freebuf
三星多个内部项目敏感源代码泄露 含物联网平台
据techcrunch报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。
三星将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。
其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。
详文阅读:
http://tech.163.com/19/0509/08/EENLID9C00097U7T.html
英特尔芯片再传安全漏洞 将影响全球数百万台电脑
英特尔再次被曝出芯片安全漏洞,代号“ZombieLoad”,译为“丧尸负载”。
这个漏洞主要有两个特点。
一是覆盖范围极大。科技媒体TechCrunch大致推测,这次漏洞的波及范围几乎为所有2011年装有英特尔芯片的计算机。也就是说,无论是苹果电脑还是微软电脑,无论计算机系统如何,都会通通中招,不能幸免。
二是危及用户隐私安全。
黑客可以利用这些漏洞,进而查看用户实时访问着哪些网站,并且很容易重新利用这些信息获取用户密码和访问令牌账户。你的隐私,可能就这样莫名暴露无疑。
详文阅读:
http://finance.sina.com.cn/stock/relnews/us/2019-05-15/doc-ihvhiews2068474.shtml
消费者非常关心他们的隐私,安全以及他们的个人信息的处理方式
65%的消费者关心连接设备收集数据的方式。根据IPSOS Mori代表互联网协会进行的调查,超过一半(55%)的人不信任他们的连接设备来保护他们的隐私,而且相似的比例(53%)不相信连接的设备负责任地处理他们的信息。消费者国际。
该调查在美国,加拿大,日本,澳大利亚,法国和英国进行。
连接设备无处不在,很多人都愿意参与物联网(IoT)革命。69%的受访者表示他们拥有连接设备,如智能电表,健身监视器,连接玩具,家庭助理或游戏机。
然而,多个消费者组织的测试发现,一系列产品被推向市场,几乎没有考虑基本的安全和隐私保护。
调查结果显示,77%的市场消费者表示有关隐私和安全的信息是他们购买决策中的重要考虑因素,并且几乎三分之一没有拥有连接设备的人(28%)不会购买智能产品这些顾虑。消费者认为这与成本差不多。
“调查结果强调了物联网制造商需要考虑安全和隐私来构建他们的设备,”互联网协会总裁兼首席执行官安德鲁沙利文说。“安全不应该是事后的想法。很明显,制造商和零售商需要做更多的事情,以便消费者可以信任他们的物联网设备。“
受访者还认为,关联设备问题的责任应由监管机构,制造商和零售商负责。88%的受访者表示监管机构应该确保物联网隐私和安全标准,而81%的人表示制造商需要提供这种保证,80%的人表示零售商必须解决隐私和安全问题。60%的市场参与者认为消费者主要负责其连接设备的安全性和隐私性。
详文阅读:
https://www.helpnetsecurity.com/2019/05/03/privacy-security-consumer-concerns/
利用罗克韦尔控制器缺陷将用户重定向至恶意站点
罗克韦尔自动化公司的某些 MicroLogix 和 CompactLogix 可编程逻辑控制器 (PLCs) 中被曝严重漏洞,可被远程攻击者用于将用户重定向至恶意站点。
ICS-CERT 和罗克韦尔自动化公司发布安全通告指出,该缺陷(CVE-2019-10955)的 CVSS 评分为 7.1(高危),影响 MicroLogix 1100 和1400以及 CompactLogix 5370(L1、L2和 L3)控制器。
ICS-CERT 将该漏洞描述为开放的重定向漏洞,和运行在这些设备上的 web 服务器有关。该 web 服务器接受来自 PLCs web 接口的用户输入,远程未认证攻击者可注入恶意链接,将用户从控制器的 web 服务器重定向至任意站点。
罗克韦尔在安全通告中指出,“这个恶意网站可能在用户机器上运行或下载任何恶意软件。这种攻击的目标并非工业控制设备,而且并不会破坏控制功能。”
罗克韦尔已发布固件更新解决该问题。该公司建议无法安装更新的组织机构禁用 web 服务器并实现通用的安全措施以阻止潜在攻击。
详文阅读:
转载请注明来自网盾网络安全培训,本文标题:《青莲晚报(第四十六期)| 物联网安全多知道》
