【军方新闻】五角大楼为空军数据中心漏洞支付290000美元
五角大楼最新的漏洞赏金挑战程序“ Hack the Air Force 4.0”已经发现了400多个漏洞,奖励总额超过290,000美元。五角大楼的第十个漏洞赏金计划是由美国国防部与国防数字服务局和漏洞赏金平台HackerOne合作进行的“入侵空军4.0” 计划。作为2019年10月23日至2019年11月20日进行的第四个Hack the Air Force计划的一部分,邀请参与者在名为Air ForceVirtual Data Center的云服务器和系统池中查找漏洞。据HackerOne称,有60位经过审查的白帽黑客发现了460多个安全漏洞。Hack the Air Force 4.0还包括一个实时黑客事件,该事件于2019年11月7日在洛杉矶举行,并且还针对英国国防部的某些系统。第一次黑客行动始于2017年,为参与者赢得了超过130,000美元,而第二次导致支出总额超过了100,000美元。Hack Air Force 3.0还为研究人员赚了大约13万美元。今年早些时候,HackerOne宣布第二个Hack the Army计划导致发现146个有效漏洞和奖励,总计超过275,000美元。五角大楼的第一个漏洞赏金计划于2016年宣布,此后发起的举措已修补了12,000多个漏洞,并支付了数百万美元。https://www.securityweek.com/pentagon-paid-out-290000-vulnerabilities-air-force-data-center,2020年4月16日。【网络攻击】巴西黑客攻击葡萄牙银行组织的客户
来自巴西的黑客发起网络钓鱼活动,通过特制的AndroidTrojan-Banker攻击葡萄牙银行组织的客户。最后一次记录是在2020年3月13日,其中针对不同银行组织的客户传播了类似的Trojan-Banker。https://securityaffairs.co/wordpress/101637/mobile-2/portuguese-banking-android-trojan.html,2020年4月16日。【数据安全】黑客出售1.15亿巴基斯坦移动用户数据
一家巴基斯坦网络安全公司Rewterz Threat Intelligence发现,1.15亿手机用户的数据(包括所有个人详细信息)已在暗网上出售,并表示该数据泄露背后的网络犯罪分子索要210万美元。https://pk.mashable.com/tech/2575/data-of-115-million-of-pakistans-mobile-users-up-for-sale-on-dark-web,2020年4月。【安全漏洞】恶意URL导致Git泄露存储凭据给错误服务器
Git使用外部的“凭证帮助程序”来存储和检索操作系统提供的安全存储中的密码或其他凭证。包含编码换行符的特制URL可以将意想不到的值注入到凭据帮助程序协议流中,从而导致凭据帮助程序检索一个服务器(例如good.example.com)的密码,并向另一个服务器(例如evil.example.com)发出HTTP请求,结果将前者的凭据发送给后者。https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q,2020年4月15日。【恶意软件】叙利亚黑客以COVID-19诱饵瞄准移动用户
Lookout安全研究人员透露,作为长期监视活动的一部分,与叙利亚有联系的黑客最近改用以COVID-19为主题的诱饵。该活动自2018年1月开始活跃,目标受众是讲阿拉伯语的用户,使用数十种Android应用程序,但官方的Google Play商店中没有这些应用程序。恶意应用程序可能针对叙利亚和周边地区的用户,其名称包括“ Covid19”,“ Telegram Covid_19”,“ Android Telegram”和“ Threema Arabic”等。总共发现了71个恶意Android应用程序,它们都连接到同一命令和控制(C&C)服务器。服务器的IP地址链接到叙利亚电信机构(STE),该机构以托管政府支持的叙利亚电子军(SEA)的基础结构而闻名。Lookout的安全研究人员发现,许多恶意应用程序都是SpyNote示例。22个应用程序的代码引用了名称“ Allosh”,该名称以前与已知的叙利亚电子军角色关联。在与SilverHawk基础结构关联的路径中也找到了该名称。Lookout安全研究工程师Kristin Del Rosso解释说,本月初,SEA声称对比利时媒体的DDoS攻击以及PayPal和eBay网站的损毁负有责任。在该活动中使用的71个恶意应用中,有64个是SpyNote的版本,SpyNote是已知的商业监视软件系列。其他属于SandroRat,AndoServer和SLRat家族。https://www.securityweek.com/syrian-hackers-target-mobile-users-covid-19-lures,2020年4月16日。【安全漏洞】微软开发AI漏洞识别系统准确率高达97%
微软声称已经开发出一种系统,在测试中区分安全漏洞和非安全漏洞准确率达99%,并且识别出关键的、高优先级的安全漏洞准确高达97%。在接下来的几个月里,微软计划在GitHub上开源这个方法,以及一些示例模型和其他资源。据介绍,该系统是微软47000名开发人员进行的1300万个工作项目和bug的数据集进行训练的,这些工作项目和bug数据存储在AzureDevOps和GitHub的存储库中。Coralogix估计开发人员每写1000行代码就会产生70个错误,修复一个错误比编写一行代码要多花费30倍的时间;在美国,每年花费1130亿美元用于识别和修复产品缺陷。首先,该模型可对安全和非安全bug进行分类,接着对bug的严重程度分等级标注为关键、重要或低影响。微软表示,该模型已部署到内部生产环境中,并将继续使用安全专家批准的数据进行再培训。https://www.cnbeta.com/articles/tech/968491.htm,2020年4月17日。【软件升级】GoogleDrive引入文件扫描功能 iOS端增加了私密文件夹选项
Google Drive iOS 用户将可以通过 Face ID、Touch ID 或者密码形式,保护自己的某些文件不被其他人看到。用户每次关闭后打开 Google Drive,或在 Google Drive 和其他应用间切换时,受私密保护的文件都会被锁定。这样设计的原因是人们很容易与自己的家人分享设备,但总有一些文件我们不希望除自己以外的其他人看到,新的功能将更好地使用户拥有私密空间。https://www.cnbeta.com/articles/tech/968165.htm,2020年4月16日。【漏洞修复】Zoom引入重量级安全团体修复漏洞
4月17日消息,据国外媒体报道,由于视频会议平台Zoom的安全漏洞引起美国相关部门注意且让客户担忧,公司雇佣了一批重量级安全员来修复漏洞。疫情期间广受欢迎的Zoom在过去两周内已经聘请了数十名外部安全顾问。据知情人士透露,这些人中有来自Facebook、微软和谷歌等公司的前安全和隐私专家,他们希望迅速解决有关安全漏洞的问题。Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)表示,Zoom此举是借鉴了微软将近20年前为恢复Windows软件形象而采取的行动。微软在2002年转向“值得信赖的计算”之前,存在多年的安全问题让Windows用户容很易受到互联网蠕虫和其他病毒的攻击,从而损害微软的声誉。Zoom目前引入的安全公司包括英国安全供应商NCC Group PLC、总部位于美国纽约的Trail of Bits、位于亚利桑那州坦佩的Bishop Fox以及位于德克萨斯州奥斯汀的Praetorian Security等公司。Zoom还正在使用CrowdStrike和Queen Associates旗下安全情报机构DarkTower提供的安全情报服务。https://www.cnbeta.com/articles/tech/968455.htm,2020年4月17日。