GitHub數百原始碼被洩露 Mozilla禁止含混淆代碼的Firefox組件

2021-01-05 安勝

本周安全資訊

9 May 2019

GitHub遭黑客攻擊洩露數百原始碼,微軟未能倖免;

Mozilla禁止包含混淆代碼的Firefox組件上架;

Binance遭黑客攻擊,損失價值4070萬美元比特幣……

一、信息洩露

1.美國在線輔導平臺Wyzant發生數據洩露事件,200萬用戶受影響

據報導,總部位於美國芝加哥的在線輔導平臺Wyzant發生數據洩露事件,約200萬註冊用戶和超7.6萬名活躍輔導員受影響。洩露信息包括名字、姓氏、電子郵件地址、郵政編碼及某些客戶Facebook個人資料圖片、登錄信息等。截至目前,該公司表示已修補該問題,將對整個網絡和應用程式安全基礎架構進行廣泛審計,並通知受影響用戶。

2.加拿大電信巨頭Freedom Mobile發生數據洩露事件,500萬客戶受影響

據外媒報導,研究人員發現加拿大電信巨頭Freedom Mobile資料庫在網際網路被曝光,至少500萬條客戶記錄與150萬條用戶相關記錄被洩露,洩露信息包括電子郵件地址、電話號碼、家庭住址、出生日期、與付款方式相關的IP位址、信用評分、CVV代碼、客戶服務記錄等。事件發生後,Freedom Mobile已通知相關機構並展開調查。

二、網絡攻擊

1.黑客發起暴力攻擊,接管29個物聯網殭屍網絡

據外媒報導,黑客Subby對使用弱憑證或默認憑據的29個物聯網殭屍網絡的後端發起暴力攻擊,一周內控制4萬多臺設備,去重後數量接近2.5萬。據悉,由於運營商未更改默認憑據或設置了弱密碼,導致網絡易被暴力破解用於惡意活動,其中被感染的殭屍網絡大多使用常見憑據,如「root:root」、「admin:admin」和「oof:oof」等。

2.GitHub遭黑客攻擊洩露數百原始碼,微軟未能倖免

據媒體報導,GitHub遭黑客攻擊洩露數百原始碼,微軟開源平臺亦受影響。據悉,黑客刪除了眾多公司存儲在GitHub庫中的所有原始碼和最近提交的Repo,並勒索0.1比特幣(約 3850)。事件發生後,微軟已確認其392個代碼存儲庫被黑客擦除,此外Bitbucket、GitLab等多個代碼託管平臺也受到影響。截至目前,尚無用戶支付贖金,GitHub已與受影響用戶聯繫,建議用戶開啟雙因素身份驗證為帳戶添加額外安全層。

3.Binance遭黑客攻擊,損失價值4070萬美元比特幣

據報導,全球最大的加密貨幣交易所之一Binance遭黑客攻擊,7000多枚比特幣被盜,價值4070萬美元。Binance表示,黑客利用網絡釣魚和計算機病毒入侵破壞單個BTC熱錢包,並設法獲取用戶關鍵信息,具體包括API密鑰、雙因素身份驗證代碼以及登錄Binance帳戶所需的其他信息。截至目前,Binance已展開調查,並將暫停其平臺上的所有存、取款業務一周,同時動用安全資金(SAFU)彌補用戶損失。

4.201家校園電子商店遭Magecart攻擊,支付卡數據被洩露

據外媒報導,Magecart黑客組織近期發動網絡攻擊,美國和加拿大201個校園電子商店受影響。黑客將惡意JavaScript代碼注入電子商店結帳、付款頁面中以竊取用戶支付卡數據。事件發生後,供應商從平臺上刪除了卡片分離器代碼,專家建議網站所有者定期檢查並加強其安全補丁,同時採用身份驗證機制存儲和管理敏感數據以免遭受網絡攻擊。

三、惡意軟體

1.Turla利用新後門工具LightNeuron時間長達五年

網絡安全公司ESET最新研究報告顯示,俄羅斯Turla集團自2014年以來一直使用LightNeuron惡意軟體定位Microsoft Exchange郵件伺服器。LightNeuron允許黑客完全控制伺服器,攔截、重定向、編輯傳入或傳出電子郵件內容。研究人員警告稱該惡意軟體正被用於實時攻擊,目前已有三個組織感染該後門。

四、漏洞曝光

1.Jenkins100多個插件存在漏洞,允許黑客竊取憑據

據外媒報導,研究人員發現Jenkins開源軟體開發自動化伺服器100多個插件均存在安全漏洞,允許黑客竊取憑據並發動伺服器端請求偽造攻擊。該漏洞源於以純文本形式存儲密碼,以及跨站點請求偽造缺乏對應權限檢查。截至目前,該軟體已被安裝超過數十萬次,用戶數量超過100萬,目前仍有較多插件未被修復。Jenkins開發人員已發布安全建議,允許管理員自行決定是否繼續使用該插件。

五、安全資訊

1.Mozilla禁止包含混淆代碼的Firefox組件上架

據外媒報導,Mozilla近日發布了針對Firefox的更新,修復了過期籤名證書漏洞,禁止包含混淆代碼的Firefox組件上架,並將於6月10日起正式攔截違反策略的組件。Mozilla表示該政策旨在消除第三方惡意代碼給用戶帶來的威脅,將針對不同情形採取不同級別制裁措施,包括禁用插件、禁止用戶重新啟用擴展等,建議開發人員在代碼修改後重新提交組件。

2.谷歌發布安卓安全補丁修復30處漏洞

谷歌於近日發布安卓安全補丁,修復了30處漏洞及安卓組件中的其他問題。據悉,補丁包含2019-05-01和2019-05-05兩個安全級別,涉及Android Framework、Media framework、Android System、Kernel、Nvidia、Broadcom和高通在內的諸多組件。其中關鍵級安全漏洞會影響Media framework,允許黑客使用特製文件遠程提權並執行任意代碼。專家建議用戶儘快更新設備以確保系統安全。

相關焦點

  • GitHub被黑!不明人士冒充CEO洩露GitHub機密原始碼
    原因是其原始碼被全部洩露! 從開發者Resynth 發表的一篇博客中了解到,在一個向 GitHub 官方 DMCA 倉庫提交的可疑 Commit 中,一名不明身份人員利用 GitHub 應用程式中的bug 假冒GitHub CEO 奈特·弗裡德曼 (Nat Friedman)上傳了機密原始碼。
  • [圖]Mozilla已推出3.0版Firefox OS模擬器 - Mozilla FireFox...
    現在,人們已經可以從Firefox的附加組件(Mozilla Add-ons)那裡,下載到Windows、Mac和Linux平臺上的3.0版模擬器。作為Firefox的一個擴展,該模擬器需要你先安裝上Mozilla的瀏覽器。之後,人們可以在Firefox的"工具"->"Web開發者"菜單裡找到它。
  • GitHub 原始碼洩露,CEO 回應:這是個意外
    的全部原始碼被洩露。他表示,在向官方 GitHub DMCA 提交的可疑文件中,一個身份不明的人利用 GitHub 應用程式中的一個漏洞冒充 GitHub CEO Nat Friedman 上傳了機密原始碼。
  • GitHub 原始碼洩露,CEO 回應:這是個意外
    今天, TypeScript 開發者 Resynth 發文稱,代碼託管服務 GitHub 的全部原始碼被洩露。他表示,在向官方 GitHub DMCA 提交的可疑文件中,一個身份不明的人利用 GitHub 應用程式中的一個漏洞冒充 GitHub CEO Nat Friedman 上傳了機密原始碼。
  • GitHub被黑!不明人士冒充CEO洩露其機密原始碼
    原因是其原始碼被全部洩露!從開發者Resynth 發表的一篇博客中了解到,在一個向 GitHub 官方 DMCA 倉庫提交的可疑 Commit 中,一名不明身份人員利用 GitHub 應用程式中的bug 假冒GitHub CEO 奈特·弗裡德曼 (Nat Friedman)上傳了機密原始碼。
  • GitHub原始碼洩漏
    GitHub Enterprise使用的整個機密原始碼剛剛洩露給公眾在官方GitHub DMCA倉庫(交數字千年版權法案,https://github.com/github/dmca)的可疑提交中,一個不知名的人上傳了機密原始碼,並利用Gi​tHub應用程式中的bug,偽裝成Github的執行長Nat Friedman。
  • CS神器原始碼洩露
    表明Cobalt Strike 版本的原始碼 從洩露的原始碼中可以看到Vitali Kremez 通過分析原始碼認為,Java 代碼是手動反編譯的。
  • 任天堂大量資料洩露 含Wii主機原始碼、設計文檔等
    繼《寶可夢粉》等遊戲的原始設計資料洩露之後,更多任天堂的洩露資料開始接連不斷地流傳到了網上,其中還包括完整原始碼、設計文檔等近乎一切用於構建Wii主機的資料。
  • GitHub 被黑,不明人士冒充 CEO 洩露其機密原始碼:或與 YouTube-dl...
    原因是其原始碼被全部洩露!從開發者Resynth 發表的一篇博客中了解到,在一個向 GitHub 官方 DMCA 倉庫提交的可疑 Commit 中,一名不明身份人員利用 GitHub 應用程式中的bug 假冒GitHub CEO 奈特·弗裡德曼 (Nat Friedman)上傳了機密原始碼。
  • Mozilla Firefox 16.0 beta 2版本發布
    Firefox 16 新特性:不再自動載入插件支持OS X 10.7 新特性(滾動條,全屏模式)全新的下載管理器更快的會話恢復:為本機上的所有火狐用戶恢復會話的默認狀態 下載地址:Win平臺:ftp://ftp.mozilla.org/pub/firefox/releases/16.0b2/win32/zh-CN
  • Mozilla Firefox 16.0 beta 6版本發布
    Firefox 16 新特性:不再自動載入插件支持OS X 10.7 新特性(滾動條,全屏模式)全新的下載管理器更快的會話恢復:為本機上的所有火狐用戶恢復會話的默認狀態 下載地址:Win平臺:ftp://ftp.mozilla.org/pub/firefox/releases/16.0b6/win32
  • 用來武裝Firefox的24款Web開發插件
    Firebug 1.5.0https://addons.mozilla.org/en-US/firefox/addon/1843Firebug是firefox下的一個插件,能夠調試所有網站語言,如Html,Css等,但FireBug最吸引我的就是javascript調試 功能,使用起來非常方便,而且在各種瀏覽器下都能使用(IE,Firefox,Opera
  • Mozilla Firefox 57.0.4 發布,修復重大漏洞
    這個漏洞的攻擊依賴於精確的時間源,而Mozilla決定在Firefox瀏覽器中禁用或降低多個時間源的精度。Mozilla 指出,已經在 Firefox 52 ESR 上禁用了 SharedArrayBuffer。完整更新內容請查看發布主頁。
  • 為什麼選擇Firefox火狐瀏覽器?
    滑鼠手勢――FireGestures 擴展(https://addons.mozilla.org/zh-CN/firefox/addon/6366)  智能填表――Secure Login (https://addons.mozilla.org/zh-CN/firefox/addon/4429)允許你以一種很安全的方式自動輸入密碼。
  • 為什麼選擇Firefox火狐瀏覽器
    滑鼠手勢――FireGestures 擴展(https://addons.mozilla.org/zh-CN/firefox/addon/6366)智能填表――Secure Login (https://addons.mozilla.org/zh-CN/firefox/addon/4429)允許你以一種很安全的方式自動輸入密碼。
  • Mozilla Firefox 58.0 正式版發布:速度進一步提升
    FTP總目錄: http://ftp.mozilla.org/pub/firefox/releases/58.0/ 特別針對macOS用戶,Firefox 58.0允許用戶激活了WebVR技術,內置表格自動填充功能可以記住信用卡信息,通過緩存JavaScript內部表述進一步優化網頁加載速度,支持Nepali (ne-NP)語言。
  • GitHub 原始碼洩露,GitHub CEO 回應:沒被黑,一切正常
    按照他的說法,GitHub DMCA 的官方 repo 出現了非常可疑的 commit,這些 commit 的備註是"felt cute, might put gh source code on dmca repo now idk",看起來是一個不明身份的人冒充 Nat Friedman (GitHub CEO) 利用 GitHub 應用的 bug 上傳了一些機密原始碼。
  • GitHub被黑!神秘人冒充CEO,洩露全部原始碼?!
    近日,一則關於「GitHub全部代碼洩露」的消息又登上了各個技術社區的榜首。 這裡的代碼,並非是指第三方開發者託管在Github上的項目,而是Github本身的代碼。 因此消息一出,便有網友調侃稱:Github——我開源我自己。
  • Mozilla發布可視化在線跟蹤工具Lightbeam
    日前,Mozilla發布了Firefox瀏覽器擴展組件Lightbeam,旨在幫助用戶理解並提供可視化的在線數據追蹤和分析功能。目前,該項目託管在GitHub上,基於MPL 2.0許可證下發行。
  • 通過Network Security Services導出Firefox瀏覽器中保存的密碼
    在上一篇文章《滲透技巧——導出Firefox瀏覽器中保存的密碼》介紹了導出Firefox瀏覽器密碼的常用方法,其中firefox_decrypt.py使用NSS(Network Security Services)進行解密,支持key3.db和key4.db的Master Password解密。