(xiàn)被騙。

　　雷鋒網(wǎng)對(duì)此親自做了測(cè)試，用支付寶給“宋仲基”轉(zhuǎn)了520元，在輸入錯(cuò)誤卡號(hào)的情況下，仍然出現(xiàn)了付款成功的頁(yè)面。但是事后由于銀行卡號(hào)校驗(yàn)失敗，轉(zhuǎn)賬款會(huì)退回原來(lái)的賬戶。

　　一名資深網(wǎng)絡(luò)安全專家告訴雷鋒網(wǎng)，因?yàn)殂y行驗(yàn)證服務(wù)需要收費(fèi)，故而支付寶沒(méi)有開通這項(xiàng)服務(wù)，并且由于支付寶不可能擁有所有銀行卡的數(shù)據(jù)庫(kù)，如果銀行卡用戶名和賬號(hào)對(duì)不上時(shí)，也會(huì)出現(xiàn)已經(jīng)“假裝付款”成功的界面。

　　3.新一代 Tor發(fā)布

　　知名匿名搜索引擎Tor ，最近發(fā)布了基于火狐瀏覽器45-ESR的6.0版本，增強(qiáng)了對(duì)HTML5的支持，并更新了用來(lái)保護(hù)加密流量及其更新機(jī)制的安全功能。作為基于火狐45-ESR版本的瀏覽器，Tor6.0版本配有頂級(jí)的HTML5支持，可以在大多數(shù)用戶訪問(wèn)的網(wǎng)站中，更容易地關(guān)掉用戶帶有的Flash 插件。

　　此次更新的火狐45-ESR 版本不僅有支持推送API動(dòng)態(tài)通知的功能，還對(duì)最新的 JavaScript版本，如 ES6 的類語(yǔ)法，提供最好的支持。Tor團(tuán)隊(duì)還特別針對(duì)Mac OS X系統(tǒng)進(jìn)行了漏洞補(bǔ)丁，更新后，Tor網(wǎng)絡(luò)在Mac OS X系統(tǒng)內(nèi)運(yùn)行時(shí)，將使用代碼簽名來(lái)避免被Mac OS X系統(tǒng)自帶的安全軟件封鎖。

　　Tor新版本最大的變化，就是對(duì)瀏覽器加密層所做的修改，移除了對(duì)SHA-1的支持。研發(fā)人員同樣也修復(fù)了存在DLL劫持的問(wèn)題，還全面覆蓋了一些快速修復(fù)緊急bug的補(bǔ)丁。由于他們的老合作伙伴，Disconnect搜索引擎與Google之間的合作情況有變，Tor 現(xiàn)在是通過(guò)DuckDuckGo的API顯示搜索結(jié)果，而不再是Google。

　　4.windows 0日漏洞售價(jià)62萬(wàn)人民幣

　　一位名叫“BuggiCorp”的黑客近日在暗網(wǎng)黑市上兜售一種新的零日漏洞，號(hào)稱攻擊者可以利用這個(gè)漏洞在Windows所有版本中獲取到最高的系統(tǒng)運(yùn)營(yíng)權(quán)限。

　　在“BuggiCorp”發(fā)布的售賣信息中，他還貼出了兩個(gè)關(guān)于這個(gè)零日漏洞的演示視頻。一個(gè)視頻中，黑客用這個(gè)漏洞在一個(gè)安裝更新了5月發(fā)布的最新補(bǔ)丁的Window 10操作上，成功獲得了最高操作權(quán)限；另一個(gè)視頻中他用漏洞分析成功地繞過(guò)了微軟所有的安全功能，包括最新版本的EMET 工具包。售價(jià)9.5萬(wàn)美元（折合成人民幣約62萬(wàn)）

　　這個(gè)黑客希望用比特幣進(jìn)行支付，如果有必要的話，可以通過(guò)論壇管理員來(lái)完成交易。他還說(shuō)，他只會(huì)將這個(gè)漏洞賣給一位賣家，這位賣家會(huì)得到這個(gè)漏洞的源代碼、功能完整的小樣、微軟完整開發(fā)工具集（Microsoft Visual Studio）2005，以及這個(gè)漏洞未來(lái)在任何Windows版本上無(wú)法運(yùn)行時(shí)的更新。根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，這個(gè)漏洞對(duì)任何Windows版本都有效，有可能會(huì)影響到全球范圍內(nèi)的15億用戶。

　　5.朝鮮克隆 Facebook 網(wǎng)站被黑

　　近日，一家專注于追蹤網(wǎng)絡(luò)性能的公司Dyn Research，發(fā)現(xiàn)了一個(gè)朝鮮山寨Facebook站點(diǎn)，這個(gè)站點(diǎn)的名稱為“最棒的朝鮮社交網(wǎng)路”，域名是“StarCon.net.kp”，其網(wǎng)頁(yè)設(shè)計(jì)風(fēng)格全部復(fù)制了Facebook。但在上線后不久，就被一名年輕的蘇格蘭黑客黑下線了。這位年輕黑客名為安德魯·麥克凱恩，年僅18歲，還是一位在校大學(xué)生。

　　他發(fā)現(xiàn)這個(gè)站點(diǎn)在使用Dolphin php技術(shù)，且自從上線以來(lái)就沒(méi)修改過(guò)安全證書證書，他很容易的猜出了這個(gè)站點(diǎn)的管理員與密碼，并取得了網(wǎng)站的控制權(quán)。還搞了個(gè)小惡作劇，在網(wǎng)站上留下了一句“這網(wǎng)站不是我建的，我只是偶然發(fā)現(xiàn)了密碼”，并附上了他的個(gè)人Twitter賬戶。目前，這個(gè)網(wǎng)站已經(jīng)無(wú)法登陸。

　　Dyn公司與麥克凱恩都表示，他們并沒(méi)有看到有明顯的證據(jù)證明這個(gè)網(wǎng)站與朝鮮政府有什么關(guān)系。這個(gè)網(wǎng)站的IP地址是在朝鮮，但朝鮮是一個(gè)對(duì)網(wǎng)絡(luò)管理十分嚴(yán)格的國(guó)家，幾乎沒(méi)有超出政策以外的網(wǎng)站存在，且政府官網(wǎng)的IP都設(shè)在中國(guó)。但有外媒猜測(cè)，該網(wǎng)站或?yàn)槌r官方的電信運(yùn)營(yíng)商即將提供的服務(wù)的測(cè)試項(xiàng)目。

　　6.谷歌對(duì)安全漏洞的發(fā)現(xiàn)者獎(jiǎng)勵(lì) 5 萬(wàn)元

　　谷歌近日發(fā)布了瀏覽器v 51.0.2704.79版本，是繼穩(wěn)定版v51后的第二次維護(hù)升級(jí)版，修復(fù)了15個(gè)安全漏洞及一些版本缺陷。在被修復(fù)的15個(gè)漏洞中，主要修復(fù)了兩個(gè)高危缺陷，這兩個(gè)缺陷可以允許攻擊者繞過(guò)瀏覽器跨源代碼執(zhí)行的限制，通過(guò)Blink引擎以及它的擴(kuò)展組件運(yùn)行惡意代碼。

　　據(jù)了解，發(fā)現(xiàn)這兩個(gè)漏洞的研究員獲得了高達(dá)7500元美金（折合成人民幣約5萬(wàn)元）的獎(jiǎng)勵(lì)。其他一些發(fā)現(xiàn)中級(jí)安全漏洞的研究員，分別獲得了1000美元（折合成人民幣約0.66萬(wàn)元）至4000美元（折合成人民幣約2.6萬(wàn)元）不等的獎(jiǎng)勵(lì)。這些漏洞包括一些可能會(huì)泄露用戶個(gè)人信息以及在系統(tǒng)模塊與擴(kuò)展組件中存在的UAF漏洞。

　　因?yàn)榇舜胃碌氖且粋€(gè)介于51與52之間的過(guò)渡版本，所以并沒(méi)有新的功能出現(xiàn)。除了安全補(bǔ)丁，主要解決了一些會(huì)導(dǎo)致瀏覽器崩潰或混亂文件下載路徑的問(wèn)題。

　　7.黑客竊取了6500萬(wàn)Tumblr賬號(hào)

　　Tumblr在早些時(shí)候就被披露，黑客在2013年竊取了部分Tumblr用戶賬號(hào)，包括電子郵件地址和哈希加鹽的密碼，它的內(nèi)部調(diào)查認(rèn)為被盜的賬號(hào)并沒(méi)有被未經(jīng)授權(quán)訪問(wèn)，但已經(jīng)要求受影響的用戶重設(shè)密碼。Tumblr拒絕透漏受到泄露數(shù)據(jù)影響的用戶數(shù)量。但近日有外媒報(bào)道稱，黑客竊取的用戶帳戶數(shù)量高達(dá)65,469,298，并已經(jīng)被掛在暗網(wǎng)黑市上售賣，價(jià)格為150美元（折合成人民幣約990元）。

　　幸運(yùn)的是， 泄漏數(shù)據(jù)中包含的密碼并不是明文，而是散列格式的，在這種形式下，密碼會(huì)被放置在隨機(jī)數(shù)字中。Tumblr在公開泄露的細(xì)節(jié)時(shí)還說(shuō)，他們?cè)谂⑦@些密碼之前，還在每個(gè)密碼的最后添加了不同的字節(jié)數(shù)。然而，當(dāng)該公司披露此次泄露時(shí)，并沒(méi)有透露他們用于加密的算法。

　　據(jù)了解，數(shù)據(jù)泄露事件發(fā)生在Tumblr被雅虎收購(gòu)之前。這次泄露的數(shù)據(jù)也是SHA-1算法的，雖然有加鹽，但是鑒于攻擊和事件公布之間的時(shí)間跨度太長(zhǎng)，并且在2013年的時(shí)候，他們的密碼也不像現(xiàn)在這么強(qiáng)大，因?yàn)槊艽a很可能已被破解。發(fā)起這次網(wǎng)絡(luò)攻擊的黑客仍然是Peace,目前他已經(jīng)掌握了多個(gè)社交網(wǎng)站的用戶數(shù)據(jù)。

　　8. 國(guó)內(nèi)首家威脅情報(bào)公司微步在線完成A輪融資

　　近日，國(guó)內(nèi)首家威脅情報(bào)公司微步在線（ThreatBook）宣布完成A輪融資，本輪投資由如山創(chuàng)投領(lǐng)投，北極光與華軟投資共同參與，投資規(guī)模達(dá)3500萬(wàn)元。其中北極光為天使輪領(lǐng)投方，本輪繼續(xù)跟投。

　　微步表示，在短短一年內(nèi)，能夠再次得到專業(yè)投資人的青睞，表明了行業(yè)與資本市場(chǎng)對(duì)威脅情報(bào)的密切關(guān)注和高度認(rèn)可。微步在線CEO薛鋒說(shuō)：“微步在線作為以情報(bào)為驅(qū)動(dòng)力的下一代安全解決方案先行者，我們的產(chǎn)品與服務(wù)已經(jīng)得到了行業(yè)客戶與合作伙伴的廣泛認(rèn)可，我們將繼續(xù)加大在安全研發(fā)和大數(shù)據(jù)安全分析技術(shù)方面的投入，擴(kuò)大在行業(yè)中的影響力?！?/span>

　　據(jù)了解，北京微步在線科技有限公司于2015年6月成立于北京， 是國(guó)內(nèi)首個(gè)專以安全威脅情報(bào)（Threat Intelligence）服務(wù)為中心的安全公司。自成立以來(lái)，公司堅(jiān)持“聚焦威脅，情報(bào)驅(qū)動(dòng)”的宗旨，專注于提升威脅分析和情報(bào)能力，已取得了階段性的成果。

    本文來(lái)源于互聯(lián)網(wǎng)，如有疑問(wèn)請(qǐng)及時(shí)聯(lián)系2898站長(zhǎng)資源平臺(tái)官方客服，謝謝！