BUF早餐鋪 | 價值8.54億美元的加密貨幣被盜；騰訊安全工程師利用酒店WiFi漏洞訪問內部伺服器被罰5...

摘要： 各位 Buffer 早上好，今天是  2018 年 9 月 26 日星期三，農曆八月十七。今天的早餐鋪內容有：聯合國意外洩露密碼和敏感資訊；2018 年已有價值 8.54 億美元的加密貨幣被盜；研究人員發現 0-day 漏洞影響所有版本的 Windows；蘋果 MacOS M...

各位 Buffer 早上好，今天是  2018 年 9 月 26 日星期三，農曆八月十七。今天的早餐鋪內容有： 聯合國意外洩露密碼和敏感資訊； 2018 年已有價值 8.54 億美元的加密貨幣被盜； 研究人員發現 0-day 漏洞影響所有版本的 Windows； 蘋果 MacOS Mojave 0-day 漏洞可以繞過隱私認證訪問使用者的聯絡人； 騰訊安全工程師利用酒店 WiFi 漏洞訪問內部伺服器被罰 5000 美元； 浙江超 70% 網民個人資訊被洩漏 警方通報三大犯罪特點。

安全資訊早知道，兩分鐘聽完最新安全快訊~

聯合國意外洩露密碼和敏感資訊

由於聯合國在使用知名專案管理軟體 Trello、問題追蹤應用 Jira 以及 Google Docs 辦公軟體時配置出錯，導致網站的密碼、內部文件、技術細節等暴露在網上。網友只要獲取相關連結，就能看到這些資訊。暴露的檔案包括聯合國某個檔案伺服器的憑證、聯合國語言學校的視訊會議系統以及聯合國人道事務協調辦公室的 web 開發環境等。一個月前，研究人員就發現了這起洩露事件並報告給了聯合國。目前，大部分材料已經下線。[來源： ofollow,noindex" target="_blank">theintercept ]

2018 年已有價值 8.54 億美元的加密貨幣被盜

近日，Hackmageddon 的一份報告指出，加密貨幣盜竊事件在 2018 年持續高發。在 18 次大型攻擊中，黑客們至少竊取了 854,182,000 美元的加密貨幣。其中僅日本 Coincheck 被入侵一事，就導致了 5.24 億美元的損失。分析還指出，惡意行為者在一年內瘋狂作案近 10 億美元。目前，損失最大的十大加密貨幣交易所分別為：Coincheck（5.24 億美元）、BitGrail（1.7 億美元）、Zaif 攻擊（6000 萬美元）、Coinrail（3720萬美元）、Bithumb（3150萬美元）、Michael Terpin（ 2400 萬美元）、Bitcoin Gold（1800萬美元）、Bancor（1350萬美元）、一個價值 1000 萬美元的未披露的日本錢包，以及 KICKICO（ICO 後丟了 770萬美元）。

針對大量加密貨幣攻擊事件的分析顯示，惡意分子擅長利用惡意軟體 + 網路釣魚結合的方式實施攻擊。這應當引起從業者警惕。[來源： softpedia ]

研究人員發現 0-day 漏洞影響所有版本的 Windows

趨勢科技的研究人員公開發布了一個尚未修復的 0-day 漏洞，會影響所有支援 Windows 作業系統（包括伺服器版本）。攻擊者可以利用這個漏洞，在任意存在漏洞的 Windows 計算機上遠端執行惡意程式碼。漏洞存在於微軟的 Jet 資料庫引擎中，是因為其中的檢索管理出現問題導致的。一旦利用成功，就會引發帶外資料記憶體寫入，進而導致遠端程式碼執行。據瞭解，這個漏洞自上報給微軟至今已經超過漏洞披露規則所限定的 120 天，但微軟依舊沒有回覆，因此研究人員選擇將其公開。[來源： TheHackerNews ]

蘋果 MacOS Mojave 0-day 漏洞可以繞過隱私認證訪問使用者的聯絡人

前段時間，macOS 剛釋出新版本 Mojave，就有研究人員表示其中存在安全漏洞，攻擊者可以繞過 macOS 的黑名單機制，獲取地址等敏感使用者資訊。測試顯示，研究人員發現可以通過一個未授權的 APP 就能獲取到機密使用者聯絡人。漏洞主要是蘋果在不同的隱私資料保護實施過程中出現的，並非所有的 Mojave 新隱私保護功能都會出現這個漏洞，而且 webcam 等基於硬體的元件也不受影響。該研究人員表示，會在即將召開的 Mac 安全大會上公佈這個漏洞的技術細節。[來源： pingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/?tdsourcetag=s_pctim_aiomsg" rel="nofollow,noindex" target="_blank">bleepingcomputer ]

騰訊安全工程師利用酒店 WiFi 漏洞訪問內部伺服器被罰 5000 美元

騰訊的一位安全工程師在出席新加坡舉行的網路安全會議期間將入侵酒店 WiFi 系統作為消遣，他還寫了一篇部落格介紹了入侵經過。通過搜尋 Google 他發現酒店管理系統使用的預設賬號密碼 console / admin 和 ftponly / antlab 沒有被禁用，使用預設賬號他找到了系統的更多資訊，並搜尋到了資料庫密碼，登入資料庫後找到了管理員密碼，他把這些資訊都公佈在了個人部落格上。他的部落格引起了新加坡網路安全域性的注意，新加坡檢方稱公開這些資訊意味著酒店的 WiFi 系統可能會被其他人用於惡意目的。這名工程師承認了罪名，由於他是出於好奇而且沒有造成有形的傷害，他免於刑期只被罰了 5000 美元。[來源： solidot ]

浙江超70%網民個人資訊被洩漏 警方通報三大犯罪特點

據《浙江省網際網路發展報告》顯示，僅2017年，浙江有72.8%的網民經歷過個人資訊洩露。截止目前，浙江省公安機關共清理網上買賣公民個人資訊等相關違法資訊2405條，處罰網站、網路服務提供商209家。破獲侵犯公民個人資訊類刑事案件447起，抓獲犯罪嫌疑人1863名,查獲洩漏公民個人資訊22.8億餘條。通過偵辦案件，打處洩露資訊的單位“內鬼”33名，網路黑客107名，發現並督促整改安全隱患6788起。

浙江省侵犯公民個人資訊犯罪活動存在以下特點：一是洩露資訊涉及面廣，社會危害大；二是犯罪手段不斷翻新，發現預警難；三是利益鏈錯綜複雜，源頭追溯難。

警方呼籲廣大人民群眾切實增加安全意識，養成良好的上網習慣，切莫貪圖小利而因小失大，謹防釣魚網站或軟體APP，不輕易透露提交個人資訊。與此同時對發現的網上違法犯罪線索，請及時向公安機關舉報。[來源： cnbeta ]

*AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM