黑客新闻,美媒称青少年黑客可轻易破坏州选举结果?
文章报道称,参会的青少年黑客能够“挫败即将到来的中期选举”,且“一个 11 岁的孩子只需 10 分钟就能改变选举结果”,然而事实并非如此!
Politico Magazine 用一个 17 岁青少年的第一人称口吻说到,去年 11 月的时候,他攻击关停了一个统计选票的网站,让那次选举来了个急刹车。
但是现在,选举专家们开始担心由这次事件导致的误解 —— 他们中有许多人是被组织者煽动起来的 —— 让人们对其影响力有一种扭曲的感觉。
在 Def Con 青年部分(r00tz Asylum)召开前,一家网站刊文称:
组织者表示,学生们将尝试破解国家选举网站的一个精确副本。其可称之为‘完全克隆’的‘复制品’。不过会议结束后,描述语被精简成了‘克隆’这一个单词。
实际上,学生们正在为那些有需要发现的漏洞副本做相似的工作。组织者为他们提供了备忘单,因为成年人已经走过同样的道路了。
前美国国家标准与技术研究院选举专家、兼 Def Con 发言人之一的 Josh Franklin,直接将这些副本称作‘仿品’(fake)。
他叹道 —— 我得知他们没有使用精确的副本,且没有采取任何措施来更好地复制底层基础设施,这点还是令人挺失望的。
选举创新与研究中心执行主任 Franklin 和 David Becker 也指出,尽管州选举网站可以公布投票结果,但实际上并不负责列举出选票。
这些信息是分开保存的,即便黑客入侵了现实投票总数的网站,也不会影响到真实的票数统计。
制表系统所属的选举管理系统,是不会与互联网直连的,那样也太疯狂了。
组织者 Jake Braun 辩护道,虽然活动有些张扬,但选举网站的安全问题确实没有得到足够的重视。他坚称,那些质疑模拟网站技术细节、及其漏洞是否真实的人,都忽略掉了这一点。
我希望选举官员开始制定通信冗余计划,以便他们敲定协议、与选民和媒体等进行沟通 —— 如果这种情况发生在选举日的话!
Braun 向 ProPublica 提供了一份报告,即 r00tz 计划更广泛地传播、解释模拟网站的技术基础。报告称,其设计易受常见的 SQL 注入攻击影响。
富兰克林承认,一些州选举报告网站确实存在这种漏洞。但他表示各州意识到此类情况已持续数月,且正在对其进行防范。
近期曝光的微软邮件黑客事件?
周末的时候,微软证实有网络犯罪分子破坏了支持代理的账户。然而更多的细节表明,这起事件比软件巨头给出的解释更加糟糕,因为黑客甚至能够读取用户的电子邮件。
Motherboard 援引知情人士的话称:“黑客能够访问某些信息,比如电子邮件的文件夹名称、以及邮件的主题”。争论的焦点是,黑客是否已经薅到了受害者的邮件正文或附件内容。
【报道称 @outlook.com @hotmail.com @msn.com 用户均有被波及。资料图:来自 Outlook 官网】
微软强调称:“这次发生的未经授权的账户访问事件,或导致用户邮件的相关信息(地址、文件夹、主题、以及与您通讯的其他人的邮件地址)被非法访问,但其中并不包括邮件的正文或附件”。然而消息人士指出:“因受感染的账户具有高权限,黑客获得了电子邮件内容的完全访问”。
后来微软承认“少数用户的电子邮件可能已被曝光”,并向他们发去了警告通知。对于此事,该公司将通过“禁用受害登陆凭证”的方式来解决。此外,尽管微软称本次暴露仅发生在 1~3 月间,但报告显示,黑客大约有 6 个月的时间去非法访问受害者的电子邮件账户。对于这一点,该公司还是予以否认。
串联来看,这起时间似乎是针对 iCloud 破解的更广泛攻击的一部分,因为黑客试图控制电子邮件帐户,以绕过 iPhone 的激活锁定。曾参与波士顿医疗基础设备攻击的黑客Martin?
美国当地时间周四,现年34岁来自马萨诸塞州的Martin Gottesfeld被判处10年以上有期徒刑。法官认为他曾参与了至少两起由Anonymous黑客组织所发动的网络犯罪行动。美国地区检察官在提交至联邦法院中的起诉书中说到:Gottesfeld曾唆使,甚至协助Anonymous黑客组织对波士顿地区的基础医疗设备进行攻击。
十二岁那年,从未见过自亲生父亲的 Martin Gottesfeld 因为母亲精神崩溃而被他的外祖父 Jay Gottesfeld、外祖母 Gloria 收养。心生怨恨的外祖父 Jay Gottestfeld 时常对 Martin 进行身体上和精神上的摧残。直到 1996 年,Martin 终于有机会接触软件工程师外祖父家里的电脑。
像是开启了另一个世界的大门,他开始编写并出售软件。他在技术方面展示的才华让他得以进入知名寄宿学校 Exeterm,甚至成为了 Facebook 创始人及 CEO Mark Zuckerberg 的同学。对此,Zuckerberg 的发言人也予以确认。后来,Martin 因为发现学校计算机系统漏洞而被开除,转而从事 IT 咨询的职业。
2014年因Justina事件引发公众热议,“匿名者”黑客组织发动了一起 #OpJustina 的行动。随后他开始对 Justina 所在的医疗机构网站进行 DDOS 攻击。儿童医院的攻击淹没了65000个IP地址与垃圾数据,扰乱了便利网络至少两个星期。检察官说,这花费了医院大约600000美元。Gottesfeld和妻子在靠近古巴的海域被Disney邮轮上的人员救出,随后于迈阿密港口被成功逮捕。
Gottesfeld除了需要在监狱服刑121个月之外,还需要支付将近443000美元的赔偿金。随后他表示没有计划上诉。
黑客组织ShinyHunters非法获取了哪些企业的用户数据?
ZDNet 报道称,声称窃取了来自十家企业的超 9100 万条用户记录的黑客组织 ShinyHunters,正在暗网市场上叫卖这部分数据。
上周的时候,印度尼西亚最大的线上商店 Tokopedia,也遭遇了该组织的入侵。起初,ShinyHunter 在网络上“免费”泄露了 1500 万的用户记录。
然后,它又以 5000 美元的价格在叫卖包含 9100 万条记录的整个数据库(相当于在兜售 7300 万条用户记录)。
在尝到售卖 Tokopedia 用户记录带来的甜头之后,ShinyHunters 又在本周挂出了另外十家企业的数据库:
● 网上约会应用 Zoosk(3000 万条用户记录)
● 印刷服务 Chatbooks(1500 万条用户记录)
● 韩国时尚平台 SocialShare(600 万条用户记录)
● 送餐服务 Home Chef(800 万条用户记录)
● 线上市场 Minted(500 万条用户记录)
● 网络媒体 Chronicle of Higher Education(300 万用户记录)
● 韩国家具杂志 GGuMim(200 万条用户记录)
● 健康杂志 Mindful(200 万条用户记录)
● 印度尼西亚线上商店 Bhinneka(120 万条用户记录)
● 美国报纸 StarTribune(100 万条用户记录)
据悉,这批数据库总共涵盖了 7320 万条用户记录。黑市买家可拿出 1.8 万美元全部带走,或指定买到某个单独的数据库。
为了向黑市买家证明自己确实“有货”,ShinyHunters 还分享了某些被盗数据库中的样本示例。
尽管目前某些列出的数据库的真实性无法得到验证,但网络安全社区的 Cyble、Nightlion Security、Under Breach 和 ZeroFOX,认为其可信度都是相当高的。
一些人认为,ShinyHunters 与去年活跃的黑客组织 Gnosticplayers 有一定的联系。因其曾以几乎相同的模式,在暗网市场上兜售超过 10 亿用户的凭证。
本周,ZNDet 向受害企业逐个询问,但截至发稿时,仅有 Chatbooks 通过电子邮件回应,该公司已在官网上正式发布了安全漏洞公告。
美议员提出了哪些强制性的补救方案?
受酒店预订系统遭黑客攻击等事件的影响,一些人希望推动一项立法,以强制企业向客户通报其护照号码等私密信息是否被盗。
周四的时候,美国加利福尼亚州检察长安东尼·贝塞拉 Anthony Becerra 和州议员马克·莱文(Marc Levine),就向州议会提交了这样一项方案。
在当天的新闻发布会上,贝塞拉呼吁道:“如果护照号码或生物特征数据在未经授权的情况下流出,所有加州人都渴望有权采取行动”。
据悉,这项法案是对万豪旗下存有安全漏洞的酒店预订系统泄露客户数据事件的回应。
去年 12 月的时候,喜达屋连锁酒店遭到黑客攻击,导致约 3.83 亿客户信息被一锅端。外媒指出,黑客窃取了超过 500 万个未加密的护照号码,以及超过 2000 万个加密的护照号码。
贝塞拉补充道:“尽管万豪后来还是向客户通报了其护照号码被盗的情况,但这项措施尚未成为法律的强制要求”。
对窃取 ID 的犯罪分子来说,护照号码有着相当高的利用价值,因其暴露了潜在受害者的一组或多组私密信息 —— 尽管犯罪分子必须借助复杂且昂贵的伪造手段,才能最终得逞。
当然,数据泄露的受害者可以通过挂失护照,来变更新护照上的号码。可惜在唯一的生物识别数据上,我们无能为力。
2015 年的时候,美国人士管理办公室遭遇了黑客攻击,导致巨量联邦雇员的指纹信息被盗。尽管最初预估的数据为 110 万,但后来增加到了 560 万。
