本週我們收集了網路安全領域最重要的新聞。
OpenSea 和Coinbase NFT 集合因開放庫漏洞而面臨風險。谷歌和蘋果承認為世界各國政府從事間諜活動。英國和美國已對與FSB 有關的駭客實施制裁。網路犯罪分子攻擊了韓國防空系統並竊取了36 萬美元的加密貨幣。
OpenSea 和Coinbase NFT 藏品因開放庫漏洞而面臨風險
Web3 平台Thirdweb 的開發人員在一個未命名的開源程式庫中發現了一個漏洞,該漏洞可能會影響許多智慧合約和NFT 集合的安全。
重要資訊太平洋標準時間2023 年11 月20 日下午6 點,我們意識到web3 產業常用開源程式庫中存在安全漏洞。這影響了web3 生態系統中的各種智能合約,包括Thirdweb 的一些預先建構的智能合約。智能合約…
—thirdweb (@thirdweb) 2023 年12 月5 日
儘管該漏洞尚未被攻擊者利用,但如果不加以解決,可能會導致重大損失。此處提供了受影響智能合約的完整清單。
Thirdweb 早在11 月20 日就發現了這個問題,並通知了開源程式庫開發團隊。同時,出於安全原因,該漏洞的詳細資訊並未向用戶透露。
專家們則提供了解決問題的幫助,並建議使用revoke.cash 工具撤銷在太平洋標準時間11 月22 日19:00(太平洋標準時間11 月23 日05:00 基輔/莫斯科時間06:00)之前創建的受影響智能合約的權限。
Thirdweb 還將針對bug 的獎金從25,000 美元增加到50,000 美元,並加強了審計流程。此外,該公司還承諾補償糾正合約的佣金。
大型NFT 市場已經對這種情況做出了反應。 Coinbase 表示,該漏洞影響了其使用Thirdweb 建立的一些集合,但該交易所的客戶資金是安全的。
1/ Coinbase 團隊於太平洋時間12 月1 日星期五晚上9 點從@thirdweb 獲悉,一個通用開源庫中存在安全漏洞,影響了由Thirdweb 創建的Coinbase NFT 上的一些NFT 集合。 Coinbase 平台尚未出現任何漏洞。客戶資金保持安全。 https://t.co/elRGxjysif
— Coinbase NFT 🛡️📞 (@Coinbase_NFT) 2023 年12 月5 日
OpenSea、OpenZeppelin 和Animoca Brands 的Mocaverse metaverse 的團隊也與Thirdweb 合作,以降低風險並幫助用戶。
谷歌和蘋果承認為世界各國政府從事間諜活動
美國參議員羅伊·懷登辦公室在一項調查中證實,世界各國政府正在要求谷歌和蘋果提供有關推播通知的訊息,以監視用戶。
此類訊息透過Google Firebase 雲端訊息傳遞和Apple 推播通知服務的中間加密貨幣閘道傳遞,但公司本身充當元資料傳輸的中介。
在他們的幫助下,有興趣的一方可以獲得有關所使用的應用程式、通訊中的其他參與者以及可能的設備所有者的位置的資訊。
谷歌和蘋果已經確認,政府指導方針禁止披露這種形式的合作,因此,例如,年度「透明度」報告中沒有報告這種形式的合作。
參議員辦公室最初從外部來源收到了有關正在發生的事情的資訊。目前尚不清楚這種資料收集方法已經使用了多久。
現在懷登已要求美國司法部允許科技公司向用戶通報該計畫。
英國和美國對與FSB 有關的駭客實施制裁
英國和美國當局對由FSB 資訊安全中心管理的駭客組織Callisto 的兩名成員Ruslan Peretyatko 和Andrey Korinets 實施了製裁。
根據法院的結論,自2015年以來,俄羅斯人對世界各地的組織進行了一系列網路釣魚攻擊,以竊取機密資料。
特別是,NCSC 認定Callisto 參與了英美之間貿易文件的洩漏、2018 年英國智庫StateCraft 研究所遭受的駭客攻擊以及對StateCraft 創始人Christopher Donnelly 的網路攻擊。
兩名駭客都被通緝。美國當局懸賞高達1000 萬美元,以獲取有關他們下落的資訊。
影片和照片編輯器已開始被用來攻擊Mac 用戶
卡巴斯基實驗室專家發現至少35 個資料復原、網路掃描和影像編輯程式用於攻擊運行macOS 的裝置。
我們的研究人員發現了一種新的代理木馬隱藏在受感染的macOS 應用程式中。我們將在新帖子中告訴你它的工作原理以及它的威脅:https://t.co/3xpNR0l4Je pic.twitter.com/9xLkRRyqhO
— 卡巴斯基(@Kaspersky_ru) 2023 年12 月1 日
該木馬將設備轉變為重定向流量的終端,以匿名化惡意行為、駭客攻擊和網路釣魚。
最受歡迎的受感染程序包括:
4K 影片下載專業版;Aissesoft Mac 資料恢復; Aiseesoft Mac 視訊轉換器旗艦版;適用於Mac 的AnyMP4 Android 資料恢復;唐尼4; FonePaw資料復原;草圖; 萬興優轉13; SQLPro 工作室;藝術工作工作室專業版。
與以磁碟映像形式分發的合法軟體不同,惡意版本以PKG 檔案形式下載,並由特殊的安裝程式實用程式處理。
研究人員還發現了幾個為Android 和Windows 創建的類似代理木馬的樣本。
北韓駭客攻擊韓國防空系統並竊取36 萬美元加密貨幣
首爾警察局和美國聯邦調查局(FBI) 正在調查北韓駭客組織Andariel 對14 個組織實施的駭客攻擊。當地媒體對此進行了報告。
這事件影響了通訊、資訊安全和IT領域的大型公司、技術中心、大學和研究機構、製藥公司、國防企業和金融組織。
特別是,韓國當局宣布竊取有關確保國家防空系統運作的雷射武器的資訊。
Andariel 使用勒索軟體實施了3 次攻擊,沒收了價值4.7 億韓元(超過36 萬美元)的加密貨幣。安全部隊設法沒收了部分資金。
韓國情報機構認為,這些入侵是一場更大規模活動的一部分,該活動總共導致超過1.2 TB 的文件外洩。
23andMe 證實690 萬用戶基因資料洩露
基因檢測公司23andMe 表示,駭客取得了約14,000 人的個人資料(佔其總客戶群的0.1%),以及其他使用者血統的「大量文件」。
網路事件本身發生在十月。在最近向TechCrunch 發表的評測中,23andMe 代表澄清說,我們談論的總共有690 萬人同意自動共享數據,作為「DNA 親屬」和「家譜」功能的一部分。
攻擊者洩漏23andMe 資料。數據:電腦發出蜂鳴聲。
揭露的資訊包括:
人名; 出生年份; 親屬關係標記; 與親屬共享DNA 的百分比; 出處報告; 地點。
根據23andMe 的聲明,駭客使用其他公司洩露的公開密碼破壞了受害者的帳戶。
攻擊者試圖以每個個人資料1 到10 美元的價格出售他們收到的資訊。
23andMe 的總客戶群為1400 萬人。為了使潛在的訴訟更加困難,該公司更新了其使用條款,納入了解決爭議的強制性Arbitrum條款。
俄羅斯聯邦對非法處理生物辨識資訊處以數百萬美元的罰款
12月5日,俄羅斯聯邦國家杜馬三讀通過了一項法律,強化對非法處理個人資料或未經個人書面同意的行為的行政責任。
該文件規定罰款:公民– 10,000至15,000盧布;官員– 100,000至300,000盧布;法人實體– 300,000至700,000盧布。
若再犯,罰款金額將增加:公民– 從15,000 盧布增加到30,000 盧布;官員– 從300,000 盧布增加到500,000 盧布;官員– 從500,000 盧布增加到100 萬盧布;法實體– 100 萬個實體企業家– 100 萬盧布增加到150 萬盧布。盧布。
該法律還引入了《管理法》中關於違反將個人資料放入統一生物識別系統的要求的新條款。在這種情況下,對官員處以10萬至30萬盧布的罰款,對法人處以50萬至100萬盧布的罰款。
Roskomnadzor 解釋說,生物辨識技術需要更高等級的保護,因為「人們無法像網路上的常規密碼一樣更改它」。
也在ForkLog 上:
TON區塊鏈在Ordinals 對應版本推出後遇到了故障。在哈薩克斯坦,已關閉的非法比特幣交易商數量已被統計。 Bitzlato 創辦人承認洗錢7 億美元,並同意關閉公司。
比特幣交易所ATAIX Eurasia 將停止為俄羅斯人提供服務。美國法院指出SEC 在DEBT Box 案中歪曲訊息。法院撤銷了對Platypus Finance 駭客的刑事起訴。 Circle 提出了區塊鏈交易可逆性的解決方案。 KyberSwap 承諾向駭客攻擊受害者提供4,800 萬美元的賠償。報告:北韓駭客六年內竊取了價值30 億美元的加密貨幣。
這個週末讀什麼?
我們分析了星際檔案系統IPFS用於去中心化儲存和資料交易所的優缺點。
https://forklog.com/exclusive/mezhplanetnyj-konsensus-i-pogodnyj-majning-kak-vyglyadit-ipfs-segodnya
資訊來源:由0x資訊編譯自FORKLOG。版權歸作者Лена Джесс所有,未經許可,不得轉載