1、偷偷修复漏洞 苹果要求研究员噤声
此前公布苹果0day漏洞PoC的研究员,如今伤口又被撒盐:前两天更新的iOS 15.0.2又“偷偷”修复了他之前提交的漏洞,而且和往常一样没有致谢。
在iOS 15.0.2发布后,他再次向苹果发邮件质问为什么又偷偷修了漏洞还没有致谢,苹果却说希望对我们沟通的内容进行保密。可能是被伤得太深,他发帖说:“至少这次的态度比以前强了,我的质问没有石沉大海,他们也没有对我撒谎。”
此事件后他获得了众多安全研究员的声援,不少人都声称这种情况也发生在自己身上过,苹果罪大恶极😈。[阅读原文]
2、加密货币钱包 点击礼物账户全清零
近期多个OpenSea平台用户发帖称,自己接受了空投后账户资金消失得一干二净,这事引起了CheckPoint安全研究员的兴趣,于是他们用MetaMask钱包进行了测试发现确实存在漏洞。
当在平台上交易数字“艺术品”时,黑客便有可乘之机。OpenSea对多媒体文件的安全防护并不强,只需用带有恶意JS的SVG图像文件,便可成功实施钓鱼攻击。虽然需要受害者进行一些操作,不过这些步骤并没有明显的安全提醒,只需简单的解释和引导就可轻松骗过,甚至部分受害者被利益蒙蔽了双眼看都不看直接确定。简单来说,只要构造恶意的NFT(区块链艺术品)赠送给受害者,接着等待受害者自己上钩或钓鱼引导,就可以偷到受害者钱包中的所有资金。
好在OpenSea收到安全研究员的报告后,极速提出了解决方案,并承诺继续加强网站安全防护。[阅读原文]
3、为父被辞报复 入侵飞行学校改信息
佛罗里达州一所飞行培训公司辞退一名员工后,遭到其女儿的疯狂报复,险些造成悲剧。
黑客曾于此公司工作,但公司辞退她父亲后,她便主动辞去了飞行运营经理的职务,并开始酝酿复仇计划。几个月后,培训公司首席执行官报警称,他登录公司账号发现系统中部分信息存在问题,仔细调查后发现处于维护状态的飞机维护信息被删除并改为适航状态。经过警方和公司的调查发现,Hampton Lide即公司前飞行运营经理嫌疑最大,并将其抓获。Lide承认自己通过公司现任飞行运营经理的账号修改了飞机信息,但并未透露是如何拿到账号密码的。
考虑到这种行为可能导致的严重后果,她被控三项罪名,可能面临严重惩罚。[阅读原文]
4、匿名注册域名 欧盟立法此种不得行
域名作为最重要的互联网资产之一,一直以来备受各界关注,安全圈也出过很多利用域名权破坏网络攻击行动的例子,至于相似域名钓鱼更是家常便饭。
近期欧盟拟定立法禁止个人匿名注册域名,以加强互联网管控能力。此前域名注册商仅仅收集注册者的姓名、地址、邮件和电话等,而且还不会进行验证。如立法成功,个人在注册域名时需要进行实名验证,并确保提供信息的真实性。
ICANN(互联网名称与地址分配机构)对此法案表示强烈支持,认为匿名注册只会被用于非法活动。但也有部分域名注册商担心这项法案会对言论自由造成巨大影响,如果通过将会把现有匿名注册用户逼向暗网。[阅读原文]
5、遏制勒索软件 澳洲警方喜提删除权
澳大利亚内政部长声势浩大宣布“澳大利亚政府勒索软件行动计划”,对抗目前愈演愈烈的勒索软件攻击。
其中值得关注的是,政府希望通过《2021监视立法修正案》给与警方新的权力——删除权。当警方发现黑客用来存储数据的服务器时,可以用删除权强行删掉这部分数据,以打击勒索软件团队并预防数据泄露。
不过真正执行起来,肯定还是相当有难度,不受DMCA影响的托管商也会在黑客群体中更加吃香。[阅读原文]