关于我们
信息安全资讯周报(10.16-10.22)
来源: | 作者:王永刚 | 发布时间: 2017-11-02 | 19 次浏览 | 分享到:
安全资讯

凯悦酒店遭黑客攻击 国内18家受影响
上周,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据报道,国内共有18家凯悦酒店受到影响,是这次事件中受影响最大、数量最多的国家。


这也是自2016年1月后,该酒店集团发生的第二次严重数据泄露事件。据公开消息称,这次数据泄露的原因,是由第三方将含有恶意软件代码的卡片插入一些酒店IT系统,通过酒店管理系统的漏洞获取数据库的访问权限,提取与解密后,获得用户的私人信息。
必胜客官网遭入侵,支付卡信息可能泄露

过去的一周,美国必胜客通知顾客由于网站遭到临时入侵,他们的支付卡信息和联系信息可能被盗。必胜客餐厅向用户发送邮件称,这起事件是由于对 PizzaHut.com 的“临时安全入侵”引起的。
其外部网络安全顾问确定攻击者可能已经获得了诸如姓名、账单、邮政编码、送货地址、电子邮件地址和支付卡等信息,包括卡号、有效期和 CVV 。
南非史上最大数据泄露事件:3000万公民信息暴露于互联网上
这次的数据泄露事件由知名安全专家 Troy Hunt披露,他发现了大量关于南非公民的敏感信息,包括身份证号、个人收入、年龄、就业经历、公司领导层、民族、婚姻情况、职业、雇主信息和前地址等。
幸运的是,这些数据还没有被出售,但这只是时间上的问题了。目前这些信息的数据源头暂不清楚,但泄露信息的数据头表示,这些信息的来源很可能是政府部门,但也不能排除金融组织和信用机构的可能。
新型ATM恶意软件Cutlet Maker于暗网出售,仅用5000美元即可入侵特定ATM

卡巴斯基实验室研究人员于5月发现黑客组织在暗网论坛ATMjackpot出售一款新型ATM 恶意软件Cutlet Maker,可以通过侵入特定 ATM 供应商的 API 接口后清空设备所有现金,而无需与银行用户及其数据进行交互。目前,该恶意软件售价 5000 美元。
此外有消息指出,该恶意软件工具包除了所需设备、目标 ATM 机模型以及恶意软件操作的提示与技巧外,还提供了一份详细的手册说明以便用户轻松查看。
印度国家互联网注册机构(IRINN)遭入侵,数据库在暗网兜售
最近,安全人员注意到在暗网中的某个论坛上,有黑客在兜售一个印度国家互联网注册机构的数据库信息,供应商发布的仅为数据库副本,而非在线的访问入口。泄露的数据库中包括了6000多家互联网服务提供商、政府机构和私营企业的信息。
截止目前为止,这件事仅在暗网中的论坛上被传播,似乎还没有造成任何损失。
国际动态
安全报告:2023年全球5G用户将达10亿,逾一半在中国
据 CNBC 网站 10 月 18 日报道,移动技术行业的下一次革命似乎将由中国引领。第五大移动网络 5G 虽然尚未部署,但是致力于提供更快的数据传输速度、更高带宽,以搭载不断增长的网络流量。市场研究公司 CCS Insight 分析师在周三发布的报告中预计,5G 技术将在 2020 年部署到位。报告称,到 2023 年时,全球 5G 用户可能将超过 10 亿,一半以上在中国。
2017非洲网络安全会议本月举行
2017年非洲网络安全会议(AfriSecure)于10月18日至19日在桑顿马斯洛酒店举行,会议旨在将负责维护组织机构关键基础设施的高级管理人员、解决方案提供商和信息安全专家联系起来。
美国最高法院裁决邮件服务商是否需要提供储存在境外服务器上的邮件
美国最高法院周一同意受理电邮提供商是否必须遵守针对存储于美国境外的客户信息的搜查令一案,这是科技公司与美国政府就获取私人数据方面产生的最新冲突。
微软与美国执法部门的冲突始于 2013 年,微软拒绝递交储存在爱尔兰数据中心的客户信息,理由是美国对境外数据没有管辖权。在考虑数字时代的隐私权和公众安全方面,最高法院正在变得更加积极。这桩案件或于 2018 年开庭审理,最高法院料于明年6 月底前做出裁决。
俄罗斯将开始对虚拟货币挖矿行为展开监管

据外媒报道,在决定推出自己的虚拟货币 CryptoRuble 之后,俄罗斯联邦政府日前又作出了禁止虚拟货币挖矿行为的决定。俄通信部长 Nikolay Nikiforov 指出,虚拟货币必须不能作为私人货币存在,它将由国家发行、控制,与此同时它能够在数字经济中提供数字货币流通。
漏洞篇
WiFi爆出重大安全漏洞 黑客能窃听任何联网设备
据研究机构周一发表的研究报告,用于保护Wi-Fi网络安全的保护机制已被黑客攻破,使他们可能监听到通过接入网络的设备进行的通讯交流。

WPA2是用于保护现代Wi-Fi网络的安全协议。比利时鲁汶大学的Mathy Vanhoef称,黑客们已经找到一种操纵该安全协议背后的加密因素的途经。
报告称,Wi-Fi安全漏洞源于安全标准本身,而非个体设备问题,但它会影响到连接到Wi-Fi网络的设备。
儿童智能手表漏洞多,黑客甚至能够与佩戴者交流
据外媒报道,一家消费者权益组织警告称,一些儿童智能手表存在安全漏洞,很容易受到黑客攻击。

挪威消费者委员会(NCC)测试了很多品牌商如Gator和GPS推出的儿童智能手表,结果发现黑客可以跟踪、偷听佩戴者,甚至可以与佩戴者进行交流。相关智能手表制造商表示已修复或正在着手解决这些漏洞。英国零售商John Lewis撤下了它正在销售的一款被点名批评的儿童智能手表。
Flash又曝新漏洞:允许攻击者向PC植入恶意软件
Adobe Flash Player 插件近期又曝出一个安全漏洞,允许攻击者向目标 PC 植入恶意软件。糟糕的是,该漏洞影响 Linux、Mac、Chrome OS、Windows 全平台,而 Adobe 修复的速度并不快。该恶意软件由安全公司卡巴斯基实验室率先发现,其称之为 “FinSpy” 或 “FinFisher”,因该方法通常被情报执法机构用于监视目的。