FreeBuf早报 | 厄瓜多尔财政部内部数据遭窃取;NSA和微软倡导网络安全零信任
2021-02-28 23:54:08 Author: www.freebuf.com(查看原文) 阅读量:144 收藏

全球动态

1. 美国国家安全局(NSA)和微软倡导网络安全零信任方法

美国国家安全局(NSA)和微软倡导零信任安全模型,将其作为一种更有效的方法来抵御当今日益复杂的威胁。这个概念已经存在了一段时间,核心理念即“永不信任,永远验证”。[外刊-阅读原文]

2. 警报:恶意利用Amazon Alexa技能可以轻松绕过审核流程

研究人员发现亚马逊在Alexa语音助手生态系统的技能审查过程中存在空白,该漏洞可能允许恶意行为者以开发人员的名义发布欺骗性技能,甚至在批准后诱使用户更改敏感用户信息,从而对后端代码进行更改。[外刊-阅读原文]

3. T-Mobile披露SIM交换攻击后的数据泄露事件

美国电信提供商T-Mobile已披露了数据泄露事件,原因是未知数量的客户受到SIM交换攻击的影响。SIM卡交换欺诈(或SIM劫持),即诈骗者可以使用社交工程获取目标电话号码之后,或将移动运营商员工贿赂到欺诈者控制的SIM卡后,控制目标电话号码。[外刊-阅读原文]

4. Lazarus使用ThreatNeedle恶意软件瞄准国防公司

与朝鲜APT关联的鱼叉网络钓鱼活动使用“ NukeSped”恶意软件对国防公司进行网络间谍攻击,旨在从国防公司窃取关键数据。[外刊-阅读原文]

5. Facebook同意支付6.5亿美元和解金,结束伊利诺伊州的隐私官司

一名法官已经批准了Facebook价值6.5亿美元的和解协议并结束一场隐私诉讼,该诉讼指控该社交网络未经许可就在其iPhone应用上存储的用户照片上使用面部识别技术。这起始于2015年4月的诉讼指控Facebook没有获得用户同意就在他们的照片上使用其面部标签功能。[阅读原文]

6. 勒索软件团伙入侵了厄瓜多尔财政部和最大的私人银行

一家名为“Hotarus Corp”的黑客组织对厄瓜多尔财政部和该国最大的银行Banco Pichincha进行了黑客攻击,黑客声称窃取了他们的内部数据。[外刊-阅读原文]

7. 微软抨击亚马逊AWS方面对Solarwinds黑客破坏事件缺乏透明度

微软总裁布拉德-史密斯(Brad Smith)在众议院作证时,抨击亚马逊的AWS在Solarwinds攻击事件上缺乏透明度,该事件使超过18000家公司受损。AWS上周四承认,SolarWinds黑客在攻击中使用了其弹性计算云(EC2)。[阅读原文]

安全事件

1. 英特尔发布PROSet/无线软件22.30.0驱动更新,修复Windows蓝屏错误

英特尔发布了Windows 10的PROSet/无线软件22.30.0新驱动,这次为微软最新操作系统的用户带来了一系列关键性的修复措施,并带来了四项改进,其中一项涉及到启动进入Windows后随机发生的BSOD蓝屏死机。[阅读原文]

2. 谷歌分享Windows 10 Graphics RCE关键漏洞的PoC攻击

Google的零日漏洞搜寻团队零项目(Project Zero)分享了影响Windows图形组件的关键远程代码执行(RCE)漏洞的技术细节和概念验证(PoC)漏洞利用代码。[外刊-阅读原文]

3. 安全研究人员在LastPass当中发现7个跟踪器

据The Register报道,一位安全研究人员Kuketz在LastPass密码管理器应用中发现的7个追踪器后,建议不要使用LastPass密码管理器。虽然没有暗示这些追踪器正在转移用户的实际密码或用户名,但是对于一个处理此类敏感信息的安全关键型应用来说,追踪器的存在是不好的做法。[阅读原文]

4. 反洗钱金融行动工作组发布新版加密服务指导方针

据国外媒体报道,金融行动特别工作组(Financial Action Task Force)表示,它将发布一份最新版加密货币和虚拟资产服务提供商指导方针,包括对交易所、钱包提供商和托管平台等最新要求。[阅读原文]

5. 恶意软件开发语言正从C/C++转向Go,近年来呈爆发式增长

根据网络安全公司 Intezer 本周发布的一份报告,自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长,增幅超过 2000%。从报告中可以看到,恶意软件作者已逐渐从 C/C++ 转向 Go,这是一种由谷歌在 2007 年开发并推出的编程语言。[阅读原文]

优质文章

1. 协议安全与隐私数据安全

2020年11月24日,中国人民银行正式发布《多方安全计算金融应用技术规范》,成为首个金融行业多方安全计算(MPC)的技术标准。《技术规范》从基础要求、安全要求、性能要求三个层次来规范多方安全计算在金融领域的应用,以提升多方安全计算的金融信息安全保障能力。[阅读原文]

2. 基于单摄像头的手势识别身份认证方案设计

在新冠病毒肆虐,传统身份认证受到掣肘的背景下,通过对手势识别与控制、图形密码、卷积神经网络等技术的研究,创建一种无接触的身份认证方式。[阅读原文]

3. 论大数据时代下组织内的隐私信息保护管理体系建设

大数据时代,人们在网络上留下的个人印记越 来越多,这给人们的生活带来极大便利的同时,也增加了用户 个人隐私信息泄露的风险。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。


文章来源: https://www.freebuf.com/news/264624.html
如有侵权请联系:admin#unsafe.sh