谷歌對安全漏洞的發(fā)現(xiàn)者獎勵

　　1.Myspace史上最大用戶數(shù)據(jù)遭泄露

　　繼領(lǐng)英1.67億用戶用數(shù)據(jù)被爆泄漏后，著名付費黑客數(shù)據(jù)搜索引擎LeakedSource發(fā)表博文稱Myspace也被黑，近4.3億用戶數(shù)據(jù)被泄漏，并已獲得數(shù)據(jù)副本，可在他們的網(wǎng)站上進(jìn)行查詢。目前，Myspace官方還未證實這一消息的可靠性，但如果情況屬實，這將是史上最大規(guī)模的密碼泄露事件。

　　與領(lǐng)英相同，這次事件的“幕后黑手”仍是“Peace_of_mind”。除此之外，LeakedSource還在博文中提到，這些泄露的數(shù)據(jù)和領(lǐng)英一樣，也是以“SHA-1”的哈希加密的方式存儲的，也同樣沒有“加鹽”，可以輕而易舉地被破解。

　　據(jù)雷鋒網(wǎng)了解，社交網(wǎng)站較容易存在的安全隱患主要有兩類：一類是蠕蟲攻擊，另一類是由于社交網(wǎng)站并未恰當(dāng)使用Cookies，而導(dǎo)致發(fā)動跨站請求偽造攻擊。Myspace就屬于第一類，主要是因為在網(wǎng)站開發(fā)時采用Ajax技術(shù)而導(dǎo)致的。

　　因此，使用這種技術(shù)的網(wǎng)站想要避免黑客利用這種漏洞竊取數(shù)據(jù)，就需要對用戶輸入內(nèi)容的可靠性進(jìn)行驗證，并對用戶可以輸入頁面的代碼進(jìn)行詳盡的測試，來避免漏洞的產(chǎn)生。同時，還要經(jīng)常使用各種漏洞檢測工具來掃描和過濾漏洞，以便于及早發(fā)現(xiàn)問題并及時進(jìn)行補救措施。

　　相關(guān)安全專家建議，用戶以及企業(yè)也要提高網(wǎng)絡(luò)安全防范意識，增強個人隱私信息的防護(hù)。

　　2. 小心支付寶的“轉(zhuǎn)賬成功”

　　六一兒童節(jié)，支付寶把所有用戶的昵稱都改為了XX寶寶。一些對節(jié)日不敏感的用戶對此產(chǎn)生了質(zhì)疑，為什么支付寶可以不通過用戶允許就擅自修改用戶昵稱，自己的個人隱私是否受到了侵犯？然而支付寶這種略不嚴(yán)謹(jǐn)?shù)淖黠L(fēng)也已經(jīng)不是第一次了。

　　在西安最近破獲的一起案件中，就有犯罪分子利用支付寶漏洞成功騙取了上百人錢財?shù)捏@人事件。這個案件中的嫌疑人主要針對二手網(wǎng)站上出售的高檔手機賣家作案，在利用你“微截圖”等支付寶轉(zhuǎn)賬截圖生成器，用假“轉(zhuǎn)賬截圖”來實施詐騙。犯罪嫌疑人還發(fā)現(xiàn)，用支付寶對銀行卡轉(zhuǎn)賬時，輸錯一位卡號時，仍然可以生成轉(zhuǎn)賬成功的界面，于是，他們將此界面截圖發(fā)給受害人，以博取受害人信任，然后謊稱錢款正在平臺處理中，要在2個小時以后到賬，這時，多數(shù)受害人就會輕信轉(zhuǎn)賬成功并提前完成交易，事后數(shù)小時才發(fā)現(xiàn)被騙。

　　雷鋒網(wǎng)對此親自做了測試，用支付寶給“宋仲基”轉(zhuǎn)了520元，在輸入錯誤卡號的情況下，仍然出現(xiàn)了付款成功的頁面。但是事后由于銀行卡號校驗失敗，轉(zhuǎn)賬款會退回原來的賬戶。

　　一名資深網(wǎng)絡(luò)安全專家告訴雷鋒網(wǎng)，因為銀行驗證服務(wù)需要收費，故而支付寶沒有開通這項服務(wù)，并且由于支付寶不可能擁有所有銀行卡的數(shù)據(jù)庫，如果銀行卡用戶名和賬號對不上時，也會出現(xiàn)已經(jīng)“假裝付款”成功的界面。

　　3.新一代 Tor發(fā)布

　　知名匿名搜索引擎Tor ，最近發(fā)布了基于火狐瀏覽器45-ESR的6.0版本，增強了對HTML5的支持，并更新了用來保護(hù)加密流量及其更新機制的安全功能。作為基于火狐45-ESR版本的瀏覽器，Tor6.0版本配有頂級的HTML5支持，可以在大多數(shù)用戶訪問的網(wǎng)站中，更容易地關(guān)掉用戶帶有的Flash 插件。

　　此次更新的火狐45-ESR 版本不僅有支持推送API動態(tài)通知的功能，還對最新的 JavaScript版本，如 ES6 的類語法，提供最好的支持。Tor團(tuán)隊還特別針對Mac OS X系統(tǒng)進(jìn)行了漏洞補丁，更新后，Tor網(wǎng)絡(luò)在Mac OS X系統(tǒng)內(nèi)運行時，將使用代碼簽名來避免被Mac OS X系統(tǒng)自帶的安全軟件封鎖。

　　Tor新版本最大的變化，就是對瀏覽器加密層所做的修改，移除了對SHA-1的支持。研發(fā)人員同樣也修復(fù)了存在DLL劫持的問題，還全面覆蓋了一些快速修復(fù)緊急bug的補丁。由于他們的老合作伙伴，Disconnect搜索引擎與Google之間的合作情況有變，Tor 現(xiàn)在是通過DuckDuckGo的API顯示搜索結(jié)果，而不再是Google。

　　4.windows 0日漏洞售價62萬人民幣

　　一位名叫“BuggiCorp”的黑客近日在暗網(wǎng)黑市上兜售一種新的零日漏洞，號稱攻擊者可以利用這個漏洞在Windows所有版本中獲取到最高的系統(tǒng)運營權(quán)限。

　　在“BuggiCorp”發(fā)布的售賣信息中，他還貼出了兩個關(guān)于這個零日漏洞的演示視頻。一個視頻中，黑客用這個漏洞在一個安裝更新了5月發(fā)布的最新補丁的Window 10操作上，成功獲得了最高操作權(quán)限；另一個視頻中他用漏洞分析成功地繞過了微軟所有的安全功能，包括最新版本的EMET 工具包。售價9.5萬美元（折合成人民幣約62萬）

　　這個黑客希望用比特幣進(jìn)行支付，如果有必要的話，可以通過論壇管理員來完成交易。他還說，他只會將這個漏洞賣給一位賣家，這位賣家會得到這個漏洞的源代碼、功能完整的小樣、微軟完整開發(fā)工具集（Microsoft Visual Studio）2005，以及這個漏洞未來在任何Windows版本上無法運行時的更新。根據(jù)微軟的統(tǒng)計數(shù)據(jù)，這個漏洞對任何Windows版本都有效，有可能會影響到全球范圍內(nèi)的15億用戶。

　　5.朝鮮克隆 Facebook 網(wǎng)站被黑

　　近日，一家專注于追蹤網(wǎng)絡(luò)性能的公司Dyn Research，發(fā)現(xiàn)了一個朝鮮山寨Facebook站點，這個站點的名稱為“最棒的朝鮮社交網(wǎng)路”，域名是“StarCon.net.kp”，其網(wǎng)頁設(shè)計風(fēng)格全部復(fù)制了Facebook。但在上線后不久，就被一名年輕的蘇格蘭黑客黑下線了。這位年輕黑客名為安德魯·麥克凱恩，年僅18歲，還是一位在校大學(xué)生。

　　他發(fā)現(xiàn)這個站點在使用Dolphin php技術(shù)，且自從上線以來就沒修改過安全證書證書，他很容易的猜出了這個站點的管理員與密碼，并取得了網(wǎng)站的控制權(quán)。還搞了個小惡作劇，在網(wǎng)站上留下了一句“這網(wǎng)站不是我建的，我只是偶然發(fā)現(xiàn)了密碼”，并附上了他的個人Twitter賬戶。目前，這個網(wǎng)站已經(jīng)無法登陸。

　　Dyn公司與麥克凱恩都表示，他們并沒有看到有明顯的證據(jù)證明這個網(wǎng)站與朝鮮政府有什么關(guān)系。這個網(wǎng)站的IP地址是在朝鮮，但朝鮮是一個對網(wǎng)絡(luò)管理十分嚴(yán)格的國家，幾乎沒有超出政策以外的網(wǎng)站存在，且政府官網(wǎng)的IP都設(shè)在中國。但有外媒猜測，該網(wǎng)站或為朝鮮官方的電信運營商即將提供的服務(wù)的測試項目。

　　6.谷歌對安全漏洞的發(fā)現(xiàn)者獎勵 5 萬元

　　谷歌近日發(fā)布了瀏覽器v 51.0.2704.79版本，是繼穩(wěn)定版v51后的第二次維護(hù)升級版，修復(fù)了15個安全漏洞及一些版本缺陷。在被修復(fù)的15個漏洞中，主要修復(fù)了兩個高危缺陷，這兩個缺陷可以允許攻擊者繞過瀏覽器跨源代碼執(zhí)行的限制，通過Blink引擎以及它的擴展組件運行惡意代碼。

　　據(jù)了解，發(fā)現(xiàn)這兩個漏洞的研究員獲得了高達(dá)7500元美金（折合成人民幣約5萬元）的獎勵。其他一些發(fā)現(xiàn)中級安全漏洞的研究員，分別獲得了1000美元（折合成人民幣約0.66萬元）至4000美元（折合成人民幣約2.6萬元）不等的獎勵。這些漏洞包括一些可能會泄露用戶個人信息以及在系統(tǒng)模塊與擴展組件中存在的UAF漏洞。

　　因為此次更新的是一個介于51與52之間的過渡版本，所以并沒有新的功能出現(xiàn)。除了安全補丁，主要解決了一些會導(dǎo)致瀏覽器崩潰或混亂文件下載路徑的問題。

　　7.黑客竊取了6500萬Tumblr賬號

　　Tumblr在早些時候就被披露，黑客在2013年竊取了部分Tumblr用戶賬號，包括電子郵件地址和哈希加鹽的密碼，它的內(nèi)部調(diào)查認(rèn)為被盜的賬號并沒有被未經(jīng)授權(quán)訪問，但已經(jīng)要求受影響的用戶重設(shè)密碼。Tumblr拒絕透漏受到泄露數(shù)據(jù)影響的用戶數(shù)量。但近日有外媒報道稱，黑客竊取的用戶帳戶數(shù)量高達(dá)65,469,298，并已經(jīng)被掛在暗網(wǎng)黑市上售賣，價格為150美元（折合成人民幣約990元）。

　　幸運的是， 泄漏數(shù)據(jù)中包含的密碼并不是明文，而是散列格式的，在這種形式下，密碼會被放置在隨機數(shù)字中。Tumblr在公開泄露的細(xì)節(jié)時還說，他們在弄散這些密碼之前，還在每個密碼的最后添加了不同的字節(jié)數(shù)。然而，當(dāng)該公司披露此次泄露時，并沒有透露他們用于加密的算法。

　　據(jù)了解，數(shù)據(jù)泄露事件發(fā)生在Tumblr被雅虎收購之前。這次泄露的數(shù)據(jù)也是SHA-1算法的，雖然有加鹽，但是鑒于攻擊和事件公布之間的時間跨度太長，并且在2013年的時候，他們的密碼也不像現(xiàn)在這么強大，因為密碼很可能已被破解。發(fā)起這次網(wǎng)絡(luò)攻擊的黑客仍然是Peace,目前他已經(jīng)掌握了多個社交網(wǎng)站的用戶數(shù)據(jù)。

　　8. 國內(nèi)首家威脅情報公司微步在線完成A輪融資

　　近日，國內(nèi)首家威脅情報公司微步在線（ThreatBook）宣布完成A輪融資，本輪投資由如山創(chuàng)投領(lǐng)投，北極光與華軟投資共同參與，投資規(guī)模達(dá)3500萬元。其中北極光為天使輪領(lǐng)投方，本輪繼續(xù)跟投。

　　微步表示，在短短一年內(nèi)，能夠再次得到專業(yè)投資人的青睞，表明了行業(yè)與資本市場對威脅情報的密切關(guān)注和高度認(rèn)可。微步在線CEO薛鋒說：“微步在線作為以情報為驅(qū)動力的下一代安全解決方案先行者，我們的產(chǎn)品與服務(wù)已經(jīng)得到了行業(yè)客戶與合作伙伴的廣泛認(rèn)可，我們將繼續(xù)加大在安全研發(fā)和大數(shù)據(jù)安全分析技術(shù)方面的投入，擴大在行業(yè)中的影響力?！?/span>

　　據(jù)了解，北京微步在線科技有限公司于2015年6月成立于北京， 是國內(nèi)首個專以安全威脅情報（Threat Intelligence）服務(wù)為中心的安全公司。自成立以來，公司堅持“聚焦威脅，情報驅(qū)動”的宗旨，專注于提升威脅分析和情報能力，已取得了階段性的成果。

    本文來源于互聯(lián)網(wǎng)，如有疑問請及時聯(lián)系2898站長資源平臺官方客服，謝謝！