黑客再度制造多起信息泄漏事件,Python官方平台现恶意库【马哥教育早报-110期】
2017年9月19日 星期二
马哥教育新闻快报
导读:黑客再度制造多起信息泄漏事件,Python官方平台现恶意库
每日一句
美丽属于自信者,从容属于有备者,奇迹属于执着者,成功属于顽强者。
早报内容
0.Equifax事件发酵:高管提前退休,检察院介入调查
Equifax 上周通知用户,黑客在5月中旬和7月下旬入侵了他们的系统。这次的信息泄露影响到了大约1.43亿的美国消费者,泄露的信息包括姓名,社保号码,出生日期,地址,还有一些驾驶证的信息。该公司聘请了FireEye所属的事故调查公司Mandiant进行调查,并表示,Equifax对这一事件的内部调查仍在进行中,公司继续与联邦调查局密切合作进行调查。
在今年九月 Equifax 爆出大规模数据泄露之后,上周五 Equifax 宣布,首席安全官员Susan Mauldin和首席信息官David Webb将立刻退出公司。
1.OurMine 泄露 Vevo 公司内网文件
近期,黑客组织 OurMine 又将目标对准了 Vevo,Vevo是一个提供视频服务的网站,这次黑客将其公司内部网络的文件都泄露出来了。
此前,该黑客组织以破坏网站和社交媒体账户而闻名。对于这次OurMine的攻击原因,OurMine表示,在领英上,Vevo 的一名员工对OurMine的一名成员表示出了不尊重。
2.用户如果两周没有使用他们的手机,Google将会删除他们的安卓备份
近期,reddit用户发现了Google的自动删除功能,当时他正在为出现故障的Nexus 6P进行备份,用户在等手机维修的过程中,他发现他的Nexus 6P备份文件已被标记为删除。这表示如果用户两周没使用他们的手机,Google将会自动删除那些存储在 Google Drive 账户中的备份文件。Google在检测到这段不活跃时间后,它将为旧的安卓备份文件划定一个为期60天的倒计时,当倒计时结束时,Google将会自动从用户的云端硬盘中删除备份文件。而对于此事,google的帮助页面并没有说明太多的相关信息。
3.Python 官方平台 PyPI 中发现了10个恶意库
近日,斯洛伐克国家安全局(NBU)在PyPi中发现了10个恶意的Python库,PyPi(Python Package Index)是管理第三方库的官方平台。专家表示攻击者是使用了“拼写错误”的方法来上传这些恶意的第三方库,比如将”urlib” 写成 “urllib”。当开发者上传自己的库到 PyPi 时,平台不会做任何的安全性检查或审计,所以攻击者可以轻松的上传那些恶意的第三方库。故意填写错误名字的开发人员将其恶意库加载到软件的安装脚本中。
专家表示这些恶意软件会收集被感染主机的信息,比如这些虚假库的名字,安装这些库的用户的用户名,还有用户的计算机主机名。NBU 官员上周联系了 PyPI 管理员,PyPI已经将这些有问题的第三方库在平台上下架了。
4.谷歌将FTP协议标记为“不安全”
谷歌上周宣布,未来版本的 chrome 将对FTP传输协议标注为不安全。谷歌将会在今年12月发布的 chrome 63 中正式实施此计划,此举是Google 长期计划的一部分,旨在标记所有不安全的链接,用来提醒用户,并鼓励网站所有者和管理员尽快使用 HTTPS。Google软件工程师Mike West解释说:“我们原来的计划中并没有包含FTP,但不幸的是,其安全属性实际上比HTTP稍微差一些。“
Google 鼓励网站开发人员将他们提供的可下载文件(特别是可执行文件)尽快从 FTP 迁移到 HTTPS 上。
5.阿拉斯加选民数据泄漏
研究人员近日发现,有将近50万的美国选民信息被泄露到网上,而导致事情发生的原因却是数据库配置出现了问题。遭到泄露的是一个CouchDB数据库,其中包含593,328个阿拉斯加选民记录,包括姓名,地址,出生日期,投票偏好,家庭收入等等。
TargetSmart首席执行官Tom Bonier解释说,事件是由Equals3配置错误的结果,Equals3是一家AI软件公司,它向TargetSmart授权了一些数据。他补充道,这个大约有59.3万阿拉斯加选民的数据库的信息是无意间暴露出来的,除了管理团队和安全研究人员之后,没有人可以访问到这个数据库。
6.系统清理工具CCleaner被植入后门,上百万用户或受感染
2017年9月18日,有情报披露,著名的系统优化工具CCleaner的某个版本被发现植入后门,大量使用该工具的用户恐将面临泄密风险。这是继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。
CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。被植入后门的版本为8月15日上线的5.33版本。
目前我们发现部分国内下载站点仍在分发存在后门的版本。金睛安全研究团队在此提醒广大使用该工具的用户,及时卸载有问题的版本,避免隐私泄露的风险。
7.民航局:飞机上能否用手机由航司自行决定
9月18日,在中国民航局的例行新闻发布会上,中国民航局飞标司副司长朱涛透露,日前,《大型飞机公共航空运输承运人运行合格审定规则》(CCAR—121部,以下简称《规则》)第五次修订发布,将于2017年10月起实施。
这次修订放宽了对于机上便携式电子设备(PED)的管理规定,允许航空公司为主体对便携式电子设备的影响进行评估,并制定相应的管理和使用政策。
对此,朱涛表示,航空公司可以根据评估的结果,来决定在飞机上使用何种便携式电子设备,原来政府是禁止的,现在政府把这个权力交给航空公司来评估。
8.亚马逊云服务将按秒计费:降低价格打击谷歌微软
9月19日消息,亚马逊公有云服务Amazon Web Services宣布,从10月2日开始,该公司将向使用其EC2虚拟服务器的客户按秒收取费用。
此举将产生重要影响,因为自从AWS 2006年推出以来,始终按小时计费。2013年,Alphabet旗下子公司谷歌宣布AWS的直接竞争对手按分钟计费。微软的Azure也紧随其后。现在,亚马逊发动反击,更加细致地调整了人们使用计算资源的方式。
9.贾跃亭履责:乐视再偿一亿元债务,供应商称其有担当
据证券时报报道,贾跃亭香港筹款之行取得了不错的效果,日前乐视控股和供应商达成的债务解决额度已经超过了一亿元。
在乐视系发生资金危机后,便遭遇了大批供应商上门讨债,更有部分讨债者长期在乐视大厦驻守,等待乐视还债。7月份的时候,贾跃亭曾经表示,会“尽责到底”,一定会还债,希望供应商能给些时间。
今日花絮
“共享女友”项目发表致歉声明:暂停运营,双倍赔偿违约金
一家名叫“他趣”的情趣电商推出了“共享女友”服务,即提供充气娃娃的共享服务,该项目一经推出,便吸引了不少关注。然而,该项目推出不久即被叫停,派出所还对该项目的地推人员进行了罚款。
今天,该项目背后的公司“厦门海豹他趣信息技术股份有限公司”发表了致歉声明,宣布暂停“共享女友”项目的运营。