SKS Keyserver Network 遭到“中毒”攻擊

OpenPGP 專案的兩位知名開發者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg) 過去一週成為證照中毒攻擊的受害者。未知攻擊者利用 OpenPGP 協議本身的缺陷給 rjh 和 dkg 的 OpenPGP 證照下毒。

匯入中毒版證照會破壞存在缺陷的 OpenPGP。中毒證照已經存在於 SKS Keyserver Network 中，沒有理由認為攻擊者在對兩個證照下毒後就停止攻擊。

dkg 稱 Tor 專案的多個證照也遭到攻擊。SKS keyserver 或 OpenPGP Working Group 無法在短期內減輕這一攻擊的影響，未來發布的 OpenPGP 將會包含一些削弱攻擊的方法，但目前沒有時間表。權宜之計是不要從 SKS Keyserver Network 提取資料。Keyserver 使用的軟體是一名研究員使用 OCaml 語言為自己的博士論文開發的，社群缺乏理解其演算法或該語言的人才。軟體沒人維護，也沒有人有資格去修改程式碼。

來源：solidot.org

更多資訊

Cloudflare 因自己軟體的問題導致當機事故

雲服務商 Cloudflare 遭遇了一次持續約半個小時的當機事故，使用者訪問報 503 錯誤。根據官方部落格的解釋，這個問題是它自己軟體導致的。Cloudflare 稱，為了改進內聯 JavaScript 遮蔽，它在 Cloudflare Web Application Firewall 防火牆內部署了新的規則，其中一條規則包含的正規表示式導致了其在全世界各地的機器 CPU 佔用 100%，從而導致了 502 錯誤。

來源： solidot.org
詳情： http://www.dbsec.cn/zx/20190704-2.html 

網路攻擊事件發生後 美國海關與邊境保護局已暫停與分包商合作

今年 5 月，美國海關與邊境保護局（CBP）的分包商遭遇了一起“惡意網路攻擊”，導致出入境旅客的照片資訊洩露。本週二，《華盛頓郵報》報導稱，該機構現已暫停了為其製作車牌掃描器和其它監控裝置的 Perceptics 聯邦政府合同。6 月 12 日，CBP 證實該分包商違反政策，將收集到的車牌和出入境旅客照片副本轉移到了企業網路中。

來源： cnBeta.COM
詳情： http://www.dbsec.cn/zx/20190704-3.html 

工信部點名：這些金融 APP 非法收集個人資訊

日前，工業和資訊化部（以下簡稱：工信部）釋出了 2019 年第一季度電信服務質量通告。通告顯示，多款金融 APP 存在非法收集個人資訊問題，工信部表示已對違規軟體進行下架處理，並責令企業整改。

來源： 人民網-金融頻道
詳情： http://www.dbsec.cn/zx/20190704-4.html 

“沉默”的黑客襲擊了孟加拉國，印度，斯里蘭卡和吉爾吉斯斯坦的銀行

一群專門攻擊銀行的黑客再次展開攻擊，這次他們分別在孟加拉國，印度，斯里蘭卡和吉爾吉斯斯坦攻擊了四個目標，來自 Group-IB 的安全研究人員告訴 ZDNet。根據當地媒體的報導，目前公開的唯一事件是影響荷蘭孟加拉銀行的事件，該銀行在5月份發生的幾輪 ATM 取款攻擊中損失了 300 多萬美元。

來源： ZDNet
詳情： http://www.dbsec.cn/zx/20190704-5.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視