美国FBI项目被黑，8万数据公然出卖？

01

安全专家指责LastPass公告：存在14个疑点，迷惑用户

密码管理工具 LastPass 在圣诞节前发布公告山东比特币案件，承认黑客在今年 11 月发生的一次安全事件中窃取了包括姓名、网址和密码（已加密）在内的用户数据。 一位安全研究专家看到这条公告后忍不住发帖称，公告中有14处可疑点，部分细节避重就轻，以半真半假的方式迷惑用户。

专家认为 LastPass 淡化了风险并表现出“严重疏忽”。 这涵盖了从公司的透明度声明到其自身安全实践的方方面面。

其中一项有争议的说法是，LastPass 告诉客户“如果您使用上述默认设置，使用常用的密码破解技术，则需要数百万年才能猜出您的主密码”。 专家表示，对于普通用户密码，整个破解时间可能只需要2个月就可以完成，而不是“数百万年”。

02

黑客从 BTC.com 窃取 300 万美元的加密货币

BTC.com是一个提供管理和转移比特币服务的网站，它提供了一个存储比特币的数字钱包，一个用于将比特币与其他加密货币和法定货币进行交换的交易界面，以及一个用于参与提取新币的挖矿平台比特币硬币。

BTC.com 宣布它是网络攻击的受害者，该攻击导致价值约 300 万美元的加密资产被盗。 该公司客户拥有的价值 700,000 美元的加密货币和公司拥有的 230 万美元数字资产在网络攻击中被盗。

“BTC.com 目前正常运营，但数字资产服务除外，其客户资金服务不受影响，”该公司总结道。

03

BlueNoroff APT 黑客使用新方法绕过 Windows MotW 保护

BlueNoroff 是臭名昭著的 Lazarus Group 的一个子集群，据观察在其剧本中采用新技术，使其能够绕过 Windows 网络标记 (MotW) 保护。

“BlueNoroff 创建了大量冒充风险投资公司和银行的假域名，”安全研究员说。 值得指出的是，虽然 MotW 绕过之前已经在野外被记录下来，但这是 BlueNoroff 第一次将其纳入对金融部门的入侵。

“这个组织有很强的经济动机，实际上成功地从他们的网络攻击中获利，”安全研究员说。 “这也表明该组织的袭击在不久的将来不太可能减少。

04

视频会议风险增加，中小企业成为网络攻击的目标

公司使用视频会议讨论并购、法律、军事、医疗保健、知识产权等话题，甚至企业战略。 数据丢失对公司、员工、客户和客户来说可能是灾难性的。

最相关的风险之一是缺乏对对话的受控访问，这可能导致敏感信息的中断、破坏、泄露或暴露，而使用不安全、过时或未打补丁的视频会议应用程序可能会暴露安全漏洞。

远程工作者对视频会议软件的使用使他们很容易成为各种类型攻击的目标。 例如，在大流行期间第一波在家工作之后，“缩放轰炸”和其他攻击脱颖而出。

05

吉安网警破获一起DDoS黑客攻击案

近日，吉安网警在日常工作中发现，辖区居民宋某在线上对某网站发起DDoS攻击，涉嫌危害网络安全。 获悉线索后，网安民警立即对涉案人员进行搜寻，通过分析判断锁定犯罪嫌疑人宋某的具体位置，并在第一时间将其传唤至公安机关进行侦查。

经查，犯罪嫌疑人宋某在互联网上为他人建站时获取了DDoS攻击脚本。 于是他利用虚拟机搭建了DDoS攻击程序，对国内某网站发起DDoS攻击，导致网站瘫痪。 此外，宋某还曾建立非法定的国际联网通道（即搭建VPN绕墙）供自己和他人使用。

经审讯，犯罪嫌疑人宋某如实供述了利用DDoS程序通过非法渠道攻击网站、进行国际联网的违法事实。 目前，犯罪嫌疑人宋某已被公安机关依法刑事拘留并处以罚款。 案件正在进一步调查中。

06

Kimsuky黑客冒充韩国记者、国会议员等发起钓鱼邮件攻击

据报道，一个朝鲜黑客组织向数百名冒充韩国记者、国会议员办公室和公共机构的外交和国家安全专家发送了网络钓鱼电子邮件。

网络调查局公布的调查结果显示，许多欺诈性电子邮件似乎是由隶属于朝鲜侦察总局的黑客组织“Kimsuky”发送的。

这些电子邮件附加恶意程序或将读者引导至网络钓鱼站点，从中可以从他们的计算机中提取信息。 迄今为止，已确定有 49 名专家在准确模仿 Naver 或 Google 页面的钓鱼网站上输入了他们的 ID 和密码信息。

07

法国因 Bing cookie 对微软处以 6000 万欧元罚款

法国隐私监管机构已对 Microsoft Ireland 处以 6000 万欧元罚款，此前该公司表示其误导性 cookie 政策违反了该国的隐私法。

国家信息和自由委员会 (CNIL) 的一项调查发现，微软的 Bing 搜索引擎在未经用户同意的情况下在用户的浏览器上部署了广告 cookie。

调查还显示，Bing 有一个允许用户拒绝 cookie 的机制，该公司故意设计其拒绝机制是为了让用户更容易接受 cookie，而不是拒绝它们。

据 CNIL 称，微软这样做违反了法国数据保护法规定的互联网用户的同意自由。

08

俄罗斯数据泄露罚款高达 5 亿卢布

据专家介绍，俄罗斯数字发展部法律草案规定，个人数据泄露营业额罚款上限为5亿卢布，下限为500万卢布。

专家认为，罚款将促使企业加强安全措施，但市场参与者警告说山东比特币案件，此举可能导致俄罗斯企业“分裂”，例如，为了减少应税收入而分成区域部门。 消息人士告诉生意人报，数字发展部已经敲定了一项针对泄露个人数据的公司的营业额罚款法案。 熟悉文件最终版本的专家对话者澄清说，当前版本的法案中的罚款金额在 500 万至 5 亿卢布之间。 他解释说，如果公司在法律生效后再次泄露数据并违反多项监管要求，例如试图隐瞒事件，则会提供“上限”。 专家对话者表示，在这个范围内，罚款将按照发现该事件前一年公司的营业收入数额计算。

09

FBI 的审查信息共享网络“InfraGard”遭到黑客攻击

InfraGard 是 FBI 的一个项目，旨在与私营部门建立在线和离线威胁信息共享伙伴关系。

最近，该项目发现其包含 80,000 多名成员联系信息的数据库在英语网络犯罪论坛上被公然兜售。 与此同时，幕后的黑客正在通过 InfraGard 门户直接与会员联系——黑客使用一个新帐户窃取了一家金融行业公司首席执行官 (CEO) 的身份，并获得了 FBI 的批准。

“此事件仍在调查中，我们目前无法发布任何其他信息，”联邦调查局在一份书面声明中表示。

10

开源软件主机 Fosshost 关闭，CEO 失踪

非营利性托管和云计算提供商 Fosshost 免费托管多个知名开源项目，包括 Armbian 和欧洲自由软件基金会 (FSFE)。

Fosshost网站fosshost.org发布公告称即将下线，对无法再提供服务深表遗憾。 公告称，由于志愿者无法控制的情况，无法保证服务器持续上线，预计很快就会下线。 他们建议托管项目立即备份数据并将其迁移到其他地方。 原因是 CEO Thomas Markey 联系不上，CEO 控制着银行账户和资金，他们无力支付服务器托管费用。 Markey 已经失去联系 6 个月了，也没有对任何通讯做出回应。