GitHub数百源代码被泄露 Mozilla禁止含混淆代码的Firefox组件上架

信息泄露

01.美国在线辅导平台Wyzant发生数据泄露事件，200万用户受影响

据报道，总部位于美国芝加哥的在线辅导平台Wyzant发生数据泄露事件，约200万注册用户和超7.6万名活跃辅导员受影响。泄露信息包括名字、姓氏、电子邮件地址、邮政编码及某些客户Facebook个人资料图片、登录信息等。截至目前，该公司表示已修补该问题，将对整个网络和应用程序安全基础架构进行广泛审计，并通知受影响用户。

图片来源于pexels

02.加拿大电信巨头Freedom Mobile发生数据泄露事件，500万客户受影响

据外媒报道，研究人员发现加拿大电信巨头Freedom Mobile数据库在互联网被曝光，至少500万条客户记录与150万条用户相关记录被泄露，泄露信息包括电子邮件地址、电话号码、家庭住址、出生日期、与付款方式相关的IP地址、信用评分、CVV代码、客户服务记录等。事件发生后，Freedom Mobile已通知加拿大隐私专员办公室（OPC）并展开调查。

网络攻击

01.黑客发起暴力攻击，接管29个物联网僵尸网络

据外媒报道，黑客Subby对使用弱凭证或默认凭据的29个物联网僵尸网络的后端发起暴力攻击，一周内控制4万多台设备，去重后数量接近2.5万。据悉，由于运营商未更改默认凭据或设置了弱密码，导致网络易被暴力破解用于恶意活动，其中被感染的僵尸网络大多使用常见凭据，如“root：root”、“admin：admin”和“oof：oof”等。

图片来源于pexels

02.GitHub遭黑客攻击泄露数百源代码，微软未能幸免

据媒体报道，GitHub遭黑客攻击泄露数百源代码，微软开源平台亦受影响。据悉，黑客删除了众多公司存储在GitHub库中的所有源代码和最近提交的Repo，并勒索0.1比特币（约 ¥3850）。事件发生后，微软已确认其392个代码存储库被黑客擦除，此外Bitbucket、GitLab等多个代码托管平台也受到影响。截至目前，尚无用户支付赎金，GitHub已与受影响用户联系，建议用户开启双因素身份验证为账户添加额外安全层。

03.Binance遭黑客攻击，损失价值4070万美元比特币

据报道，全球最大的加密货币交易所之一Binance遭黑客攻击，7000多枚比特币被盗，价值4070万美元。Binance表示，黑客利用网络钓鱼和计算机病毒入侵破坏单个BTC热钱包，并设法获取用户关键信息，具体包括API密钥、双因素身份验证代码以及登录Binance账户所需的其他信息。截至目前，Binance已展开调查，并将暂停其平台上的所有存、取款业务一周，同时动用安全资金（SAFU）弥补用户损失。

图片来源于pexels

04.201家校园电子商店遭Magecart攻击，支付卡数据被泄露

据外媒报道，Magecart黑客组织近期发动网络攻击，美国和加拿大201个校园电子商店受影响。黑客将恶意Java代码注入电子商店结账、付款页面中以窃取用户支付卡数据。事件发生后，供应商从平台上删除了卡片分离器代码，专家建议网站所有者定期检查并加强其安全补丁，同时采用身份验证机制存储和管理敏感数据以免遭受网络攻击。

恶意软件

01.Turla利用新后门工具LightNeuron时间长达五年

网络安全公司ESET最新研究报告显示，俄罗斯Turla集团自2014年以来一直使用LightNeuron恶意软件定位Microsoft Exchange邮件服务器。LightNeuron允许黑客完全控制服务器，拦截、重定向、编辑传入或传出电子邮件内容。研究人员警告称该恶意软件正被用于实时攻击，目前已有三个组织感染该后门，包括东欧外交部、中东地区外交组织以及巴西某组织。

图片来源于unsplash

漏洞曝光

01.Jenkins100多个插件存在漏洞，允许黑客窃取凭据

据外媒报道，研究人员发现Jenkins开源软件开发自动化服务器100多个插件均存在安全漏洞，允许黑客窃取凭据并发动服务器端请求伪造攻击。该漏洞源于以纯文本形式存储密码，以及跨站点请求伪造缺乏对应权限检查。截至目前，该软件已被安装超过数十万次，用户数量超过100万，目前仍有较多插件未被修复。Jenkins开发人员已发布安全建议，允许管理员自行决定是否继续使用该插件。

安全资讯

01.Mozilla禁止包含混淆代码的Firefox组件上架

据外媒报道，Mozilla近日发布了针对Firefox的更新，修复了过期签名证书漏洞，禁止包含混淆代码的Firefox组件上架，并将于6月10日起正式拦截违反策略的组件。Mozilla表示该政策旨在消除第三方恶意代码给用户带来的威胁，将针对不同情形采取不同级别制裁措施，包括禁用插件、禁止用户重新启用扩展等，建议开发人员在代码修改后重新提交组件。

图片来源于pixabay

02.谷歌发布安卓安全补丁修复30处漏洞

谷歌于近日发布安卓安全补丁，修复了30处漏洞及安卓组件中的其他问题。据悉，补丁包含2019-05-01和2019-05-05两个安全级别，涉及Android Framework、Media framework、Android System、Kernel、Nvidia、Broadcom和高通在内的诸多组件。其中关键级安全漏洞会影响Media framework，允许黑客使用特制文件远程提权并执行任意代码。专家建议用户尽快更新设备以确保系统安全。