想了解每周最有料的“黑客與極客”資訊，看 | 宅客精選 | 就夠了。

1.Myspace史上最大用戶數(shù)據遭泄露

繼領英1.67億用戶用數(shù)據被爆泄漏后，著名付費黑客數(shù)據搜索引擎LeakedSource發(fā)表博文稱Myspace也被黑，近4.3億用戶數(shù)據被泄漏，并已獲得數(shù)據副本，可在他們的網站上進行查詢。目前，Myspace官方還未證實這一消息的可靠性，但如果情況屬實，這將是史上最大規(guī)模的密碼泄露事件。

與領英相同，這次事件的“幕后黑手”仍是“Peace_of_mind”。除此之外，LeakedSource還在博文中提到，這些泄露的數(shù)據和領英一樣，也是以“SHA-1”的哈希加密的方式存儲的，也同樣沒有“加鹽”，可以輕而易舉地被破解。 

據雷鋒網了解，社交網站較容易存在的安全隱患主要有兩類：一類是蠕蟲攻擊，另一類是由于社交網站并未恰當使用Cookies，而導致發(fā)動跨站請求偽造攻擊。Myspace就屬于第一類，主要是因為在網站開發(fā)時采用Ajax技術而導致的。

因此，使用這種技術的網站想要避免黑客利用這種漏洞竊取數(shù)據，就需要對用戶輸入內容的可靠性進行驗證，并對用戶可以輸入頁面的代碼進行詳盡的測試，來避免漏洞的產生。同時，還要經常使用各種漏洞檢測工具來掃描和過濾漏洞，以便于及早發(fā)現(xiàn)問題并及時進行補救措施。

相關安全專家建議，用戶以及企業(yè)也要提高網絡安全防范意識，增強個人隱私信息的防護。

2. 小心支付寶的“轉賬成功” 

六一兒童節(jié)，支付寶把所有用戶的昵稱都改為了XX寶寶。一些對節(jié)日不敏感的用戶對此產生了質疑，為什么支付寶可以不通過用戶允許就擅自修改用戶昵稱，自己的個人隱私是否受到了侵犯？然而支付寶這種略不嚴謹?shù)淖黠L也已經不是第一次了。

在西安最近破獲的一起案件中，就有犯罪分子利用支付寶漏洞成功騙取了上百人錢財?shù)捏@人事件。這個案件中的嫌疑人主要針對二手網站上出售的高檔手機賣家作案，在利用你“微截圖”等支付寶轉賬截圖生成器，用假“轉賬截圖”來實施詐騙。犯罪嫌疑人還發(fā)現(xiàn)，用支付寶對銀行卡轉賬時，輸錯一位卡號時，仍然可以生成轉賬成功的界面，于是，他們將此界面截圖發(fā)給受害人，以博取受害人信任，然后謊稱錢款正在平臺處理中，要在2個小時以后到賬，這時，多數(shù)受害人就會輕信轉賬成功并提前完成交易，事后數(shù)小時才發(fā)現(xiàn)被騙。

雷鋒網對此親自做了測試，用支付寶給“宋仲基”轉了520元，在輸入錯誤卡號的情況下，仍然出現(xiàn)了付款成功的頁面。但是事后由于銀行卡號校驗失敗，轉賬款會退回原來的賬戶。

一名資深網絡安全專家告訴雷鋒網，因為銀行驗證服務需要收費，故而支付寶沒有開通這項服務，并且由于支付寶不可能擁有所有銀行卡的數(shù)據庫，如果銀行卡用戶名和賬號對不上時，也會出現(xiàn)已經“假裝付款”成功的界面。

3.新一代 Tor發(fā)布 

知名匿名搜索引擎Tor ，最近發(fā)布了基于火狐瀏覽器45-ESR的6.0版本，增強了對HTML5的支持，并更新了用來保護加密流量及其更新機制的安全功能。作為基于火狐45-ESR版本的瀏覽器，Tor6.0版本配有頂級的HTML5支持，可以在大多數(shù)用戶訪問的網站中，更容易地關掉用戶帶有的Flash 插件。

此次更新的火狐45-ESR 版本不僅有支持推送API動態(tài)通知的功能，還對最新的 JavaScript版本，如 ES6 的類語法，提供最好的支持。Tor團隊還特別針對Mac OS X系統(tǒng)進行了漏洞補丁，更新后，Tor網絡在Mac OS X系統(tǒng)內運行時，將使用代碼簽名來避免被Mac OS X系統(tǒng)自帶的安全軟件封鎖。

Tor新版本最大的變化，就是對瀏覽器加密層所做的修改，移除了對SHA-1的支持。研發(fā)人員同樣也修復了存在DLL劫持的問題，還全面覆蓋了一些快速修復緊急bug的補丁。由于他們的老合作伙伴，Disconnect搜索引擎與Google之間的合作情況有變，Tor 現(xiàn)在是通過DuckDuckGo的API顯示搜索結果，而不再是Google。

4.windows 0日漏洞售價近60萬人民幣 

一位名叫“BuggiCorp”的黑客近日在暗網黑市上兜售一種新的零日漏洞，號稱攻擊者可以利用這個漏洞在Windows所有版本中獲取到最高的系統(tǒng)運營權限。

 

在“BuggiCorp”發(fā)布的售賣信息中，他還貼出了兩個關于這個零日漏洞的演示視頻。一個視頻中，黑客用這個漏洞在一個安裝更新了5月發(fā)布的最新補丁的Window 10操作上，成功獲得了最高操作權限；另一個視頻中他用漏洞分析成功地繞過了微軟所有的安全功能，包括最新版本的EMET 工具包。售價9萬美元（折合成人民幣約59萬）

這個黑客希望用比特幣進行支付，如果有必要的話，可以通過論壇管理員來完成交易。他還說，他只會將這個漏洞賣給一位賣家，這位賣家會得到這個漏洞的源代碼、功能完整的小樣、微軟完整開發(fā)工具集（Microsoft Visual Studio）2005，以及這個漏洞未來在任何Windows版本上無法運行時的更新。根據微軟的統(tǒng)計數(shù)據，這個漏洞對任何Windows版本都有效，有可能會影響到全球范圍內的15億用戶。

5.朝鮮克隆 Facebook 網站被黑

近日，一家專注于追蹤網絡性能的公司Dyn Research，發(fā)現(xiàn)了一個朝鮮山寨Facebook站點，這個站點的名稱為“最棒的朝鮮社交網路”，域名是“StarCon.net.kp”，其網頁設計風格全部復制了Facebook。但在上線后不久，就被一名年輕的蘇格蘭黑客黑下線了。這位年輕黑客名為安德魯·麥克凱恩，年僅18歲，還是一位在校大學生。

他發(fā)現(xiàn)這個站點在使用Dolphin php技術，且自從上線以來就沒修改過安全證書證書，他很容易的猜出了這個站點的管理員與密碼，并取得了網站的控制權。還搞了個小惡作劇，在網站上留下了一句“這網站不是我建的，我只是偶然發(fā)現(xiàn)了密碼”，并附上了他的個人Twitter賬戶。目前，這個網站已經無法登陸。

Dyn公司與麥克凱恩都表示，他們并沒有看到有明顯的證據證明這個網站與朝鮮政府有什么關系。這個網站的IP地址是在朝鮮，但朝鮮是一個對網絡管理十分嚴格的國家，幾乎沒有超出政策以外的網站存在，且政府官網的IP都設在中國。但有外媒猜測，該網站或為朝鮮官方的電信運營商即將提供的服務的測試項目。

6.谷歌對安全漏洞的發(fā)現(xiàn)者獎勵 5 萬元 

谷歌近日發(fā)布了瀏覽器v 51.0.2704.79版本，是繼穩(wěn)定版v51后的第二次維護升級版，修復了15個安全漏洞及一些版本缺陷。在被修復的15個漏洞中，主要修復了兩個高危缺陷，這兩個缺陷可以允許攻擊者繞過瀏覽器跨源代碼執(zhí)行的限制，通過Blink引擎以及它的擴展組件運行惡意代碼。

據了解，發(fā)現(xiàn)這兩個漏洞的研究員獲得了高達7500元美金（折合成人民幣約5萬元）的獎勵。其他一些發(fā)現(xiàn)中級安全漏洞的研究員，分別獲得了1000美元（折合成人民幣約0.66萬元）至4000美元（折合成人民幣約2.6萬元）不等的獎勵。這些漏洞包括一些可能會泄露用戶個人信息以及在系統(tǒng)模塊與擴展組件中存在的UAF漏洞。

因為此次更新的是一個介于51與52之間的過渡版本，所以并沒有新的功能出現(xiàn)。除了安全補丁，主要解決了一些會導致瀏覽器崩潰或混亂文件下載路徑的問題。

7.黑客竊取了6500萬Tumblr賬號 

Tumblr在早些時候就被披露，黑客在2013年竊取了部分Tumblr用戶賬號，包括電子郵件地址和哈希加鹽的密碼，它的內部調查認為被盜的賬號并沒有被未經授權訪問，但已經要求受影響的用戶重設密碼。Tumblr拒絕透漏受到泄露數(shù)據影響的用戶數(shù)量。但近日有外媒報道稱，黑客竊取的用戶帳戶數(shù)量高達65,469,298，并已經被掛在暗網黑市上售賣，價格為150美元（折合成人民幣約990元）。

幸運的是, 泄漏數(shù)據中包含的密碼并不是明文,而是散列格式的,在這種形式下,密碼會被放置在隨機數(shù)字中。Tumblr在公開泄露的細節(jié)時還說,他們在弄散這些密碼之前,還在每個密碼的最后添加了不同的字節(jié)數(shù)。然而,當該公司披露此次泄露時,并沒有透露他們用于加密的算法。

據了解，數(shù)據泄露事件發(fā)生在Tumblr被雅虎收購之前。這次泄露的數(shù)據也是SHA-1算法的，雖然有加鹽，但是鑒于攻擊和事件公布之間的時間跨度太長,并且在2013年的時候,他們的密碼也不像現(xiàn)在這么強大,因為密碼很可能已被破解。發(fā)起這次網絡攻擊的黑客仍然是Peace,目前他已經掌握了多個社交網站的用戶數(shù)據。

8. 國內首家威脅情報公司微步在線完成A輪融資

近日，國內首家威脅情報公司微步在線(ThreatBook)宣布完成A輪融資，本輪投資由如山創(chuàng)投領投，北極光與華軟投資共同參與，投資規(guī)模達3500萬元。其中北極光為天使輪領投方，本輪繼續(xù)跟投。

微步表示，在短短一年內，能夠再次得到專業(yè)投資人的青睞，表明了行業(yè)與資本市場對威脅情報的密切關注和高度認可。微步在線CEO薛鋒說：“微步在線作為以情報為驅動力的下一代安全解決方案先行者，我們的產品與服務已經得到了行業(yè)客戶與合作伙伴的廣泛認可，我們將繼續(xù)加大在安全研發(fā)和大數(shù)據安全分析技術方面的投入，擴大在行業(yè)中的影響力?！?/p>

據了解，北京微步在線科技有限公司于2015年6月成立于北京， 是國內首個專以安全威脅情報(Threat Intelligence)服務為中心的安全公司。自成立以來，公司堅持“聚焦威脅，情報驅動”的宗旨，專注于提升威脅分析和情報能力，已取得了階段性的成果。

 

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。