今日全球网安资讯摘要
头条新闻
专家发现,包含我国在内的数百万的 .git 文件夹暴露在公众面前;
安全资讯
头条新闻
专家发现,包含我国在内的数百万的 .git 文件夹暴露在公众面前;
标签:百万,git,访问控制规则
网络新闻研究小组发现,近200万个包含重要项目信息的.git文件夹被暴露在公众面前。
Git是最流行的开源分布式版本控制系统(VCS),由Linus Torvalds在近20年前为Linux内核的开发而开发,其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作,并允许跟踪变化。
一个.git文件夹包含了项目的基本信息,如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如,Cybernews最近的另一项研究发现,美国的流媒体服务CarbonTV将一台服务器的源代码开放,危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳,导致源代码泄露。
Cybernews的研究人员对最常见的网络服务端口80和443进行了研究,发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。
“让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的,而且是众所周知的,这可能会导致更多的内部泄露,或者让恶意行为者更容易进入系统,”Cybernews的研究员Martynas Vareikis说。
超过31%的公开曝光的.git文件夹位于美国,其次是中国(8%)和德国(6.5%)。约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。
上面的截图显示的是.git/config文件,凭证已被遮挡。
“凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库,为恶意行为者提供更多机会,如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说:”当你有完全的权限时,可能性是无穷的。
他说,开发者需要利用.gitignore文件,告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说,提交任何敏感文件都不是一个好主意,即使是提交到私人仓库。
CyberNews专家注意到,让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。 域名,如cybernews.com,是为了让用户记住并方便访问,但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址,开发人员往往忘记为相应的IP地址设置相同的访问控制规则,这可能导致威胁者修改域名和配置访问规则等。
信源:https://heimdalsecurity.com/blog/millions-of-git-folders-from-us-china-and-germany-exposed-to-the-public/安全资讯
美国数据创新中心报告:政策制定者如何阻止虚假评论的兴起;
标签:美国,数据创新中心,虚假评论
2022年9月12日,美国数据、技术和公共政策交叉研究智库CENTER FOR DATA INNOVATION发布了题为《政策制定者如何阻止虚假评论的兴起》的研究报告。报告围绕数字时代下企业虚假评论问题展开,明确指出企业能够操纵商品、服务或竞争对手的评论,进而损害企业声誉、欺骗消费者购买质量不合格的商品或者服务。为了保护消费者和企业,报告总结了行业与政府采取举措,并向联邦和州的政策制定者提出四大建议。
在线评论在消费者的购物行为中发挥着重要作用,主要体现在三方面:其一,在线评论可以告知消费者产品和服务的质量以及公司的声誉,消费者对在线评论的信任会影响他们购买产品或服务的决定。在2021年,77%的美国消费者在浏览网站时总会习惯性地阅读在线评论。只有3%的美国消费者会光顾平均两颗或更少星的企业。其二,在线评论为公司提供了用以改进或修改其产品的信息,企业可以依靠消费者的评论来了解市场对其商品或服务的接受程度。其三,消费者更有可能在他们可以信任的电子商务网站上购物。在线评论能保障消费者的知情权,并通过基于此建立的信任增加电子商务网站的用户回访量。
在线评论的重要性为虚假评论开辟了一个新的市场,公司可能会通过多种形式来获取虚假评论,例如购买虚假评论、未披露的广告代言、员工的虚假评论、政治和社会活动等。此外,企业抑制差评、付费删评、骚扰客户、SLAPPs等手段也使得虚假评论大行其道。不良商家欺骗性地展示正面评价来提升自有产品的形象,或以负面评价诋毁竞争对手。此类行为不仅损害其他企业的利益、破坏竞争秩序,也会误导消费者购买质量不合格的商品或服务。
信源:https://datainnovation.org/2022/09/how-policymakers-can-thwart-the-rise-of-fake-reviews/黑客用新版 FurBall Android 恶意软件监视伊朗公民;
标签:恶意软件,监视
黑客组织“国内小猫”(Domestic Kitten)正在进行一项新的恶意攻击活动,该活动伪装成一个翻译应用程序,分发更新版本的 FurBall的Android 恶意软件。
Domestic Kitten,也称 APT-C-50,据称是伊朗的一个黑客组织,主要是从受损的移动设备获取敏感信息,至少从 2016 年起,就一直非常活跃。
趋势科技(Trend Micro)在 2019 年一项分析报告中表示,APT-C-50 可能与另一个名为“弹跳高尔夫”(Bouncing Golf)的黑客组织有联系。(Bouncing Golf主要针对中东国家进行网络间谍活动)。
据 Check Point 报道,APT-C-50 依赖于伊朗博客网站、电报频道和短信等不同攻击载体,诱使潜在受害者安装恶意应用程序,主要攻击对象包括内部持不同政见者、反对派力量、ISIS 倡导者、伊朗库尔德少数民族等可能对伊朗政权稳定构成威胁的伊朗公民。
无论黑客采用何种方法,翻译应用程序都充当了一个管道,传递一种以色列网络安全公司命名为 FurBall 的恶意软件(KidLogger 的定制版本),该软件可以从设备中收集和过滤个人数据。ESET 发现最新一轮攻击活动主要涉及以翻译服务为幌子的应用程序。
应用程序(“sarayemaghale.apk”)是通过一个模仿 downloadmaghaleh[.]com 的假冒网站发布,该网站是一个合法网站,主要提供从英语翻译成波斯语的文章和书籍。
值得一提的是,该组织以前使用安全、新闻、游戏和壁纸等应用程序隐藏恶意软件。
信源:https://thehackernews.com/2022/10/hackers-using-new-version-of-furball.html谷歌搜索emoji相关特定关键词时报错;
标签:谷歌,emoji,特定关键词
信源:https://www.bleepingcomputer.com/news/technology/google-search-crashes-when-you-ask-how-many-emojis-on-appleRing 0 级固件威胁:新型 UEFI rootkit 恶意软件 BlackLotus 曝光;
标签:固件威胁,UEFI rootkit
最近引发广泛讨论的“BlackLotus”,属于一款相当全能的固件级 rootkit 恶意软件。特点是能够躲过各种删除操作,以及绕过先进的 Windows 防护措施。此前这类高级攻击能力,仅被拥有深厚背景的机构所拥有,比如情报威胁组织。然而据报道,一款更新、更强大的 UEFT rootkit,正被人挂到暗网论坛上叫卖。
卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件,能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。
率先曝光此事的安全研究人员指出,单个 rootkit 的许可证费用高达 5000 美元,而后续代码重建则只需 200 美元。
不过考虑到卖家罗列出来的功能,即使需要耗费重资,世界各地的网络犯罪分子和黑帽黑客也会趋之若鹜。
Scott Scheferman 总结道:
与同类 rootkit 一样,BlackLotus 能够在 Windows 启动前的第一阶段被加载,因而能够绕过 Windows / x86 平台上的诸多安全防护措施。
Scott Scheferman 还强调了 BlackLotus 可能对基于固件的现代安全防护机制构成威胁。
而且新 UEFI rootkit 在易用性、扩展性、可访问性、持久性、规避和破坏潜力方面,都实现了相当大的跨越。
此前人们一度认为这类威胁相当罕见,但过去几天不断被打脸的攻击报告,已经指向了截然不同的未来趋势。
最后,安全社区将对 BlackLotus 恶意软件的实际样本展开更加细致、深入的分析,以确定传闻的真实性、还是说它只是某人精心编造的一个骗局。
信源:https://www.cnbeta.com/articles/tech/1329141.htm声 明
资讯来自全球范围内媒体报道
版权归作者所有
文章内容仅代表作者独立观点
不代表聚锋实验室立场
转载目的在于传递更多信息
如有侵权,请公众号后台联系
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...