報告稱全球約72%的零售商是網絡攻擊的受害者

調查結果也說明每一起網絡攻擊涉及的客戶/員工數據丟失導致平均7772個客戶的個人記錄丟失或被盜,每一起網絡攻擊造成的正常運營中斷平均導致近190萬美元損失。 在接受調查的零售商中,有87%同意網絡攻擊變得更有針對性,有67%認為網絡攻擊越來越嚴重,另有61%認為網絡攻擊越來越複雜。最常見的攻擊方法是網絡釣魚(69%),基於網絡的攻擊(54%)和惡意軟件攻擊(40%)。 從這些攻擊背後的因素來看,預算是零售商最擔憂的問題。只有三分之一的零售商認為他們有足夠的預算來實現強大的IT安全性。但是,有93%的零售商在安全方面的支出不到總IT預算的20%,平均支出為11.5%。人員不足(91%),預算不足(51%)以及對如何保護自己免受網絡攻擊的理解(40%)是阻礙充分有效的安全態勢的最常被提及的挑戰。 Keeper Security首席執行官兼聯合創始人Darren Guccione表示:“暗網上有數十億個被盜憑證,網絡罪犯可以等待數月之久的主要機會,例如高峰購物季節,以利用零售商的安全漏洞並進行非法購買。現實是,零售業面臨的網絡安全問題不是金錢或人員問題,而是思維定勢。零售商需要知道存在易於實施,具有成本效益的安全解決方案,這些解決方案可以大大增強其安全狀況並在很大程度上防止此類網絡犯罪發生。” .

為防止Zombieload v2攻擊 Windows和Linux引入選項關閉英特爾TSX

本週披露的 Zombieload V2 漏洞能影響最近發布的英特爾處理器。英特爾釋出了微碼更新去修正最新的漏洞,但補丁會對性能產生嚴重影響。為了避免影響性能,許多企業可能會選擇不更新微碼,或者寧願選擇禁用漏洞相關的技術。微軟和 Linux 內核團隊先後發布了方法去關閉 TSX。 .

美國聯邦法官否決特朗普政府允許共享3D打印槍支藍圖的決定

最初的協議是美國司法部和德克薩斯州非營利組織Defense Distributed達成的一項和解協議一部分,該組織在2013年因宣稱製造了世界上第一把100%3D打印手槍,但是打印藍圖遭到了奧巴馬政府的封鎖,而引起了全世界關注,但去年,Defense Distribute成功起訴了政府,並撤銷了禁令,辯稱這是對言論自由的侵犯。 法官Robert Lasnik的裁決推翻了這一決定,法官說,先前由美國國務院針對國防部的辯護,即“製造無法檢測到的槍支,對世界和平和美國的國家安全利益構成威脅”,仍然成立。該裁決是作為簡易判決作出的,這意味著該案將不會進行審判,但Defense Distributed表示仍將對該判決提出上訴。 .

託管提供商SmarterASP.NET承認遭到勒索軟件攻擊 客戶數據被加密

SmarterASP.NET官方表示正在努力恢復客戶數據,但尚不清楚該公司是支付了贖金,還是從備份中進行了恢復。目前該公司並沒有回复外媒的評論請求。 根據其官網顯示的信息,該公司承認遭到了黑客攻擊。該消息說:“您的託管帳戶受到攻擊,黑客已經加密了您的所有數據。我們現在正在與安全專家合作,嘗試解密您的數據,並確保不會再發生這種情況。” 本次網絡攻擊不僅對客戶數據進行了加密,SmarterASP.NET官網也被迫下線。在周六全天下線之後,在周日上午恢復重新上線。服務器恢復工作進展緩慢。許多客戶仍然無法訪問其帳戶和數據,這些被加密的客戶數據包括網站文件和後台數據庫。 .

圍剿網絡“爬蟲”: 監管發文規範切斷非持牌合作

為此,中國互聯網金融協會要求,不與違規收集和使用個人信息的第三方開展數據合作,不濫用、非法買賣和洩露消費者個人信息。 同日,北京地區部分互聯網金融機構收到監管要求全面停止與“爬蟲”有關的放貸業務,導致一些平台的基於“爬蟲”的放貸業務全面暫停。 誕生於搜索引擎時代的網絡爬蟲,在個人信息保護意識增強的當下,正在受到監管和法律的關注。 切斷非法網絡爬蟲 網絡爬蟲是一種自動採集數據的互聯網技術,最早應用於搜索引擎,而今在新聞聚合、電子商務比價,甚至會計審計、政務等廣泛應用。截至2016年,網絡爬蟲服務成本已經低至每小時20元。 但近年來,爬蟲技術成為部分自稱“大數據風控”平台越界採集個人信息,實質從事個人“類徵信”業務的工具。近年來,由於P2P網貸、互聯網小貸、甚至資金中介等互聯網金融機構無法接入央行徵信等系統,為從事線上放貸,這些機構轉而通過與第三方“大數據”公司合作,由其採集個人或企業在互聯網絡上的留痕數據信息。 “估計整治爬蟲還會持續一陣子。”一位徵信業內人士表示,確實應該查一下,之前在和監管機構座談會上,部分企業曾指出這一問題,一些“大數據”公司說不清楚數據來源,而一些放貸機構認為只要數據方提供“承諾”,就敢使用這些數據。 中國互聯網金融協會在該通知中要求,各會員機構應嚴守法律底線,依法合規開展個人信息的收集、處理、使用和對外提供等活動,不斷加強個人信息保護工作力度。 具體要求是,未經消費者授權同意,各會員機構不收集、處理、使用和對外提供消費者個人信息。各會員機構不以默認授權、概況授權、功能捆綁等誤導、強迫消費者的方式收集個人信息,不與違規收集和使用個人信息的第三方開展數據合作,不濫用、非法買賣和洩露消費者個人信息。 另外,各會員機構應建立健全收集、處理、使用、對外提供等全生命週期的個人信息保護製度,採取有效技術措施保障個人信息安全,加強對員工的教育和培訓,對個人信息的收集、使用等活動加強監督管理。各會員機構應及時就個人信息保護工作開展自查,並對數據合作方進行排查,對於存在的問題應立即整改,並及時將有關情況報告協會。各會員機構應履行消費者教育義務,加強對消費者的風險提示。 中國互聯網金融協會成立於2015年7月。根據其公佈的會員名單,目前有500多名機構會員,其中包括107家商業銀行、16家保險、14家券商、4家信託公司,以及騰訊、螞蟻金服、陸金所、拍拍貸等互聯網金融機構。 此前10月12日,北京銀保監局發布《關於規範銀行與金融科技公司合作類業務及互聯網保險業務的通知》,嚴禁與以“大數據”為名竊取、濫用、非法買賣或洩露客戶信息的企業開展合作。 10月24日,21世紀經濟報導獨家報導,央行、銀保監會已組成調查組,摸底大數據的使用邊界和採集邊界,將會涉及外包催收公司管理辦法。首批排查和調研的機構包括一諾銀華、萬盛金融和平安普惠。 10月24日下午,央行調研部分銀行填報是否與第三方數據公司開展合作,排查的合作內容主要涉及數據採集、信用欺詐、信用評分、風控建模等方面,有的要求銀行上報第三方公司的名字、股東背景、是否涉及爬蟲。 停止與非持牌機構合作 不僅大數據的使用方——金融機構自查“大數據”機構合作業務。 數位互金人士反饋,央行、銀保監等機構此前已經陸續對大數據“爬蟲”摸底調研。部分平台由於涉及大數據“爬蟲”已經暫停業務。一位股份行人士表示,正在內部自查與大數據公司的合作情況。 大數據的源頭——大數據公司,也迅速調整自身業務。 “我們正在規範產品,取消與非持牌金融機構的合作。”一位曾獲得8家個人徵信試點的大數據機構人士表示。 自2019年9月以來,多家知名“大數據”公司相關人員被抓或被調查,這些機構均涉及大數據風控業務和爬蟲技術的應用。 包括,大數據平台魔蠍科技、新顏科技高管相繼被警方帶走;公信寶運營公司被杭州警方查封;上海大數據公司向商戶下發通知,暫停對外提供用戶授權的運營商爬蟲服務。 究其原因,一位華南機構人士表示,監管和警方對大數據公司的清查“套路貸”整治,部分催收公司暴力催收,出現逼迫受害人自殺等極端事件,這使得警方反過來追查——大數據公司是如何把個人隱私數據倒賣出去。 實際上,以網絡爬蟲為主要代表的自動化數據收集技術,在提升數據收集效率的同時,如果被不當使用,可能影響網絡運營者正常開展業務。 比如,“貸款中介這一‘助貸’模式,本意是為了提升資金方的獲客能力和獲客效率,但一些中介卻利用大數據洩露的機會違法操作。”一位資深業內人士指出。 “警方正在從整個產業鏈剷除套路貸,包括大數據洩露。”此前,廣東省小額貸款公司協會常務副秘書長徐北對21世紀經濟報導記者表示。 網絡爬蟲正在被規範。 5月28日,國家互聯網信息辦公室就《數據安全管理辦法(徵求意見稿)》公開徵求意見。該徵求意見稿提出,自動化訪問(即“網絡爬蟲”)收集流量不得超過網站日均流量三分之一,限制“大數據殺熟”等歧視性推送行為。 此外,記者獲悉,央行10月已向部分銀行下發了《個人金融信息(數據)保護試行辦法》,將對金融機構與第三方之間徵信業務活動等進一步作出明確規定,加大對違規採集、使用個人徵信信息的懲處力度。 .

jQuery 跨站腳本漏洞影響大量網站

jQuery  過去 12 個月的下載量超過了 1.2 億次,是 Vue.js 的 4000 萬次和 Bootstrap 的 7900 萬次之和。 Vue.js  發現了 4 個漏洞,都已經修復。 Bootstrap 發現了 7 個跨站腳本漏洞,3 個是在 2019 年披露的,無安全修正。 jQuery 發現了 6 個影響所有版本的安全漏洞,4 個是中等危險級別的跨站腳本漏洞,1 個是中危 Prototype Pollution 漏洞,還有一個是低危拒絕服務漏洞。 jQuery 3.4.0 以上版本不受漏洞影響。 jQuery 生態系統還發現了多個惡意的擴展包,其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox,這些包過去一年的下載量從幾百到幾千不等。 .

[技术分析]雙十一成流氓推廣狂歡節 單日侵擾千萬量級電腦

查殺圖 根據“火絨威脅情報系統”監測和評估,僅11月7日當天,上述兩類軟件家族共同進行了數千萬次推廣行為,致超過千萬台終端受到影響。推廣的形式包括但不限於彈窗、創建快捷方式、托盤廣告等等,嚴重影響用戶的正常體驗。 值得一提的是,這些軟件會通過各種方式,試圖規避安全軟件監測。其中,金山系軟件可以通過雲控下髮指令,且在彈窗時會監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。驅動人生系軟件則會靜默推廣廣告程序,並不定時彈出雙十一相關廣告內容。由於這兩類軟件的行為符合安全廠商對廣告程序的定義,火絨已對其進行查殺。 近年來,雙十一已經成為電商約定的促銷日,同時也逐漸成為各大軟件廠商進行流氓推廣的“狂歡節”。目前來看,除了一些日常的軟件廠商在此期間大肆推廣以外,甚至還有安全類廠商加入其中,企圖分一杯羹,其行為與常見的流氓推廣無異。在此,火絨呼籲廣大軟件廠商,在逐利的同時,也要守住商業底線,共同維護用戶的權益,謀求長期發展。 附:【分析報告】 一、 金山廣告模塊分析 金山系軟件(金山毒霸、驅動精靈、獵​​豹瀏覽器等)kwhcommonpop模塊會根據云控指令,隨機將廣告彈窗程序的文件名偽裝成安全軟件文件名,並且監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。涉及軟件,如下圖所示: 相關軟件列表 相關彈窗,如下圖所示,其中ashavast.exe為仿冒的Avast進程名: 廣告推廣界面 在測試環境中,該廣告程序多次偽裝成Avast、AVG和賽門鐵克等安全軟件進程名。相關現象,如下圖所示: 偽裝成安全軟件進程名的彈窗推廣程序 偽裝成Avast的廣告程序文件簽名信息,如下圖所示: 文件簽名信息 偽裝進程名並重啟後刪除文件相關代碼,如下圖所示: 相關代碼 偽裝安全軟件進程名相關配置,如下圖所示: 相關配置 上述配置文件中所包含的安全軟件程序名,所屬安全廠商。如下圖所示: 所屬安全廠商 除此之外,kwhcommonpop模塊還會監控當前環境中的分析工具進程的啟動,一旦發現存在配置中指定的分析工具,就會退出廣告彈窗進程。相關代碼,如下圖所示: 相關配置,如下圖所示: 被檢測的分析工具進程名 當用戶使用“PrintScreen”按鍵進行截圖時,剪切板會被清空。相關代碼,如下圖所示: 清空用戶剪切板 相關配置,如下圖所示: 相關配置 二、 驅動人生廣告模塊分析 我們近期監測到具有流氓推廣行為的驅動人生系軟件主要包括:USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例,驅動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟件,該軟件目錄中包含有一個名為realtek.exe的程序,該程序自稱為“Realtek音頻管理器” ,且該程序帶有驅動人生有效數字簽名。文件簽名信息,如下圖所示: 文件數字簽名信息 軟件功能界面,如下圖所示: 音頻管理器 雖然根據程序界面顯示具有一些軟件音頻配置修復類功能,但是在我們收到的眾多用戶反饋中,所有用戶均對電腦中存在這一軟件毫不知情,且沒有使用過該軟件所提供的任何功能。該軟件目錄中帶有推廣相關服務組件AERTSrv.exe,該組件會調用DTLPlugs目錄下的組件模塊進行廣告推廣,組件被調用後會創建托盤廣告彈窗。相關現象,如下圖所示: 托盤廣告 除此之外,最終被調用的彈窗程序還會偽裝成卡巴斯基的進程名進行啟動。相關代碼,如下圖所示: 偽裝卡巴斯基進程名 偽裝安全軟件進程名現象,如下圖所示: 偽裝安全軟件文件名 相關代碼包含有創建桌面快捷方式、彈窗廣告、托盤廣告、新聞mini頁等功能,如下圖所示: 廣告推廣代碼 創建雙十一相關廣告快捷方式相關代碼,如下圖所示: 創建桌面推廣快捷方式 三、 附錄 樣本hash .

誰有權刷我的臉?對“臉”的較真兒剛剛開始

誰在刷我們的臉? 其實,在郭兵這“第一案”之前,很多人對“刷臉”正在逐漸習慣:小到手機支付、小區門禁、簽到打卡,大到銀行業務辦理、登機安檢,等等。事實上,人臉識別目前也是我國人工智能發展最熱的領域之一。 “刷臉”安全嗎?同一張臉 可能“刷”法不同 人臉識別簡單來說,就是抽取人臉圖像特徵,然後將抽取到的特徵跟數據庫信息進行比對,再通過比對進行識別。 在整個臉識別系統中,活體檢測即判斷捕捉到的人臉是否為真實人臉,可以說是重要技術環節。 打個比方,今年十月,上海的一些小學生在課外實驗中,拿著打印出來的父母照片,成功“破解”豐巢快遞櫃的刷臉系統,通過驗證並收了父母的快遞。隨後,豐巢取消了快遞櫃的刷臉取件功能。顯然,這樣的“刷臉”不堪一擊。 那麼,這種“刷臉”跟我們在金融支付等場景中使用的“刷臉”是一回事嗎? 復旦大學計算機學院青年副研究員陳靜靜分析認為,被破解的豐巢快遞櫃的人臉識別系統可能缺失了活體檢測系統,或者算法落後,導致系統能被照片等數字圖像欺騙。 但在金融支付等應用場景,有活體檢測嵌套在人臉檢測與人臉識別驗證中,用來判斷是否為用戶真人。 是你還是你的照片? “活體檢測”把關 此外,檢測是否活體的方式很多,精準度也各有不同。比如,通過指令,要求用戶配合完成眨眼、搖頭等動作,使用人臉關鍵點定位和人臉追踪等技術,驗證用戶是否為真實活體操作。可有效抵禦照片、換臉、面具、遮擋以及屏幕翻拍等常見的攻擊手段。 更進一步,通過立體型活體檢測(主要判斷人臉的3D性,防御手機、電腦等顯示屏和打印照片的2D攻擊)、亞表面檢測(利用亞表面散射性不同判斷人臉皮膚、防禦類人臉或非人臉材質假體)和紅外FMP檢測(在暗光環境下,利用紅外攝像頭及IR范光圖檢測)等手段,可更有效防止以假亂真。 可見,同樣一套人臉識別系統,因為算法、技術標準不同,安全性是有區別的。 人臉識別還有一個重要特徵——非強制性,也讓人們有更多擔心:用戶不需要專門去配合採集設備,採集方幾乎可以在用戶無意識的狀態下就可獲取人臉圖像。由於過度採集用戶信息、個人信息數據洩露的事件時有發生,甚至有“過臉產業”的存在,個人可能在完全不知道的情況下,面部特徵信息就被洩露了。 誰有權刷我的臉? 除了技術上的安全問題,人們關心的另一個方面是,你我的臉就能任意被“刷”麼? 今年10月,有報導稱北京地鐵將使用人臉識別系統實現乘客分類安檢。有評論曾擔憂地提出“別把人臉識別技術搞成現代‘刺黥’”。 同樣是今年,一些能識別人臉的攝像頭步入課堂,學生逃課、打瞌睡、走神都逃不過這套系統,喚起了很多人學生時代“被支配的恐懼”,更引發社會各界大討論。隨後,教育部對此明確回應:“在校園推廣人臉識別技術要謹慎,能不採就不採。” 質疑的聲音不僅出現在中國,也出現在世界多地。在瑞典,因使用人臉識別系統記錄學生出勤,一所高中接到了數據監管機構開出的20萬瑞典克朗(約合人民幣14.7萬元)的罰單。在美國馬薩諸塞州的薩默維爾市以及舊金山,都明文禁止警方和其他政府機構使用人臉識別技術。 技術無善惡 用法有好壞 但不該忽視的是,人臉識別有時又是社會安全的“保護傘”,比如,警方可以用它識別犯罪分子和失踪人員。去年張學友的演唱會屢上熱搜,正是因為在12場演唱會現場,警方通過安檢通道的人像識別系統陸續抓獲了60多名逃犯。 而據近日消息,北京協和醫院、北醫三院等24家醫院在開展整治和打擊號販子行動時採用了人臉識別技術,不少網友評論人臉識別技術這次用對了地方。 技術本無善惡,用法確有好壞。目前,我國網絡安全法明確將個人生物識別信息納入個人信息範圍,但對於信息的使用、存儲、運輸、管理仍需進一步細化。 保護隱私權 人臉識別亟待明確邊界 中國政法大學傳播法研究中心副主任朱巍認為,從民事法律角度看,個人信息屬於隱私權範疇,是一項基本民事權利。既然是民事權利,那麼,在權利人信息被採集、使用和處分前,就需要明確被告知,在獲取同意權之後,才能按照約定合理使用。 當然,並非所有用戶的個人信息權利採集標準都是一樣的。就“人臉識別”案來說,首先,未成年人這塊,國家網信辦出台了相關特殊規定,孩子的信息必須由監護人來授權,未經允許,不得採集。其次,犯罪記錄,以及被公安、國安、司法部門列入名錄的特殊人群,按照網安法等相關法律規定,為了國家安全、懲治犯罪和社會安全可以不經當事人授權。最後,當事人選擇不允許採集人臉識別信息的,應尊重他們的選擇權利,給予不選擇人臉識別的人群其他安檢等渠道。 如何在公眾安全和個人隱私中尋找平衡點?朱巍說,公共利益是個人權利讓步的重要基礎,世界各國也都是如此規定,比如美國的“愛國者法案”,就在很大程度上犧牲了公民隱私權,去換取整個社會的安全和國家安全。在人臉識別應用在安檢等領域,符合公共利益優先原則。在一定程度上,公民隱私權應讓位於公共利益的效率。 從這個角度來看,郭兵的起訴提供了一次很好的契機,讓社會探討邊界,確立規範。 .

美國一家券商惊現”無限槓桿”Bug 4000美元可藉100萬

通過該公司提供的訂閱服務Robinhood Gold,用戶可以從該公司貸款。而這個被Reddit用戶稱為“無限槓桿”和“無限金錢欺騙代碼”的漏洞,相當於提供免費的錢。 通過保證金“加槓桿”來交易在現在非常普遍,大多數經紀公司都允許。它允許交易員借錢購買股票:買家支付一定比例的保證金,而經紀公司充當出借人。 Robinhood的一名發言人表示,公司“意識到了個別的案例,並在與客戶直接溝通”。 另一名Robinhood用戶上傳了一段視頻,聲稱通過將價值2000美元的股票轉化為價值5萬美元的購買力,他獲得了25倍的槓桿。其他許多用戶也上傳了視頻和截圖,並說明瞭如何重複作弊代碼。 Robinhood是一家完全依賴手機軟件等線上工具的沒有門店的互聯網券商。自2013年推出以來,Robinhood已經獲得了76億美元的估值和600多萬用戶。它的零佣金模式受到嘉信理財(Charles Schwab)、富達(Fidelity)等大型經紀公司的歡迎,這些公司去年10月都實現了零佣金。 這家初創企業正在向美國貨幣監理署(OCC)申請國民銀行執照,進一步涉足傳統金融領域。 .

Mozilla表示美國ISP向國會撒謊 散佈有關DNS加密的不實信息

基於HTTPS的DNS有助於防止窺視者看到用戶瀏覽器正在進行的DNS查找。這會使ISP或其他第三方更加難以監控用戶訪問的網站。 Mozilla信任與安全機構高級總監Marshall Erwin表示,毫無疑問,我們在DoH [基於HTTPS的DNS]上的工作促使ISP發起了一場運動,以阻止所有這些隱私和安全保護功能實施。 寬帶行業聲稱,谷歌計劃自動將Chrome用戶切換到自己的DNS服務,但是Google公開宣布的計劃是檢查用戶當前的DNS提供商是否在兼容DoH提供商列表中,如果用戶選擇的DNS服務不在該列表中,則Chrome不會對該用戶進行任何更改。 而Mozilla實際上計劃在默認情況下將Firefox用戶切換到其他DNS提供商,特別是Cloudflare的加密DNS服務。但是,由於Firefox的市場份額較小,因此與Chrome相比,ISP顯然不太關心Firefox。 Mozilla在致國會的信中說,ISP對加密DNS進行遊說相當於電信協會明確主張ISP必須有能力收集用戶數據並從中獲利。目前,美國ISP對用戶數據濫用包括在未經用戶了解或未獲得有效同意的情況下,向第三方出售實時位置數據,諸如Comcast之類的ISP、操縱DNS為消費者提供廣告,Verizon使用超級Cookie來跟踪用戶的Internet活動,AT&T每月向客戶收取29美元的額外費用,以避免AT&T收集用戶瀏覽歷史記錄並且從中獲利。 .